При выборе решения для управления сетевым доступом (NAC) учитывается много факторов — предварительный контроль или постконтроль, применение или отказ от агентов, преимущества встроенного или самостоятельного продукта. В данном обзоре описаны типы NAC, с помощью которых можно эффективно управлять доступом удаленных пользователей к сети компании
Значение сетевой безопасности в мире, наводненном вычислительными устройствами, с помощью которых мошенники пытаются проникнуть в корпоративные сети, трудно переоценить. Необходимость управления сетевым доступом обусловлена распространением мобильных устройств и уязвимостью данных работающих вне офиса пользователей. Но, прежде чем сделать покупку, нужно определить, какой тип решения NAC будет оптимальным для конкретных условий. Выбор зависит от нескольких факторов.
Отличительные характеристики
Существенное различие между решениями NAC заключается в этапе применения политик безопасности — до или после того, как конечный узел получает доступ к сети (предварительный контроль или постконтроль). Как видно из таблицы, во всех решениях реализованы оба метода. Хороший продукт NAC обеспечивает надежную предварительную проверку безопасности устройства, а затем периодически (или даже постоянно) контролирует соответствие конечного узла политикам безопасности.
Еще одно важное различие — наличие или отсутствие агентов. Явное достоинство решений на основе агентов (специализированных программ, которые устанавливаются на каждом конечном узле) заключается в детальной, тщательной оценке устройства. Решения без агентов на основе дистанционного сканирования легче развертывать, но их функциональность не так широка, как у решений с агентами. Чтобы обеспечить полный охват, многие поставщики используют элементы обоих подходов.
Какое решение будет предпочтительным — входящее в состав другого продукта или автономное? Компания наверняка потратила много времени на организацию сети. Допустимо ли, чтобы решение вторгалось в инфраструктуру, или лучше выбрать более нейтральный вариант, независимый от сети? Влияние встраиваемого продукта на основе специализированных устройств, скорее всего, будет весьма значительным, а при использовании автономного решения (с агентами, посылающими отчеты на центральную консоль) не потребуется перестраивать сеть ради защиты NAC.
Также важен способ проверки уязвимых мест. Надежное решение NAC подвергает конечные узлы исчерпывающему тестированию с применением набора заранее определенных политик безопасности, программных заплат Microsoft, проверок соответствия законодательным актам, а также специализированного списка политик для конкретных нужд. Кроме того, требуется, чтобы все конечные узлы соответствовали политикам, независимо от их местонахождения и частоты подключения к ресурсам.
Методология устранения уязвимых мест
На рынке наблюдается явная тенденция автоматического устранения изъянов, как можно менее заметного для пользователей. В идеале пользователь не должен знать, что решение NAC интенсивно работает, устраняя уязвимые места и активизируя отключенные брандмауэры. Если какое-то несоответствие законодательным актам требует действий с его стороны, то необходимо самостоятельно устранить проблему с помощью всплывающей подсказки или ссылки на простой поэтапный процесс, без обращения в службу поддержки.
И наконец, совместимость решения с другими продуктами NAC. К сожалению, некоторые поставщики требуют использовать их сетевую инфраструктуру или даже применять другие выпускаемые ими продукты, чтобы получить весь набор функций. Всеобъемлющее решение может быть удобным, но потребители могут предпочесть свободу использования разных продуктов в рамках общего подхода к проблеме безопасности.
Тенденции развития NAC
В прошлом решения NAC применялись лишь для базовых целей — защиты от вирусов, управления брандмауэром и исправлениями, но область их применения расширяется. Сейчас NAC используется и для того, чтобы обеспечить соответствие законодательным актам. Среди них заслуживают внимания: стандарт безопасности данных кредитных карт PCI DSS, закон Грэма-Лича-Блили о требованиях к шифрованию информации о потребителях и даже стандарты окружающей среды, относящиеся к управлению энергопотреблением (например, отключению компьютеров в нерабочие часы). Таким образом, набор проверок NAC расширяется.
Более фундаментальная тенденция: автономные решения NAC постепенно уступают место решениям, входящим в качестве компонента в крупные программные комплексы обеспечения безопасности. Потребители по-прежнему нуждаются в NAC, но в то же время заинтересованы в том, чтобы продукт был частью более общего решения.
Выбор для конкретных нужд
В конечном итоге пользователи могут предпочесть Network Access Protection (NAP) компании Microsoft в Windows Server 2008, встроенное решение с контролем доступа по DHCP после допуска. Но такое решение не обязательно самое выгодное. Выбор решения NAC зависит от размера сети, времени и усилий, которые администраторы готовы приложить для настройки продукта. Небольшие компании обычно выбирают удобные для развертывания, готовые к применению решения с богатым набором шаблонных политик. Крупные предприятия предпочитают широкие возможности настройки функциональности с целью гибкого управления безопасностью и соответствия законодательным актам. Все эти факторы необходимо учитывать при организации защиты сети.
Джейсон Бовберг (jbovberg@windowsitpro.com) — старший редактор журналов Windows IT Pro и SQL Server Magazine