【IT专家网独家】NAC(网络接入控制)对于很多企业来说,由于NAC牵涉的范围十分广,可以说自终端选用到网路架构,设备与软件都必须紧密联系又必须相互协作,只有全面考虑才能使NAC成功的运转起来。这使得如何在原有的网路架构下,建立起完善的NAC机制成为一件并不容易实现的工程。综观采用NAC机制的企业来看,需要考虑的主要因素主要有三点,我们可以归纳为架构变更、部署难度与对NAC的功能需求。
NAC牵涉范围广,架构变更与ROI需谨慎
究竟企业是否应该引入NAC机制,如今成为业内争论的话题。作为企业方,身为一个营利组织,一切都必须考虑投资与回报的关系,NAC机制的导入当然也不例外,目前国内建立完善的NAC机制的企业并不多,这也成为许多企业观望以及实施缓慢的主要原因。曾经替作过某国有大型企业网络管理员的张先生表示,公司十分重视信息安全与员工上网行为的控管,所以在NAC方案提出以后,由于牵涉到投资的金额过于庞大,后来决定暂不考虑。同时公司通过各分支机构的上网管控,内外网的分离,MAC与IP地址的绑定,以及员工移动办公的身份验证等措施的采用,使得再考量NAC的引入及成本的计算,不大符合投资回报率,因此也没有继续下去。
张先生的这个例子是很普遍的。很多企业在考虑是否要导入NAC时,所面临的第一个问题,那就是导入NAC所需投入的资金,如果只是能让现有企业网络安全得到微小的提升,那么国内的很多企业肯定不会立即实施NAC机制。安全机制所能降低的风险和企业的投资回报率,这个亘古流长的问题,在NAC机制导入时,成为企业最需考量的问题。
同样的问题,在不同的情况下,就会得出不同的答案。以某汽车公司为例,该公司在4年前NAC方案刚出现时,就毅然而然决定导入思科的NAC机制。除了由于该公司网路设备原本就使用思科的产品外,该公司无法准确掌握经销商存取其网络的安全风险,驱使他们导入NAC机制的决心。从实施效果看,导入NAC机制后,给公司带来了两个好处,一是想要公司有业务往来的经销商,我们更能强制他们遵循公司制订的安全策略;二是由于NAC机制对系统环境的要求,让我们同时升级公司内部的系统。
从这两个案例不难看出,对于已经拥有比较完备的接入及安全策略的公司,导入NAC显得并不十分必要;相反对于大量接入控制需求的企业,有了NAC机制的导入,能够降低公司网络的管理成本及风险,因此导入NAC机制所能带来的效益与投资比较之下,较为可行。
功能与部署难度成导入NAC的主要难题
当企业决定导入NAC机制时,由于牵涉的范围很广,原有网络架构的变更成为NAC导入的最主要障碍。特别是某些不断扩张中的企业,往往由于新公司导入NAC机制,但是在旧公司由于网络环境实际情况,牵扯变更的网络设备过多,所以实现难度会增加。而对于使用的是以IEEE 802.1x标准的企业来说,这种矛盾显得更加明显。
赛门铁克的Sygate方案,提供多种模式让企业建置自己的NAC方案。很多公司最终选择需要部署终端软件的方案,最大的原因在于公司对于安全控管的需求。在导入NAC机制之前,任何公司都会考虑办公环境的实际情况,对于公司来说最重要的就是掌握终端电脑的健康状况。在病毒、木马已经恶意软件得不到很好的控制时,许多公司宁愿选择部署较为麻烦的终端软件来建立起NAC机制。
在NAC的架构方面,往往需要考虑企业自身的实际情况,当分支机构很多十,NAC的部署就要更加切合世界,有些时候沿用AD架构的身份认证会比采用新的NAC标准来得更实际,更贴合用户的需求。
例如某DRAM厂商,由于新厂区在建立之初就考虑到NAC机制的建立,这也使得一开始的网路架构规划,就决定全面导入符合802.1x标准的交换器,这也使得该公司的NAC机制能够在新厂正常运行。当然很多公司的实际情况来看,最大的建立NAC机制困难点,是在终端电脑上如何部署NAC的终端软件。
IT专家网专家通过观测多家企业的实际部署情况,发现两种因素在捆扰NAC机制:一要选择变动架构少,能够快速建立且不影响使用者;二是要选择功能较完善,却可能必须要花费大量的精力去部署实施方案。对于小公司而言可能还不必面对如此艰巨的选择。而对于大公司来说,大部分还是选择了后者,相对于公司一天无法正常运行造成的损失而言,大公司愿意也乐意选择风险较小的方案,期望能够把终端电脑可能的风险降到最低。
IT专家网原创文章,未经许可,严禁转载!
