好吧,我会带诱饵。我是一个糟糕的巨魔傻瓜。:-) NAC提供商Instsecure的首席Blogger Alan Shimel远离RSA漂亮的氛围关于NAC的前景。他对咧嘴笑嘻嘻的是我的频繁抗议奖励那个NAC毫无价值。我猜他害怕我会破坏圣诞早晨还清那个NAC供应商的希望。
首先是背景:NAC当然是思科营销部门于2003年发明的概念,以反驳由RPC基于RPC基于RPC的蠕虫如MSBlaster造成的问题。即使是具有伟大防火墙和桌面安全性的组织也受到了上班的受感染笔记本电脑的损坏。该概念很简单:网络是否检查了这些笔记本电脑,看看它们是否正确配置了软件更新和病毒签名更新,然后让他们在网络上。这是网络准入控制,并且作为Shimel指出它相当难以实现。大多数NAC球员都改变了他们的方法和营销,以便“入学控制”变形为“访问控制”。不要让我错了,我一直是用户访问控制的巨大支持者,因为自暴露于探险基于网络的身份网络的概念。您必须限制最终用户对网络的应用,数据和部分的访问,以保护自己免受内部内部威胁。
像RSA的Shimel一样,我遇到了一堆所谓的NAC供应商。至少有一个是彻头彻尾的沮丧。你可以告诉他们下一个锁定的地方。我不会提到哪位供应商,因为我不愿被指控赶紧他们的消亡。然后,我与该公司会见了Gartner在Gartner的伙伴用作NAC获得牵引的例子。(对不起Alan,它并不令人遗憾。)在UTM空间支出一年后,已经推动了5亿美元/年的一次测量,这就像放大镜头来评估他们的业务:40名员工,几十美元数百万收入和对教育市场的全面兴奋。
NAC是创建的,以解决将受感染笔记本电脑带到网络的用户的问题。这就是为什么没有大型市场的NAC。对于所有类型的组织,除了更高版本之外,已经部署了解决问题的技术。Wit:补丁控制,桌面保护和内部网络分段。
我很抱歉Alan,NAC不是供应商的可行商业模式,并且为企业提供复杂性和成本,可以减少网络访问,同时无需增强安全性。不是安全解决方案?我怎么这么说?简单:
1. NAC没有任何东西可以阻止恶意用户使用清洁的计算机与您的网络。
2.零天感染将感染正确配置的机器,具有上达达特签名。
3. NAC违反了Stiennon的第一个,只有网络安全规则“你不应该相信终点报告自己的状态。”正如黑客定期欺骗IP地址和MAC地址,机器状态可以欺骗。
NAC是一个很好的强制工具,当您拥有一个用户每一个学期的用户在多个供应商的日期机器中下降,有多个操作系统,并且您可以拒绝他们访问,直到它们由鼻涕。这是模型工作的唯一地方。即使在大学,我相信他们最终会发现管理网络安全有效,而不是担心桌面配置一直很容易。
把它置于这种方式:你可以没有NAC保护你的网络吗?是的。NAC是否无论如何都降低了您的整体成本?不,NAC是否将您与一个供应商的生态系统联系起来?是的,如果您下载思科,瞻博网络或Microsoft路由。NAC让你更安全吗?不。
那你为什么要投资NAC?