网络存取控制是一种网络安全技术,防止未经授权用户和装置进入私有网络并存取敏感资源网络录用控件,NAC首次从2000年代中期到后期在企业中站起脚位,通过基本扫描阻塞技术管理端点
知识工作者日益移动,BiOD倡议遍历组织,NAC解决方案不仅向验证用户演进,而且还管理端点和执行政策
NAC工作方式
NAC工具检测网络上所有设备并提供这些设备可见度NAC软件防止未经授权用户输入网络并强制执行端点策略以确保设备遵守网络安全策略举例说,NAC解决方案将确保端点有最新的防病毒防虫保护
不达标装置可能被网络阻塞或隔离或被授予有限访问权
NAC分两个阶段工作第一阶段认证识别用户并验证证书多数NAC工具支持各种认证方法,包括密码、一次性插针和生物鉴别技术
二级时,NAC执行数项政策因素,包括设备健康、定位和用户作用多数NAC设备还有能力限制角色访问权,只允许用户访问资源以完成作业
用户或设备在认证或授权阶段失效时,NAC工具块或隔离装置和/或用户
哪些类型NAC方法
NAC方法可能以多种方式不同,但有两种常见差异时间设备检查如何实现系统收集网络信息
接收前对访问后访问 :有两种方式NAC授权访问端设备接收前设计先检验设备并执行策略后允许设备访问网络这种方法最适宜使用设备可能没有最新抗病毒软件和抗疟软件案例
后接收设计少关注设备姿态,多关注用户,执行基于行为的政策网络活动往往限于 web浏览和检查邮件等
多项NAC提供组合方法,视位置、设备类型或用户群而异
代理对战无代理设计另一结构差异是基于代理信息采集某些NAC商端要求用户下载代理软件客户端代理向NAC系统报告设备特征
无代理NAC持续扫描网络和盘点设备,依赖装置和用户行为触发执法决策
核心能力NAC系统
NAC通过数大核心能力安全网络其中包括:
- 验证授权管理用户和设备访问资源
- 集中化政策生命周期管理:执行面向所有用户和设备的政策,同时管理全组织的政策变化
- 发现性、可见度和剖析:查找网络设备,识别设备,分集特殊剖面图,同时阻塞未经授权用户和不达标设备
- 宾客联网访问管理宾客并提供兼容设备暂时并经常受限访问 通过可定制自服务门户
- 安全姿态检查:按用户类型、设备类型、位置、操作系统版本和组织定义的其他安全标准评价安全策略遵守情况
- 事件响应自动阻塞可疑活动、隔离不达标设备,并在可能的情况下更新设备使其达标-所有设备都不受IT干预
- 双向集成:通过开放/响应API整合NAC与其他安全工具与网络解决方案,使NAC共享上下文信息(IP和MAC地址、用户标识、用户作用和位置等)
NAC和零信任
即便NAC近20年技术,其应用大都限于中型和大型企业网络边缘继续扩展超出实体企业周界,COVID-19大流行加速接受在家工作环境、移动工作环境及混合工作环境,NAC已成为零信任安全方法的赋能技术
网络分布化复杂化后,网络安全团队必须想方设法保持设备能见度,连接组织网络最远端NAC提供这一能力,检测并可见所有设备进入网络、集中访问控制以及所有设备的政策执行
顶级使用案例
员工流动性提高,BYOD设备数增加,并需要支持混合工作环境NAC常用案例包括:
客营访问NAC解决方案允许组织向宾客、伙伴和承包商提供临时有限访问NAC解决方案检测客机以确保其符合组织安全策略
BYOD和工作从任何地方知识工作者越来越机动化,NAC用于验证可能使用不明装置和地点不明的用户,同时执行有关用户和装置的政策。雇员带企业设备回家后,NAC保证设备重入组织网络时网络内没有外部恶意软件渗透
COVID-19大流行期间产生的工作自家和混合工作环境都遵循相似模式,NAC解决方案认证用户,确保设备上的政策合规性,并限制基于定位和用户作用等因素获取资源
IoT:NAC提供可见度、设备剖析、政策执行和访问管理的能力帮助降低IoT设备进入企业网络的风险NAC工具可盘点并贴上每个设备进入网络时的标签,将iot设备分类成一组有限权限,并持续监控iot设备行为NAC自动执行规则以确保设备符合业务、安全及守法相关政策
医疗设备:高调保健环境IoT设备,NAC不仅可检测并阻截未经授权访问设备及医疗记录,而且还可执行确保保健网络设备保持符合HIPAA等规则的政策NAC还可以执行政策时医疗专业人员远程访问网络
事件响应 :系统部署后,组织可使用它与第三方安全点产品共享信息,如用户身份证、设备类型和背景信息允许自动事件响应,NAC系统自动响应网络安全警告,屏蔽和/或对潜在失密设备进行反调,而不受IT干预
NAC和规范守法
更多行业规范企业处理消费者数据并保护隐私,NAC系统可帮助组织保持对各种规则的遵守,包括但不限于HIPPA、PCI-DSS、GLBA、SOX、GDRP和CCPA
隐私保护的要求通常侧重于理解网络用户和装置是谁、什么、时间和地点,同时将敏感数据访问仅限于有正当需求者证明你通过可重复和可审核过程完成所有这一切对守法也至关紧要
国家AC通过访问控制、用户和装置执行政策、网络可见度和审计轨迹可满足各种监管需求此外,许多NAC提供者建构特征帮助组织自动遵守常用规则,如HIPPA、PCI-DSS和SOX
哪些主NAC提供方
基于长轨记录和市场分享估计 研究公司像加特纳,研发市场并全球市场深入观察下销商是今日市场中最大NAC提供商
阿鲁巴ExcellPass策略管理员提供基于角色和装置安全网络访问控制IoT、BYOD和企业设备,以及雇员、承包商和客人跨多供应商线接网、无线和VPN基础设施
思科市Cisco身份服务引擎NAC能力使政策执行和安全网络访问控制能动态自动化方法ISE增强软件定义存取和自动化网络分割IT和OT环境
极端网络极端网络提供动态访问 基于用户角色和背景身份信息极控系统对用户和装置应用粒状定向策略以精简守法性
前置文件前沿NAC实施跨网络访问控制,识别网络上所有设备,评估安全姿态,必要时启动修复工作流持续监控所有连接设备 和自动响应
福特内特FortinetFortiNAC为连接企业网络的一切提供可见度、控件和自动化响应FortiNAC保护不受IoT威胁,将控制扩展至第三方设备,并协调对各种网络安全事件自动响应
朱尼波尔Juniper最近通过NAC批量提供获取开机Witesand提供云北NACJuniperEX系列Ethernet开关提供NAC能力,包括发现、可见度和存取管理增加witeSand将消除Juniper客户对房价NAC解决方案的需求,并将通过AI基础能力进一步实现自动化
波特诺克斯PortnoxCLEAR是一个云式NAC平台,提供设备可见度和跨多式网络政策执行CLEAR识别设备位置和风险CLEAR持续监控IoT、BYOD、远程使用和其他NAC常用案例的风险
Jeff Vance是IDG撰稿人和创建者启动50.com网站发现分析技术创业跟踪Twitter校对:Portnoy或LinkedIn上与他连通.)