绝大部分公司正在部署或者打算部署网络访问控制(NAC),这是2007年《Network Computing》杂志对325名IT专业人员所作调查后得出的结果。今年,部署NAC的比例明显上升,只有15%的调查对象未计划实施,而一年前这个数字还高达46%。这表明NAC已从一种值得关注的概念发展成为一种切实可行、受到重视的企业技术。但是结果发现,计划部署的IT专业人员期望从NAC得到的效益有别于实施人员实际得到的效益。虽然人们似乎普遍认为,NAC是个好东西,但哪个才是最佳的架构方案方面缺乏一致意见。由于规划人员和实施人员的答案差异在整个调查中都很明显,我们决定对这两组的结果进行细分,并且与各自在2006年的结果进行了比较。
人们日益对推动NAC发展的几个因素达成共识:资源访问控制和法规遵从。不过,备受关注的却是法规遵从,特别是对已经在实施这项技术的公司而言,更是如此。在2006年,只有52%的调查对象认为采用NAC是为了满足遵从法规的要求;而现在却有63%的实施人员这么认为。在关注像《萨班斯-奥克斯利法案》这些个别法规的人当中,这个比例更高。52%的实施人员如今认为,具体的法规需求在推动NAC采用率提高;而仍在规划NAC的人当中只有22%认为法规要求是推动因素。
实际上没有哪部法规明确要求采取实施NAC这样的任何具体措施;而是提到了相关概念,比如管理及保护访问数据的主机。这就留下了很大的解释空间。NAC被认为是满足法规要求的一种方法,似乎即将成为一条最佳实践(best practice)。NAC旨在评估主机的状况,然后根据评估结果,授予或者拒绝访问网络及资源的权限。最佳实践常常是市场中自发出现的,而不是强制规定的——如果大多数遵守某个惯例——现在NAC就是这种情况,那么这个惯例就成了最佳实践。
棘手问题
NAC并不是完整的访问控制系统。它的功能是授予访问网络的权限,而不是通常作为针对应用的访问控制机制的一部分。举例说,某主机可能通过了主机评估,因而获得了访问网络的权限;但一旦到了网络上,NAC可能无法防止恶意的用户行为,比如应用级攻击,如针对Web应用的SQL注入(SQL injection);或者是比较普通的问题,比如把数据保存到USB驱动器等可移动介质上或者其他外部存储设备上。如今不少NAC产品缺乏控制访问可移动介质的机制。
应用级控制似乎引起了NAC实施人员和规划人员的注意。控制访问数据中心的资源——这几乎总是需要了解应用情况,被认为是NAC要保护的最重要的资源。仅次于数据中心的是比较传统的NAC功能,有线网络、远程机构和分支机构被列为接下来最重要的几个保护对象。而最不重要的是当初作为NAC卖点来宣传的两个问题:访客和承包商的访问。看来,许多公司已经用其他方式妥善解决了这些问题,比如根据典型的网络入口点来限制访客和承包商的访问。有些公司还要求承包商使用本公司的系统,而不是使用对方自己的系统。虽然这是一项合理的安全措施,同时有悖于国内收入署(IRS)的指导方针,后者明确界定了承包商和雇员之间的区别。承包商使用自己的设备,雇员使用本公司的设备——至少IRS是这么规定的。
NAC问题重重
NAC不是没有问题——它既有实际存在的问题,也有感觉存在的问题。NAC部署需要的绝不仅仅是为网络添加某个新硬件。大量工作需要确定访问策略、它们应该作用于哪些用户或者用户组。NAC部署会带来如何为用户配置方面的变化,还会带来支持部门必须解决的新问题。此外,NAC部署会带来其他操作问题,尤其是诸如部署补丁和新的应用程序此类的相关问题。而在有些情况下,如果补救机制是NAC架构的一部分,它可以简化部署补丁及应用程序的过程,因为两者部署可能是补救流程的一方面。
实施NAC面临三大问题,那就是NAC与其他网络产品的兼容问题、需要在安全性和工作效率之间进行折衷考虑;以及加大了技术支持部门的负担——这三大问题都是切实存在的,应当在评估阶段得到审查。值得关注的是,正在规划但还没有开始实施的人员比已经实施了NAC的人员更担心下面这点:NAC其实无法改善本公司的总体安全状况。在这方面,有两个因素极有可能起到了作用:虽然已实施这项技术的人似乎比较满意,但至少可能性同样大的是,没有及早采用该技术的人员因NAC未能满足一些关键要求(他们感觉是这样)而避而远之。不过,实施人员的满意度比较高,这让我们认为:对大多数公司而言,感觉存在的问题是可以得到解决的。
