纳克:哪里出了问题?
5年过去了,IT管理人员仍然没有简单的方法来实现网络访问控制
在花了四个月的时间在实验室里测试了12种领先的网络访问控制产品后,我们得出了这样一个结论:5年来的大肆宣传、流行语、白皮书、产品发布、标准之争和供应商的大洗牌都没有带来什么清晰的结果。时至今日,关于“NAC”的真正含义以及如何正确对待“NAC”的共识仍像2005年一样难以捉摸,当时第一款“NAC”产品刚刚问世。
在花了四个月的时间在实验室里测试了12种领先的网络访问控制产品后,我们得出了这样一个结论:5年来的大肆宣传、流行语、白皮书、产品发布、标准之争和供应商的大洗牌都没有带来什么清晰的结果。时至今日,关于“NAC”的真正含义以及如何正确对待“NAC”的共识仍像2005年一样难以捉摸,当时第一款“NAC”产品刚刚问世。
我们对行业巨头的具体NAC产品进行了面对面的比较,例如微软,思科惠普、Juniper、McAfee和赛门铁克将出现在6月21日的《华尔街日报》上足球竞猜app软件。在这份报告中,我们分析了在企业网络中阻碍NAC部署的障碍。
网络访问控制,我们将其定义为身份验证、端点安全检查和访问控制的结合,是针对移动终端用户将受感染的笔记本电脑插入企业网络的问题而出现的。NAC旨在解决实际问题和回答实际问题:谁正在连接到我的网络?他们是健康的吗?我能控制他们去哪里吗?如果他们表现不佳,我能把他们关了吗?
在我们的行业中,通常情况下,产品会随着时间的推移趋向于结合到共同的方法和共同的特性集上。例如,今天来自不同供应商的以太网交换机在很大程度上是可替代的。把HP ProCurve交换机换成Enterasys,这个交换机可能会在你的网络中发挥作用。但南汽并没有这样做。这些产品彼此之间没有多少相似之处。通过非常仔细的检查,网络管理员可能能够找到两到三种可以直接进行比较的产品。但是找到类似的产品是困难的,这样做的前提是网络管理员已经知道他们想要的特性集和功能。
在NAC中没有所谓的“最佳品种”,因为我们评估的12家供应商,有将近12种不同的NAC产品“品种”。
障碍1:政治成为障碍
一个特别困难的问题是找到一种在政治和技术上都与网络兼容的产品。由于NAC结合了安全、网络管理和桌面管理的特性,因此NAC部署在任何技术挑战之上都面临着重大的组织挑战。
为了适应这种情况,NAC供应商通常通过做出重大的妥协来构建他们的产品,以最小化跨团队合作的需求。然而,每个NAC供应商在不同的地方,在不同的程度上做出了这些妥协。例如,赛门铁克的NAC产品完全专注于桌面团队,而惠普的NAC产品则设计为由网络团队安装、配置和管理。
所有这些都对想要部署NAC的网络管理人员构成了巨大的障碍。忘记产品的成本吧——仅仅弄清楚哪种产品能完成需要的工作,以及该产品是否能在组织中发挥作用,使用NAC比使用开关、防火墙或服务器要困难得多,耗时也多。
障碍2:供应商变化太多
NAC的三个组成部分是认证,终端安全和访问控制,但供应商倾向于提供基于他们的特殊强项的NAC产品。这意味着NAC产品往往只关注这三种成分中的一种,而忽略其他两种。例如,当迈克菲方法NAC,他们这样做从他们自己的端点安全管理产品,ePolicy Orchestrator上下文中。但瞻博网络从其网络安全组件的上下文来处理NAC:防火墙,在某种程度上,还有交换机。
产品的广泛差异也是由于对达到最终目标的最佳方式的合理分歧。这种缺乏共识的问题是,它在任何对增加NAC能力到他们的网络感兴趣的人造成混乱。例如,身份验证是否重要?
如果你问Forescout,答案是“不”;他们的产品几乎不支持终端用户身份验证。访问控制重要吗?如果你问布拉德福德他们的产品专注于识别设备并将其放在不同的虚拟局域网上,而不是区分用户并控制他们的访问。如果你想知道终端安全是否重要,不要问惠普;他们的NAC产品甚至不支持开箱即用的端点安全检查——你必须去第三方合作伙伴获得这种能力。
当然,每个NAC供应商都有一些零碎的东西,这样他们就可以对他们在NAC rfp和标书中发现的所有重要特征进行检查。但在我们的测试中,很明显,这些特性中的许多从根本上与核心产品架构不一致。
由于很少有来自主要NAC供应商的协议,网络经理们正处于一个艰难的位置,试图弄清楚NAC是否给他们带来了真正的价值,还是值得他们头疼的采购和部署。
障碍3:互操作性问题
当足球竞猜app软件测试南京汽车产品直接在2007年,我们不得不将我们的测试分解成不同的部分。其中一个测试着眼于两个NAC框架(Cisco和Trusted Computing Group)以及在这些框架中工作的30个产品。另一个测试看的是13个独立的NAC解决方案。我们已经预测到这个时候,框架已经统一,所有的NAC产品都将在某种程度上支持它们。
不幸的是,在2007年完全独立的产品在2010年仍然是独立的。今年,我们考察了2007年13家独立公司中的7家,其中只有一家(Juniper)在标准遵从方面取得了重大进展。(其中三家公司已经停业,两家不再以NAC的名义销售终端安全产品,还有一家拒绝参与。)
