网络访问控制(NAC)名声不好，我们得让它改改。过去十年里，NAC出现了部署失败和安全策略过份严格等问题，这使得许多CEO发现按照IT部门实施的NAC，自己的笔记本电脑无法访问网络。

但是，现在情况已经发生变化。专家指出，NAC不再只是访问控制；而是提供终端可见性和感知环境的安全性。Enterprise Strategy Group的研究表明，NAC正演变成一种新的平台产品，它叫终端监控、访问与安全(EVAS)，它能够实现感知环境的安全性，可以给其他安全平台提供信息，同时应用这些平台专用的策略。

ESG高级主任分析师Jon Oltsik指出，早期的NAC解决方案会检查用户设备的状态，保证它们未感染病毒，并且安装了正确的终端安全 软件，然后才允许它们连接网络。之后，NAC增加了软件补丁和配置检查。现在，NAC解决进一步发展成为EVAS平台，从而符合企业关于感知环境安全性的需求。他说，思科、瞻博、ForeScout和Bradford都推出了这样的产品。

EVAS的特点是增加了两个新功能。这个平台可以整合到其他安全和策略系统，而且与早期NAC系统不同，它们不仅能处理传统PC机，也能处理更广泛的终端设备。

Jon Oltsik说：“EVAS已经整合到基础架构的其他部分上，包括MDM[移动设备管理]、身份验证和RADIUS服务器等。它既可以提供分析的信息，也能够加强策略。而且，EVAS面向下一代终端开发；而不仅仅针对于PC。它包括移动终端和其他一些IP设备，如打印机、控制系统、医疗设备或其他需要监控的网络设备。它能够识别设备，也能够提供这些设备上与环境相关的信息。

企业会在其中部署许多安全分析工具，包括安全与事件管理平台、数据包分析或流量分析等。安全工程师真正缺乏的是这些分析的更详细信息。当您想知道用户在使用哪些设备，他们执行了哪些活动，以及特定时间的系统配置情况，这里会缺少很多信息，而且很难捕捉这些信息。EVAS可以作为一个中间设备，捕捉这些信息，并且提供更详细的信息。”他还指出，EVAS还可以应用策略，这是分析平台无法做到的。”

终端可见性与访问控制：是变换名称还是新技术？

Frost & Sullivan 网络安全行业分析师Chris Rodriguez指出，NAC并不一定会发展成为一个新产品。但是，在最近几年，客户发现了一些除简单访问控制之外的用例，这项技术增加了一些新功能。EVAS的说法是“更准确反映NAC价值的一种尝试。”此外，他还认为，这也是改变过去几年NAC市场中因为部署失败而造成的不良名声。客户一直说，使用NAC解决方案，他们可以看到比任何终端管理解决方案更多的东西，他们看到的不仅仅是企业拥有的设备。也能够监控员工拥有的设备，以及不能安装客户端的设备，如控制系统和医疗监控设备。

EVAS控制着终端，而非数据

虽然可见性和感知环境很重要，但是并非所有人都认为终端是最需要关注的元素。Forrester Research主任分析师John Kindervag指出，安全供应商应该关注于真正有价值的东西——数据。

Kindervag说：“我认同可见性，但是我们的终端不需要它。终端上更需要的是数据，因为终端的数量太庞大了。您无法控制这么多的终端。我们需要控制自己能够控制的东西，那就是数据。为了保护数据，企业需要检测和监控所有的流量，因为这样才能够知道数据发生了什么变化。他说，担心谁有权限访问网络是浪费时间。在这里，流量是很有价值的。我们完全不需要直接进入终端，流量就可以告诉我们终端中发生的一切。这也是更有可能实现的位置。它与进入网络设备无关。我们必须从认识上纠正这一点。边界已经没有意义。我们要超越它。”

基于终端的控制还造成了对安全性和合规性的一种误解。是的，进入我们网络的人都是批准进入的。所以不如就让他们正正当当进来。让所有人都从前门进来，但是我们要盯住数据。如果有人想要动数据，那么您就要采取措施。在您关注数据之后，终端保护可能会受到影响，但是不要认为可以在终端上解决这个问题。

多年以来，Kindervag和Forrester Research都认为企业应该采用一种“零信任”安全模型，也就是认为所有流量都是不可信的，它们都应该检查和分析。即使授权用户连接网络的设备符合策略规定，他们也仍然可能威胁公司的数据。所以，企业必须跟踪数据传输，而不要关注于谁和什么设备在访问网络。

NAC/EVAS供应商支持这种零信任方法。ForeScout首席销售官Scott Gordon说：“假设您有一个企业政策，它要求用户激活个人防火墙，要求设置特定的补丁级别，并且要求安装并激活数据丢失保护软件。我们的系统可以动态验证网络进出访问。如果数据丢失保护[DLP]安装但没有运行，那么就可能存在一种风险，即DLP管理系统会误认为一切都是正常的。NAC/EVAS平台可以检测到终端未激活DLP，然后指示DLP系统通知该设备的客户端。”