的世界网络访问控制是不可抗拒地被吸引进去的吗微软的现在,这家雷德蒙德巨人的网络访问保护客户端、服务器和策略组件的全部功能都已经在现实世界中出现了。
去年的互操作实验室展示了大部分遵循可信计算集团的可信网络连接(TCG/TNC)标准的产品,它们都能很好地协同工作。但这是今年的一个新游戏,因为微软已经完全推出了它的NAP piece部分,包括Vista、用于Windows XP的服务包3和Windows Server 2008;思科不得不重组其整个NAC战略,悄悄地放弃了自己的框架,转而大力改造用于NAP部署的思科清洁访问服务器;企业对NAC的采用相对缓慢。
如果有人要写一个关于NAC的历史,微软Vista、Windows Server 2008和服务包3(在我们测试的“发布候选”级别)到Windows XP的发布将被视为企业如何部署NAC的转折点。在互操作实验室中,我们发现团队成员和参与的供应商中有一个广泛的假设,即企业希望从微软在Vista和XP SP3中内置的——更不用说免费的——NAP客户端开始,并在它们之上构建一个完整的NAC解决方案。(读一个相关的故事关于ACLs和NAC能否促进安全的成功。)
而思科和瞻博网络参与了互操作实验室的测试,他们都把精力集中在他们的NAC策略服务器和网络基础设施上,而不是他们自己的NAC客户端。思科支持互操作实验室与网络实施点(包括它自己的交换机和无线设备)及其访问控制服务器(ACS)策略服务器,但选择不引入自己的NAC框架客户端。(比较南京汽车产品)。
我们的测试遵循了这个假设,通过演示微软的NAP客户端和五个NAC策略服务器的互操作性,包括Avenda Systems的eTIPS策略服务器、思科的ACS、Juniper的统一访问控制器(UAC)、微软的网络策略服务器(NPS)和开放系统顾问公司(Open Systems Consultant)的Radiator。
NAC世界的另一个变化是TCG/TNC的一些NAC标准与微软的NAP技术的缓慢合并。微软和TCG去年宣布微软的健康声明(SoH)协议也将是一个官方的TCG/TNC协议。SoH协议,无论是在微软的NAP还是TCG的TNC中,都是用于通信终端的安全来自试图连接到网络到策略服务器的客户端的信息。
虽然一个完整的访问控制框架中的一个通信协议并不意味着NAP和TNC完全合并,但它确实意味着端点安全供应商,例如迈克菲,赛门铁克,趋势科技可以一举两得。如果他们能够在Microsoft NAP部署中使用新创建的Windows Server 2008和它的NAP策略服务器进行SoH调用,那么他们也应该能够在任何TCG/TNC部署中进行相同类型的调用。
终端安全市场的每一家巨头(McAfee、赛门铁克和趋势科技)过去都曾参与过Interop NAC实验室,但明显缺席了今年的测试。在今年的测试中,它们本应获得在基于NAP和TCG/ tnc的网络上运行的完整解决方案。
相反,新蓝岭网络和Avenda系统和微软一起,证明了他们的终端安全评估和控制工具确实可以在多厂商的世界中工作。
端点安全性评估分为两个部分:收集数据的客户端部分和对客户端状态进行评估的服务器端部分。在NAP中,客户端称为系统健康代理(SHA);服务器端称为系统运行状况验证器(SHV)。在TCG/TNC的世界里,它们被称为完整性测量收集器和完整性测量验证器。
我们测试的SHAs是Avenda的Universal System Health Agent (USHA)、Blue Ridge的EdgeGuard和微软的Vista SHA,后者位于Windows XP SP3和Vista内置的NAP客户端之上。只要我们有一个运行SHV端来验证状态的Microsoft Network policy Server (NPS),团队就可以实现良好的互操作性,将运行状况信息传递给策略服务器。
当我们尝试使用其他策略服务器时,我们能够让Avenda的eTIPS、Cisco的ACS和Juniper的UAC工作,但只能使用一系列策略服务器。例如,使用思科的ACS策略服务器与第三方SHA而不是思科的,我们必须连接ACS服务器到NPS服务器到第三方SHV,并让所有三个运行所有的时间,以使一切工作。
造成这种情况的主要原因之一是,终端安全厂商认为微软的NPS将是早期用户的首选平台,并且已经在策略服务器端编写了微软的规范,而不是TCG/TNC规范。
让这些块在互操作实验室中工作很可能是因为我们自己的现场微软NPS专家工程师Pat Fetty的出现。但是在对高可用性和可伸缩性有要求的企业部署中,启动和运行可能会更加复杂,就像将一个三奶酪火锅恰当地融合在一起一样。
将多个政策服务器放在一起的问题有一个例外,那就是微软自己的SHA,它是NAP客户端的内置部分。这个SHA/SHV对直接由Juniper的UAC管理,不需要我们把服务器堆在一起。
其他人呢?
虽然测试的重点是在微软领域,但我们确实尝试了一些TCG/TNC兼容性的运行。
例如,我们尝试使用Fachhochschule Hannover (FHH)提供的“纯”开源TCG/TNC环境,它包括一个Microsoft Windows客户端和FreeRADIUS策略服务器。我们发现,当FHH客户端与FHH服务器通信时,没有终端安全检查(这在NAC领域是一个大问题),而且FHH客户端不会与其他TCG/TNC服务器通信——因为它没有使用相同的内部协议。
我们也没有在测试平台上发现对非windows操作系统的压倒性支持。Avenda是唯一为其带来USHA的供应商Linux(和匹配的SHV),并显示了跨互操作实验室基础设施的互操作性。尽管Avenda也在为Mac OS X开发一个NAP客户端,但没有人把工作代码带到互操作实验室来炫耀。
Interop Labs团队能够在没有NAC客户机的情况下成功集成设备(例如亚美亚和思科网络电话如果有其他的NAC部署方法,则只有一个802.1X客户机(如Axis摄像机)运行到网络中。例如,我们使用以太网媒体访问控制地址来验证VoIP电话,然后使用Great Bay软件的信标设备分析器来确保这些VoIP电话真的是VoIP电话。这跳过了NAC的姿态检查部分(尽管不清楚嵌入式设备中的VoIP电话可能具有什么样的安全姿态),但确实有助于确保网络上只允许经过身份验证的设备。
另一个我们希望测试但未能测试的领域是TNC为“元数据访问点”通信提供的新的NAC规范,称为IF-MAP。对TNC架构的这种扩展让其他网络元素(如入侵预防/检测系统或防火墙)报告网络上行为不端的端点。由于TCG在本周宣布之前还没有公开宣布该协议,所以没有哪个供应商愿意在2008年的互操作实验室中测试它羽翼未丰的IF-MAP支持,但2009年总是有。
南汽紧缩开支
总的来说,该团队发现NAC世界的动力现在集中在微软的NAP客户端上。随着Vista(及其内置客户端)的推出,微软Windows XP的NAP客户端预计将于明天(4月29日)作为服务包3的一部分发布,大多数公司的台式机将内置一个NAP客户端。我们从参与的厂商(以及一些没有出现的厂商)那里发现,当构建可互操作的NAC解决方案时,每个人都将基于一个免费的、内置的客户端。
本周,互操作实验室团队将在拉斯维加斯的互操作展示厅展示他们所学到的所有东西,进一步的结果、白皮书和测试配置都将公布出来在线。
<回到正题:互操作实验室:网络工程师专注于NAC, UC产品>