好吧,我会上钩的。我对一个好的巨魔很着迷。:-)NAC提供商StillSecure的首席博客作者Alan Shimel离开了RSA相当乐观关于NAC的前景。他把我比作格林奇是指我经常抗议的呼声那NAC一文不值。我猜他担心我会破坏NAC供应商所希望的圣诞节早晨的回报。
首先是背景:NAC当然是思科市场营销部在2003年发明的一个概念,用来解决基于RPC Decom的蠕虫(如MSBlaster)造成的问题。即使是拥有强大防火墙和桌面安全性的组织,也会被带到工作场所的受感染笔记本电脑所破坏。概念很简单:让网络检查这些笔记本电脑,看看它们是否正确配置了软件更新和病毒特征码更新,然后再让它们进入网络。这就是网络准入控制,正如Shimel所指出的,这是很难实现的。大多数NAC玩家改变了他们的方法和营销,使“准入控制”演变为“访问控制”。别误会,自从接触Enterasys Networks基于身份的网络概念以来,我一直是用户访问控制的坚定支持者。您必须限制最终用户对应用程序、数据和部分网络的访问,以保护自己免受内部威胁。
像RSA的Shimel一样,我遇到了一群所谓的NAC供应商。那里至少有一个人非常沮丧。你可以告诉他们下一次封锁的地点。我不会提及哪个供应商,因为我不想被指责加速他们的灭亡。然后,我会见了我在Gartner的朋友们作为NAC获得吸引力的一个例子的公司。(抱歉,艾伦,这还不安全。)在UTM领域度过了一年,一次衡量已经达到每年5亿美元,这就像戴上放大镜来评估他们的业务:40名员工,几千万美元的收入,以及对教育市场的兴奋。
NAC的创建是为了解决用户将受感染的笔记本电脑接入网络的问题。这就是为什么NAC没有大的市场。对于除高等教育以外的所有类型的组织,都已经部署了解决问题的技术。即:补丁控制、桌面保护和内部网络分割。
很抱歉,Alan,NAC对于供应商来说不是一种可行的商业模式,而对于企业来说,它增加了复杂性和成本,减少了网络访问,但对增强安全性却无能为力。不是安全解决方案?我怎么能这么说?容易的:
1.NAC不会阻止使用干净计算机的恶意用户使用您的网络。
2.零日感染将感染具有最新签名的正确配置的计算机。
3.NAC违反了Stiennon的第一条也是唯一一条网络安全规则“你不应该相信一个端点报告它自己的状态”。正如IP地址和MAC地址经常被黑客欺骗一样,机器状态也可能被欺骗。
NAC是一个很好的执行工具,当你的网络上每学期都有大量用户,他们拥有来自多个供应商的过时机器和多个操作系统,你可以拒绝他们访问,直到他们达到要求为止。这是唯一一个模型有效的地方。即使在大学里,我相信他们最终也会发现,有效地管理网络安全比一直担心桌面配置要简单得多。
这样说:没有NAC,您的网络能否安全?对NAC是否会降低您的总体成本?不。NAC是否将您与一家供应商的生态系统捆绑在一起?是的,如果你选择Cisco、Juniper或Microsoft路线。NAC能让你更安全吗?不
那你为什么要投资NAC?