事实上,性能通常不是NAC产品的关键,除非您正在进行内联执行。Consentry / Nevis / Vernier家族必须保持他们的数量,但像思科这样做的边缘执法或混合执法的人只需要确保他们的政策引擎足够快,这就容易多了。对我来说,决定正确的NAC解决方案的主要问题是首先弄清楚为什么要做NAC。你这样做,然后合适的产品就会开始出现。我在Interop的NAC日上写了一个小演讲,其中我提出了9个关于NAC的“难题”。我知道你在这里问我“给我一些购买标准”,但我的回答必须是“找到满足你需求的产品”。大多数人都被NAC的时髦玩意儿搞糊涂了,他们不知道自己想要什么,或者为什么想要它。除了每个人都在谈论它,所以也许他们应该有一个。它就像一个博客:-)
Dotondo
《财富》50强公司的最佳做法是什么?他们应该选择什么供应商?
joel_snyder
这个问题很难回答。《财富》50强中没有人做过NAC,就算有,我也没听说过。最佳实践来自多年的经验和数百次的部署。我认为您需要考虑以下几点:(a)您必须具有供应商独立性。否则,你注定会讨厌你的解决方案(b)你必须有一个可以适当扩展的解决方案,这需要大量的思考,而大多数NAC供应商还没有这样做(c)你必须思考为什么你想要做NAC。这不仅仅是“财富50强企业有NAC”的问题,也不仅仅是“财富50强企业有动态路由”的问题。是的,他们在任何情况下都是这样做的,但NAC更多的是一种支持你的商业目标和安全限制的技术,而不是“必须有,因为我们俱乐部的每个人都有”。
nacnac
我相信NAC在安全领域确实占有一席之地,但在构建优先于其他项目的ROI时遇到了困难。对于为NAC建立一个商业案例有什么建议吗?“降低风险”很难量化,也就是说“我很难得到预算”。
joel_snyder
你说对了。NAC的投资回报率比大多数预算都要难。您总是可以使用FUD方法(准备好购买申请,并在下次TJX出现在《华尔街日报》的头版时跑到首席执行官的办公室)。好吧,开个玩笑。除了你已经想出来的那些显而易见的东西,没有什么特别的建议。顺便说一下,这也是为什么NAC可能无法长期坚持下去的原因之一。
Moderator-Keith
预先提交的问题:移动电话是否需要包括在NAC计划中?我该怎么做呢?
joel_snyder
这要看情况了:你的手机在你的网络上吗?如果答案是肯定的,那么就有一些策略。(如果答案是“不”,然后从21世纪,你好来加入我们都很快)首先,你可能不是担心端点安全姿势,因为访问你给的电话是有限的:可能基本群件功能(电子邮件、日历等)或者内部网浏览。正因为如此,您希望关注访问控制,可能通过为这些手机创建一个VLAN来严格限制它们可以去的地方,并认为如果正确处理访问控制,那么端点姿态检查可能就不那么重要了。
超级巨星布拉德福德和大男孩们一起生存??
你怎么看
joel_snyder
绝对的。布拉德福德有很多大男孩都很害怕。此外,他们有自己的利基(edu),他们服务得很好,每个人似乎都喜欢他们。如果它们被收购,尤其是被CA或赛门铁克(Symantec)收购,将是它们生存的最大威胁。
taco2
如果NAC在5年内是“乏味的”,那么5年后在安全方面有什么令人兴奋的?
joel_snyder
伙计。我要在5年内经营烧烤摊。你打电话告诉我。
big_boy
我很好奇你对802.1x和专有NAC解决方案的立场……记住,这就像苹果和橘子。
joel_snyder
我是一个802.1X的纯粹主义者。事实上,我喜欢用“能改就改,必须改就改”的比喻。我认为802.1X绝对是可行的,但很明显,它在某些地方无法工作,这就是我转向专有技术的时候。所以我以802.1X作为我的任何设计的“起点”,然后如果它不能工作就退出。我知道我在尼维斯的朋友们会因为我这么说而生气,但这就是我的想法。
Moderator-Keith
预先提交的问题:NAC能做些什么来保护敏感信息不被泄露吗?
joel_snyder
从概念上说,是的,但实际上,不是。你真的需要特定的技术来处理它;我们已经有一个很好的市场,叫做“防泄漏”,来处理这个问题。再一次,NAC可以在某些方面提供认证信息给泄漏保护装置,但这些家伙一起行动,我不认为你想把NAC绑在这个游戏阶段的泄漏保护。等到下一局,好吗?
