选择正确的一体化NAC产品的6个技巧

足球竞猜app软件 |

实验室联盟成员Joel Snyder提供了关于如何缩小NAC领域以满足网络需求的六条建议。

NAC一体机市场一片繁荣。以下是一些关于如何缩小范围,提供适合你的网络需求的产品的建议。

1.在开始购物之前,优先考虑身份验证、端点安全性、访问控制和总体管理方面的需求。

NAC产品在混合这四种成分的方式上有所不同。我们发现,一体化NAC产品倾向于强调终端安全,而不是身份验证、访问控制和管理,因为这是网络管理人员寻找即时NAC解决方案的最大痛点。这并不意味着您无法找到具有强大认证或强制功能的一体化产品,但您需要更深入地了解每个产品在这些领域的工作方式,以确保它们能够满足您的需求。

2.不要被可伸缩性这个可怕的东西吓倒。

大多数一体化NAC产品都有一些带内组件——即使它只是在用户连接过程中的某个点上内联的。当设备处于用户和他们的数据之间的关键路径时,就存在潜在的性能瓶颈。所有一体化的NAC产品在用户和网络的其他部分之间完全内联,将需要仔细的性能工程。许多的南汽供应商通过采用一种混合的方法来避免被认为是性能问题:他们的产品只在认证、终端安全检查和/或执行过程中是内联的;然后他们通过动态地重新配置您的交换基础设施来解决问题。

其中一些供应商负责传播关于相互竞争的NAC实现方法的FUD。要避免FUD因素,请认识到所有的方法都有利弊,并且不存在让所有环境中的所有性能问题都消失的银弹。相反,要确保你知道你真正的性能需求是什么——或者将是什么——并清楚地与潜在的供应商沟通这些需求,无论他们的产品是在线的还是以某种混合的方式运行。将这些相同的规范放在任何采购文档中,这样您就可以编写备份,以防出现性能问题。

3.说明实施端点安全态势评估的原因。需要NAC进行合规性检查与需要NAC框检测恶意行为是非常不同的。这个明显的区别很好地将一体化NAC产品彼此区分开来。

一些企业通过NAC终端安全措施来确定用户的台式机或笔记本电脑是否符合公司标准安全政策。而没有病毒检查或个人防火墙如果能保证系统不受损害,设计良好的政策就能显著降低出现问题的风险。其他企业不关心安全策略的遵从性,而更关心检测和隔离行为不端的系统和用户。

决定你属于哪个阵营,并利用你的位置缩小一体化产品的范围。我们发现没有一款NAC产品同时具备这两种特性,所以即使您正在寻找这两种特性,也要决定哪一种更重要,并在您自己的测试中强调它。因为您可能无法测试所有可能的端点评估组合,所以要预先确定对您来说最重要的是什么,并查看与您关注同一领域的供应商的主要端点安全策略。

4.不要让客户的偏见拖累你。

对于处理NAC客户端代理软件的正确方法还没有达成共识。虽然不是每个NAC产品都需要客户端,但我们发现安装客户端可以极大地简化许多NAC场景。NAC实现不使用一个安装客户端有一些非常脆弱点:禁用浏览器的功能,用户与个人防火墙和各种平台,为南汽造成重大消化不良的产品,试着下载一个“溶解”客户端,当用户试图进入网络。

如果您的NAC战略在某些时候需要客户,不要让多年使用其他产品的经验阻止您在NAC使用一个产品的想法。你可能小时候不喜欢戈尔根佐拉奶酪,但无论是奶酪的制作方式,还是成年后尝起来的味道,一切都变了。软件供应商在简化客户端软件的安装和维护方面已经学到了很多,在很多情况下,他们做得很好。不要以为不可能安装客户端,就贸然进入一体化的NAC项目。

与此同时,不要让任何供应商在不知道产品如何工作的情况下就离开微软Vista。微软在Vista中提供了一些重要的工具来帮助NAC的各个方面,包括一系列api和它自己的网络访问保护框架。你可能不打算明天就跳到Vista,但你最终会到达那里。如果你可以使用Vista的内置特性来避免安装NAC客户端,那显然是一个更安全的产品。请确保您的一体化NAC供应商不会过于一体化,以至于拒绝与微软在Vista中内置的NAC特性集成——如果还没有,至少在不久的将来。

5.强调行政管理的重要性。

一体化NAC产品的一个优点是,单个供应商控制了大部分(如果不是全部的话)组件。一个单一供应商的产品可以以最小的互操作性问题和最大的各部分集成来获得良好的用户体验。但是,不要让华丽的用户体验蒙蔽了良好的管理和操作体验的必要性。

请记住,NAC的目标是将设备和用户接入网络,而不是将它们拒之门外。当有人无法沟通时,找出问题并尽快解决它是至关重要的。我们测试的许多一体机产品在管理和运营方面尤其薄弱。对于任何问题,网络管理器都应得到警报,并能够识别原因并快速调试和解决它,这一点至关重要。如果网络管理员不能让用户快速回到网络上,用户系统上再多花哨的gui也不会让他们高兴。

在评估NAC产品时,一定要花一些时间查看管理界面。评估产品的配置是容易还是难以理解,是否可以得到可用的状态和异常报告,是否有足够的日志和调试工具,以便在不可避免的问题发生时让人们重新回到网络上。

6.要认识到所有一体化NAC设备都有弱点。

每一种NAC方法都有一些潜在的安全缺陷,当涉及到密集的架构分析时,一体化产品尤其容易受到攻击。例如,大多数NAC实现都容易受到“说谎的客户端”的影响,他们错误地声称正在使用合规与安全政策。

在任何情况下,都必须首先考虑安装NAC的原因:您试图减少的安全风险是什么?仅仅因为NAC产品有缺陷并不意味着它不能成为提高整体安全性的有价值的工具。

由于NAC市场的激烈竞争,为竞争的NAC供应商工作的安全研究人员很快指出了他们竞争的缺陷,同时声称他们自己的产品更安全。NAC的现实情况是,没有任何软件或硬件能够完全保护您,使您不受一个知道您安装了什么产品、能够访问您的建筑或决心制造麻烦的内部人员的影响。

通过了解您正在考虑的产品的弱点,并将这些弱点与您将NAC放到网络中的首要原因进行权衡,从而为您的组织解决这个问题。

斯奈德是亚利桑那州图森市Opus One公司的高级合伙人。可以通过Joel.Snyder@opus1.com联系到他。

<以前的故事:NAC替代品击中了要害|下一个故事:NAC考试记分卡>

了解更多关于这个主题的信息

买方指南:网络访问控制

蒂姆·格林的网络访问控制通讯

思科警告NAC产品存在漏洞

01/04/07

NAC,网络电话安全在黑帽受到质疑

08/07/06

加入网络世界社区足球竞猜app软件脸谱网LinkedIn对自己最关心的话题发表评论。
相关:

斯奈德是网络世界测试足球竞猜app软件联盟(Network World Test Alliance)的合作伙伴,也是亚利桑那州图森市Opus One的高级合伙人。可以和他联系

版权所有©2007 IDG Com足球竞彩网下载munications, Inc.

SD-WAN买家指南:向供应商(和您自己)提出的关键问题