网络访问控制(NAC)是一种网络安全技术,可防止未经授权的用户和设备进入专用网络并访问敏感资源。NAC也被称为网络入院控制,在2000年代中部到主机首次在企业中获得立足点,作为通过基本的扫描和块技术管理端点的一种方式。
随着知识工作者的流动性越来越大,随着BYOD计划的分布,NAC解决方案不仅进化为对用户的身份验证,还可以管理端点和执行策略。
NAC如何工作
NAC工具检测网络上的所有设备,并为这些设备提供可见性。NAC软件可防止未经授权的用户进入网络并在端点上执行策略,以确保设备符合网络安全策略。例如,NAC解决方案将确保端点具有最新的防病毒软件和防毒软件保护。
不合格的设备可以被阻止网络,放置在隔离区,或获得有限的访问权限。
NAC在两个阶段工作。第一阶段,身份验证,确定用户并验证其凭据。大多数NAC工具都支持各种身份验证方法,包括密码,一次性引脚和生物识别技术。
在第二阶段,NAC执行了许多政策因素,包括设备健康,位置和用户角色。大多数NAC设备还可以通过角色限制访问权限,仅允许用户访问其工作所需的资源。
如果用户或设备在身份验证或授权阶段失败,则NAC工具阻止或隔离设备和/或用户。
NAC的不同类型是什么?
NAC方法可能以多种方式有所不同,但是两个共同的差异涉及什么时候检查设备,并如何该系统从网络中收集信息。
入选前与入选后:NAC有两种方式授权访问最终设备。在入学前设计中,对设备进行了检查,并在允许设备访问网络之前执行政策。这种方法最适合使用设备可能没有最新的防病毒和防默软件的用例。
另外,入学后设计较少关注设备姿势,而更多地关注用户,从而根据行为执行策略。这种方法对于诸如访客访问之类的用例,在线活动往往仅限于网络浏览和检查电子邮件之类的东西是有意义的。
许多NAC产品提供了这些方法的组合,这些方法可能会根据位置,设备类型或用户组而变化。
基于代理的与代理的设计:另一个架构差异是基于代理的与无代理信息收集。一些NAC供应商要求用户在其客户端设备上下载代理软件。然后,代理将设备特性报告回NAC系统。
另外,无代理NAC解决方案不断扫描网络和库存设备,依靠设备和用户行为来触发执法决策。
NAC系统的核心功能
NAC通过多个核心功能确保网络。这些包括:
- 身份验证和授权:管理用户和设备对资源的访问。
- 集中政策生命周期管理:为所有用户和设备执行策略,同时管理整个组织的策略更改。
- 发现,可见性和分析:在网络上查找设备,识别它们,将它们置于具有特定配置文件的组,同时阻止未经授权的用户和不合格的设备。
- 来宾网络访问:管理客人,并通过可自定义的自助服务门户网站为临时且经常限制访问人员提供符合符合性的设备。
- 安全姿势检查:评估按用户类型,设备类型,位置,操作系统版本以及组织定义的其他安全标准遵守安全策略。
- 发生率响应:自动阻止可疑活动,隔离设备不合格,并在可能的情况下更新设备以使其合规 - 无需干预即可。
- 双向整合:通过开放/休息的API与其他安全工具和网络解决方案集成在一起,使NAC能够共享上下文信息(IP和MAC地址,用户ID,用户角色,位置等)
NAC和零信任
即使NAC几乎是一项20年的技术,但其采用大部分都局限于中型和大型企业。但是,随着网络边缘继续超越物理企业外围,随着COVID-19的大流行加速加速了对房屋,移动和混合工作环境的接受,NAC已成为零信任安全方法的一种促成技术。
随着网络的分布更加复杂,网络安全团队必须找到方法,以维持与组织网络最远的设备的可见性。NAC可通过检测和可见性进入所有设备,集中式访问控制以及跨所有设备的策略执法。
NAC的最佳用例
员工的移动性增加,BYOD设备数量的增加以及由于大流行而支持混合工作环境的需求促使人们需要更强大的网络访问控制。NAC的常见用例包括:
来宾和合作伙伴访问:NAC解决方案允许组织向客人,合作伙伴和承包商提供临时限制的访问权限。NAC解决方案探测客人设备,以确保它们遵守组织的安全政策。
BYOD和工作人员的工作:随着知识工作者的流动性越来越大,NAC被用来对可能位于未知设备和未知位置的用户进行身份验证,同时还对这些用户和设备执行策略。如果员工将公司设备带回家,NAC将确保当设备重新进入组织网络时,没有外部恶意软件会渗透到网络。
