什么?你的首席信息官(CIO)在和网络准入控制(NAC)软件的销售代表玩过高尔夫球后,就准备开张支票,买进一堆新的网络准入控制软件?
先别忙着接收这堆软件。对NAC来说,最困难的部分是制定策略,需要对如下信息做出规定:计算机在什么时间段可以访问哪些网络资源。策略制定甚至应该在评估产品特性之前就必须完成。
NAC策略需要规定:计算机都要打上最新的补丁包,以确保对其需要运行的程序和需要访问的数据来说,它已经处于相对安全的设置。在满足了这些预设需求的前提下,访问控制系统决定这些计算机可以访问哪些服务器和服务。强制模块可以确保不符合条件的机器被重定向到升级站点或只能访问外部互联网。
NAC策略包含两部分:一是计算机的运行环境,如计算机配置、用户名、补丁状态;二是对控制系统的行为做出定义,如强制计算机修改设置,或强制用户登录和缺失补丁的强制性升级,等等。执行上述行为,计算机可能需要访问某台与隔离网络相连的服务器。但是,如果用户不能或不愿意升级,又会怎样呢?例如,拿着高薪的外聘业务顾问拒绝执行策略要求的系统修补。你该怎么办呢?
事实上,你可根据实际情况,执行NAC策略中规定的不同行为规则。从最轻的来看,你可以对他的网络准入提出警告。或者在允许该顾问接入系统前,让他签署一份准入同意书,声明他的笔记本电脑已经安装有最新的安全保护工具。总之,最重要的一点就是要防患于未燃。
紧密协作
集成程序如雨后春笋般涌现,而NAC系统需要支持的产品也极其宽泛。大厂商如思科公司(Cisco)和微软都声称,自己有80个甚至更多的合作者。如果你的公司使用的是常规防病毒、授权和入侵检测应用程序、以及计算机配置与补丁管理等管理程序,主流NAC产品基本都会支持。然而,你还是要花些时间回顾和检查一下自己的目标计划,以确保NAC厂商会继续支持你的选择。如果出现例外,不但会增加开支,还会出现覆盖盲点。
把你现有的网络设备罗列出来,对比NAC产品能提供的各项评估和强制执行的方法,看看它们是否能满足你的策略需求,也至关重要。例如,尽管作为网络准入控制方式,802.1X既健壮又安全,但某些硬件平台不支持802.1X,因此也就无法升级到这种方式。此时,就需要执行其他的强制计划,直到新交换机能够支持802.1X。
如果先根据你对NAC预期的目标,修订自己的策略需求,以此作为部署的基础,并与现有和未来计划使用的硬件平台进行搭配,那么,你在购买和部署NAC产品时必定会轻松许多。
机 遇
● 降低成本
选择可与现有基础架构协同工作的NAC产品,可以节省开销与整合时间。通常来说,部署带外NAC,无需每个客户机。
● 创新
与其控制网络边缘的访问,不如调整你的模式,把资源集中到一个保护良好的数据中心内。
● 成功要诀
了解需要解决的问题,确保你的NAC系统包含你需要的评估和强制措施。(译/朱筱丹)
