网络访问控制(NAC)的新角色

网络 通信技术
专家指出,NAC不再只是访问控制;而是提供终端可见性和感知环境的安全性。Enterprise Strategy Group的研究表明,NAC正演变成一种新的平台产品,它叫终端监控、访问与安全(EVAS),它能够实现感知环境的安全性,可以给其他安全平台提供信息,同时应用这些平台专用的策略。

网络访问控制(NAC)名声不好,我们得让它改改。过去十年里,NAC出现了部署失败和安全策略过份严格等问题,这使得许多CEO发现按照IT部门实施的NAC,自己的笔记本电脑无法访问网络。

但是,现在情况已经发生变化。专家指出,NAC不再只是访问控制;而是提供终端可见性和感知环境的安全性。Enterprise Strategy Group的研究表明,NAC正演变成一种新的平台产品,它叫终端监控、访问与安全(EVAS),它能够实现感知环境的安全性,可以给其他安全平台提供信息,同时应用这些平台专用的策略。

ESG高级主任分析师Jon Oltsik指出,早期的NAC解决方案会检查用户设备的状态,保证它们未感染病毒,并且安装了正确的终端安全 软件,然后才允许它们连接网络。之后,NAC增加了软件补丁和配置检查。现在,NAC解决进一步发展成为EVAS平台,从而符合企业关于感知环境安全性的需求。他说,思科、瞻博、ForeScout和Bradford都推出了这样的产品。

EVAS的特点是增加了两个新功能。这个平台可以整合到其他安全和策略系统,而且与早期NAC系统不同,它们不仅能处理传统PC机,也能处理更广泛的终端设备。

Jon Oltsik说:“EVAS已经整合到基础架构的其他部分上,包括MDM[移动设备管理]、身份验证和RADIUS服务器等。它既可以提供分析的信息,也能够加强策略。而且,EVAS面向下一代终端开发;而不仅仅针对于PC。它包括移动终端和其他一些IP设备,如打印机、控制系统、医疗设备或其他需要监控的网络设备。它能够识别设备,也能够提供这些设备上与环境相关的信息。

企业会在其中部署许多安全分析工具,包括安全与事件管理平台、数据包分析或流量分析等。安全工程师真正缺乏的是这些分析的更详细信息。当您想知道用户在使用哪些设备,他们执行了哪些活动,以及特定时间的系统配置情况,这里会缺少很多信息,而且很难捕捉这些信息。EVAS可以作为一个中间设备,捕捉这些信息,并且提供更详细的信息。”他还指出,EVAS还可以应用策略,这是分析平台无法做到的。”

终端可见性与访问控制:是变换名称还是新技术?

Frost & Sullivan 网络安全行业分析师Chris Rodriguez指出,NAC并不一定会发展成为一个新产品。但是,在最近几年,客户发现了一些除简单访问控制之外的用例,这项技术增加了一些新功能。EVAS的说法是“更准确反映NAC价值的一种尝试。”此外,他还认为,这也是改变过去几年NAC市场中因为部署失败而造成的不良名声。客户一直说,使用NAC解决方案,他们可以看到比任何终端管理解决方案更多的东西,他们看到的不仅仅是企业拥有的设备。也能够监控员工拥有的设备,以及不能安装客户端的设备,如控制系统和医疗监控设备。

EVAS控制着终端,而非数据

虽然可见性和感知环境很重要,但是并非所有人都认为终端是最需要关注的元素。Forrester Research主任分析师John Kindervag指出,安全供应商应该关注于真正有价值的东西——数据。

Kindervag说:“我认同可见性,但是我们的终端不需要它。终端上更需要的是数据,因为终端的数量太庞大了。您无法控制这么多的终端。我们需要控制自己能够控制的东西,那就是数据。为了保护数据,企业需要检测和监控所有的流量,因为这样才能够知道数据发生了什么变化。他说,担心谁有权限访问网络是浪费时间。在这里,流量是很有价值的。我们完全不需要直接进入终端,流量就可以告诉我们终端中发生的一切。这也是更有可能实现的位置。它与进入网络设备无关。我们必须从认识上纠正这一点。边界已经没有意义。我们要超越它。”

基于终端的控制还造成了对安全性和合规性的一种误解。是的,进入我们网络的人都是批准进入的。所以不如就让他们正正当当进来。让所有人都从前门进来,但是我们要盯住数据。如果有人想要动数据,那么您就要采取措施。在您关注数据之后,终端保护可能会受到影响,但是不要认为可以在终端上解决这个问题。

多年以来,Kindervag和Forrester Research都认为企业应该采用一种“零信任”安全模型,也就是认为所有流量都是不可信的,它们都应该检查和分析。即使授权用户连接网络的设备符合策略规定,他们也仍然可能威胁公司的数据。所以,企业必须跟踪数据传输,而不要关注于谁和什么设备在访问网络。

NAC/EVAS供应商支持这种零信任方法。ForeScout首席销售官Scott Gordon说:“假设您有一个企业政策,它要求用户激活个人防火墙,要求设置特定的补丁级别,并且要求安装并激活数据丢失保护软件。我们的系统可以动态验证网络进出访问。如果数据丢失保护[DLP]安装但没有运行,那么就可能存在一种风险,即DLP管理系统会误认为一切都是正常的。NAC/EVAS平台可以检测到终端未激活DLP,然后指示DLP系统通知该设备的客户端。”

责任编辑:林琳 来源: TechTarget中国
相关推荐

2013-08-22 09:55:14

2011-12-06 09:55:13

网络访问控制NAC

2010-09-28 15:48:30

2009-12-24 14:43:53

网络接入控制NAC

2014-08-11 11:01:43

AngularJS

2010-08-20 09:37:10

2009-12-29 14:27:15

NAC方法

2015-05-14 09:31:10

2011-08-03 10:01:28

网络智能手机

2011-08-03 10:20:27

网络智能手机

2015-08-28 09:31:00

2019-11-22 09:40:40

SpringJava编程语言

2019-07-30 08:42:54

网络访问控制网络地址转换网络

2009-01-13 09:33:00

2009-09-28 09:42:17

2010-08-18 13:13:01

静态路由

2022-10-27 11:32:23

2024-04-03 10:58:08

2010-09-29 16:43:42

2010-08-24 16:07:53

点赞
收藏

51CTO技术栈公众号