事实上,性能通常对NAC产品并不重要,除非你做的是直线执行。共识派/尼维斯派/游标派必须保持他们的数量上升,但像思科这样做边缘执行或混合执行的人必须确保他们的政策引擎足够快,这是更容易的方式。对我来说,决定正确的NAC解决方案的主要问题是弄清楚你为什么要在一开始做NAC。你这样做了,那么正确的产品就会开始出现。我已经写了一个小的演示,作为NAC Day的一部分,在Interop,我给了9个关于NAC的“硬问题”。我知道你的问题是“给我一些购买标准”,但我的答案必须是“找到符合你需求的产品。”Most people are so confused by the NAC buzz-wagon that they have no idea what they want or why they want it. Except that everyone is talking about it, so maybe they should have one. It's like a blog :-)
Dotondo
《财富》50强的最佳实践是什么?他们应该选择哪个供应商?
joel_snyder
嗯,这是个棘手的问题。你知道《财富》50多岁的人没有做过完全的NAC,即使他们做过,我也没听说过。最佳实践来源于多年的经验和数百次的部署。不过,我认为您需要考虑以下几点:(a)必须具有供应商独立性。如果没有这些,你注定会讨厌你的解决方案(b)你必须有一个可以适当扩大规模的解决方案,这需要很多思考,而大多数NAC供应商还没有这样做(c)你必须想清楚为什么你想做NAC。这不仅仅是“财富50强有NAC”的问题,也不仅仅是“财富50强有动态路由”的问题。Yeah, they all do or will in any case, but NAC is more of a technology that supports your business goals and security restrictions than a "must have because everyone in our club does."
nacnac
我相信,NAC在安全频谱一个真实的地方,但有麻烦建设一个得到它上面的优先级等项目的投资回报。任何意见,为建设一个商业案例NAC?“降低风险”是难以量化,转化为“我很难拿到预算。”
joel_snyder
你说到点子上了。NAC ROI比大多数预算都要难。你可以随时使用FUD方法(准备好采购申请单,下次TJX上《华尔街日报》头版的时候就跑到CEO的办公室去)。好吧,开个玩笑。没有特别的建议,除了你已经考虑过的明显的东西。顺便说一下,这是为什么NAC可能无法长期成功的原因之一。
主持人 - 基思
预先提交的问题:流动电话是否需要包括在NAC计划内?我该怎么做呢?
joel_snyder
这取决于:是你的手机在网络上?如果答案是“是”,那么有一对夫妇的策略。(如果答案是“否”,则你好,从21世纪以来,前来所有即将加入我们)首先,你可能没有担心端点的安全状态,因为你要分给访问手机是有限的:大概基本的群件功能(电子邮件,日历等)和内网可能浏览。正因为如此,你要专注于访问控制,可能是只为这些手机,作了严格的限制,他们可以去创建一个VLAN,并认为,如果你正确处理访问控制,然后结束点的姿势检查可能是不一样重要。
超级明星布拉德福德和大男孩们一起生存?
你怎么看
joel_snyder
绝对。布拉德福德有很多的大男孩很害怕的。此外,他们有自己的优势(EDU),其精美的服务,每个人都在利基似乎爱他们。他们生存的最大威胁是,如果他们得到买,尤其是CA或Symantec。
taco2
如果NAC是“乏味”在5年内,在什么是安全5年精彩?
joel_snyder
多德。我打算在5年内运行一个烧烤架。你打电话给我,告诉我。
big_boy
我很好奇您的支持802.1x与位置专有的NAC解决方案在那里......牢记这就像苹果与橘子。
joel_snyder
我是802.1X纯粹主义者。实际上,我喜欢用“可以时切换,必须时路由”的比喻。我认为802.1X绝对是正确的选择,但很明显,有些地方它行不通,于是我转向了专利。所以我以802.1X作为任何设计的“出发点”,如果它不能工作,就会后退。我知道我在尼维斯的朋友会为我说这些而生气,但那只是我的想法。
主持人 - 基思
PRE提交的问题是:在NAC做任何事情来帮助保护敏感信息离开场地?
joel_snyder
从概念上讲,是的,但实际上,没有。你真的需要特定的技术来处理;我们已经有了一个良好的市场已经被称为“泄密保护”这是处理这个。此外,NAC可以通过提供认证信息泄漏保护装置在某些方面有所帮助,但这些家伙有他们的共同行动,我不认为你要开始绑NAC在这一阶段比赛的泄漏保护。等到下一局,OK?