Seabee2000
你认为在网络访问之前扫描客户端太费时间还是值得?我只能假设你认为这是一个好主意,如果所有各方都支持它,网络,安全等。
joel_snyder
如果处理得当,应该不会花太长时间。例如,假设你有一个很好的补丁程序,比如Patchlink或BigFix。他们一接触你就知道你是好人还是坏人。所以这并不像你要等45分钟来逐扇区扫描硬盘。我完全同意任何超过15到30秒的东西都会让人扫兴,至少对现在的ADD互联网一代来说是这样。
AAsDC“诱导多能性”和真正的无客户NAC?比如,如果我有一个通道“诱导多能性”它可以与一个认证目录接口,并可以监视所有的协议,这难道不是达到了与NAC相同的目标而没有所有的混乱吗?
乔尔,你怎么区分彻底的应用层
joel_snyder
嗯,是也不是。我不同意“没有所有的混乱”。我见过的每一个IPS部署背后都有很多混乱。然而,我认为你提出的架构基本上就是我所认为的终极游戏,除了它不是IPS;它是用户连接端口级的IPS/防火墙组合。所以我们的想法是一致的,除了你错过了姿势评估那部分。没有客户是无法做到这一点的,如果你想要它(也许你正在为合规审计收集数据),你必须以某种方式获得它。
Gleb布拉德福德在NWW测试中,你如何看待规模相似的ForeScout和一级防范机制位列前5名?
跟进
joel_snyder
你说"前五"指的是记分卡,我讨厌记分卡。然而,我认为在NAC领域有很多创新,我对来自小公司的好产品没有任何问题。他们会激励大公司做得更好,可能会有值得借鉴的好点子……或收购:-)
Moderator-Keith
预提交的问题:NAC硬件和其他安全设备是如何协同工作的?
joel_snyder
这是NAC最有趣的部分之一,你可以让所有的安全感知设备,如IDS/IPS SIM和NAC相互通信。NAC可以告诉每个人某个IP的用户是谁,这是非常有价值的信息,但也非常难以收集。IPS/IDS/SIM/防火墙可以向NAC提供关于用户实际行为的信息,这些信息可以用来修改访问。我听过很多人,尤其是初创公司,说要做这类事情,这很好。这将给大公司带来压力,迫使他们通过开发或收购来整合这些理念。例如,Juniper正在市场上寻找SEM/SIM供应商,这已经不是什么秘密了。为什么?不是为了收入,至少不是为了开始。这是因为他们认为NAC和安全需要这种集成来构建大局。至少这是我的猜测。
雨
说到802.1X,有没有厂商可以不经过1.1 x路线提供带外NAC ?
joel_snyder
很多。我称他们为“混血”。虽然存在巨大的缺陷,但仍有一些人更喜欢这种方法。游戏中的大家伙可能是一级防范;他们有大量的媒体。但即使是思科也会这么做——想想CCA吧!这种方法并不少见,它解决了目前802.1X部署中存在的一些问题。
Moderator-Keith
预提交的问题:NAC计划和其他身份管理计划是如何合并的?
