实例:思科NAC解决方案增强了Sun的网络安全

日期: 2008-07-28 作者:Andrew R. Hickey 来源:TechTarget中国 英文

Sun微系统公司安全工程师Roncadori介绍说,在应用思科的NAC解决方案之前,用户进出网络几乎没有受到安全检查。使用了NAC解决方案之后,用户留下的任何乱七八糟的东西,如病毒、蠕虫和其它安全漏洞,都被清理干净了。


  虽然网络接入控制(NAC)在“Burton Group Catalyst Conference”会议上有许多争论并且成为了会议的焦点,但是,分析师对网络设计师发布警告说,NAC到目前为止也许还没有准备好广泛的应用。不过,Burton副总裁兼服务经理Phil Schacter指出,网络确实有责任在地址解析安全方面发挥作用,但是,对于NAC来说仍然是为时过早。


  Schacter说,标准显然是需要的。他指出,所有的厂商都在创建NAC解决方案。但是,没有一样东西能够把所有这些解决方案联系在一起。思科有网络接入控制;微软有网络接入保护;Juniper有统一接入控制;北电网络有安全网络接入;Check Point有总体接入保护;Trusted Computing Group公司有可信赖的网络连接。还有许多新兴企业提供NAC解决方案。


  Schacter的主要忠告是“在行业标准出现之前应该暂时停止向NAC框架投资。”他警告已经为NAC做出大量变化的那些人说:“如果你打算使用一个厂商的NAC框架,你可以继续谨慎地实施你的计划。”


  对参加会议的100多人进行的举手表决显示,大约30%的人已经在忙于NAC的事情。他们已经应用了或者正在计划应用NAC解决方案。


  参加Catalyst会议的一位代表介绍了他的公司如何让NAC为其公司服务的情况。


  Sun微系统公司安全工程师Mike Roncadori说,Sun几个月前部署了思科的NAC解决方案。Sun的独特的环境没有真正的Wintel基础设施;有很多日常应用的笔记本电脑;大量的工程师、实验室和操作系统;还有不相称的系统技术支持水平。


  Roncadori说,Sun希望使用思科的NAC解决方案对进入其网络的客户进行身份识别,保证所有的客户都能得到恰当的管理,并且最终根据不同的任务把网络分成一些小组。


  他说,我们要求每一个人都声明自己是谁。我们要每一个人告诉我们他们是谁以及他们什么时候进入网络。Roncadori说,Sun还要得到一种更好的方法以便确切地知道在遇到问题时打电话给谁。


  Roncadori介绍说,在应用思科的NAC解决方案之前,用户进出网络几乎没有受到安全检查。人们只是进入了网络,做他们要做的事情,然后就离开了。使用了NAC解决方案之后,用户留下的任何乱七八糟的东西,如病毒、蠕虫和其它安全漏洞,都被清理干净了。


  Roncadori说,Sun考察了许多NAC解决方案并且进行了演示,深入研究了每一个解决方案。Sun最终选择了思科的解决方案,因为这个产品已经准备推出,具有结构上的兼容性,并且能够随着NAC的发展提供未来的功能。此外,Sun还要求对NAC解决方案试用一个月并且在4个月内部署完毕。思科是惟一能够满足这个苛刻的时间表的厂商。


  Sun在科罗拉多州的办公室试验了这个“Clean Access Manager”接入管理器以验证思科声称的性能,并且保证这个解决方案能够完成预期的任务。Roncadori说,出现了一些小问题要求在网络的其它部分进行一些小的设置修改。但是,这些问题很快就解决了。


  由于Sun把它的计算机和网络业务外包出去了,Sun还需要给第三方厂商一些时间来学习NAC。Roncadori建议说,如果已经做出部署的计划,就要早一些开始NAC对话。他预计,如果Sun没有把这些工作外包出去,大约需要五个全职工作人员就可以实施和管理NAC。


  现在,Sun的第一个主要的NAC解决方案已经部署完毕了。Sun计划在2007年7月在全球范围内部署这个解决方案。


  对于未来,Roncadori说,NAC将帮助Sun建立许多网络小组,允许对实体和子网实施基于任务的访问,并且根据分类调整身份识别的规模。Sun 还考察了白名单和黑名单。白名单和黑名单将允许基于专业知识和行为的访问或者根据个人的网络行为拒绝其访问。这就意味着如果一个特殊的用户要来惹麻烦,在他得到未来的批准之前,他的访问将被拒绝。


  Sun还为那些因为各种原因不允许访问该公司网络的用户提供了一个“肮脏的 VLAN”。Roncadori说,这些用户的体验是很自然的。用户必须要启动一个浏览器,并且在获准继续浏览之前被引导到一个NAC对话框进行身份识别。如果存在问题,用户就被搁置在VLAN内,或者被告知要停止访问和把计算机整理干净。整个过程耗费的时间并不多,除非一个用户的计算机受到了病毒感染或者没有合适的安全设施。例如,如果一个用户没有防火墙,系统将告诉它安装一个防火墙。


  他说,如果你要让你的系统运行,而这个系统又没有达到标准,那就还有许多不确定的工作要做。


  至于成本,Roncadori说,这个解决方案的价格是合理的。Sun每个月要处理3000至4000件计算机向网络输入不需要的东西的事件。采用 NAC解决方案之后,这个数量明显下降了。采用事件-成本模式计算,每个事件的成本大约需要750至1000美元。如果阻止了大量的事件的发生,NAC解决方案还是物有所值的。


  Roncadori做结论说,如果你遇到一个600万美元的事件,很容易证明花200万至300万美元是有道理的。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Andrew R. Hickey
Andrew R. Hickey

暂无

相关推荐