到底誰需要網(wǎng)絡訪問控制(NAC)?

字號:

網(wǎng)絡訪問控制(NAC)成為大多數(shù)公司網(wǎng)絡安全架構的標準組成部分之前,仍有很長一段路要走,不過增長跡象已出現(xiàn)在面前:據(jù)Infonetics研究公司聲稱,到2010年,預計廠商的NAC執(zhí)行設備銷售額將達到6.29億美元。
     那么,到底誰需要NAC呢?
     簡單的回答就是,如果你希望在一臺機器獲準連接到網(wǎng)絡之前,檢查機器是否通過配置健康測試;如果你希望機器獲準訪問之后如果違反了策略,能夠限制訪問權,那么就需要NAC。
     通過健康測試并不意味著機器沒有染上可能給網(wǎng)絡帶來危害的病毒,不過這有助于減少機器造成麻煩的機會。
     到目前為止,大學和醫(yī)療機構比其他行業(yè)的組織更加積極采用NAC,這是由于它們都擁有龐大的用戶在使用連接、斷開、再連接到網(wǎng)絡的移動設備。NAC有助于提供一些保證:這些設備在與網(wǎng)絡斷開時,保持可靠的安全狀態(tài)。
     NAC的主要任務就是決定允許哪些主機連接到網(wǎng)絡,并且留在網(wǎng)絡上。做出這些決定的標準有很大不同:從介質訪問控制(MAC)地址在白名單上,到通過查找諸多參數(shù)的健康檢查。這些參數(shù)包括諸如此類的因素:反病毒軟件經(jīng)過更新,而且在運行打上補丁的操作系統(tǒng);所需的注冊表設置;以及合理配置的個人防火墻,等等。
     這些標準還可以包括某個設備是否仍處于健康狀態(tài);一旦獲準接入網(wǎng)絡,其行為是否得當。
     人們希望這種準入控制可以防止安全可能受到危及的機器利用惡意軟件感染網(wǎng)絡、阻止竊取數(shù)據(jù)。訪客和顧問們連接到網(wǎng)絡上的移動設備及其他設備就是可能會帶來安全威脅的幾種機器。密西西比西北社區(qū)學院(Northwest Mississippi Community College)在安裝NAC設備之前,每個學年的頭兩周都要用于清理學生使用的電腦;而自從有了NAC設備,這個過程實現(xiàn)了自動化。Chuck Adams是這家社區(qū)學院設在密西西比州塞納托比亞的主校園的網(wǎng)絡管理員,他說,如今,由于為六名全IT員工和學生教工騰出了這段時間,Mirage Networks公司的NAC設備只用一個學期就基本上收回了成本。
     Adams說:“我們希望不用去清理學生的PC。我們還沒有完全實現(xiàn)這一目標,不過現(xiàn)在幾乎就要實現(xiàn)了。”
     巴爾的摩默西醫(yī)療中心的IT主管Mark Rein說,在采用NAC之前,潛在客戶要明確定義需要什么樣的限制、健康的主機要具備哪些要素。Rein說:“你必須確定自己試圖要保護什么,確定可能需要建立哪些不同網(wǎng)段?!边@意味著要為NAC設備制訂所要執(zhí)行的策略。他說:“策略涉及你需要知道的方面和你不想看到的方面。”
     Nemertes研究公司的高級副總裁Andreas Antonopoulos說,實際上,許多公司并沒有在非常積極地部署NAC。
     據(jù)今年年初他對IT主管們開展的一項調(diào)查顯示,能夠連接到專用虛擬網(wǎng)(VPN)是NAC為大多數(shù)遠程主機扮演的惟一角色;幾乎沒有哪家公司對局域網(wǎng)端口實行訪問控制。他說,只有大約14%的調(diào)查對象實行了端點檢查,檢查應用程序和操作系統(tǒng)的補?。皇欠癜惭b了防火墻、反病毒或者反間諜軟件等軟件;USB連接的設備以及口令強度。
    不過他說,近60%的人希望自己至少能夠檢查是否安裝了防火墻、反病毒和反間諜軟件等工具。他說,大約40%的人還希望對口信和和操作系統(tǒng)進行檢查。不到三分之一的人希望檢查應用程序是否得到了更新。思科公司推出了思科網(wǎng)絡準入控制(CNAC)架構,而可信計算組織(TCG)正在竭力制訂開放標準,以便任何一家NAC廠商都能遵守。
     今年早些時候,微軟公司發(fā)布了自己的協(xié)議。其網(wǎng)絡訪問保護(NAP)代理可以使用該協(xié)議,把有關端點狀況的數(shù)據(jù)從端點傳送到NAC策略服務器,而策略服務器負責決定設備是否得到訪問權、得到多大的訪問權。今年早些時候,Juniper公司在互操作性大會上公開演示了這種兼容性;雖然該公司最近為采用其NAC架構(Juniper稱之為統(tǒng)一訪問控制,UAC)的設備發(fā)布了最新版本的軟件,但該軟件并不包含這種兼容性。就連參與微軟NAP計劃的合作伙伴也沒有匆忙參與進來。
     Current Analysis公司的分析師Andrew Braunberg說:“在我看來,NAP還遠未出現(xiàn),以至我并沒有每天在想它。”他每年都會開展NAC需求方面的調(diào)查;今年的結果顯示,大多數(shù)客戶也沒有每天在想NAP。他說:“人們可沒有興趣等待NAP。”
     他的調(diào)查結果就是,由于微軟一再推遲發(fā)布部署NAP的必要組件,結果NAP受到了拖累。Braunberg表示,自上一年的NAC企業(yè)需求調(diào)查開始以來,愿意等微軟交付NAP的調(diào)查對象的百分比出現(xiàn)了下降;愿意等明年初微軟發(fā)布NAP后再部署的調(diào)查對象為數(shù)不多。