在COVID-19大流行期间出现的家庭和混合工作环境的工作和混合工作遵循了类似的模式,NAC解决方案对用户进行了认证,确保对设备的政策合规性,并限制基于诸如诸如因素的资源访问权限位置和用户角色。
物联网:NAC提供可见性,设备分析,政策执行和访问管理的能力有助于降低与进入公司网络的IoT设备相关的风险。NAC工具可以库存和标记每个设备进入网络,将IoT设备分类为具有有限权限的组,并不断监视IoT设备行为。NAC将自动执行规则,以确保设备符合业务,安全性和合规性相关政策。
医疗设备:对于高度受管制的医疗机构中的物联网设备,NAC不仅可以检测并阻止未经授权的设备和医疗记录访问,还可以执行确保医疗网络中的设备符合HIPAA等法规的政策。当医疗专业人员远程访问网络时,NAC还可以执行政策。
事件响应:一旦部署了NAC系统,组织就可以使用它与第三方安全点产品共享信息,例如用户ID,设备类型和上下文信息。这可以使自动化事件响应,NAC系统通过阻止和/或隔离IT干预而无需阻止和/或隔离设备,从而自动响应网络安全警告。
NAC和法规合规性
随着越来越多的行业规定企业如何处理消费者数据并保护隐私,监管合规性已成为NAC采用的驱动力。NAC系统可以帮助组织维持一系列法规,包括但不限于HIPPA,PCI-DSS,GLBA,SOX,GDRP和CCPA。
这些隐私保护的要求通常集中于了解网络上的用户和设备在网络上的谁,什么,何时,何时,何时,何时何地,同时将对敏感数据的访问限制在只有合法需求的人身上。证明您已经通过可重复且可审计的流程完成了所有这些,对于合规性也是必不可少的。
NAC可以通过访问控制,跨用户和设备的策略执行,网络可见性和审计跟踪来满足各种监管要求。此外,许多NAC提供商已内置功能来帮助组织自动遵守HIPPA,PCI-DSS和SOX等常见法规。
谁是NAC的主要提供商?
基于他们长跟踪记录以及研究公司的市场份额估算加特纳,,,,研究和市场, 和全球市场见解,以下供应商是当今市场上领先的NAC提供商:
阿鲁巴(HPE)- Aruba的Clearpass Policy Manager为物联网,BYOD和公司设备提供了基于角色和设备的安全网络访问控制,以及跨多站导线,无线和VPN基础架构的员工,承包商和客人。
思科- 思科的身份服务引擎(ISE)NAC功能为政策执法和安全网络访问控制提供了动态和自动化的方法。ISE赋予软件定义的访问权限,并在其内部和OT环境中自动化网络细分。
极端网络- Extreme Network的ExtremeControl根据用户角色和上下文身份信息提供了动态访问。ExtremeControl将颗粒状的,有针对性的政策应用于用户和设备,以简化合规性。
前言- 预测NAC在异构网络上实现访问控件,确定网络上的每个设备,评估其安全姿势,并在必要时触发补救工作流程。它不断监视所有连接的设备,并在检测到不遵守行为或异常行为时自动化响应。
Fortinet- Fortinet的Fortinac为连接到企业网络的所有内容提供了可见性,控制和自动响应。Fortinac可以防止物联网威胁,将控制权扩展到第三方设备,并协调对广泛的网络和安全事件的自动响应。
杜松- 杜松最近通过获取初创公司Witesand,提供云原生NAC。Juniper的EX Ex系列以太网开关提供了NAC功能,包括发现,可见性和访问管理。Witesand的添加将消除针对杜松客户的本地NAC解决方案的需求,并将通过基于AI的功能进一步实现自动化。
portnox- Portnox Clear是一个云本地NAC平台,可在异构网络之间提供对设备和政策执法的可见性。清晰标识设备的位置以及与位置和设备姿势相关的风险。清除不断监视物联网,BYOD,远程用途和其他常见的NAC用例的风险。
(杰夫·万斯(Jeff Vance)是IDG的作家,也是startup50.com这是一个发现,分析和对技术初创公司进行排名的网站。在Twitter上关注他,@jwvance, 或者在LinkedIn上与他联系)