Seabee2000
你相信之前的网络访问客户端的扫描太费时或者是它值得吗?我只能假设你认为它是一个好主意,如果各方都为它,网络,安全,等等。
joel_snyder
如果它做的权利,它不应该太长时间。例如,假设你已经有了到位的好补丁程序的纪律,像PATCHLINK或BigFix的。那些家伙知道你连接不管你是好还是坏的瞬间。因此,它不是像你等待45分钟为一个部门,由部门扫描的硬盘驱动器。我完全同意了,也许15到30秒,任何事情都是一个表明,塞,至少对于ADD互联网一代当今。
AAsDC“诱导多能性”和真正的无客户端NAC?也就是说,如果我有理论上的网关“诱导多能性”这可以与一个认证目录接口,并可以监控所有协议,这不是实现相同的目标,没有所有混乱的NAC ?
乔尔,你在哪里画非常深入应用层之间的界线
joel_snyder
是也不是。我不同意它是“没有一团糟”。There's a lot of mess behind every IPS deployment I've ever seen. However, I think that the architecture you propose is basically what I think of as the end-game, except it's not an IPS; it's a combo IPS/firewall at the port level where the user connects. So we're on the same page, except that you're missing the posture assessment part. Can't do that without a client, and if you want it (maybe you're collecting stats for your compliance audit), you have to get it somehow.
Gleb布拉德福德的问题,你有什么感想的类似大小的球员,像ForeScout的,并锁定在顶部的北西西测试为5的解决方案?
跟进
joel_snyder
你指的是记分卡,当你说“前5名,”我恨记分卡。但是,我认为有很多创新的空间NAC回事,我没有好的产品的小公司未来的任何问题。他们鞭策做得更好的大家伙,也有值得偷窃......或者获得伟大的想法:-)
主持人 - 基思
预先提交的问题:NAC硬件和其他安全设备如何协同工作?
joel_snyder
这是NAC最有趣的部分之一,你可以让你所有的安全感知设备,如id /IPS和SIM和NAC互相交谈的想法。NAC可以告诉每个人特定IP上的用户是谁,这是非常有价值的信息也非常难以收集。而IPS/IDS/SIM/防火墙可以给NAC关于用户实际行为的信息,这可以用来修改访问。我听到很多人,尤其是刚起步的公司,说要做这样的事情,这很好。这将给大型企业带来压力,迫使它们通过开发或收购来整合这些创意。例如,Juniper在市场上寻找SEM/SIM软件供应商并不是什么大秘密。为什么?不是为了收入,至少不是为了开始。这是因为他们认为NAC和安全性需要这种集成来构建全局。至少这是我的猜测。
雨
说到802.1X的,有没有谁厂商能够提供出带外NAC无需经过.1X路线走向何方?
joel_snyder
许多。我称这些“混合”的家伙。有巨大的缺陷,但还是有些人喜欢这种方法更好。在那场比赛的大家伙很可能锁定;他们有一个庞大的压机存在。但是,即使思科并说 - 想CCA!这不是不寻常的做法,解决了一些问题,围绕802.1X灵儿今天部署。
主持人 - 基思
预提交问题:NAC方案和其他身份管理方案如何合并?
