网络接入控制脱颖而出,成为最有前途的安全技术之一,但它也是最容易被误解的一个。
定义NAC
要打破这种炒作,第一步是定义NAC。根据Forrester的研究,“NAC是硬件和软件技术的混合,动态地控制客户端系统对网络的访问合规与政策“。
这类可用的产品包括那些化妆品思科的网络接入控制体系结构和瞻博网络的统一访问控制环境。安装该法案单一设备包括ConSentry网络,并StillSecure公司游标Networks产品。其他NAC厂商,如锁定网络和幻影网络,协同工作,与合作伙伴。
 |
||
|---|---|---|
|
||
|
||
| • |
|
|
| • |
|
|
| • |
|
|
| • |
|
|
|
||
| • |
|
|
| • |
|
|
| • |
|
|
| • |
|
|
| • |
|
|
可信计算组(TCG),一个行业组织编写NAC标准,以促进多厂商互操作,同时还拥有一个NAC方案。可信网络连接(TNC)指定产品接口,其供应商可以使用以满足他们的齿轮到TNC架构。TCG的NAC定义为“一个开放,非专有的规范,使安全要求,用于连接到企业网络端点的应用和执行。”
因此,供应商可以建立自己的产品,跨国公司的NAC标准,但依靠其他产品来充实可操作NAC部署。
这是很高的水平。在实践中,NAC是在计算机和其他设备进入网络之前对它们进行扫描的过程,以确定它们是否具有符合公司政策的安全态势。他们的病毒扫描软件是不是最新的?他们的操作系统有补丁吗?他们有私人关系吗防火墙正在使用?
这个过程需要一个能匹配扫描结果发送到政策,看看设备是否有资格获得进入的发动机。它需要的是可以强制执行的策略引擎的决定装置:禁止访问,限制访问某些资源或只允许到安全功能,可带来了最新的隔离网段访问。
了解NAC宇宙
这就是NAC的核心。一些公司称自己为NAC供应商,但他们真正的意思是他们的产品适合更广泛的NAC环境。
例如,CA说,它已经加入了思科的NAC计划,它已凭借其eTrust杀毒和反间谍软件可以提供状态信息思科信任代理。从CA软件和其他软件的台式机和笔记本电脑的代理收集数据开发试图访问网络的计算机的配置文件。
同样的,IBMTivoli的安全合规经理与思科的NAC兼容,因为它可以扫描进入网络的机器。它本身不能强制设备是否获得访问权限。它仍然需要来自思科或其他供应商的基础设施来执行策略。
ETrust和Security Compliance Manager软件适合NAC架构,但不能自己创建NAC环境。思科,微软TCG列出了几十个合作伙伴,他们的设备适合他们的NAC计划,并可以声称是NAC供应商。客户必须了解供应商所说的“NAC支持”是什么意思。
另一个主要的复杂因素是,微软有自己的NAC架构称为网络访问保护(NAP)。由于涉及到微软及其普及的服务器和桌面软件,NAP是NAC领域的一个主要因素。问题是关键组件无法提供,这使得除了微软的NAP平台有限的测试版之外,无法测试互操作性。
往好的方面看,是75供应商已承诺,当他们的设备可用时,将使其与微软的NAP组件可互操作。这包括思科,微软正在与思科开发NAP和思科NAC互操作性。思科正在推动IETF的NAC标准,但没有参与TCG,约有30家合作伙伴在运送兼容思科nacc的设备,另有27家合作伙伴在开发此类产品。
搞清楚NAC要求
无论供应商的选择,企业必须知道网络的挑战,他们正试图他们拥抱NAC之前解决乔尔·斯奈德,在作品一号高级合作伙伴和网络世界实验室联盟的成员说。有个足球雷竞技app出人意料的是,许多企业都跳入NAC不首先确定业务需求,这将保证投资,他说。
一个早期有明确目标的NAC采纳者是科罗拉多州立大学柯林斯堡商学院。该校技术主管乔恩•施罗斯(Jon Schroth)表示,该校希望控制访问者和学生对网络资源的访问,但同时尽可能保持基础设施的开放。他说,他也不想破坏硬件或负责在用户设备上安装软件。
