Что такое NAC?

По определению Forrester Research, «NAC представляет собой сочетание аппаратной и программной технологии, которая динамически контролирует доступ клиентской системы к сетям на основе их соответствия политике». Но поставщики, стремящиеся войти в моду NAC, часто используют метку NAC для продуктов, которые на самом деле являются только периферийными для процесса контроля доступа.

Каковы основные инициативы NAC?

Есть три:

Архитектура сетевого контроля доступа Cisco; программа Trusted Computing Group (TCG) Trusted Network Connect (TNC); и архитектура защиты доступа к сети (NAP) от Microsoft.

Cisco и Microsoft хорошо работат вместе?

Архитектура NAP от Microsoft является основным фактором во вселенной NAC из-за распространенности серверного и настольного программного обеспечения компании. Однако на данный момент ключевые компоненты недоступны, что делает невозможным тестирование взаимодействия за пределами ограниченных бета-версий платформ Microsoft NAP. С другой стороны, 75 поставщиков обязались обеспечить совместимость своего оборудования с компонентами Microsoft NAP, когда они станут доступны. Это включает в себя Cisco, с которой Microsoft разрабатывает совместимость NAP и Cisco-NAC. Cisco, которая продвигает IETF для стандартов NAC, но не участвует в TCG, имеет около 30 партнеров, поставляющих Cisco NAC-совместимое оборудование, и еще 27 разрабатывают такие продукты.

Существуют ли какие-либо стандарты NAC?

TCG разрабатывает стандарты NAC для обеспечения совместимости между поставщиками. IETF создала рабочую группу для разработки стандартов NAC, и Cisco, которая не участвует в TCG, поддерживает усилия IETF.

Есть ли на рынке отдельные продукты NAC?

Cisco, Microsoft и TCG перечисляют десятки партнеров, чье оборудование вписывается в их схемы NAC и может претендовать на роль поставщиков NAC. Кроме того, Juniper имеет свою унифицированную среду контроля доступа. Покупатель NAC должен выяснить, что вендор подразумевает под «поддержкой NAC», но отдельные устройства, отвечающие требованиям NAC, включают продукты от ConSentry Networks, Nevis Networks, StillSecure и Vernier Networks. Другие поставщики NAC, такие как Lockdown Networks и Mirage Networks, работают совместно с партнерами. Это не полный список.

Какие типы функций безопасности являются частью среды NAC?

Аутентификация; сканирование конечных точек; политика
проверка соответствия; создание политики, обеспечение соблюдения и управление.

Как NAC работает на практике?

Продукты NAC сканируют компьютеры и другие устройства до того, как они попадают в сеть, чтобы определить, имеют ли они положение безопасности в соответствии с корпоративной политикой. Является ли антивирусное программное обеспечение современным? Операционная система исправлена? Используется ли персональный брандмауэр? Для этого процесса требуется механизм, способный сопоставлять результаты сканирования с политиками, чтобы определить, подходит ли устройство для получения доступа. И это влечет за собой устройства, которые могут реализовать решение механизма политики: заблокировать доступ, ограничить доступ к определенным ресурсам или разрешить доступ только к изолированному сегменту сети, где функции безопасности могут быть обновлены.

Могут ли другие типы продуктов безопасности играть роль в среде NAC?

Да. Например, антивирусное и антишпионское программное обеспечение CA eTrust работает в среде NAC Cisco, предоставляя информацию о состоянии доверенному агенту Cisco. Агент собирает данные из программного обеспечения CA и другого программного обеспечения на настольных компьютерах и ноутбуках, чтобы разработать профиль компьютеров, пытающихся получить доступ к сети. Аналогичным образом, IBM Tivoli Security Compliance Manager совместим с Cisco NAC, поскольку он сканирует компьютеры, поступающие в сеть. Само по себе это не может обеспечить, получает ли устройство доступ; ей нужна инфраструктура от Cisco или какого-либо другого поставщика для реализации политики.