即使是旧的标准,如IEEE 802.1X,在许多NAC产品中也没有得到完全的支持。虽然我们发现一些产品热情地使用802.1X对NAC采取开放标准的方法,但其他一些产品对802.1X的支持只是在经过改进后才添加的。
这就导致了NAC解决方案和网络基础设施之间缺乏互操作性。每个NAC供应商都有一组他们使用的其他安全产品,如果您尝试将不同的产品加入其中,您可能会发现您的NAC部署不能或不支持这些更改。其结果是一种奇怪的厂商锁定:您的NAC产品可能会限制您更改您使用的网络交换产品、您的身份验证基础设施以及您安装的终端安全产品。
只有少数产品真正地把基于标准的方法放在心上,很明显在网络管理人员拥有一个真正的即插即用解决方案之前,NAC还有很长的路要走。
障碍4:部署困难
对于NAC供应商来说,部署的难度一直是一个长期的问题。尽管我们测试的许多NAC产品都被设计成允许跨企业网络逐步安装,但即使是获得一个受NAC保护的端口也可能是一个漫长的过程。更重要的是,NAC的安装可能包括许多重要的决策点——如果这些决策在运行过程中发生改变,整个部署可能不得不重新启动。简单的问题,如“我将如何进行身份验证?”或“我将使用什么机制来进行访问控制?”如果没有一些实际经验,是很难自信地回答的——但必须在开始推出NAC之前做出决定。
我们的经验表明网络管理员面临的问题。在我们小的测试网络中,12款产品中只有一款能够在一天内安装并运行。大多数交换机和子网需要2到5天才能完全运行。当在测试实验室中安装NAC需要那么长的时间时,整个网络的推出将比预期的更耗时。
网络经理也可能发现日常操作和调试他们的NAC产品是具有挑战性的。大多数NAC产品通过与网络设备交互来更改vlan或将访问控制列表应用到交换机上的各个端口。网络运营团队必须学会如何从现有设备中发现和操作这些动态信息。虽然交换机制造商在简化NAC调试方面取得了进展,但并不是每个人都在其网络中拥有最新的硬件和软件。
当NAC产品上线时,这代表了另一个运营上的挑战,因为网络团队现在有了一个新设备来学习如何管理和调试。调试最糟糕的情况是在那些通过操作协议元素如ARP表(Trustwave NAC)或向网络注入协议管理消息(Forescout NAC)来完成访问控制的产品中。由于这些产品所利用的行为在正常操作中不应该发生,所以当它们行为不正常时,没有简单的方法来调试它们。
障碍5:隐藏的可伸缩性问题
从我们今年的测试中,NAC部署的一个明显迹象是可伸缩性和可用性的相对缺乏。在之前的NAC测试中,我们发现了过多的流量通过单一控制点导致的性能问题。早期的NAC产品通常是完全“在线”的,这意味着你必须购买一个新的设备或某种设备,它位于你所控制的设备和网络的其余部分之间。
为了在整个企业网络中实现可伸缩性,大多数网络管理人员都认为需要在网络的边缘实施。我们测试的产品已经不再需要完全的内联部署,现在可以在边缘完成它们的工作,但需要注意几点。例如,McAfee的NAC设备将在连接的初始身份验证和端点安全检查阶段处于在线状态,但会重新配置网络,以尽可能快地将自己移开。Juniper的NAC提供了内联和边界强制,当使用内联设备(Juniper防火墙)时,它可以提供比现有的边界交换机更复杂的控制。许多NAC产品继续包含完整的内联选项,这在某些环境中可能需要(例如在WAN、VPN或无线网络上应用NAC控制时)。
尽管我们没有测试高可用性,但我们检查了每个供应商提供的体系结构,以确保在面对不同类型的故障时能够继续运行,并发现每个人在这方面都有令人信服的故事。
但是,网络管理人员应该警惕隐藏的可伸缩性问题。我们测试的一些产品在扩展到大型网络时存在明显的问题。例如,来自Forescout和Trustwave的NAC产品通常需要能够监控来自它们所控制的终端系统的所有流量。因为在大型网络中,这是一个显而易见的问题,所以很容易理解和规划。不太明显的约束是,例如依赖于不可靠的SNMP流量,或者需要频繁轮询每个用户边缘开关以检测客户机状态的变化。这些设计在某种程度上工作得很好,但是当网络扩展时,或者当旧的交换机处理器因意外的管理流量而超载时,就会很快失效。
当我们与我们正在测试的供应商讨论这些类型的问题时,我们从每个供应商那里得到了相同的建议:良好的售前沟通是成功的关键。为了确保他们选择的NAC解决方案能够适当地扩大规模,网络经理应该确保在销售周期中提供尽可能多的信息,以便潜在的供应商能够适当地扩大他们的产品规模。
障碍6:ROI与成本不平衡
一个好的网络管理人员会为任何新技术提供商业案例。这是它的成本。这就是它将拯救我们的东西。如果省下的钱超过了成本,那就是一笔好买卖。有了NAC,网络经理们很难有一个好的商业案例。
这并不是说NAC没有任何好处,但这些好处往往落入安全投资回报率的模糊领域,这是最难以计算的回报之一。不被闯入值多少钱?要花多少钱才能避免大的闯入?我们有多大可能得到一个呢?这项技术能避免这种情况吗?这些是很难计算的。
许多NAC供应商收取的成本对NAC投资回报率的计算没有帮助。一些人以很便宜的价格提供给我们:例如微软,包括一个功能齐全的NAC产品与Windows Vista, XP和Windows 7。假设你已经打算购买Windows, NAC几乎是没有资本成本的。