许多网络和安全管理员已经采用或者正在考虑采用网络接入控制(NAC)支持企业安全政策,然而关于NAC技术仍存在一些疑问。
NAC已经迅速成长为强制执行信息安全政策的一种手段。但是,没有一个统一的标准,NAC的发展仍存在不确定性。想一想过去Betamax格式与VHS格式的竞争以及最近蓝光与HD DVD格式的竞争,这种令人害怕的影响是很容易理解的。
NAC标准有如今可以说是三足鼎立,兼容性和开发合作的程度都有所不同。
可信赖计算集团(TCG)的可信网络连接(TNC)是这个组织的成员公司使用的一整套标准。
网络接入保护(NAP)是微软进入计算机状况检查领域采用的技术。随着Windows Server 2008的推出,NAP将得到广泛应用。
互联网工程任务组(IETF)一直在研究一套NAC标准,这个标准被命名为网络端点评估(NEA) 。
NEA目前仍在标准制定的过程之中,可能过一段时间会成为标准。IETF和TCG NAC工作组的共同主席Steve Hanna解释说,IETF由个人组成的。NTC是由成员公司开发的。因为对IETF的计划提供意见通常是全球各地的人通过电子邮件提出来的,而TNG的方法由于参加者数量有限效率会更高一些,因此,IETF制定标准需要更长的时间。
Hanna解释说,IETF的计划已经实施一年时间了,到目前为止对于这个标准应该是什么样子还没有达成一致的意见。他说,他认为这个过程需要几年的时间。但是,这是不是意味着等待IETF标准的那些人也需要等待几年的时间再使用NAC系统呢?
等待还是应用?
最近,我r主持了一家网络安全公司安排的NAC讨论会。潜在的和当前的NAC用户利用这个机会向这个讨论会提出了许多有关NAC产品和发展方向的问题。参加这个讨论会的包括思科、惠普的ProCurve部门、赛门铁克和Juniper Networks等公司的代表。
毫无疑问,参加讨论会的人员头脑中考虑的主要问题是缺少一个单一的、统一的标准。然而,在回答有关用户是否应该等待标准确定之后再使用NAC的问题时,所有的代表一致表示,如果有直接的需求并且有一个解决方案,最好现在就使用。
不过,对于所有这些标准最终是否会融合在一起仍存在侥幸心理。Hanna希望IETF最终将与TNC计划结合在一起。思科系统公司到目前为止也许还没有支持TCN,而是支持IETF的计划并且与微软合作确保与NAP的兼容。此外,微软为TNC客户捐献了一个标准,并且还捐献了一个兼容NAP系统的标准。这两个标准显然存在融合在一起的发展趋势。
厂商的发展方向
那么,在产品开发方面,一些厂商的对NAC标准的立场的是什么?Enterasys Networks公司NAC产品管理经理Eric Stinson解释说,虽然该公司在网络设备中采用NAC类型的功能已经有一段时间了,但是,继续跟踪行业标准的发展是该公司的重要方向。我们仍将致力于兼容性并且通过NAC行业标准化的努力投资保护功能。
正如惠普ProCurve公司首席安全架构师Mauricio Sanchez详细说明的那样。NAC在某种程度上是在现有的标准基础上建立起来的。所有的NAC协议框架都有当前标准的支持和应用,如RADIUS、EAP、802.1x等。没有人喜欢重新发明车轮,因此,只要现存的标准还有意义,它们就没有理由不能使用。
一个标准的出现是要经过协作的,无论是通过法令还是事实上的标准都是如此。Stinson认为,协作方面的进展是NAC未来的发展方向。他说,Enterasys预计TNC和NEA最终将结合在一起。但是,根据微软在客户机市场的地位,微软已经采用TNC的这个事实将推动NAC的应用。
NAC厂商StillSecure的首席战略官Alan Shimel赞成这个观点。他说,Windows Server 2008将有助于推动NAC应用。他补充说,NAP的普及将真正帮助TCN标准的进程。
Sanchez称,许多客户热切地等待评估一个完整的NAP解决方案。因此,如果可能的话,这将增强用户对他们在解决端点完整性需求的过程中做什么和怎样做的信念。那是许多网络和安全管理员以及首席信息官和首席信息安全官将面临的真正进退两难的事情:等待这些标准确定下来,还是现在就使用NAC?
用户现在有需要真正解决方案的真正的问题。Shimel表示,如果用户有需要用NAC解决的问题,他们就要解决这个问题。NAC能够向目前的网络运营团队提供的集中的可见性和控制能够在改善整个机构的安全状况的同时提供灵活的提高效率的能力。
NAC技术思考
这显然是NAC产品厂商建议现在就应该购买这种产品的原因,无论现在的标准情况如何。IT行业很长时间以来就有这样的历史:以非常昂贵的价格提供被认为是矫枉过正的优秀产品。
然而,考虑一下NAC是如何发展的。NAC是从新兴企业和Perfigo等小企业以及NetReg开源软件计划开始的。Perfigo是思科NAC设备的先驱。这种计划通常是由于需要产生的,无论这种需求是真实的还是感受到的。当需求是真实的时候,大型厂商便捡起这个技术并且开始把这个技术应用到他们的产品中。
这正是NAC发展的过程。正是需求推动了最初的产品的产生。正是这种更大规模的需求的预期导致了目前的这个市场的存在。因为需求已经存在很长时间了,标准正在努力赶上来就毫不奇怪了。
NAC厂商很自然地建议在标准成熟之前购买NAC产品是合适的。但是,这个问题的背后是如果这个市场的龙头企业没有感受到有NAC的需求,他们就不会像现在这样向NAC技术开发投入这样多的资金。当心厂商传宣的“恐惧、不确定、怀疑”情绪。不过,要记住IT的存在就是为你的业务服务的,而不是为了其它目的。这个问题应该是考虑应用NAC时的主要考虑,而不是标准的状况。