NAC:標準制訂組織佔領地盤中

微軟與Cisco整合網路存取控制架構的計畫獲得正面的評價,但是他們並不解決所有NAC架構的問題,因此需要獨立的NAC標準。

可信賴運算組織 (Trusted Computing Group, TNC)的子團體可信賴網路連線工作小組TCA(trusted network connect working group),致力於制定與廠牌無關,獨立的NAC標準,他們的努力日前得到一劑強心針,就是Cisco與微軟宣佈其共同整合網路存取控制架構 (network-access-control, NAC),其架構為Network Admission Control and Network Access Protection。

TCA的工作重點為採用業界標準,讓多個產品可以整合與互通,雖然。業界大哥的合作是一個重要里程,但是他們並不解決所有NAC架構的問題,因此需要與獨立的NAC標準。

TNC標準的目標是各廠牌通用,並主導NAC的產業標準,自從2005年5月開始制定規格,並獲得許多廠商的回應,包括微軟。

糾纏不清的技術

9月在波士頓舉行的Security Standard會議,Cisco與微軟發表互通性的聲明以及簡報,展示整合性產品,其解決一項基本的互通性需求,這2家公司在未來仍會繼續投入這項 NAC架構。但是只有少數公司百分之百採用Cisco或微軟產品,更大多數的公司採用不同廠牌產品,要如何整合到一個NAC方案中?Cisco與微軟的做法,會讓你侷限在特定產品架構下。

另一方面,TCG發佈的NAC標準已經開始被安全廠商所應用,而且不限定在哪些廠牌上才可使用。支援TNC標準的廠商正在逐漸增加,事實上,唯一在TCG TNC工作小組缺席的就是Cisco。

蓄勢待發

TCG TNC在2005年5月發佈第一版的規格,很快的,在一年後發佈規格更新,增加RADIUS、Tunneled-EAP、TNC用戶端與伺服器端之間的協定。TCG持續發佈TNC標準以支援NAC。TCG的代表表示,TNC工作小組同時還在進行其他領域的工作,比如說資訊來源的整合標準,如入侵偵測系統,可以用在持續性資產評估、弱點稽核工具、以及其他IT組件,他們也與其他TCG工作小組相互交流,如Trusted Platform Module以及Software Stack

TCG TNC工作小組同樣有許多大廠商參加,包括HP、IBM、Juniper、Nortel以及Symantec,還有一些資安廠商。Cisco並不在其中,因為Cisco認為技術細節的觀點有差異,加上其他因素。先不論Cisco不參加TCG的理由為何,我們認為Cisco並未說出其真正想法。Cisco不參加TCG,是否代表TNC標準不會成功?答案是否定的,但是,即使Cisco參加,也不會讓這項工作變得簡單。

同時有其他工作小組在進行類似的工作。其中一群在IETF內準備組織一個工作群組Network Endpoint Assessment BOF(Birds of a Feather),尚未決定要去分析與統一現有不同的NAC標準,或是發展一套新的標準。BOF是由Cisco與Juniper的代表擔任共同主席,Steve Hanna是Juniper的代表,同時也是TCG TNC的共同主席,所以很可能會發展出一套統一的標準,至少,Cisco會參加IETF工作小組。

大步向前

TCG TNC所面臨的困難並不小。必須要先專注在符合規範測試並讓參與者瞭解。就像在Interop以及在新罕布夏大學 Interoperability Laboratory的互通性,當一群清楚瞭解遊戲規則的工程師,你會知道他們可以做到什麼。但是TCG TNC必須要有標準的符合規範測試,廠商也必須要達到符合規範測試要求的互通性要求。

最近一項對Network Computing讀者所做的調查顯示,395位受訪者中有307人一致認為NAC產品必須要整合到既有的區域網路架構,這些人中的57%強烈的期望 Cisco Network Admission Control可以支援多廠牌,有40%期望Microsoft Network Access Protection的互通性,對TNC則是41%。不令人意外的,進行規範測試時,只有Cisco會有廠牌問題。

最終,除非用戶更瞭解TNC標準並要求產品去符合,否則對於廠商來說,符合這個標準並沒有好處。所有的TNC廠商同樣也是Cisco的 Network Admission Control或是微軟的Network Access Protection的合作廠商,在某些情況下,廠商表示要先去支援Cisco以及微軟,然後才是TNC標準。

Cisco與微軟的「互通架構」並不是最後的結論,TCG TNC仍有機會成為業界標準,要達到這個目標,TCG TNC必須要藉由規範驗證建立TNC標準的信心,同時要提高市場能見度。如果TNC標準無法獲得青睞,Network Admission Control以及Network Access Protection仍然會繼續存在。( 作/Mike Fratto.譯/家康 )

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416