虽然许多公司正在实施NAC,但不少公司的实施不是非常普遍。成本和复杂性无疑是阻碍NAC得到采用的最主要的两个因素。在今年的调查中,60%以上的调查对象提到成本是三大障碍之一。尽管成本仍是人们最担心的问题,不过与2006年的85%相比还是有所减少。人们不像过去那样担心成本,这可能与有大量的实际实施案例作为指导有关。也有可能是由于可选的架构方案数量更多了,有些方案的部署成本远远低于第一批NAC架构。提到担心复杂性问题的调查对象比例基本上未变,两次调查都大约为60%。下一个最经常提到的采用NAC面临的障碍就是市场和产品欠成熟,有35%的调查对象提到了它。
实际部署
NAC部署确实很复杂。虽然在去年有56%的部署规划人员以为部署可能用不了六个月时间,而今年完成部署的人当中只有38%在六个月内完成了部署。部署时间用了7到12个月、13到24个月及超过24个月的调查对象三者比例大致一样,共占剩下的62%。不过,就重大的IT项目而言,NAC的部署比较快。
现在有四种方法可以部署NAC。各有优缺点,没有哪种方法成为首选的架构。基于安全交换机的系统需要得到网络边缘处所有交换机的支持,另外还要添加策略评估设备和操作控制台。这种系统是思科网络准入控制(CNAC)架构的基础。它似乎广为人知、得到公认,48%的调查对象表示他们愿意升级自己的局域网交换基础设施。虽然这是一种广为人知的架构,但无疑也是广泛实施起来成本最高的一种,以至于思科本身如今在出售基于设备的带外解决方案。
带内系统是最受人们青睐的,60%以上的人表示他们会为网络添加嵌入式设备(即带内设备)。这种系统的优点是,能够评估所有网络流量,因而与带外系统相比,攻击者想绕过带内系统的难度大得多。它们还能监控异常行为,而出现异常行为可能表明存在攻击——其他解决方案不具有这种功能。从理论上来说,嵌入式系统能够跟踪用户活动,一直跟踪到应用层。这多少可以解释该系统为什么比较受到欢迎,因为它们有助于实现其他技术无法实现的细粒度访问控制级别。而至于缺点方面,这种系统带来了新的单一故障点和潜在瓶颈——厂商们迫切希望缓解这个问题。当前的设计效果很好,而且基于高度可靠的硬件,具有冗余风扇和电源等特性。
带外设备使用各种方法来执行策略。因为这种设备并不是直接控制流量,所以不少人认为带外解决方案很容易被攻击者绕过。虽然确实如此,但这种系统的部署成本通常比较低,因为许多不包括按用户数量收取的许可费,也不受到大量网络流量的影响。大约45%的调查对象表示愿意使用带外产品。微软公司的网络访问保护(Network Access Protection)是这种架构的最知名典例。
最后,出现了一种新的基于主机的产品。这种系统独立于网络设计,甚至独立于网络的存在。它们就如同个人防火墙,只不过这种系统评估的是主机状态,而不是入站网络流量的状态。调查显示,47%的人愿意实施这种解决方案。
虽然大多数公司可能会从某一种架构入手,但使用若干种架构也许更可取,这完全有可能。举例说,一所大学可能会倾向于在学生宿室使用成本较合理的带外系统,而选择较为可靠的带内产品来满足处理学术和行政管理数据的要求。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
市场变局中 国产安全厂商的进击之路
未来EPP类厂商,将不仅仅局限于解决终端的各类管理问题,极有可能会将企业的网络边界管理等功能纳入,为企业用户提供更好的综合性解决方案。
-
采购指南:网络访问控制产品一览
当企业选购最佳网络访问控制产品时,需要考虑多个因素。同时,并不是所有产品都适合所有类型的企业,有些供应商针对资金雄厚的较大型企业,而其他供应商则倾向较小型企业,这些企业不需要支持大量不同类型的新设备……
-
网络端口安全策略优缺一览
由于网络端口安全涉及到网络访问控制,大家开始关注端口安全带来的好处。本文中专家Kevin Beaver介绍了这种做法的优点以及缺点。
-
案例:4种BYOD安全方法(二)
MDM是针对BYOD安全的解决方案,它可以追踪网络中的移动设备,并能根据企业的政策来限制哪些用户可以访问特定应用或者网络区域。但单靠MDM并不够……