网络访问控制(NAC)技术曾经被大家认为是一种昂贵而又不实用的工具,唯一的作用就是可以把用户锁定在网络之外。但是,随着设备的数量和用户类型的增长对网络产生的冲击,NAC安全成为企业必备的一项技术。
Gartner公司的研究副总裁Lawrence Orans表示,早期的NAC产品常常夸大其能力和性能,使得用户对该技术越来越失望。
而在Interop 2014展会上提出“Bring your own Everything”的美国塞勒姆州立大学的网络服务主管Brian Helman表示,NAC正要卷土重来。
某大学的IT专业人士问Helman,NAC是否值得投资,他这样问的原因是,他的很多终端用户,也就是很多学生都会想出各种方法绕过NAC系统。
Helman表示,NAC值得投资,而且它正在复苏。这些学生们所做的是他们不应该做的。
Helman还表示,他的组织正在重新审视NAC策略,而且正在更换NAC供应商。
下一代NAC技术提供BYOD访问控制
其实,NAC技术是否值得投资,这也是很多组织的疑虑,ForeScout技术公司的市场总监Scott Gordon表示,很多人在实施NAC时都有过不愉快的经历,NAC涉及到在每个设备上安装代理,但是通常只用于锁定系统。很多组织过去都被实施NAC搞 得焦头烂额。
CyberEdge研究和营销咨询公司的CEO和联合创始人Steve Piper也表示,以前的NAC解决方案只有现在的很多解决方案中的极少数功能,所以我也能想象当时为什么很多组织都逃避使用NAC技术。
Gartner公司的Orans表示,尽管早期的NAC解决方案又昂贵又复杂,但还是有一些NAC供应商存活下来,并推出新的、成熟的产品。
其中很多NAC供应商通过不断扩展NAC功能为企业提供下一代NAC解决方案。很多下一代NAC工具都是无代理的,比如Aruba公司的 Clearpass以及ForeScout公司的CounterACT,这也是现在BYOD环境下最大的特点,IT人员不必在每台员工自有设备上安装代 理。
CyberEdge公司的Piper表示,网络上有很多设备处于管理状态下,但是也有很多移动设备和个人设备处于未受管理的状态下,所以不可能给每台设备安装代理。
实际上,传统NAC策略的执行越来越复杂,因为企业网络中的BYOD和临时设备的数量在不断增长,这也就促使新的NAC解决方案的到来。
纽约时装技术学院的网络访问控制策略拒绝用户使用自己的智能手机和平板电脑连接到学校的网络,用户必须默认使用自己的移动运营商。该学院的IT副总裁兼 CIO Gregg Chottiner表示,在这种情况下,NAC对我们来说至关重要,因为我们非常不希望我们的网络接触到网络病毒或是学生的一些受感染的个人笔记本电脑。
Aruba公司的ClearPass使得Chottiner和他的团队能够精确控制其用户和应用程序的访问,而且他们还可以在特定的实验室或教室禁用一些特定的程序,比如Facebook。
Chottiner和他的团队管理无线网络时非常严格,因为他们的组织位于城市中间。但如果你不是团队成员,也不是学生,那么你就不能访问学校的网络。而且,即使学生在家里访问网络,我们的控制人员一旦发现,也会关闭。
但是Chottiner表示,如果网络的SSID正在直播,组织就有可能遇到NAC故障。有一些组织并不限制访问,但是他们可能会限制另一方面(比如下载)。有一些老师可能会问,为什么他们不能像在星巴克一样访问无线网络,我会说,我们不想有人在我们的网络上下载东西。
下一代NAC安全可以很好的整合到基础设施中
以前,只有大型企业才会使用NAC,如今,它也是中小型企业必不可少的技术。而且,把下一代NAC技术整合到企业中变得越来越简单,用户也越来越离不开这种安全措施了。
类似ForeScout公司的这种无代理的NAC策略,也可以适应企业的基础设施,托管安全服务也变得很简单,而传统的NAC技术需要接触基础设施的每个部分,而且还要有足够的可视性。这种互操作性使得企业在部署NAC时不用重新构建基础设施。