第1部分为2。网络访问控制在成为大多数公司网络安全的标准组件之前,它仍有一段路要走,但已经有了增长的迹象,据Infonetics的数据,供应商预计到2010年NAC强制设备的销售额将达到6.29亿美元。同时,对于那些还没有决定是否加入NAC狂热的人,这里有一些关于NAC的重要问题的答案。
见第二部分:我不应该等西斯科吗?我应该在带内还是带外部署NAC ?执行NAC政策的最佳方法是什么?
谁需要NAC呢?
简短的答案是任何想要检查机器是否符合配置健康检查之前的人,然后在网络中允许有能力限制访问权限,如果机器违反了策略,则会违反策略。
通过健康测试并不意味着机器没有感染可能会对网络造成伤害,但它有助于减少机器将造成麻烦的机会。
到目前为止,大学和卫生设施已经拥抱了NAC的这一方面,而不是其他企业,因为他们都有大量的用户群体移动的附加,断开和重新连接到网络的设备。NAC有助于提供一些保证这些设备保持声音安全断开连接时的姿势。
NAC的主要事情是决定允许哪个主机附加到网络并留在那里。使这些决定的标准可以广泛变化,从具有在白色列表上的媒体访问控制地址到传递查找一系列参数的健康检查。这些可以包括更新的这些因素杀毒运行修补的操作系统的软件,所需的注册表设置和正确配置的个人防火墙命名几个。
标准还可以包括设备是否保持健康状态,以及设备被允许接入网络后是否正常运行。
希望是此录取控制将防止可能会从具有恶意软件和盗窃数据的污染网络和盗窃数据泄露的机器。访问者和顾问带入网络的移动设备和设备是潜在的威胁机器的示例。
NAC还可以在设备仍连接到网络时定期重新运行健康检查,以确保它们不会违反规定。一些NAC设备通过尝试访问未经授权的资源来检查网络上的主机是否行为不当。发现违规的设备将受到限制。
发现这些功能有用的组织可能不需要NAC,但NAC对它们是有用的。各大学表示,NAC减少了在学期开始时让学生机器进入初始合规状态所需的时间,并帮助它们在接入和退出网络时保持合规。
例如,清理学生个人电脑实际上是IT人员唯一的工作西北密西西比社区学院可以在每个学年的前两周完成——直到去年秋天,学院安装了NAC设备,使这一过程自动化。密西西比州Senatobia主校区的网络管理员查克·亚当斯(Chuck Adams)说,现在,有了6名全职IT员工和学生员工的空闲时间,Mirage Networks的NAC设备在一个学期内几乎就能收回成本。
“我们希望摆脱触摸学生的PC业务,”亚当斯说。“我们没有100%,但我们现在几乎在那里。”
在进入NAC之前,潜在客户需要清楚地定义什么是理想的限制条件,以及什么构成了一个健康的主机慈善医疗中心在巴尔的摩。“你必须确定你试图保护的内容,识别你可能需要设置的不同[网络]段,”Rein说。转化为为NAC齿轮进行执行的政策。“政策取决于你需要知道的东西以及你不需要看的东西,”他说。
|
在实践中,企业尚未成为Nemertes Research高级副总裁Andreas Antonopoulos的NAC尚未激进的部署NAC。足球竞猜app软件专栏作家。
能够连接到VPN是NAC与大多数远程主机的唯一角色,并且几乎没有业务使用访问控制兰他在今年早些时候对IT高管进行的民意调查显示,该公司目前在美国的港口业务中占了三分之一。他说,只有大约14%的受访者申请了端点检查应用和操作系统补丁;防火墙,防病毒或反间谍软件;USB附带的设备;和密码力量。
但是,他说,近60%的人希望他们至少能检查一下防火墙、杀毒软件和反间谍软件工具。约40%的人还希望检查密码和操作系统。他说,不到三分之一的人希望检查应用程序是否更新。
NAC会帮助满足吗法规遵从性?
