編輯部
NAC 是針對「如何保障動態成長的資訊基礎架構之資訊安全」這個發燒議題的新技術。 NAC 的好處非常顯而易見:任何連接在網路上的設備,都應通過安全查核,以自動化的機制,持續不斷地監測所有連線的設備都符合管制;同時結合使用者身份的管理,讓 IT 人員確保網路資源的存取是依照使用者的工作權限,並且依員工和訪客,動態地區分存取角色。
本文目錄
現實的網路環境
將理論應用在實際環境上出現了許多的困難。複雜的異質網路環境是導入 NAC Solution 面臨的難題,典型的現今企業,包含各種不同廠牌和組態的端點設備和網路設備,而且還在不斷的進行升級和改版;同時,移動式設備和無線網路很容易會跳過管制出現在企業網路上。
我們列出下列 3 個 NAC Solution 能有效應用於實際複雜環境,必須要有的條件:
1. 偵測和審查端點設備:要能強制實施網路安全 政策,必須先知道存在有哪些連線的設備。而且,要以最少的 IT 人員負擔,偵測和認明各種不同型態的設備並且加以詳細的審查。
2. 政策實施和強制管制:是否能很容易的建立審查政策?什麼是必須要有的設備偵查和強制措施?強制的政策是否會影響使用者?這些都是導入 NAC Solution 作存取控制而不影響網路時,要考慮的問題。
3. 部署和整合:為了發揮 NAC 的功能,必須和現有網路架構結合而且不造成影響;因此,市場上出現了許多不同的佈署方式 (out-of-band vs. inline),其主要的考量應該是在於是否不需要額外的升級成本和改變網路環境,同時,與基礎架構整合時影響最少。
以下針對各項條件做進一步說明。
偵測和審查端點設備
為解決此一 NAC 的主要議題,有許多不同的方案,主要的癥結點在於什麼樣的先決條件可以偵測到端點設備,不同的先決條件有不同形式的代理程式可以傳達不同的偵測結果給 NAC 系統。
……未完(更多內容請參閱網路資訊雜誌 2009 年 7 月號 212 期)