尽管网络访问控制承诺的安全优势,NAC还没有能够全部被接受。也许是感知开销,是困扰尝鲜或可今天NAC选择过多的复杂性。
这并不是说没有很大的兴趣。毕竟,一个NAC安全框架的承诺,以帮助企业遵守与不断变化的威胁法规和内部政策,保障资源。(相比南汽产品)。
但哪种方法是最好的?
基于硬件的选项通常要求设备既可以在线运行,也可以带外运行。其中一些电器取代了接入开关;其他操作在接入层和网络交换机之间。对于任何一种方法,都有许多部署、管理和操作方面的考虑。
例如,基于硬件的在线NAC解决方案是坐上游交换机创建潜在的故障单点可能是破坏性的,如果他们不能保持今天的高速,10G骨干网的速度。
此外,在在线NAC解决方案可能不是理想的地理上分散的或高度分段网络。不仅有需要在每个位置的设备,但进一步向上的网络可视性少的网络流量,这些方法提供。有什么意义相信你和NAC更安全,当你无法看到或停在一个大的子网入侵者的流量。
出带外的替代方案,如使用802.1x的选项,往往需要大量的网络和服务器配置的变化。它们需要另外的隔离网络中,每个交换机上的端口的配置以及访问规则被配置用于路由器和交换机。这不仅增加了管理成本,也增加了发生错误的风险。显然,基于硬件NAC不便宜或万能的。
接下来是洪水猛兽基于代理的方法。没有人希望另一个端点应用程序安装,更新和维护。这不仅为IT团队带来额外的负担同时也为帮助台呼叫飘雪的另一催化剂。
然而,很多可以在代理辩护说。其一,审查更高级别的可端点来实现,这有助于安全。而现实情况是,代理商可以是破坏性最小的解决方案可用,尤其是当它涉及到网络流量,因为代理商在后台悄悄运行,只发送定期更新的策略服务器。
但是让我们面对现实吧,企业是不是想找另一个应用程序的安装,无论是安全投资回报有多高。
然后是无代理的NAC。一种常见的方法是定期扫描端点的漏洞和/或策略评估,这会给繁忙的网络带来不必要的流量压力。扫描结果被发送到策略服务器,如果有必要,将在不兼容的系统上采取补救措施。
虽然无代理NAC回避了需要安装和维护代理商,有一个折衷:无代理方法不提供持久的方式来全面评估端点的状态。此外,因为身份是通过检查网络流量确定的,用户可以骗过系统。
这给我们带来了动态NAC,它使用代理,但只对系统的百分比。也称为对等网络NAC,被安装在每个系统上这种方法不需要网络更改或软件。
代理商,其中一些成为执法者,被安装在受信任的系统,就像一个警察,你需要执法的向一般人群只有小比例做出一定每个人都遵守。通过这种方式,有可能实现与代理商和所有的NAC的利益相关的高级别安全性,而基于硬件的NAC的麻烦或软件每个设备上。
假设在LAN内的桌面上安装了许多强制程序,并且一个不受信任的系统试图登录。执法者将通过使用第二层链路协议检测和限制新来者的网络流量,直到新来者被审查。这些代理不断地与中央策略服务器通信,以确定需要什么补救(如果有的话)。因此,系统可能被完全隔离或从某些网络段阻塞,或只允许互联网访问。
尽管由于一些不那么引人注目的部署,南汽在市场上面临一定程度的阻力,但对南汽进行检查比以往任何时候都更为重要。不仅在NAC解决方案方面有了最近的进展,而且越来越多的移动计算环境要求具有nacl支持的安全性的前瞻性。
可以肯定的是,智能手机和其他手持计算设备将移动到你的网络上。它们将增加本已令人生畏的挑战,即确保您的所有系统保持兼容和安全。
这是一个坏消息。好消息?有可做出一定的网络运行安全和政策中的动态NAC解决方案。
LUM是InfoExpress的首席执行官。他可以在lum@infoexpress.com到达。