在我推荐我公司的NAC实现之前,我想知道更多关于NAC能做什么和不能做什么。
考虑到围绕NAC的所有宣传,对NAC可以提供的功能和LAN安全需求进行分类是很重要的。不同的NAC体系结构有助于解决不同的业务问题,最终,您需要将您的需求映射到正确的体系结构。
NAC最初是作为一种准入控制技术,对用户进行身份验证,并在允许他们进入局域网之前扫描他们的机器以确保安全。坦率地说,很多关于NAC的业界讨论仍然集中在这项技术的有限定义上。
但是NAC作为一个完整的网络访问控制解决方案,可以做更多的事情,而不仅仅是控制谁进入局域网。它可以帮助你限制人们进入局域网后的行为——控制他们可以访问哪些服务器,可以访问哪些数据,甚至可以运行哪些应用程序。
您可以在NAC解决方案中使用的控制程度很大程度上取决于它的架构。如果您所需要的只是简单的访客访问控制——也就是说,限制那些“不是我们中的一员”访问Internet,并让那些“我们中的一员”访问LAN上的任何地方——那么一个简单的、带外架构就可以很容易地满足这些需求。
如果您需要更多的控制,限制用户在进入局域网后可以做什么,那么请研究内联NAC体系结构。由于这些设备可以看到所有通过它们的流量,它们为控制提供了一个更强的基线。您能够控制的程度仍然取决于给定供应商的特性集。例如,对应用程序的理解对控制用户至关重要,但一些NAC解决方案只通过第4层信息查看应用程序,而另一些则在第7层解码应用程序。特性集越大,您的控制能力就越大。
你问NAC能为你做什么,不能做什么。一个全功能的访问控制解决方案应该让您执行以下功能:
*控制谁可以进入你的局域网,并限制他们可以访问的资源;
*保护你宝贵的知识产权;
*限制不太可信或不太知名的用户的接触范围,如承包商、技术人员、远程用户或离岸工人;
*限制可查阅敏感财务或客户记录的人;
*根据角色、时间、地点和应用程序控制数据访问;
*细分用户以满足合规要求;
*防止已知和未知的恶意软件;
*简化事件响应;
*保护关键应用服务,如VoIP
当然,NAC不应该是你唯一的安全措施。例如,NAC不会帮助你完成以下任务:
*保护通过电子邮件、笔记本电脑盗窃、打印输出或USB存储设备泄露的信息;
*反对社会工程;
*阻止已知恶意软件通过广域网连接进入;
*防止获授权查阅的用户不当使用资料
您的NAC解决方案中的审计功能可能允许您查明用户访问了哪些文件,因此如果需要,您可以证明有人正在查看与他或她的工作无关的信息。然而,NAC不会阻止这类数据离开您的组织。
总之,其他安全技术,如防泄漏技术和USB锁定工具,将是补充您的NAC部署的关键,但选择一个功能全面的解决方案可以让您有效地控制谁可以访问LAN上的哪些数据。
赫拉瓦拉(Zeus Kerravala)负责基础设施研究和咨询洋基组.《网络守护者》是我们每两周一次的手子安全专栏。有问题吗?写封信给我们.