網絡訪問控制(NAC)的新角色
網絡訪問控制(NAC)名聲不好,我們得讓它改改。過去十年里,NAC出現了部署失敗和安全策略過份嚴格等問題,這使得許多CEO發(fā)現按照IT部門實施的NAC,自己的筆記本電腦無法訪問網絡。
但是,現在情況已經發(fā)生變化。專家指出,NAC不再只是訪問控制;而是提供終端可見性和感知環(huán)境的安全性。Enterprise Strategy Group的研究表明,NAC正演變成一種新的平臺產品,它叫終端監(jiān)控、訪問與安全(EVAS),它能夠實現感知環(huán)境的安全性,可以給其他安全平臺提供信息,同時應用這些平臺專用的策略。
ESG高級主任分析師Jon Oltsik指出,早期的NAC解決方案會檢查用戶設備的狀態(tài),保證它們未感染病毒,并且安裝了正確的終端安全 軟件,然后才允許它們連接網絡。之后,NAC增加了軟件補丁和配置檢查。現在,NAC解決進一步發(fā)展成為EVAS平臺,從而符合企業(yè)關于感知環(huán)境安全性的需求。他說,思科、瞻博、ForeScout和Bradford都推出了這樣的產品。
EVAS的特點是增加了兩個新功能。這個平臺可以整合到其他安全和策略系統,而且與早期NAC系統不同,它們不僅能處理傳統PC機,也能處理更廣泛的終端設備。
Jon Oltsik說:“EVAS已經整合到基礎架構的其他部分上,包括MDM[移動設備管理]、身份驗證和RADIUS服務器等。它既可以提供分析的信息,也能夠加強策略。而且,EVAS面向下一代終端開發(fā);而不僅僅針對于PC。它包括移動終端和其他一些IP設備,如打印機、控制系統、醫(yī)療設備或其他需要監(jiān)控的網絡設備。它能夠識別設備,也能夠提供這些設備上與環(huán)境相關的信息。
企業(yè)會在其中部署許多安全分析工具,包括安全與事件管理平臺、數據包分析或流量分析等。安全工程師真正缺乏的是這些分析的更詳細信息。當您想知道用戶在使用哪些設備,他們執(zhí)行了哪些活動,以及特定時間的系統配置情況,這里會缺少很多信息,而且很難捕捉這些信息。EVAS可以作為一個中間設備,捕捉這些信息,并且提供更詳細的信息。”他還指出,EVAS還可以應用策略,這是分析平臺無法做到的。”
終端可見性與訪問控制:是變換名稱還是新技術?
Frost & Sullivan 網絡安全行業(yè)分析師Chris Rodriguez指出,NAC并不一定會發(fā)展成為一個新產品。但是,在最近幾年,客戶發(fā)現了一些除簡單訪問控制之外的用例,這項技術增加了一些新功能。EVAS的說法是“更準確反映NAC價值的一種嘗試。”此外,他還認為,這也是改變過去幾年NAC市場中因為部署失敗而造成的不良名聲。客戶一直說,使用NAC解決方案,他們可以看到比任何終端管理解決方案更多的東西,他們看到的不僅僅是企業(yè)擁有的設備。也能夠監(jiān)控員工擁有的設備,以及不能安裝客戶端的設備,如控制系統和醫(yī)療監(jiān)控設備。
EVAS控制著終端,而非數據
雖然可見性和感知環(huán)境很重要,但是并非所有人都認為終端是最需要關注的元素。Forrester Research主任分析師John Kindervag指出,安全供應商應該關注于真正有價值的東西——數據。
Kindervag說:“我認同可見性,但是我們的終端不需要它。終端上更需要的是數據,因為終端的數量太龐大了。您無法控制這么多的終端。我們需要控制自己能夠控制的東西,那就是數據。為了保護數據,企業(yè)需要檢測和監(jiān)控所有的流量,因為這樣才能夠知道數據發(fā)生了什么變化。他說,擔心誰有權限訪問網絡是浪費時間。在這里,流量是很有價值的。我們完全不需要直接進入終端,流量就可以告訴我們終端中發(fā)生的一切。這也是更有可能實現的位置。它與進入網絡設備無關。我們必須從認識上糾正這一點。邊界已經沒有意義。我們要超越它。”
基于終端的控制還造成了對安全性和合規(guī)性的一種誤解。是的,進入我們網絡的人都是批準進入的。所以不如就讓他們正正當當進來。讓所有人都從前門進來,但是我們要盯住數據。如果有人想要動數據,那么您就要采取措施。在您關注數據之后,終端保護可能會受到影響,但是不要認為可以在終端上解決這個問題。
多年以來,Kindervag和Forrester Research都認為企業(yè)應該采用一種“零信任”安全模型,也就是認為所有流量都是不可信的,它們都應該檢查和分析。即使授權用戶連接網絡的設備符合策略規(guī)定,他們也仍然可能威脅公司的數據。所以,企業(yè)必須跟蹤數據傳輸,而不要關注于誰和什么設備在訪問網絡。
NAC/EVAS供應商支持這種零信任方法。ForeScout首席銷售官Scott Gordon說:“假設您有一個企業(yè)政策,它要求用戶激活個人防火墻,要求設置特定的補丁級別,并且要求安裝并激活數據丟失保護軟件。我們的系統可以動態(tài)驗證網絡進出訪問。如果數據丟失保護[DLP]安裝但沒有運行,那么就可能存在一種風險,即DLP管理系統會誤認為一切都是正常的。NAC/EVAS平臺可以檢測到終端未激活DLP,然后指示DLP系統通知該設備的客戶端。”
