燃烧的NAC问题 - 第1部分

第二部分的第一部分。网络访问控制仍然有办法在大多数公司成为网络安全的标准组成部分，而是在有关信息的情况下，供应商预计在2010年到2010年的NAC执法家电销售了6.29亿美元。与此同时，对于那些尚未确定是否进入NAC疯狂的人来说，这是一些重要的NAC问题的答案。

看到两个部分:我不应该等待思科吗？我应该部署NAC带内或带外吗？强制执行NAC政策的最佳方法是什么？

无论如何，谁需要NAC？

NAC是否能够满足法规要求?

难道我不应该等微软来吗?

无论如何，谁需要NAC？

简单的回答是，任何人都想在允许机器进入网络之前检查它是否满足配置健康检查，任何人都想在机器被允许进入网络后，如果它违反了策略，就限制它的访问权限。

通过健康测试并不意味着机器没有可能对网络造成伤害的感染，但它有助于减少机器引发问题的机会。

到目前为止，大学和医疗机构比其他企业更接受NAC的这一方面，因为它们都有大量的用户移动连接、断开和重新连接到网络的设备。NAC有助于提供一些保证，这些设备保持了声音安全断开连接时的姿势。

NAC做的主要事情是决定哪些主机被允许连接到网络并留在那里。做出这些决定的标准可能相差很大，从在白名单上拥有媒体访问控制地址到通过查找一系列参数的运行状况检查。这些可以包括诸如更新的因素防病毒正在运行补丁操作系统的软件，所需的注册表设置和正确配置的个人防火墙举几个例子。

标准还可以包括设备是否保持在健康状态，并且一旦允许网络，它是否正确行事。

希望这种允许控制将防止可能已经被泄露的机器用恶意软件污染网络和窃取数据。移动设备以及由访客和顾问带入网络的设备都是潜在威胁机器的例子。

NAC还可以定期重新运行健康检查，而设备仍然附加到网络，以确保它们不会遵守遵守情况。一些NAC齿轮通过尝试访问它们未经授权的资源来检查网络行为不端的主机。发现违反的设备可以限制。

发现这些功能中的任何功能可能不需要NAC的组织，但NAC对他们有用。大学说NAC减少了在学期开始时让学生机器进入初始合规性的时间，并有助于将它们兼容，因为它们跳转到网络时。

例如，清理学生电脑是IT人员唯一的工作西北密西西比社区学院可以在每个学年的前两个星期完成 - 直到过去秋天的大学安装了自动化过程的NAC装备。Now, with that time freed-up for six full-time IT staffers plus student staff, Mirage Networks NAC equipment has just about paid for itself in one semester, says Chuck Adams, the network administrator at the school’s Senatobia, Miss., main campus.

亚当斯说:“我们想摆脱‘触动学生’的个人电脑业务。”“我们还没有100%做到这一点，但我们现在就快做到了。”

在进入NAC之前，潜在客户需要清楚地定义什么是理想的限制条件，以及什么构成了一个健康的主机医疗中心在巴尔的摩。雷小山说:“你必须确定你试图保护的是什么，确定你可能需要建立的不同(网络)细分市场。”这就转化成了NAC装备执行的政策。他说:“这项政策涉及到你需要知道什么，不需要看到什么。”

Nemertes Research和a足球竞猜app软件专栏作家。

他说，对于大多数远程主机来说，能够连接到VPN是NAC的唯一任务，而且几乎没有企业使用访问控制局域网港口，根据他的IT高管预测，今年早些时候。他说只有大约14％的受访者适用终点检查应用程序操作系统补丁;防火墙、防病毒或反间谍软件的存在;usb依附设备;和密码强度。

但是，他说，近60％的愿望他们最不可能检查防火墙，防病毒和反间谍软件工具。大约40％也会喜欢密码和操作系统检查。他说，小于第三个想要检查应用程序是否更新。

NAC会帮助见面法规遵守？

它可以，但不要困惑：NAC独自不会帮助您达到政府或商业条例。

然而，NAC可以成为一个更广泛的计划的组成部分，以满足监管规定的知识，谁使用哪些网络资源，何时，监管机构想知道，他们是否在跟踪企业是否适当保护数据。Yankee Group的分析师Zeus Kerravala说:“您的NAC解决方案中的审计功能可以让您发现用户访问了哪些文件，因此如果需要，您可以证明有人正在查看与他或她的工作无关的信息。”

