頂級NAC解決方案:如何做到真正有用的訪問控制
譯文隨著網絡訪問控制(NAC)市場繼續在發展壯大,我們分析了現代NAC解決方案具有的主要功能,以及企業組織在選擇和實施NAC時應該留意的一些方面。
網絡訪問控制(NAC)繼續以越來越快的速度發展壯大,那是由于支持它的那些技術終于得到了長足發展,實現了這一承諾:在各種類型的設備上都能做到真正有用的訪問控制。據知名調研機構加特納集團(Gartner)聲稱,NAC市場在2014年增長了36%;據估計,該市場在2015年會繼續另外增長20%。今天我們不妨分析一下大多數***NAC解決方案具有的主要功能,以及它們可以為可能實施的企業提供什么樣的好處。
網絡訪問控制的簡短歷史
NAC這個術語及隨之帶來的市場已經存在了一段時間。許多人在交流中時有耳聞,但是它在各種類型的設備和用戶上提供完整解決方案的功能卻常常局限于硬件及/或軟件方面的特定限制。
老式NAC提供了實施策略管理服務器的功能,而服務器規定了身份已知的用戶和設備在特定網絡上能夠從事哪些活動,通常使用IEEE 802.1X。這包括這一功能:根據企業制定的策略和程序,實行網絡限制,另外滿足某些政府監管法規所提出的要求。它還提供了根據當前的操作條件限制設備的功能;比如說,設備的操作系統是不是打上了***的補丁?有沒有安裝一款有效的防火墻、反病毒及/或反惡意軟件解決方案?有沒有安裝任何受限制的應用程序?
這類解決方案的一大制約在于,它們通常受制于已安裝特定操作系統的設備及/或能夠安裝隨附NAC代理的設備。這方面的一大制約因素是IEEE 802.1X標準的設計本身。IEEE 802.1X要求,終端設備要安裝功能強大的客戶端(supplicant),用來與中央驗證服務器進行通信。這種解決方案還要求,沒有安裝及/或支持客戶端的那些設備(包括打印機及其他網絡外設)要有一種旁路機制(bypass mechanism)。
現代NAC設備
現代NAC設備大大增強了其前一代產品的功能。其中一些增強的功能包括如下:
•無代理操作――老式NAC系統與現代NAC系統的***變化之一在于,后者能夠支持無代理操作。功能方面的這一個變化就大大增強了解決方案的靈活性。受到支持的設備不再僅限于運行只能在***的操作系統上才能運行的IEEE 802.1X客戶端或專有代理的那些設備。(請注意:這并不意味著IEEE 802.1X就無法使用,因為檢測和驗證并不僅限于那些受到支持的設備和操作系統。)
•擴展的策略功能――雖然老式解決方案在為一組有限的支持代理的客戶機提供策略選項方面做到很到位,但是它們僅限于一組特定的客戶機(通常是IEEE 802.1x/受到支持的代理)。由于無代理操作,NAC支持數量更廣泛的設備,因而增加了可以支持的不同政策擴展的數量。這包括:能夠實時地監測控制用戶/設備/應用程序進行的操作,及/或允許在網絡上進行何種操作。這可以通過建立上下文配置文件來實現,該配置文件包括每個用戶及相關設備、使用的應用程序、端口、聯網設備等方面。
•上線支持――可能需要IT人員花大量時間的任務之一就是,配置接入到網絡上的新設備。由于要支持自帶設備(BYOD),這方面的任務大大加重了。現代NAC提供了通過可配置門戶網站,自動配置這些設備的功能。
•擴展的訪客管理――對某些企業來說,其操作的一大方面就是處理訪客如何能夠訪問網絡資產,又不泄露專有資源。大多數老式NAC設備提供了限制訪客所能訪問的資源這一功能。現代NAC設備在此基礎上有所增強:允許訪客通過獲得內部授權而暫時訪問特定的內部資源,同時又能夠受到NAC的密切監控,確保沒有出現異常行為。
•擴展的配置文件支持――老式NAC設備提供了使用通過驗證的用戶信息來識別設備這一功能,但這個功能通常很有限,因為以特定用戶名登錄的設備將被賦予與登錄到另一個設備的同一用戶一樣大的權限。要是另一個設備是個人設備,這可能是個問題。現代NAC提供了這種功能:利用可用信息構建詳細的配置文件,這些信息包括用戶名、驗證狀態、電子郵件地址、IP地址、MAC地址、主機名稱、設備類型、操作系統、反病毒和用戶/設備行為及其他信息。
比如說,用戶可能被分配了公司筆記本電腦和個人手機。現代NAC就能夠更改每個設備的訪問權,不管訪問兩種設備的是不是同一用戶:筆記本電腦可以訪問所有的內部資產,而手機只能使用電子郵件、接入互聯網。
•擴展的端點合規――現代NAC增強了許多老式解決方案的針對特定代理的合規性。這意味著,不需要代理,就能夠完成一些任務,比如檢查設備健康狀況(補丁級別、安裝及更新的病毒掃描工具,安裝及更新的反惡意軟件掃描工具)、更新的軟件應用程序以及檢查受到支持的外設。
•高級威脅防護(ATP)及緩解――現代NAC的一項重要功能就是,能夠包括或關聯高級威脅防御及緩解系統。由于NAC監控網絡上的用戶和設備,它們還能夠有望檢測它們的行為何時偏離了預期行為。然后,可以自動緩解這些行為,不需要IT支持人員的干預。
•擴展的監控和報告(可見性)――無論老式NAC還是現代NAC,任何優秀NAC的一個方面在于,能夠監控受監控的網絡用戶和設備的操作,并且報告發現的狀況。現代NAC增強了這項功能,能夠借助簡單視圖,并通過眾多的報告選項,查看網絡、各個用戶的行為如何。
•擴展的系統整合和互操作性――任何現代NAC的一個方面部分在于能夠與其他關聯系統協同發力。眾所周知,IT環境擁有眾多不同的系統,這每個系統在各自擅長的方面做得很好,可是在其他方面做得并不好。大多數現代高級NAC提供了與許多其他這些系統協同發力的功能。至少,它們應該支持與下列類型的系統進行整合:移動設備管理(MDM)、安全信息和事件管理(SIEM)、下一代防火墻(NGFW)以及數據庫服務器(比如LDAP(AD)、Oracle、MySQL和SQL Server)。
如今,NAC技術終于實現了它最初被人討論時許下的承諾。借助現代NAC,企業組織能夠密切監控連接至企業網絡的每個設備,通過許多不同的策略控制它們訪問網絡的功能,并且一旦發現特定的事件偏離用戶及/或設備類型的正常范圍,就阻止設備訪問網絡。這種系統具有的潛在優點不可低估。但愿本文讓你大概了解了借助這些新系統有可能實現什么。
