在BYOD时代,企业需要更好地控制其网络外围,这意味着网络访问控制变得非常重要。现在,网络访问控制正发挥着重要的安全作用,它需要自动化新设备需要的访问类型,对可访问的资源有着细粒度控制。这个安全职责此前是由IT安全人员担当,但如果没有自动化,这项工作非常耗时,且可能导致错误。 当企业选购最佳网络访问控制产品时,需要考虑多个因素。
同时,并不是所有产品都适合所有类型的企业,有些供应商针对资金雄厚的较大型企业,而其他供应商则倾向较小型企业,这些企业不需要支持大量不同类型的新设备。在本文中,我们将看看当今最好的网络访问控制产品,基于这个目的,我们主要考虑以下主要厂商:ForeScout Technol……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
在BYOD时代,企业需要更好地控制其网络外围,这意味着网络访问控制变得非常重要。现在,网络访问控制正发挥着重要的安全作用,它需要自动化新设备需要的访问类型,对可访问的资源有着细粒度控制。这个安全职责此前是由IT安全人员担当,但如果没有自动化,这项工作非常耗时,且可能导致错误。
当企业选购最佳网络访问控制产品时,需要考虑多个因素。同时,并不是所有产品都适合所有类型的企业,有些供应商针对资金雄厚的较大型企业,而其他供应商则倾向较小型企业,这些企业不需要支持大量不同类型的新设备。在本文中,我们将看看当今最好的网络访问控制产品,基于这个目的,我们主要考虑以下主要厂商:ForeScout Technologies、Bradford Networks、思科、Aruba Networks、Trustwave、Extreme Networks和Pulse Secure。
设备支持
对于设备支持,主要需要考虑的问题是选择基于代理还是无代理网络访问控制(NAC)。NAC代理可提供有关连接设备的详细信息,以将政策准确应用到设备,这可以包括限制没有最新防病毒软件或安装了禁止应用的设备。然而,代理需要这些设备注册到NAC系统。NAC代理可进一步分为持久型代理和一次性代理,持久型代理安装在目标设备,而一次性代理则提供对设备的一次性验证,然后被删除。
无代理NAC提供了极大的灵活性,它可发现连接到网络的任何类型的设备,并应用适当的政策。无代理NAC可通过Active Directory部署(通过Active Directory,当用户加入网络时,无代理NAC代码可访问设备),或者与其他安全产品整合,例如入侵防御系统或网络行为分析。而理想的产品应该是结合代理与无代理系统,默认为代理系统,并使用无代理解决方案作为备用。这可提供准确性和灵活性,这正是大型网络的关键需要,因为大型网络需要处理很多不同类型的设备,例如BYOD。
思科是NAC市场的主要领导者之一,基于其在网络基础设施领域所占的市场份额。在很多情况下,企业发现,与选择其他供应商的产品相比,使用相同制造商的NAC产品更加方便。思科的Clean Access产品能够通过无代理的方法发现设备,但该产品最好部署在已经有广泛使用其他思科产品的网络。如果你的网络基础设施使用不同的制造商,其他NAC系统可能更合适或者更实惠。
NAC市场的另一个主要产品是ForeScout CounterACT,这个高度灵活的产品提供对新加入网络设备的无代理检测,这让它可发现大量设备类型,并对设备应用政策。在设备检测和支持方面,ForeScout提供了很好的解决方案。
Bradford Networks产品在设备支持方面很灵活,并同时支持持久型和一次性代理,包括部署在Active Directory水平的无代理NAC,或者整合安全设备。
在这个领域略少灵活的是Aruba和Trustwave。Aruba是无线市场的主要供应商,其NAC产品很适合BYOD,也可用于有线网络。Aruba NAC产品提供很多不同的选项来为连接设备配置服务,但它并不支持真正的无代理部署。Trustwave则提供无代理和一次性代理产品。
整合
在选择合适的产品时,确保所选择的NAC系统可与现有系统整合是最重要的因素之一。很多企业已经广泛投资于MDM、SIEM、漏洞评估、端点安全和下一代防火墙等产品,而如果NAC无法与这些安全解决方案整合,这将会事倍功半。在购买NAC系统之前,企业应该列出网络中所有需要与其整合的系统,并适当地选择产品。
