NAC
不再是一场表演赛
关于网络接入控制(NAC),有些事情我们已经可以确定。一、NAC很热。二、NAC很难。
IT管理者希望保障用户的系统在出现差错后能够恢复原状,不至于影响整个公司的业务。IT管理者希望与接入网络的访客签订保障契约,确保其不会做出危害网络的行为或窃取机密信息。IT管理者希望确保用户能够被适当地授权,且只能访问他们工作所需要的应用。
困难的部分在于要考虑如何才能实现上述这一切,或者实现其中之一部分。
现在已经有了很多相互竞争的标准和方法,你可以尝试某一种而放弃其他的。比如说,你可以使用可信任计算集团(TCG)的可信任网络连接(TNC)架构。已经有很多厂商在提供支持TNC架构的点产品。但思科没有。
因为思科有它自己的CNAC架构。思科既有支持整体架构产品,也有支持单点的产品。让人不解的是,思科现有的MAC设备及其NAC架构使用不同的客户端软件来评估网络端点的安全状况。这种做法在用户中间引起了相当的混乱,思科不得不在去年8月试图统一这种双轨策略,发布了被称为oneNAC的产品组合。
还有微软。微软甚至都不使用NAC这一术语。微软感觉有必要使用自己的术语——网络接入保护或NAP。微软提出这一术语的时间相当早,但要实际推出相应的产品已证明并非一件易事。
微软的NAP策略服务器在Windows Server 2008交付之前是不会上市的。所以,企业目前尚无法部署完全成熟的微软NAP架构。
那么,用户该怎么做呢?是跟着TCG走,跟着思科走,还是等着微软?
《Network World》已经进行了数次NAC产品的测试,结果发现它们都能正常工作,而且可以互操作。如果你现在就需要NAC,这里可以给出一些选择。
首先,我们测试了基于思科架构和TCG架构的NAC解决方案,测试了30款用于终端用户认证、端点安全、安全策略强制执行和管理的产品。结论是,无论你选择TCG还是思科,都可以正常工作。
如果企业尚未准备好部署完全成熟的NAC架构,只是想用NAC设备堵堵漏洞的话,那么可选的产品就更多。我们测试了13款NAC点产品,结果发现,尽管每一款产品都有各自的优缺点,但一般而言,NAC点产品已完全可用。
IT管理者需要关注的问题是:我需要用NAC来实现什么目的?实现目的的最佳方式是什么?
NAC承诺的是对接入之前的控制,换句话说,已受到病毒感染的设备是不能接入网络的,同时要确保未受到认证的用户不能接入网络。然而对NAC工具的一种更有趣的使用却是对接入之后的控制——要保证端点在接入网络之后始终遵从安全策略,保证用户只能做允许他们做的事情。
IT管理者需要分析他们的需要,考察时间帧,然后决定要采用点产品还是架构产品。此外,如果采用架构产品,最好选择一种架构。这样的决策虽然不易做出,但却是IT管理者必须要尽快解决而不是拖到以后解决的事情。
<<上一页
1
2
3
4
5
6
7
8
下一页>>