joel_snyder
有些疯狂的人认为,一旦进行身份验证,一天就完成了:这些凭证将被携带到本地系统、网络和企业中的每个应用程序中。永远不要告诉任何人你是谁,每个人都知道你是谁,你应该有什么权限。我喜欢这样,每个终端用户也都喜欢。它会发生吗?很难说。过去人们使用SSO并没有取得成功,但企业中日益增长的单一文化加上微软对NAC的兴趣表明,我们将拥有比以往任何时候都多的组件。对我来说,最大的问题是它太过跨职能,组织障碍几乎和技术障碍一样重要。但是,如果您希望符合流行词,请确保您的NAC具有SOAP/SAML钩子,或者至少它们在PowerPoint的某个地方浮动。
奇才
关于阻止易受攻击的端点有很多讨论,但根据我的经验,阻止威胁并为已识别的漏洞找到一些补救能力更为重要。阻止威胁的最好方法是什么,同时又要处理脆弱的系统?
joel_snyder
用"最好"这个词很难回答我认为一个好的NAC部署的一个重要部分是将IPS提高到11并阻止这些事情的能力。事实上,大多数“不良行为”都很容易出现。
Moderator-Keith
奈杰尔·塔夫内尔:我们的裤子里有犰狳。这真的很可怕。
joel_snyder
脊椎抽液。基思就是那个人!
存款准备金率
你对NAC的分支有什么看法?
joel_snyder
这是困难的。没有人提出一个好的解决方案,因为像VLAN分离这样的事情是非常困难的。我认为,在将流量发送到核心网络之前,您最终将使用有状态防火墙来回收流量;据我所知,这是目前唯一负担得起的方法。显然,你可以在分支中使用forescout式的东西,但价格不太合适。我认为思科ISR是一个可以寻找创新的地方。
Moderator-Keith
预提交的问题:认证和手机呢?
joel_snyder
手机不太好,更重要的是手机用户不太擅长认证。如果你让某人每次想要登陆网络时都在手机上输入密码,你就会把流量推到公共网络上,这最终会增加成本,并打开其他安全漏洞。在将来,您将能够进行某种基于sim的身份验证——有一种EAP方法可以做到这一点——但目前,您可能应该专注于基于mac的身份验证,以便给用户提供最佳的体验,并在幕后处理访问控制。
corao“诱导多能性”由于误报和阻塞问题被关闭,部署仍然在IDS模式下部署-现在他们要求我尝试NAC功能,我应该吗?
我有一个
joel_snyder
不,你得先把IDS修好。如果你仍然在自己的IPS中看到FPs,那么你就会遇到一些严重的问题,即在你继续前进之前,供应商需要与你合作。慢慢来,伙计,慢慢来。
Moderator-Keith
预提交的问题:大多数安全管理人员在管理NAC设备时做错了什么?
joel_snyder
你必须意识到我们还处于NAC的早期阶段。人们做NAC式的事情已经有很长一段时间了——看看那些已经做了5年nace的SSL VPN供应商,或者像Bradford这样的供应商,他们在我们开始称之为NAC之前就已经解决了特定的问题。我认为网络/安全/桌面分离的长期维护是最大的潜在问题。NAC将所有这些团队聚集在一起,所有三个团队都有责任确保NAC项目的成功。但如果他们不作为一个团队继续保持更新,那么整个团队就会分崩离析,或者更糟——不能做你想做的事。最大的问题是桌面威胁缓解的快速本质,桌面人员(或女孩)必须确保他们在威胁缓解策略中的更改充分地推进到NAC策略中。这闻起来就像发霉的奶酪,在我看到的很多部署中,这些部署在未来的某个时候会爆炸。
托德% 20 k
为什么不简单地将这项技术嵌入到接入设备中呢?(交换机、应用程序和VPN头端)你认为这些供应商会朝这个方向发展吗?
joel_snyder
为什么不呢?老兄,你这是在对唱诗班说教。这才是它的归属。我觉得我们的想法是一致的。我不知道供应商是否和我们在同一辆巴士上。但我们可以分享这瓶我带上船的酷爱饮料。
Moderator-Keith
预先提交的问题:思科和微软承诺他们的NAC计划之间的互操作性。他们发表了一些文档,描述了这是如何实现的。互操作性到底有多重要?
joel_snyder