随着网络访问控制(NAC)市场继续在发展壮大,我们分析了现代NAC解决方案具有的主要功能,以及企业组织在选择和实施NAC时应该留意的一些方面。
网络访问控制(NAC)继续以越来越快的速度发展壮大,那是由于支持它的那些技术终于得到了长足发展,实现了这一承诺:在各种类型的设备上都能做到真正有用的访问控制。据知名调研机构加特纳集团(Gartner)声称,NAC市场在2014年增长了36%;据估计,该市场在2015年会继续另外增长20%。今天我们不妨分析一下大多数***NAC解决方案具有的主要功能,以及它们可以为可能实施的企业提供什么样的好处。
网络访问控制的简短历史
NAC这个术语及随之带来的市场已经存在了一段时间。许多人在交流中时有耳闻,但是它在各种类型的设备和用户上提供完整解决方案的功能却常常局限于硬件及/或软件方面的特定限制。
老式NAC提供了实施策略管理服务器的功能,而服务器规定了身份已知的用户和设备在特定网络上能够从事哪些活动,通常使用IEEE 802.1X。这包括这一功能:根据企业制定的策略和程序,实行网络限制,另外满足某些政府监管法规所提出的要求。它还提供了根据当前的操作条件限制设备的功能;比如说,设备的操作系统是不是打上了***的补丁?有没有安装一款有效的防火墙、反病毒及/或反恶意软件解决方案?有没有安装任何受限制的应用程序?
这类解决方案的一大制约在于,它们通常受制于已安装特定操作系统的设备及/或能够安装随附NAC代理的设备。这方面的一大制约因素是IEEE 802.1X标准的设计本身。IEEE 802.1X要求,终端设备要安装功能强大的客户端(supplicant),用来与中央验证服务器进行通信。这种解决方案还要求,没有安装及/或支持客户端的那些设备(包括打印机及其他网络外设)要有一种旁路机制(bypass mechanism)。
现代NAC设备
现代NAC设备大大增强了其前一代产品的功能。其中一些增强的功能包括如下:
•无代理操作――老式NAC系统与现代NAC系统的***变化之一在于,后者能够支持无代理操作。功能方面的这一个变化就大大增强了解决方案的灵活性。受到支持的设备不再仅限于运行只能在***的操作系统上才能运行的IEEE 802.1X客户端或专有代理的那些设备。(请注意:这并不意味着IEEE 802.1X就无法使用,因为检测和验证并不仅限于那些受到支持的设备和操作系统。)
•扩展的策略功能――虽然老式解决方案在为一组有限的支持代理的客户机提供策略选项方面做到很到位,但是它们仅限于一组特定的客户机(通常是IEEE 802.1x/受到支持的代理)。由于无代理操作,NAC支持数量更广泛的设备,因而增加了可以支持的不同政策扩展的数量。这包括:能够实时地监测控制用户/设备/应用程序进行的操作,及/或允许在网络上进行何种操作。这可以通过建立上下文配置文件来实现,该配置文件包括每个用户及相关设备、使用的应用程序、端口、联网设备等方面。
•上线支持――可能需要IT人员花大量时间的任务之一就是,配置接入到网络上的新设备。由于要支持自带设备(BYOD),这方面的任务大大加重了。现代NAC提供了通过可配置门户网站,自动配置这些设备的功能。
•扩展的访客管理――对某些企业来说,其操作的一大方面就是处理访客如何能够访问网络资产,又不泄露专有资源。大多数老式NAC设备提供了限制访客所能访问的资源这一功能。现代NAC设备在此基础上有所增强:允许访客通过获得内部授权而暂时访问特定的内部资源,同时又能够受到NAC的密切监控,确保没有出现异常行为。
•扩展的配置文件支持――老式NAC设备提供了使用通过验证的用户信息来识别设备这一功能,但这个功能通常很有限,因为以特定用户名登录的设备将被赋予与登录到另一个设备的同一用户一样大的权限。要是另一个设备是个人设备,这可能是个问题。现代NAC提供了这种功能:利用可用信息构建详细的配置文件,这些信息包括用户名、验证状态、电子邮件地址、IP地址、MAC地址、主机名称、设备类型、操作系统、反病毒和用户/设备行为及其他信息。
比如说,用户可能被分配了公司笔记本电脑和个人手机。现代NAC就能够更改每个设备的访问权,不管访问两种设备的是不是同一用户:笔记本电脑可以访问所有的内部资产,而手机只能使用电子邮件、接入互联网。
•扩展的端点合规――现代NAC增强了许多老式解决方案的针对特定代理的合规性。这意味着,不需要代理,就能够完成一些任务,比如检查设备健康状况(补丁级别、安装及更新的病毒扫描工具,安装及更新的反恶意软件扫描工具)、更新的软件应用程序以及检查受到支持的外设。
•高级威胁防护(ATP)及缓解――现代NAC的一项重要功能就是,能够包括或关联高级威胁防御及缓解系统。由于NAC监控网络上的用户和设备,它们还能够有望检测它们的行为何时偏离了预期行为。然后,可以自动缓解这些行为,不需要IT支持人员的干预。
•扩展的监控和报告(可见性)――无论老式NAC还是现代NAC,任何优秀NAC的一个方面在于,能够监控受监控的网络用户和设备的操作,并且报告发现的状况。现代NAC增强了这项功能,能够借助简单视图,并通过众多的报告选项,查看网络、各个用户的行为如何。
•扩展的系统整合和互操作性――任何现代NAC的一个方面部分在于能够与其他关联系统协同发力。众所周知,IT环境拥有众多不同的系统,这每个系统在各自擅长的方面做得很好,可是在其他方面做得并不好。大多数现代高级NAC提供了与许多其他这些系统协同发力的功能。至少,它们应该支持与下列类型的系统进行整合:移动设备管理(MDM)、安全信息和事件管理(SIEM)、下一代防火墙(NGFW)以及数据库服务器(比如LDAP(AD)、Oracle、MySQL和SQL Server)。
如今,NAC技术终于实现了它最初被人讨论时许下的承诺。借助现代NAC,企业组织能够密切监控连接至企业网络的每个设备,通过许多不同的策略控制它们访问网络的功能,并且一旦发现特定的事件偏离用户及/或设备类型的正常范围,就阻止设备访问网络。这种系统具有的潜在优点不可低估。但愿本文让你大概了解了借助这些新系统有可能实现什么。
