NAC管理可能令人头痛
策略服务器需要跨越安全、网络和桌面边界
NAC部署在管理方面存在特殊问题,因为它们跨越了负责安全、网络配置和桌面配置的组之间的边界。任何NAC管理平台都必须能够集成到所有这三个领域。
NAC部署存在特殊问题管理因为他们跨越了不同群体之间的界限安全、网络配置和桌面配置。任何NAC管理平台都必须能够集成到所有这三个领域。
我们发现思科美国的ACS在安全与桌面配置方面的分工是明确的。美国癌症协会服务器将所有关于终端安全状态的决策过程推到外部姿态检查工具上。作为回报,这些工具向ACS发送一个简单的状态令牌,例如“Compliant”,可以包含在政策决策制定中。这种控制分离最初看起来很粗糙,但实际上是一个很好的设计。处理后补丁管理它在自己的权利中复杂的工具很明显,在组织的姿态评估方面和访问控制方之间具有简单而清晰的界面,是唯一的可行选项。
思科对于第三方将审计和终端健康信息集成到ACS所需的协议和接口也非常开放。这一明确的划分使CNAC框架在参与各自NAC计划的第三方数量和支持的选择范围方面都比TCG/TNC占优势。
但是TCG/TNC并不是没有可行的管理方案。瞻博网络您的UAC设备提供了两种方法:定义的“off”方法,清楚地将访问控制从姿势评估分开,或者从相同的界面控制姿势评估和访问控制的更集成。第二个选项是UAC器具根源的遗留,作为SSL VPN策略引擎,其中这两个功能传统上密切相关。虽然我们怀疑最大的部署是一个相当强烈的职责分离,但对于网络安全和桌面安全的专业知识和责任通常是分开的,这很好。
我们已经讨论过我们对Cisco安全ACS中的策略配置工具的不满本测试报告的执行部分.由于ACS旨在作为RADIUS服务器操作,因此不作为网络安全的活动部分,因此它也缺少监控和状态工具,这对调试和轻网监视任务有所帮助。思科了解瓶颈的ACS原因,并表示正在努力解决它的计划。
虽然Juniper的UAC设备拥有更好的策略配置、状态和监控工具,但Juniper也解决了将RADIUS服务器的附加功能集成到管理界面这一更困难的问题。我们很想看看Juniper在UAC的下一个版本(版本2.1预计将在秋季发布)中做得如何,届时将会公布使用单一设备进行全面部署所需要的特性。
南汽管理的经验教训
NAC管理的一个最重要的部分是能够划清网络安全配置和终端姿态评估之间的界限。我们在TCG/TNC框架中使用的Cisco ACS和UAC设备都很好地划分了这两个功能。然而,中航集团第三方产品的数量远远超过TCG/TNC阵营中已宣布的产品数量。
如果说中航集团有一个致命的弱点,那就是思科ACS内部的安全管理功能。Juniper的策略管理不仅更有用,而且为安全管理器提供了更好的访问管理选项和更细粒度的控制集来处理不同的用户社区。
斯奈德是亚利桑那州图森市一家名为Opus One的咨询公司的高级合伙人。可以通过Joel.Snyder@opus1.com联系到他。
Snyder也是网络世界实验室联盟(Network World足球竞猜app软件 Lab Alliance)的成员,该联盟由网络行业的主要审稿人组成,每位审稿人都有多年的实践经验。欲了解更多实验室联盟信息,包括如何成为成员,请登录m.banksfrench.com/alliance..
查看本包中的其他故事:
主要的故事:NAC现在能为您做些什么?
了解更多关于这个主题的信息
版权所有©2007.足球竞彩网下载