部署NAC的一些挑战是什么?局域网安全的替代方案是什么?
你不是唯一一个提出这些问题的人——我们经常看到客户知道他们需要在局域网上控制客人和承包商,但不知道从哪里开始。大多数人发现他们可以保持初始NAC的简单推出,交付主要目标,然后遵循一个简单的计划来扩展部署功能的范围。例如,Mercy医疗中心就在遵循这一路线——从为客人提供仅限上网服务开始,并允许员工在局域网上访问任何地方。
在您的NAC部署中,您可能会遇到三个主要挑战—它对您的网络的影响、建立策略的困难以及初始部署的范围。好消息是,你可以做很多事情来减少这些挑战,并从你的NAC部署中获得很多。
要理解NAC对您的网络的影响,您需要了解它强制更改端点、交换机、vlan或acl和标识存储的程度(如果有更改的话)。您越能减少这种影响,同时仍然能够显著控制用户在LAN上可以做什么,从“部署时间”的角度来看,投资回报就越大。
例如,一些NAC设备需要交换机的合作来执行策略,因此交换机通常至少需要一次软件更新。这些解决方案通常只提供基本的准入后控制,依赖于将用户引入VLAN来限制他们在LAN上的访问。因此,您需要更改vlan以支持基于角色的分段,并更新acl以加强用户组之间的适当阻塞。
第二个主要挑战涉及建立适当的策略,这最终不是IT的责任。相反,IT需要与业务线合作,将他们想要的策略转换成NAC设备可以使用和执行的结构,比如IBM承包商应该只能访问IBM刀片服务器。
为了缓解这一挑战,IT部门应该寻找能够轻松部署和测试策略的NAC架构,例如,将设备置于“仅监控”模式,并观察发生了多少策略违规。如果违规的数量真的很大,那么更有可能是政策错了,而不是很多人的行为是错误的。
第三个主要挑战是范围——包括总体部署的范围和策略粒度的范围。使用广泛的用户控件的普及部署很快就会让人望而却步。
为了减轻这个困难,从您最严重的痛点开始,并随着时间的推移增加部署。也许您首先从承载访客和承包商的网络位置开始,然后创建包含这些用户组的简单策略。客户只能访问Internet,定制SAP部署的团队只能访问SAP服务器,而您的员工可以访问任何地方。当然,关键是选择随着部署的位置和粒度的增长而随时间增长的解决方案。
你是否需要替代NAC取决于你要解决的问题。为了扩展安全功能,要寻找一种解决方案,将NAC定义为不仅仅是允许控制。你需要问问自己,“一旦用户通过身份验证进入我的网络,我还在乎控制他们吗?”如果您的答案是肯定的,那么您还需要入学后的能力——例如控制用户可以运行哪些应用程序或用户可以访问哪些服务器。有了更全面的安全性视图,您将有许多NAC实现粒度的选择。
还要记住,NAC与其他倡议是高度互补的。采用IAM (Identity and Access Management)的企业关注基于角色的访问控制。您可以将这样一个项目与NAC架构连接得越紧密,两种部署就会越强,因为NAC解决方案可以提供IAM项目中定义的网络级控制。
NAC扩展到包含对局域网中所有用户的完全基于身份的控制时,可以帮助您保护关键资源,您可以采取许多步骤来限制其挑战并提取最大的价值。
Barsi是总裁兼首席执行官,ConSentry网络。有问题要问网络守护者吗?写封信给我们。