在整合方面,目前最好的产品应该是ForeScout公司的CounterACT,它与销售各种协同安全产品的主要供应商有着良好的合作伙伴关系。该产品可整合所有主要漏洞管理工具,并为大部分使用标准消息格式的SIEM产品提供支持,它还可整合MDM与高级威胁检测产品。
在这个领域,另一个明显的赢家是Bradford Networks公司的Network Sentry,该公司试图让该产品尽可能地与更多产品整合,其受支持的整合列表很广泛,包括主要的制造商。然而,其缺点是,很多这些整合功能需要额外的费用,这也让其成为昂贵的选项。其他供应商也有各种不同的整合,但都没有上述两个产品那么广泛。
合规性
NAC供应商正越来越多地将其定位为针对合规性的良好的解决方案,包括PCI DSS、ISO 27002和NIST。在正确部署后,NAC可帮助企业遵守这些标准,而有些供应商可帮助企业更简单地完成这一目标,在这方面最优秀的供应商包括Bradford Networks、Extreme Networks和ForeScout,所有这些供应商都为企业提供建议让他们了解其产品如何可用于合规性。
ForeScout在合规方面特别不错,其Compliance Platform提供针对合规的专门的政策和报告,包括PCI DSS、SOX和HIPAA。
支持
在选定NAC产品后,下一步是部署和支持它。如果NAC要有效运作,它需要有专门的工作人员来管理,或者至少是一名工作人员的职责的一部分。企业需要考虑供应商提供哪些支持,以及在企业的地理位置是否提供这些支持。
在成本和支持程度方面来看,支持各有不同。在所有情况下,详细的技术支持是额外的补充,这可大大增加部署的成本。NAC产品还有使用寿命终止政策,供应商会停止支持它们,所以企业还需要考虑升级系统的成本和频率。
例如,Bradford Networks提供不同成本的不同程度的支持。然而,这种支持主要以美国为中心,其他地理位置的客户可能无法享受相同水平的支持。在购买产品前,企业还应该考虑其合作伙伴提供支持的能力。ForeScout也提供两种支持,且都需要支付费用。
评估最佳网络访问控制产品
对于预算充足的大型企业而言,ForeScout是很好的NAC产品,因为它支持最多种类的设备和合规模块。但是,通过其ControlFabric架构(例如SIEM整合)提供的整合需要额外的费用,并且,该产品可能花费超过预期。Bradford Networks也提供非常灵活的产品,具有优秀的整合和合规支持,但它在美国以外的地区比较受限。思科的产品主要针对已经购买其硬件的企业,Pulse Secure的Policy Manager也是如此。
本系列文章的下一部分将依次分析每个产品,更详细地介绍他们的优势和劣势。
作者
Senior penetration tester at First Base Technologies where he specialises in Web application security.
翻译
相关推荐
-
如何用移动应用评估来提高企业安全性?
面对海量的应用,对企业来说,确定哪些应用用于企业用途是十分困难的。即使是最有用的应用都可能会增加企业安全风险,因此,安全团队需要将移动应用评估作为其工作的一部分……
-
专访山石网科吕颖轩:也谈内网安全的智能
总的来看,在网络安全领域机器学习处于摸索时期,尚有很大的发展空间,且黑客的力量和防御者的力量并不成比例,应对内网安全问题除依赖智能外,更要秉承“三分靠技术,七分靠管理”……
-
实用易上手的五大Android安全政策
对于正试图改善Android安全性的企业来说,他们也许会认为这是一项不可能完成的任务。在这个音频中,Phifer探讨了企业可部署及实施的五大Android安全政策,以帮助缓解最突出的Android威胁。
-
市场变局中 国产安全厂商的进击之路
未来EPP类厂商,将不仅仅局限于解决终端的各类管理问题,极有可能会将企业的网络边界管理等功能纳入,为企业用户提供更好的综合性解决方案。