网络准入控制:顺服还是批判

日期: 2009-08-13 作者:Mike Rothman 来源:TechTarget中国 英文

规范化条例,是由一些规范驱动的,譬如HIPAA,GLBA,Sarbanes-Oxley(SOX),和最近流行的PCI数据安全标准,它继续主导着执行者们关于安全话题的讨论。一致性仍然是安全销售商的流行口号,他们都试图将自己的技术定位为买主的必需品。   规范化条例(Regulatory compliance)   在安全领域中最热门的方面就是网络准入控制(NAC),可以预见,所有的商家都强调其技术中一致性的价值。但是他们声称可信吗?客户必须着眼于网络准入控制(NAC)才能解决他们一致性的问题吗?   网络准入控制(NAC)是保证只让恰当的人去接触合适的资源。

它通过“提前准入”扫描,来确保设备授权……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

规范化条例,是由一些规范驱动的,譬如HIPAA,GLBA,Sarbanes-Oxley(SOX),和最近流行的PCI数据安全标准,它继续主导着执行者们关于安全话题的讨论。一致性仍然是安全销售商的流行口号,他们都试图将自己的技术定位为买主的必需品。

  规范化条例(Regulatory compliance)

  在安全领域中最热门的方面就是网络准入控制(NAC),可以预见,所有的商家都强调其技术中一致性的价值。但是他们声称可信吗?客户必须着眼于网络准入控制(NAC)才能解决他们一致性的问题吗?

  网络准入控制(NAC)是保证只让恰当的人去接触合适的资源。它通过“提前准入”扫描,来确保设备授权,并保证接入网络时不被病毒感染。一旦上网,确信各个端点接入授权资源,并且没有异常行为时,网络准入控制(NAC)方案便转入“后置准入” 控制模式。当然,我们只是刚刚开始采用网络准入控制(NAC),版本还不成熟,但是这是一个很好的方向。

  网络准入控制(NAC)又是怎样解决一致性的呢?答案非常多,但是很明显,网络准入控制不是解决一致性的万能药。从网络的观点,一致性被大致表述为以下五个要求。当然,这个列表也不是很详尽(其他人有一些更长的列表),列表如下:

  1.法则——所有的规定都要求有条文化的安全法则,来防止入侵,保护私人信息。

  2.鉴别——验证一个人接触敏感信息的要求就是其中一项内容。

  3.接入控制——确保系统、应用程序和数据只能被充分授权的人访问。

  4.纠错——应对网络安全事件的能力,通报信息并且启动防御措施。

  5.稽核——与系统及应用程序有关的文件和以往信息可以访问私人信息。

  现在,网络准入控制(NAC)对你指定法则帮助不大。你需要自己做这些。就好像用自己的舌头去处碰自己的脸颊,没有太大的意义。如果你只是想增加安全性或者服从某些规范,它就会启动,指出哪些是有价值的数据,应该把他们放到何处可以进行有效的保护。网络准入控制(NAC)可以执行这些法则,同时提供与这些法则相关事件的信息。

  在网络准入控制(NAC)中,鉴别、接入控制和纠错对一致性的影响最大。让我们来逐个分析:

  • 鉴别——网络准入控制(NAC)可以要求不同等级的鉴别,在接入网络之前。很多方案都是可以将现有的LDAP地址,RADIUS服务,并且支持多因子鉴别。对网络接入控制(NAC),取其一即可。
  • 接入控制——接入控制的意义很明确。网络准入控制(NAC)的方案就是确保只有用户或者享有明确授权的群可以获取资源。有很多不同的执行机制(线形、DHCP、802.1x、VLAN和SNMP等等),但是都是基于一致性要求的。
  • 纠错——一旦出现问题,同样的控制接入的执行机制就会去隔离入侵者。

  稽核是问题的最后一块,网络准入控制(NAC)能够成为一个对外部日志管理和报告机制非常重要的数据来源。网络准入控制(NAC)产品可以记下要求获取网络信息的信息,同时包括法则被侵入的时候。

  什么是catch?为什么不在你们网络的任何地方上都安装上网络准入控制(NAC)并在一致性上获得很大的好处呢?事实上,有很多原因。第一个是,即使是覆盖模式的方案(基于已经有的转换器)都是价格昂贵的。网络接入控制产品刚刚问世,还没有因为价格下降得到普及。这可能会出现在2007到2009年间。

  第二点,方案的成熟还存在争议。我们已经讨论了上百种配置,不是很多-所以你只是刚刚开始实践执行这些配置。这就会经常发现问题,解决问题,要求你自己能够理出执行的操作指南。

  最后,网络准入控制(NAC),至少在文中一致性的条件下,很难做到局部化和高效性。这条链仍是最脆弱的一条链。为完全获得网络接入控制的功能,需要在你的网路中,管理所有想接入的用户,同时监控所有提供后置管理的途径。

  当然,实现网络准入控制(NAC)的成熟还需要一定时间。我建议用小型实用的网络准入控制(NAC)去保护高价值的应用程序和数据—在这高价值的东西附近筑起高墙。当你升级网络时,寻找新的可以支持网络准入控制(NAC)的转换器和更高的安全水平。这就是未来的方向。

作者

Mike Rothman
Mike Rothman

Mike Rothman是一家独立信息安全研究公司的总经理和首席分析师。最为一位终端用户,他已经连续15年的时间提倡世界企业和中等规模的商业,他的工作是发起引人深思的关于如何确保核心商业需求的信息安全方面的讨论。在建立Security Incite 之前,Mike是META Group的首位网络安全分析师,并曾在TruSecure的CipherTrust共司担任主管职位,而且他还是SHYM科技工色的创始人之一。Mike经常为TechTarget撰稿,是一位受人尊重的信息安全专家。

相关推荐