网络接入控制脱颖而出,成为最有前途的安全技术之一,但它也是最容易被误解的一个。
定义南汽
第一步是定义NAC。根据弗雷斯特研究公司的研究,“NAC是硬件和软件技术的混合体,可以根据客户的需求动态控制客户系统对网络的访问。合规与政策。”
属于这一类的产品包括化妆品思科的网络接纳控制体系结构和瞻博网络的统一访问控制环境。安装该法案单一设备包括ConSentry网络,并StillSecure公司游标Networks产品。其他NAC厂商,如锁定网络和幻影网络,协同工作,与合作伙伴。
 |
||
|---|---|---|
|
||
|
||
| • |
|
|
| • |
|
|
| • |
|
|
| • |
|
|
|
||
| • |
|
|
| • |
|
|
| • |
|
|
| • |
|
|
| • |
|
|
可信计算组(TCG),一个行业组织编写NAC标准,以促进多厂商互操作,同时还拥有一个NAC方案。可信网络连接(TNC)指定产品接口,其供应商可以使用以满足他们的齿轮到TNC架构。TCG的NAC定义为“一个开放,非专有的规范,使安全要求,用于连接到企业网络端点的应用和执行。”
因此,供应商可以建立自己的产品,跨国公司的NAC标准,但依靠其他产品来充实可操作NAC部署。
这是高层次的。在实践中,NAC是一个在电脑和其他设备接入网络之前对其进行扫描的过程,以确定它们是否具有符合公司政策的安全态势。他们的病毒扫描软件是最新的吗?他们的操作系统打补丁了吗?他们有私人恩怨吗防火墙在使用吗?
这个过程需要一个能够将扫描结果匹配到策略的引擎,以查看设备是否有资格获得访问权限。它还需要能够执行策略引擎决策的设备:阻止访问、限制对某些资源的访问或只允许访问可以带来最新安全功能的孤立的网络段。
了解NAC宇宙
这是NAC的核心。一些公司自称为NAC供应商,但他们真正的意思是,他们的产品适合更广泛的NAC环境。
例如,CA该公司表示,已经加入了思科的NAC计划,凭借其eTrust防病毒和反间谍软件,该公司已经能够向思科的信任代理提供状态信息。该代理从CA软件和台式电脑和笔记本电脑上的其他软件收集数据,以开发试图访问网络的计算机的配置文件。
同样的,IBM该公司的Tivoli安全合规管理器与思科的NAC兼容,因为它可以扫描进入网络的机器。它本身不能强制设备是否获得访问权限。它仍然需要来自思科或其他供应商的基础设施来执行政策。
ETrust和Security Compliance Manager软件适合于NAC体系结构,但不能单独创建NAC环境。思科,微软TCG列出了许多合作伙伴,他们的装备符合NAC计划,并可以自称是NAC供应商。客户必须弄清楚供应商所说的“NAC支持”是什么意思。
另一个主要的复杂因素是,微软有自己的NAC架构,称为网络访问保护(NAP)。因为它涉及到微软及其普及服务器和桌面软件,所以NAP是NAC领域的一个主要因素。问题在于关键组件不可用,使得互操作性无法在微软NAP平台有限的测试版之外进行测试。
从正面看,75供应商他们承诺,一旦微软的NAP组件可用,他们的设备就能与之互操作。这包括思科,微软正在与之开发NAP和思科NAC互操作性。思科正在推动IETF实现NAC标准,但并未参与TCG。该公司约有30家合作伙伴提供思科nacc兼容设备,另有27家合作伙伴正在开发此类产品。
搞清楚NAC要求
无论供应商的选择,企业必须知道网络的挑战,他们正试图他们拥抱NAC之前解决乔尔·斯奈德,在作品一号高级合作伙伴和网络世界实验室联盟的成员说。足球竞猜app软件出人意料的是,许多企业都跳入NAC不首先确定业务需求,这将保证投资,他说。
位于柯林斯堡的科罗拉多州立大学商学院(Colorado State University College of Business in Fort Collins)是较早采用NAC的机构之一,目标明确。该校技术主管乔恩•施罗斯(Jon Schroth)表示,该校希望控制访客和学生对网络资源的访问,同时尽可能保持基础设施的开放。他还说,他也不想拆除硬件,也不想负责在用户设备上安装软件。
