網絡訪問控制(NAC)名聲不好，我們得讓它改改。過去十年里，NAC出現了部署失敗和安全策略過份嚴格等問題，這使得許多CEO發現按照IT部門實施的NAC，自己的筆記本電腦無法訪問網絡。

但是，現在情況已經發生變化。專家指出，NAC不再只是訪問控制;而是提供終端可見性和感知環境的安全性。Enterprise Strategy Group的研究表明，NAC正演變成一種新的平臺產品，它叫終端監控、訪問與安全(EVAS)，它能夠實現感知環境的安全性，可以給其他安全平臺提供信息，同時應用這些平臺專用的策略。

ESG高級主任分析師Jon Oltsik指出，早期的NAC解決方案會檢查用戶設備的狀態，保證它們未感染病毒，并且安裝了正確的終端安全 軟件，然后才允許它們連接網絡。之后，NAC增加了軟件補丁和配置檢查。現在，NAC解決進一步發展成為EVAS平臺，從而符合企業關于感知環境安全性的需求。他說，思科、瞻博、ForeScout和Bradford都推出了這樣的產品。

EVAS的特點是增加了兩個新功能。這個平臺可以整合到其他安全和策略系統，而且與早期NAC系統不同，它們不僅能處理傳統PC機，也能處理更廣泛的終端設備。

Jon Oltsik說：“EVAS已經整合到基礎架構的其他部分上，包括MDM[移動設備管理]、身份驗證和RADIUS服務器等。它既可以提供分析的信息，也能夠加強策略。而且，EVAS面向下一代終端開發;而不僅僅針對于PC。它包括移動終端和其他一些IP設備，如打印機、控制系統、醫療設備或其他需要監控的網絡設備。它能夠識別設備，也能夠提供這些設備上與環境相關的信息。

企業會在其中部署許多安全分析工具，包括安全與事件管理平臺、數據包分析或流量分析等。安全工程師真正缺乏的是這些分析的更詳細信息。當您想知道用戶在使用哪些設備，他們執行了哪些活動，以及特定時間的系統配置情況，這里會缺少很多信息，而且很難捕捉這些信息。EVAS可以作為一個中間設備，捕捉這些信息，并且提供更詳細的信息。”他還指出，EVAS還可以應用策略，這是分析平臺無法做到的。”

終端可見性與訪問控制：是變換名稱還是新技術?

Frost & Sullivan 網絡安全行業分析師Chris Rodriguez指出，NAC并不一定會發展成為一個新產品。但是，在最近幾年，客戶發現了一些除簡單訪問控制之外的用例，這項技術增加了一些新功能。EVAS的說法是“更準確反映NAC價值的一種嘗試。”此外，他還認為，這也是改變過去幾年NAC市場中因為部署失敗而造成的不良名聲。客戶一直說，使用NAC解決方案，他們可以看到比任何終端管理解決方案更多的東西，他們看到的不僅僅是企業擁有的設備。也能夠監控員工擁有的設備，以及不能安裝客戶端的設備，如控制系統和醫療監控設備。

EVAS控制著終端，而非數據

雖然可見性和感知環境很重要，但是并非所有人都認為終端是最需要關注的元素。Forrester Research主任分析師John Kindervag指出，安全供應商應該關注于真正有價值的東西——數據。

Kindervag說：“我認同可見性，但是我們的終端不需要它。終端上更需要的是數據，因為終端的數量太龐大了。您無法控制這么多的終端。我們需要控制自己能夠控制的東西，那就是數據。為了保護數據，企業需要檢測和監控所有的流量，因為這樣才能夠知道數據發生了什么變化。他說，擔心誰有權限訪問網絡是浪費時間。在這里，流量是很有價值的。我們完全不需要直接進入終端，流量就可以告訴我們終端中發生的一切。這也是更有可能實現的位置。它與進入網絡設備無關。我們必須從認識上糾正這一點。邊界已經沒有意義。我們要超越它。”

基于終端的控制還造成了對安全性和合規性的一種誤解。是的，進入我們網絡的人都是批準進入的。所以不如就讓他們正正當當進來。讓所有人都從前門進來，但是我們要盯住數據。如果有人想要動數據，那么您就要采取措施。在您關注數據之后，終端保護可能會受到影響，但是不要認為可以在終端上解決這個問題。

多年以來，Kindervag和Forrester Research都認為企業應該采用一種“零信任”安全模型，也就是認為所有流量都是不可信的，它們都應該檢查和分析。即使授權用戶連接網絡的設備符合策略規定，他們也仍然可能威脅公司的數據。所以，企業必須跟蹤數據傳輸，而不要關注于誰和什么設備在訪問網絡。

NAC/EVAS供應商支持這種零信任方法。ForeScout首席銷售官Scott Gordon說：“假設您有一個企業政策，它要求用戶激活個人防火墻，要求設置特定的補丁級別，并且要求安裝并激活數據丟失保護軟件。我們的系統可以動態驗證網絡進出訪問。如果數據丟失保護[DLP]安裝但沒有運行，那么就可能存在一種風險，即DLP管理系統會誤認為一切都是正常的。NAC/EVAS平臺可以檢測到終端未激活DLP，然后指示DLP系統通知該設備的客戶端。”