joel_snyder
还有一些怒目而视的疯子有,一旦你验证,你在一天内完成的愿景:这些凭据得意忘形到本地系统,网络和最多的企业每一个应用程序。千万不要告诉别人你是谁再次,每个人都知道你是谁,你应该有访问权限。我很想说等会每个最终用户。它会发生?很难说。人们没有在过去是成功的SSO,但在企业加上微软在NAC的兴趣不断增长的单一文化表明,我们将有一个组合在一起比任何时候都更前的部分。对我来说,最大的问题是它的方式太跨职能和组织障碍是几乎一样的技术性的显著。但是,如果你想成为时髦与兼容,请确保您的NAC有SOAP / SAML挂钩,或至少他们漂浮在PowerPoint中的某处。
奇才
有很多谈论阻挡弱势终点的,但它一直是我的经验,为阻止威胁并找到确定的漏洞的一些修复功能更重要。什么是拦截威胁,同时还解决了存在漏洞的系统的最佳方法?
joel_snyder
硬盘一个答案,当你用的是“最好的”。我认为一个好的NAC部署的一个重要组成部分,是把IPS高达11和阻止这些事情的能力。最“恶劣行为”现实情况是,它很容易地显示出来。
主持人 - 基思
Nigel Tufnel:我们的裤子里有犰狳。这真的很可怕。
joel_snyder
脊椎穿刺。基思是男人!
存款准备金率
你对分公司的NAC有什么看法?
joel_snyder
这是困难的。没有人提出一个伟大的解决方案,因为像VLAN分离是非常困难的。我认为你会在把它发送到核心网络之前,将流量退回并使用有状态防火墙;据我所知,这是目前唯一可以负担得起的方法。显然,你可以在分支机构中使用forescout之类的东西,但价格不太合适。我认为思科ISR是一个寻找创新的地方。
主持人 - 基思
PRE提交的问题:有关身份验证和手机是什么?
joel_snyder
手机是不是那么好,更重要的是手机用户不那么具有认证良好。如果你让别人冲在密码到手机上,他们想打网络每一次,你会最终推动的流量到公共网络,这最终会增加成本和开拓其他安全漏洞。在未来,你就可以做一些基于SIM卡的认证 - 对此有专门的EAP方法 - 但现在,你应该专注于基于MAC地址的认证给用户最好的体验,并处理幕后的访问控制。
corao“诱导多能性”部署这仍然是在IDS模式部署的误报和问题阻止关闭 - 现在他们都在问我尝试NAC功能,要这样呢?
我有一个
joel_snyder
不,你需要得到第一固定的IDS。如果你仍然在你的IPS看到的FP,你有那些供应商需要与您在移动之前一起得到他们的行动一些严重的问题。婴儿的步骤,我的男人,婴儿的步骤。
主持人 - 基思
预先提交的问题:大多数安全经理在管理NAC设备时犯了什么错误?
joel_snyder
那么,你必须认识到,我们是在NAC的世界很早。人们一直在做NAC十岁上下的东西很长一段时间 - 在SSL VPN看销售商谁已经NACing 5年差不多,或者像布拉德福德供应商之前,我们开始称之为NAC谁是解决具体问题。我看到网络/安全/桌面分离作为最大的潜在问题的长期维护。NAC将所有这些球队在一起,三个人有责任确保NAC项目是成功的。但是,如果他们不继续,作为一个团队,让事情变得更新,那么它可以全部拆开跌倒或 - 更糟糕 - 不是你所想要的东西。最大的问题是桌面威胁缓解,其中台式机的家伙(或女孩)必须保持确保他们有变化,他们的威胁缓解战略得到充分推入NAC策略的快速移动的性质。这闻起来像在很多我看到那将在未来的某个时候爆炸部署的发霉的奶酪。
托德%20K
为什么不直接嵌入此技术应用到接入设备?(交换机和应用程序和VPN头端)你认为这些厂商在这个方向前进吗?
joel_snyder
为什么不?老兄,你说教的合唱团。这是属于它的地方。我认为,我们是在同一页上。无论厂商都与我们上车了,我不知道。但是,我们可以分享这瓶库尔急救我的同时带来了船上。
主持人 - 基思
PRE-提交问题:思科和微软承诺其NAC方案之间的互操作性。他们公布了一些文档描述它是如何可能的。重要的是如何互操作呢?
joel_snyder