Schroth选择了Vernier的EdgeWall设备,该设备可以对用户进行身份验证,扫描他们的机器,并根据从学校的Active Directory服务器中提取的数据强加政策。他表示:“我们是一家微软商店,我们希望能够在可能的时候利用这一点。”
由于EdgeWall坐在接入和核心交换机之间,在执行政策,它与学校的混合生命值不改变网络拓扑结构的ProCurve和3Com交换机。
其他NAC方案,如思科和TNC,使用802.1X在交换机的端口认证,在执行政策和施罗特说,他可能最终会采用这些架构之一。现在EdgeWall作品,可能就足够了,直到两年学校的下一个交换机的升级。“也许那我们来看看[更广的NAC架构]如果它的交换机中集成的,”他说。
另一个早期采用者NAC表示,这是至关重要的,以保护在新最近$ 250,000个投资至尊网络当他加入NAC的时候。“我不能仅仅为了满足一个项目的需要,就在交换机上花费25万美元,”KAMO Power公司的IT主管罗伯特•莱姆(Robert Lemm)说。KAMO Power公司位于俄克拉荷马州的维尼塔,服务于堪萨斯州、阿肯色州、密苏里州和俄克拉荷马州。
当寻找NAC设备来更好地保护KAMO Power的网络免受来自energy co-op子公司的有害流量时,Lemm说他考虑过但拒绝了思科NAC设备,因为它需要思科交换机。他说,即使他已经拥有了它们,在它们上执行NAC也需要额外的成本。“如果我们有思科交换机,我们就必须为每个交换机购买许可证,”他说。
除此之外,思科本可以将CiscoSecure访问控制服务器(ACS) NAC设备嵌入KAMO Power的极端开关以执行访问策略,但这会使每个ACS设备成为单点故障。他说:“从网络可靠性的角度来看,这并不明智。”
Lemm也排除了Extreme的访问控制系统基于其Sentriant设备。在他看着它在去年的时候,它筛选在第3层,但并不是所有的方式第7层,这正是他一直在寻找,他说。
他选择了Juniper的Infranet控制器策略引擎与微软Internet验证服务认证服务器配合,以确定哪种类型的访问终端设备应该得到。有Extreme交换机和Juniper集成安全网关设备相结合的防火墙,VPN和入侵检测作为执行点。
部署避免了很多开关更换的,但它的效果并不理想,他说。瞻博网络需要一个企业级的管理系统,其NAC系统的各个部分,以节省管理时间。现在,他使用Web接口来直接管理各个机器或NetScreen安全管理器来管理Infranet控制器。
早期用户
一些早期的用户,如加拿大大赌场,买成一个单一的供应商的方案。里士满,不列颠哥伦比亚省,公司选择北电网络“大加拿大”公司的IT主管加里·沃德说,这款手机拥有安全的网络接入开关。
沃德说,公司想要在大厅和会议室等公共场所锁定通道,以便客人登录。Nortel gear扫描试图登录的设备,并通过网络中的Nortel交换机强制执行访问策略。终端检查要求设备启动其浏览器,沃德说,这是一个缺点,但北电说,它正在开发一个无浏览器版本。
Ward需要注意的是,北电架构支持其他厂商的实施点,而不仅仅是某些北电交换机。沃德说,由于Great Canadian正在通过收购实现增长,它可能会收购一个业务实体,该实体的网络由另一家供应商的交换机构成。他解释说,他不希望这种多样性阻碍通用NAC的部署。北电表示,北电的优势在于,它可以与其他厂商的设备兼容,符合TCG规范。
前往NAC的底线
NAC的底线是,虽然它可能是一个年轻的、尚未完全确定的技术,但它可以在适当的环境下实现价值。弗雷斯特研究公司(Forrester Research)的分析师罗布•怀特利(Rob Whiteley)说,关键是只将NAC应用于满足特定需求。
Whiteley说,要用发展的眼光来看待NAC,这样未来的安全和网络收购才能适应仍在发展中的更广泛的NAC架构。他说:“你要确保你没有部署安全岛屿。”
<以前的故事:常见问题在南汽|下一个故事:该ESB:驾驶SOA进入企业>
了解更多关于这个话题
NAC竞争:Juniper的基础网06年4月3日
竞争对手:思科的网络控制06年4月3日
NAC竞争:可信网络连接06年4月3日
小组讨论:NAC有希望,但小心行事9/20/06