网络访问控制(NAC)成为大多数公司网络安全架构的标准组成部分之前,仍有很长一段路要走,不过增长迹象已出现在面前:据Infonetics研究公司声称,到2010年,预计厂商的NAC执行设备销售额将达到6.29亿美元。
那么,到底谁需要NAC呢?
简单的回答就是,如果你希望在一台机器获准连接到网络之前,检查机器是否通过配置健康测试;如果你希望机器获准访问之后如果违反了策略,能够限制访问权,那么就需要NAC。
通过健康测试并不意味着机器没有染上可能给网络带来危害的病毒,不过这有助于减少机器造成麻烦的机会。
到目前为止,大学和医疗机构比其他行业的组织更加积极采用NAC,这是由于它们都拥有庞大的用户在使用连接、断开、再连接到网络的移动设备。NAC有助于提供一些保证:这些设备在与网络断开时,保持可靠的安全状态。
NAC的主要任务就是决定允许哪些主机连接到网络,并且留在网络上。做出这些决定的标准有很大不同:从介质访问控制(MAC)地址在白名单上,到通过查找诸多参数的健康检查。这些参数包括诸如此类的因素:反病毒软件经过更新,而且在运行打上补丁的操作系统;所需的注册表设置;以及合理配置的个人防火墙,等等。
这些标准还可以包括某个设备是否仍处于健康状态;一旦获准接入网络,其行为是否得当。
人们希望这种准入控制可以防止安全可能受到危及的机器利用恶意软件感染网络、阻止窃取数据。访客和顾问们连接到网络上的移动设备及其他设备就是可能会带来安全威胁的几种机器。密西西比西北社区学院(Northwest Mississippi Community College)在安装NAC设备之前,每个学年的头两周都要用于清理学生使用的电脑;而自从有了NAC设备,这个过程实现了自动化。Chuck Adams是这家社区学院设在密西西比州塞纳托比亚的主校园的网络管理员,他说,如今,由于为六名全IT员工和学生教工腾出了这段时间,Mirage Networks公司的NAC设备只用一个学期就基本上收回了成本。
Adams说:“我们希望不用去清理学生的PC。我们还没有完全实现这一目标,不过现在几乎就要实现了。”
巴尔的摩默西医疗中心的IT主管Mark Rein说,在采用NAC之前,潜在客户要明确定义需要什么样的限制、健康的主机要具备哪些要素。Rein说:“你必须确定自己试图要保护什么,确定可能需要建立哪些不同网段。”这意味着要为NAC设备制订所要执行的策略。他说:“策略涉及你需要知道的方面和你不想看到的方面。”
Nemertes研究公司的高级副总裁Andreas Antonopoulos说,实际上,许多公司并没有在非常积极地部署NAC。
据今年年初他对IT主管们开展的一项调查显示,能够连接到专用虚拟网(VPN)是NAC为大多数远程主机扮演的惟一角色;几乎没有哪家公司对局域网端口实行访问控制。他说,只有大约14%的调查对象实行了端点检查,检查应用程序和操作系统的补丁;是否安装了防火墙、反病毒或者反间谍软件等软件;USB连接的设备以及口令强度。
不过他说,近60%的人希望自己至少能够检查是否安装了防火墙、反病毒和反间谍软件等工具。他说,大约40%的人还希望对口信和和操作系统进行检查。不到三分之一的人希望检查应用程序是否得到了更新。思科公司推出了思科网络准入控制(CNAC)架构,而可信计算组织(TCG)正在竭力制订开放标准,以便任何一家NAC厂商都能遵守。
今年早些时候,微软公司发布了自己的协议。其网络访问保护(NAP)代理可以使用该协议,把有关端点状况的数据从端点传送到NAC策略服务器,而策略服务器负责决定设备是否得到访问权、得到多大的访问权。今年早些时候,Juniper公司在互操作性大会上公开演示了这种兼容性;虽然该公司最近为采用其NAC架构(Juniper称之为统一访问控制,UAC)的设备发布了最新版本的软件,但该软件并不包含这种兼容性。就连参与微软NAP计划的合作伙伴也没有匆忙参与进来。
Current Analysis公司的分析师Andrew Braunberg说:“在我看来,NAP还远未出现,以至我并没有每天在想它。”他每年都会开展NAC需求方面的调查;今年的结果显示,大多数客户也没有每天在想NAP。他说:“人们可没有兴趣等待NAP。”
他的调查结果就是,由于微软一再推迟发布部署NAP的必要组件,结果NAP受到了拖累。Braunberg表示,自上一年的NAC企业需求调查开始以来,愿意等微软交付NAP的调查对象的百分比出现了下降;愿意等明年初微软发布NAP后再部署的调查对象为数不多。
