安全行业到处都在渲染NAC的各种强大功能,鉴于此,我们有必要弄清楚两个问题:NAC能够提供给你的功能和你所需要的LAN安全要求。不同的NAC架构能够解决不同的安全问题,因此你需要根据自身需求选择合适的NAC架构。
NAC刚出现在安全行业时,是作为一种准入控制技术,能够在允许用户接入LAN网络前对用户进行验证并根据安全合规要求扫描用户的电脑。实际上,目前安全行业对NAC的讨论重点仍然仅限于“准入控制技术”。
但是作为网络访问控制解决方案的NAC不仅能进行控制接入LAN网络这样简单的工作,其实还有很多其他功能:它能够帮助你限制已经处于LAN内的用户的行为,控制他们所能登录的服务器,访问的数据以及可以运行哪些应用程序等。
NAC解决方案能够提供给你的功能很大程度上取决于它的架构。如果你只是需要简单的客户机访问控制,即限制“外来人”接入网络以及让“内部人员”能够访问LAN的任何数据,那么一个简单的架构就能满足这些需求。
如果你需要更多控制,限制用户进入LAN后的行为等,则需要内嵌式NAC架构。因为NAC的这些设备能够看到所有通过的流量,能够提供更强大的控制基础,而你所能进行的控制程度就取决于供应商提供的功能设置了。举例来说,对应用程序的理解是控制用户访问的关键,但是某些NAC解决方案是通过Layer 4信息来查看应用程序的,而其他解决方案则在Layer7解码应用程序,因此,功能套件越强大,控制力也就越大。
如果你想知道NAC能够为你做什么以及不能为你做什么的话,在这里我可以告诉你完整访问控制解决方案能够为你提供以下功能:
·控制哪些人能够接入LAN并限制他们能够访问的资源
·保护你的IP
·限制不值得信赖或者未知的用户,例如承包商、技术人员、远程用户或者离线员工等
·限制能够访问重要财务记录或者客户记录的人员
·根据职责、时间、地点以及应用程序来控制对数据的访问
·将用户分级以符合合规要求
·保护系统免受已知或者未知恶意软件的攻击
·简化事件反应
·保护关键应用服务(如VoIP)
当然,NAC肯定不会是你唯一的安全防御工具,例如,NAC就不能帮你执行下列工作:
·对通过电子邮件、笔记本失窃、打印输出或者USB存储设备泄漏出去的信息的保护
·抵御社会工程学
·从接入WAN网络连接抵御已知恶意软件攻击
·防止授权用户不适当地使用数据
NAC解决方案的审计功能可以让你找出用户访问过的文件,如果需要的话,你也可以以此来证明某些人查看过与其工作不相关的工作。然而,NAC不能防止这些数据不被泄漏。
总言之,其他安全技术(如泄漏防护技术和USB锁定工具)将需要用来对你的NAC总体部署进行补充,不过选择一个功能齐全的NAC解决方案可以帮助你严格限制LAN中哪些人可以访问数据以及哪些数据能够被访问等。