Schroth选择了Vernier的EdgeWall设备,它可以对用户进行身份验证,扫描他们的机器,并根据学校Active Directory服务器的数据强制执行政策。他说:“我们是一家微软商店,我们希望能够在可能的时候利用这一点。”
由于EdgeWall坐在接入和核心交换机之间,在执行政策,它与学校的混合生命值ProCurve和3Com交换机不改变网络拓扑。
其他NAC方案,如思科和TNC,使用802.1X在交换机的端口认证,在执行政策和施罗特说,他可能最终会采用这些架构之一。现在EdgeWall作品,可能就足够了,直到两年学校的下一个交换机的升级。“也许那我们来看看[更广的NAC架构]如果它的交换机中集成的,”他说。
另一个早期采用者NAC表示,这是至关重要的,以保护在新最近$ 250,000个投资至尊网络当他加入NAC切换。“我不能撕出在开关25万只,以满足一个项目的需求,”罗伯特Lemm,IT主管对KAMO电力,电力公司服务的堪萨斯州,阿肯色州,密苏里州和俄克拉何马州,总部设在说维尼塔,俄克拉荷马州。
当寻找NAC设备,以保护卡莫电力网络更好地从有害交通来自能源合作子公司,Lemm说,他考虑但拒绝思科NAC设备,因为它需要思科交换机。他说,即使他已经有了,在他们身上实施NAC也需要额外的成本。“如果我们有思科的交换机,我们将不得不为每个交换机购买许可证,”他说。
否则,思科可能会将CiscoSecure访问控制服务器(ACS)的NAC设备与KAMO Power的极端交换机连接起来,以执行访问策略,但这会使每个ACS设备成为单点故障。“从网络可靠性的角度来看,这不是很明智,”他说。
Lemm也排除了Extreme的访问控制系统基于其Sentriant设备。在他看着它在去年的时候,它筛选在第3层,但并不是所有的方式第7层,这正是他一直在寻找,他说。
他选择了Juniper的Infranet控制器策略引擎与微软Internet验证服务认证服务器配合,以确定哪种类型的访问终端设备应该得到。有Extreme交换机和Juniper集成安全网关设备相结合的防火墙,VPN和入侵检测作为执行点。
部署避免了很多开关更换的,但它的效果并不理想,他说。瞻博网络需要一个企业级的管理系统,其NAC系统的各个部分,以节省管理时间。现在,他使用Web接口来直接管理各个机器或NetScreen安全管理器来管理Infranet控制器。
早期用户
一些早期的用户,如加拿大大赌场,买成一个单一的供应商的方案。里士满,不列颠哥伦比亚省,公司选择北电网络其安全的网络接入交换机,加里·沃德,为伟大的加拿大IT总监。
该公司希望锁定在公共场所,如大堂和会议室,让客人可以登录访问,沃德说。北电齿轮扫描尝试登录该设备并执行访问策略,通过北电网络中的交换机。该设备的端点检查调用启动它的浏览器,这是一个缺陷,沃德说,但北电表示,它正在开发一种无浏览器版本。
重要的是沃德的是,北电架构的支持其他厂商的执行点,而不仅仅是某些北电交换机。因为伟大的加拿大是通过收购实现增长,这是可能购买其网络是建立与其他供应商的交换机业务实体,沃德说,解释他不希望出现这种多样性拖延通用NAC部署。在其青睐,北电还与其他厂商的符合TCG规范齿轮的互操作性,该公司表示。
前往NAC的底线
NAC的底线是,尽管它可能是一项年轻的、尚未完全定义的技术,但它可以在正确的环境中提供价值。弗雷斯特研究公司(Forrester Research)的分析师罗布•怀特利(Rob Whiteley)表示,关键是将NAC应用于满足特定需求。
用眼睛看NAC它是如何演变,怀特利说,所以未来的安全和网络的收购融入仍在发展,更广泛的NAC架构。“你要确保你没有部署安全的岛屿,”他说。
<以前的故事:常见问题在南汽|接下来的故事:该ESB:驾驶SOA进入企业>
了解更多关于这个话题
NAC竞争:Juniper的基础网06年4月3日
NAC竞争:思科的网络控制06年4月3日
NAC竞争:可信网络连接06年4月3日
小组讨论:NAC有希望,但小心行事9/20/06