【TechTarget中国原创】如果你的网络管理员对于网络访问控制解决方案没有一个充分的准备,那么,只有慢慢等待。
最初,NAC被提出来的时候也风光一时,但是,几年过后它并没有完全辜负自己最初的使命,首先,作为你公司网络的守护者,NAC能够帮助你法规遵从,并且能让你看到那些属于你但是你永远不可能知道或长时间被忘记的东西。因此,这也有助于进行资产管理——同时它也证明了自己的价值。
Forrester研究公司预言,今年将是NAC的比较轰动的一年,它称,这个看门狗技术正在迅速变成“促使许多安全常以行之有效的关键部分以及网络基础设施不可或缺的一部分。”在所有的企业中,约有25%的企业已经采用了NAC,另外有15%的企业将会在2009年年底采用它,这家研究公司称。
同时,Gartner公司在过去的三年时间里已经鼓励企业将NAC看成是企业网络生的重要部分,研究主任Lawrence Orans说。“这是一个如此重要有价值的防御,你应该将它添加到你的网络中。我们的意见是现在就开始使用NAC。”
最初,NAC系统被设计用来不断地扫描各个端点,满足公司的安全标准,确保被破坏的系统不会进入到网络之中。但是,Forrester认为,这项技术已经超越了了仅仅的简单审查和隔离端点设备,它能够进行法规遵从。现在,各公司正在使用NAC审查端点的异常行为,甚至能够不断地监测到雇员进入网络的规则和权限。同时,顺便说一下,你网络上的这些端点或许会包括非计算设备,从打印机和VOIP(统一通讯)电话到摄像机和标记阅读器。
NAC技术自从在攻击波攻击时出现以来已经经历了很多的版本,但是,Forrester公司称,它正在趋于稳定。有三种NAC架构的类型通常被结合起来使用:基于基础设施的(通常也被称为内插的)、基于应用的和基于软件的。主要的NAC提供商包括Bradford 网络公司、Cisco系统公司、Juniper网络公司和微软。
不管你选择哪种方法或者哪个供应商,如果刚刚起步,一个成功的实施都是需要你的网络、安全、基础设施和实施团队要共同努力工作。实施的时间可能要比你想的时间要长。如果你认为NAC能够解决你的所有安全问题,可能这会很难达到你的期望。而且如果没有恰当地进行部署,它很可能也会阻挡你的用户进入。
你对此一直有兴趣吗?我们向一个主要的供应商和两个分析师咨询了在部署NAC时应该或不应该做哪些。第一步?要忽略你刚才所读到的内容,先要确定NAC对于你的企业来说意味着什么。
1.不要让你的网络或者手上的问题来决定拟的NAC供应商(除非你想浪费钱)。
一般来说,公司会通过自己网络的类型、正在出现的问题以及他们的安全系统来决定选择什么NAC供应商。Forrester公司分析师Robert Whiteley说,很多公司都会使用NAC来解决客户和承包商的准入问题,所以,当公司发现他们的网络供应商能够为客户准入提供一种解决方案时,他们会选择这个供应商。有时候,正在实施的过程中,他们又决定对于内部员工使用基于角色的进入控制。但是,不管他们用什么解决方案解决客户管理问题对于帮助区分雇员都不是最佳解决方案,Whiteley说。
“我们发现,很多公司都花费真正合适的钱获取恰当的NAC。他们会花费六到十二个月的时间来实施,投资或者是过时的,或者在问题上会需要更多的钱。”
像Bradford网络公司这样的NAC装置系统一开始部署装置和软件需要8000美元,另外再需要授权成本。
相反,对于NAC采取一种业务方式。首先,确定一下需要进入控制的各种情况。Forrester发现,最成功的NAC解决方案至少能够支持四个相关业务的情况。
2.永远都不要做大范围的NAC部署。
专家们的意见是一致的:不要低估了NAC部署的复杂性。如果部署时间跨越九个月的话就有点不正常了。Whiteley和Orans都建议,公司要在三个阶段推出他们的NAC能力:监测在网络上都有什么、描绘出网络交通,然后加强策略。
“把它分成有规则的几部分,然后进行验证,” Bradford网络公司市场部副总裁Jerry Skurla说。“如果新增的安全程序使得业务放缓,那么,就不要再新开窗口实施它了。”
3.在签署一个协议,问你的网络经理两个问题:
NAC解决方案与现有的网络基础设施是否兼容?或者它是否需要变换路由器或交换机或者升级宽带盒?
这个NAC解决方案是否也能处理非雇员或者非管理型IT人员——客户、承包商和业务伙伴的问题?
4.不要让你的网络团队单独工作。
称之为网络访问控制或许用词不当。至少应该有三个小组来协同部署NAC:网络小组、安全小组和台式机小组。
网络小组界定网络如何采取执法行动以及它如何在网络中工作。不过安全小组通常处理政策问题。当一个端点需要修复时,许多NAC系统能够自动修复,台式机小组一直需要确保修复是正确的。
5.警告你的网络经理:不要为大量的NAC数据眼花缭乱。
NAC会提供给你大量以前没有网络数据。这是对的。但是不要带走那些报告,特别是涉及管理链的报告。坚持红灯,绿灯。“许多领导者,包括CIO只是想知道,‘是否这会成为每天的日常威胁或者疯狂的威胁日?’” Skurla说。