网络访问控制(NAC)名声不好,我们得让它改改。过去十年里,NAC出现了部署失败和安全策略过份严格等问题,这使得许多CEO发现按照IT部门实施的NAC,自己的笔记本电脑无法访问网络。
但是,现在情况已经发生变化。专家指出,NAC不再只是访问控制;而是提供终端可见性和感知环境的安全性。Enterprise Strategy Group的研究表明,NAC正演变成一种新的平台产品,它叫终端监控、访问与安全(EVAS),它能够实现感知环境的安全性,可以给其他安全平台提供信息,同时应用这些平台专用的策略。
ESG高级主任分析师Jon Oltsik指出,早期的NAC解决方案会检查用户设备的状态,保证它们未感染病毒,并且安装了正确的终端安全 软件,然后才允许它们连接网络。之后,NAC增加了软件补丁和配置检查。现在,NAC解决进一步发展成为EVAS平台,从而符合企业关于感知环境安全性的需求。他说,思科、瞻博、ForeScout和Bradford都推出了这样的产品。
EVAS的特点是增加了两个新功能。这个平台可以整合到其他安全和策略系统,而且与早期NAC系统不同,它们不仅能处理传统PC机,也能处理更广泛的终端设备。
Jon Oltsik说:“EVAS已经整合到基础架构的其他部分上,包括MDM[移动设备管理]、身份验证和RADIUS服务器等。它既可以提供分析的信息,也能够加强策略。而且,EVAS面向下一代终端开发;而不仅仅针对于PC。它包括移动终端和其他一些IP设备,如打印机、控制系统、医疗设备或其他需要监控的网络设备。它能够识别设备,也能够提供这些设备上与环境相关的信息。
企业会在其中部署许多安全分析工具,包括安全与事件管理平台、数据包分析或流量分析等。安全工程师真正缺乏的是这些分析的更详细信息。当您想知道用户在使用哪些设备,他们执行了哪些活动,以及特定时间的系统配置情况,这里会缺少很多信息,而且很难捕捉这些信息。EVAS可以作为一个中间设备,捕捉这些信息,并且提供更详细的信息。”他还指出,EVAS还可以应用策略,这是分析平台无法做到的。”
终端可见性与访问控制:是变换名称还是新技术?
Frost & Sullivan 网络安全行业分析师Chris Rodriguez指出,NAC并不一定会发展成为一个新产品。但是,在最近几年,客户发现了一些除简单访问控制之外的用例,这项技术增加了一些新功能。EVAS的说法是“更准确反映NAC价值的一种尝试。”此外,他还认为,这也是改变过去几年NAC市场中因为部署失败而造成的不良名声。客户一直说,使用NAC解决方案,他们可以看到比任何终端管理解决方案更多的东西,他们看到的不仅仅是企业拥有的设备。也能够监控员工拥有的设备,以及不能安装客户端的设备,如控制系统和医疗监控设备。
EVAS控制着终端,而非数据
虽然可见性和感知环境很重要,但是并非所有人都认为终端是最需要关注的元素。Forrester Research主任分析师John Kindervag指出,安全供应商应该关注于真正有价值的东西——数据。
Kindervag说:“我认同可见性,但是我们的终端不需要它。终端上更需要的是数据,因为终端的数量太庞大了。您无法控制这么多的终端。我们需要控制自己能够控制的东西,那就是数据。为了保护数据,企业需要检测和监控所有的流量,因为这样才能够知道数据发生了什么变化。他说,担心谁有权限访问网络是浪费时间。在这里,流量是很有价值的。我们完全不需要直接进入终端,流量就可以告诉我们终端中发生的一切。这也是更有可能实现的位置。它与进入网络设备无关。我们必须从认识上纠正这一点。边界已经没有意义。我们要超越它。”
基于终端的控制还造成了对安全性和合规性的一种误解。是的,进入我们网络的人都是批准进入的。所以不如就让他们正正当当进来。让所有人都从前门进来,但是我们要盯住数据。如果有人想要动数据,那么您就要采取措施。在您关注数据之后,终端保护可能会受到影响,但是不要认为可以在终端上解决这个问题。
多年以来,Kindervag和Forrester Research都认为企业应该采用一种“零信任”安全模型,也就是认为所有流量都是不可信的,它们都应该检查和分析。即使授权用户连接网络的设备符合策略规定,他们也仍然可能威胁公司的数据。所以,企业必须跟踪数据传输,而不要关注于谁和什么设备在访问网络。
NAC/EVAS供应商支持这种零信任方法。ForeScout首席销售官Scott Gordon说:“假设您有一个企业政策,它要求用户激活个人防火墙,要求设置特定的补丁级别,并且要求安装并激活数据丢失保护软件。我们的系统可以动态验证网络进出访问。如果数据丢失保护[DLP]安装但没有运行,那么就可能存在一种风险,即DLP管理系统会误认为一切都是正常的。NAC/EVAS平台可以检测到终端未激活DLP,然后指示DLP系统通知该设备的客户端。”
