建立身份管理的动力

足球竞猜app软件 |

身份管理技术开始编织在一起应用程序以及企业网络的网络层,极大地改善了访问控制,减轻了管理负担,帮助用户满足严格的要求合规和安全要求。

这一新兴趋势的工具将于本周在圣克拉举行的年度数字身份世界大会上展出,届时Apere、Applied Identity、Caymas、ConSentry Networks、身份引擎和可信网络技术(TNT)等供应商将展示他们的网络访问控制(NAC)设备。NAC依靠身份来确定哪些机器进入网络——更重要的是,用户进入网络后被授权做什么。

尽管NAC的势头正在增强,但用户和分析师表示,在一个遵从性驱动的世界中,通过身份将网络和应用层统一起来是降低风险的一个缺失环节,在这个世界中,接入预计来自任何地方,网络边界正在消失。

身份与网络

一些网络访问控制供应商将在本周的数字ID世界会议上亮相,他们将采用身份识别技术,通过集成网络层和应用层来帮助提高网络和数据安全。
供应商 产品 评论
Apere 身份管理接入网关 将配置工具与访问控制结合起来。
应用身份 Identiforce 基于身份的网络访问管理。
Caymas Identity-Driven访问网关 网络访问控制和SSL VPN合一。
ConSentry网络 LANShield控制器 实施基于用户的访问控制。
身份引擎 点火 用于替代RADIUS服务器。
受信任的网络技术 司机身份;I-Manager;I-Gateway 三个产品结合了用户数据和策略。

企业战略集团(Enterprise Strategy Group)信息安全高级分析师乔恩•奥尔提克(Jon Oltsik)表示:“了解谁在网络的另一端变得越来越重要。”“安全、合规和全球业务计划将推动这两个(层面)融合在一起。”

为了强调复杂NAC选项的出现,思科微软在上周的安全标准会议上,发布了一份白皮书,详细介绍了用户如何集成思科的网络准入控制和微软的网络访问保护(NAP)技术。两家公司表示,他们将支持彼此的协议,但仍坚持他们之前的声明,即他们将开发自己的NAC框架,同时为用户提供集成两者的方法。

他们说,互操作性部分将取决于一个单独的代理,该代理将与Vista和Longhorn Server一起发货,它将在思科和微软平台上工作,可以被第三方使用,将他们的系统绑定到架构中。思科将继续开发其信任代理,以支持非微软平台。

两家公司计划在年底前开始对有限数量的用户进行测试,但整个架构要到2007年底微软Longhorn Server发布后才能使用。

相比之下,Caymas, ConSentry,TNT和其他运输硬件和软件超越确认机器目前在补丁和防病毒和间谍软件签名——这是网络的入院前检查思科和微软最初的重点是——在postadmission控件使用存储在应用程序层身份和政策控制网络的外观和对特定用户的反应。

从遵从性和审计到更简单的管理,用户已经在总结加强安全带来的好处。

安大略省上加拿大区学校董事会的首席信息官杰里米•霍布斯(Jeremy Hobbs)表示:“从安全和服务的角度来看,身份一直非常有用,因为我们一直认为,访问是基于你认识谁,现在我们可以清楚地表达人们得到了什么。”“从可管理性的角度来看,它是巨大的。而且,我们的审计师也喜欢它。他们问我们如何决定谁可以进入我们的金融系统,基于身份,我们可以说,这些工作代码可以进入我们的金融系统,而其他人没有。”

在过去的一年里,霍布斯重新设计了他的网络基础设施,以便通过用户身份和一套规则、角色和政策(例如,学生的年级水平)来控制对资源的访问;用户是教师还是管理员;以及用户累积的威胁历史记录。

在内部,该地区建立了其身份和访问控制微软的活动目录和NAC工具从尼维斯网络。在外围,它使用Caymas的身份驱动接入网关,与地区写入并存储在Active Directory中的权限集成,以控制远程用户的访问。

“有了Caymas,我们可以追踪到每个人的个人文件,”霍布斯说。

驱动力是身份认同,网络供应商从多个角度看到了光明。

Caymas开始做VPN终止,而ConSentry是传统的NAC供应商。TNT最初是一个身份供应商,最终进入网络层,在那里它将身份信息放入包中。

许多支持身份识别的硬件都是内联的,不需要对基础设施进行大修,而且工作速度快,因此网络架构师不会引入延迟。

当用户的身份被添加到新的组或职位时,访问控制将基于新身份,基于旧身份的控制将自动消失。

“我们所有的访问控制都基于用户和机器的身份,”TNT营销和商业策略副总裁罗布•恰姆帕(Rob Ciampa)表示。“我们在后端设置了访问控制规则,所以你不必基于IP地址和TCP或[用户数据报协议港口。”

TNT已经帮助乔治亚州锁定了163个县的选民登记系统。

“我主要是想控制哪些机器可以进入我们的网络,”该州的网络工程师韦斯•彼得斯(Wes Peters)说。

通过IP地址封堵机器防火墙不是一个选项,彼得斯说,因为许多用户没有静态IP地址。现在,他通过具有TNT驱动程序的特定可信机器的身份来控制对网络的访问,并通过限制那些可信机器访问登录屏幕来隐藏自己的网站,以防止黑客攻击。

还有人说,启用身份控制意味着用户不再需要管理访问控制列表、虚拟局域网或防火墙规则。

“只要用户进入网络并进行身份验证,你就可以根据存储在我们引擎中的策略,在网络中强制执行该用户的角色和责任半径或活动目录[a轻量级目录访问协议ConSentry的首席技术官杰夫•普林斯(Jeff Prince)说,该公司制造了一台位于交换基础设施后面的设备。

该公司计划今年推出自己的Layer 2-3 10/100/1000Mbps交换机,该交换机集成了一个身份支持设备,将与微软Vista桌面操作系统推出的NAP技术集成在一起。

专家说,他们预计网络层身份识别趋势在未来两到三年内不会达到临界规模。

Frost & Sullivan的网络安全分析师罗布•阿尤布(Rob Ayoub)表示:“我们多少觉得,身份这块将许多现有的安全技术捆绑在一起。”“身份认证正在兑现过去曾暗示但尚未完全实现的安全承诺。”

了解更多关于这个主题的信息

《保安标准》杂志上的"街头男人

9/8/06

NAC列车要出站了

8/26/06

NAC, VOIP安全在黑帽受到质疑

8/7/06

NAC之外:内部控制

7/31/06

加入网络世界社区足球竞猜app软件脸谱网LinkedIn对自己最关心的话题发表评论。
相关:

John Fontana是Network World的高级编辑。足球竞猜app软件

版权所有©2006 IDG Com足球竞彩网下载munications, Inc.

SD-WAN买家指南:向供应商(和您自己)提出的关键问题