不过，他指出，能够说出谁访问了数据，并不意味着数据不受未经授权的眼睛的保护。他说，其他技术必须处理这个问题。但是NAC可以减少能够获得关键资源的人数。“NAC可以限制谁可以访问敏感的财务或客户记录，”他说，但NAC不会阻止这类数据离开网络组织。

NAC还通过将用户链接到机器和用于身份验证的访问方法，在监管领域提供了有用的功能。这种信息组合可以帮助微调个人对数据的访问。例如，从lan连接的、公司管理的机器进行身份验证的用户可能获得一组广泛的访问权限。通过VPN连接从公司发放的笔记本电脑进行身份验证的同一用户可能会得到一组更受限制的权限。如果用户通过互联网上的非托管计算机访问网络，访问可能会进一步降低。

Chris Labatt-Simon，D＆D咨询了奥尔巴尼附近的咨询，NAC表示，NAC在处理他的一位客户的法规中是有用的，这是他不能为保密原因命名的能源公司。缺点是，在2005年通过Zotob蠕虫的案例已经被击倒后，NAC被带入了这一点，这是两天的击败网络。原因：由顾问连接到网络的受感染机器。他说，中断导致了超过100万美元的监管罚款和休假，在没有网络的情况下无法完成任何工作的工作人员。

他说，决定使用NAC来保护网络不受移动设备在网络上来来往往的影响很简单。那就更难回去决定如何完成NAC的部署，所以它提供了一层保护，而这层保护并不一定与法规的遵从有关。他说，在部署之前制定出战略会更好。“我们面临的最大障碍是做出决定的时间非常有限。因此，一年后，我们仍在研究如何完成”NAC项目，Labatt-Simon今年早些时候说。

我不应该等待微软？

可能不会。

对NAC有明确需求的企业在微软准备就绪之前仍需等待数月。微软的网络访问保护(NAP)政策服务器将在Windows server 2008上发布，计划于明年发布。

即便如此，客户还必须弄清楚如何将微软桌面客户端和Windows Server 2008的NAP终端检查组件与强制基础设施集成在一起。微软的NAP方案允许通过VPN网关、支持802.1 x的交换机和DHCP分配来实施，每个都需要自己的配置。

鉴于任何新版本的软件都需要稳定的预期时间，潜在客户在部署之前在其环境中彻底测试午睡是有意义的。

微软一直在努力通过合作来保持其NAC主动权思科在其CNAC架构和有信任的计算组（TCG）的推动下推动以创建任何NAC供应商可以遵循的开放标准。今年早些时候微软发布了该协议，其NAP代理用于将关于端点的端点状态传输到NAC策略服务器的数据，这使得关于是否以及多少接入设备获得。

发布该协议意味着其他NAC供应商可以使用微软的系统健康代理——微软Vista客户端的标准部分——以及他们自己的策略服务器，只要他们遵守该协议。

瞻博网络今年早些时候，在Interop上公开展示了这种兼容性，但在其NAC架构中，没有将这种兼容性作为设备最新软件发布的一部分，它称之为统一访问控制(UAC)。因此，即使是微软NAP的亲密盟友也不急于加入。

“在我的脑海里露出小睡是迄今为止每天都不会想到的派克，”当前分析的分析师Andrew Braunberg说。他每年对NAC的需求进行调查，今年的结果表明，大多数客户也不会每天都在考虑午睡。“人们对等待午睡不感兴趣，”他说。

他发现，由于微软推迟发布部署NAP所需的组件，NAP受到了损害。布朗伯格说，自去年NAC企业需求调查以来，愿意等待微软发布NAP的受访者比例已经下降，几乎没有受访者计划在明年年初发布时部署它。

看到两个部分:我不应该等待思科吗？我应该部署NAC带内或带外吗？强制执行NAC政策的最佳方法是什么？