它可以,但不要困惑:NAC本身并不能帮助你满足政府或商业法规。
但是,NAC可以是更广泛的计划,以便通过对谁讨论关于谁使用的网络资源,当监管机构想知道他们是否正在跟踪业务是否正确受保护的数据来满足法规的组成部分。“NAC解决方案中的审计能力可能允许您找到访问用户访问的文件,所以如果需要,您可以展示某人在Yankee集团的分析师Zeus Kerravala说,Zeus Kerravala说。
但是,他注意到能够说访问数据并不意味着数据被保护免受未经授权的眼睛。他说,其他技术必须处理。但NAC可以减少可以达到关键资源的人数。“NAC可以限制谁可以访问敏感的财务或客户记录,”他说,但NAC不会阻止那种数据离开网络组织。
NAC还通过将用户链接到机器和用于认证目的的访问方法来在监管横向中为监管横向提供有用的功能。信息组合可以帮助微调个人对数据的访问。例如,用户从LAN链接的公司管理机器验证的用户可能会获得广泛的访问权限。与VPN连接的公司发布的笔记本电脑认证相同的用户可能会获得更多限制的权限。如果用户通过Internet通过非托管计算机访问网络,则可以进一步旋转访问。
纽约奥尔巴尼附近的D&D咨询公司的Chris Labatt-Simon说,NAC在为他的一个客户处理法规时很有用。这家能源公司是一家能源公司,出于保密原因,他不能透露该公司的名字。缺点是,NAC是在2005年Zotob蠕虫病毒使网络瘫痪两天之后才被引入的。原因:由顾问连接到网络的受感染机器。他说,网络中断导致了超过100万美元的监管罚款和员工休假,因为他们在没有网络的情况下无法完成任何工作。
他说,决定使用NAC保护网络的移动设备免受网络的移动设备简单。然后返回并决定如何排出NAC部署,因此提供了一层保护,不一定与遵守规则的关系。他说,在部署之前映射策略会更好。“我们所拥有的最大障碍是一个非常有限的时间来决定。因此,一年后,我们仍然弄清楚如何完成“NAC项目,Labatt-Simon今年早些时候表示。
我是不是应该等微软?
可能不是。
今天对NAC有明确的需求的企业仍然在Microsoft准备好之前等待等待的等待。Microsoft的网络访问保护(NAP)策略服务器将在Windows Server 2008上传送,计划于明年的某个时间发布。
即便如此,客户将不得不弄清楚如何将Microsoft的桌面客户端和Windows Server 2008的NAP Endpoint-Checkoction组件与强制基础结构集成。Microsoft的NAP方案允许通过VPN网关,启用802.1X的交换机和DHCP分配执行,每个都需要自己的配置。
考虑到任何新版本软件的稳定所需的预期时间,潜在客户在部署NAP之前花大量时间在他们的环境中彻底测试它是有意义的。
微软一直在努力保持其NAC的主动性,通过与思科在其CNAC体系结构中,并与可信计算集团(TCG)一起推动创建任何NAC供应商都能遵循的开放标准。今年早些时候,微软发布了其NAP代理使用的协议,该协议用于将端点状态的数据从端点传输到NAC策略服务器,而NAC策略服务器决定是否以及多少接入设备。
释放协议意味着其他NAC供应商可以使用Microsoft的系统健康代理 - Microsoft Vista客户端的标准部分 - 与他们遵守协议的策略服务器相结合。
杜松公开展示了今年早些时候在Interop中的这种兼容性,但没有使该兼容性在其NAC架构中的齿轮中最新的软件释放的部分,它称之为统一访问控制(UAC)。所以即使关闭Microsoft Nap盟友并不急于上船。
“NAP在我的脑海里已经很遥远了,我并不是每天都在想它,”“当前分析”(Current Analysis)的分析师安德鲁·布朗伯格(Andrew brunberg)说。他每年都对NAC的需求进行调查,今年的调查结果显示,大多数客户也不是每天都在考虑NAP。“人们对等待NAP不感兴趣,”他说。
他的发现是,微软延迟释放部署所需的组件,休息是伤害的。Braunberg说,自去年的NAC企业需求调查自去年的NAC企业需求调查,愿意等待微软送午睡的受访者的百分比已删除,并在明年初发布时,少量受访者计划部署。
见第二部分:我不应该等西斯科吗?我应该在带内还是带外部署NAC ?执行NAC政策的最佳方法是什么?
了解更多关于这个主题的信息
见第二部分:我不应该等西斯科吗?我应该在带内还是带外部署NAC ?执行NAC政策的最佳方法是什么?
无线网络:燃烧的问题06/11/07
SOA亟待解决的6个问题07/19/07
六个燃烧的VoIP问题07/05/07