PUBLISERT: December 30, 2012 · KATEGORI: Tilgangskontroll

Introduksjon til Nettverk adgangskontroll (NAC)

Forvirret om nettverks adgangskontroll? Du er ikke alene. I løpet av de siste årene har det har vært en betydelig fokus i IT næringen på å kontrollere brukere og enheters tilgang til bedriftens nettverk. Det er heller ingen overraskelse at i den senere tid har antall mobile klienter (dvs. bærbare datamaskiner) oversteget antallet stasjonære brukere i bedriftens nettverk. Med dette voksende antall av ‘på farten’ enheter, har utfordringen IT-ledere står ovenfor i å sikre nettverket vokst eksponentielt.

Fordelene med Nettverk Adgangskontroll (NAC)

NAC har dukket opp som en lovende ny teknologi for å besvare det brennende spørsmålet om “hvordan sikrer jeg IT-infrastrukturen i et miljø hvor brukerene er stadig mer mobile.” Fordelen med å administrere tilgangen med NAC er enkel: enhver enhet du kobler til nettverket blir sjekket i henhold til bedriftens sikkerhetsretningslinjer, automatisk utbedring av klienten hvis brudd på retningslinjene(e) blir oppdaget, og kontinuerlig overvåking av hele økten for å sikre enheten i å forbli kompatibel.
Ved å integrere brukerinformasjon med enhets-inspeksjon får IT-administratorer muligheten til å sikre at bare brukere med kompatible enheter er gitt tilgang til de tildelte nettverksressurser, som gir et virtuelt, dynamisk segmenterte nettverk med rollebasert tilgangskontroll for brukere og gjester.

Innføring av NAC i reelle nettverk

Utfordringer oppstår når du prøver å anvende teoretiske begreper i reelle nettverksmiljøer. Komplekse nettverksmiljøer innfører en betydelig grad av kompleksitet i sitt forsøk på å implementere NAC. Et typisk bedriftsnettverk består nemlig av endepunkter og infrastrukturkomponenter fra flere leverandører med varierende konfigurasjoner. Ettersom de fleste bedrifter vokser organisk blir infrastruktur- og enhets-oppgraderinger ofte gjennomført på en “as-needed” basis for å håndtere økende maskinkrav og / eller å få ytterligere funksjonalitet fra nyere versjoner av nettverksutstyr (dvs. svitsjer, rutere, osv.). I tillegg gjør spredning av rimelige mobile enheter og trådløse nettverk det enkelt for sluttbrukere å omgå eksisterende sikkerhetstiltak ved å innføre personlige enheter inn i bedriftens nettverk.
I denne artikkelen vil vi se på tre viktige funksjonskriterier en NAC-løsning må levere for å effektivt kunne operere i komplekse og varierte reelle nettverk. Disse kriteriene er:

Deteksjon og inspeksjon av endepunkter

Før håndheving av sikkerhetspolicyer kan aktiveres må alle enheter med tilkoblingsmuligheter bli oppdaget. I tillegg må flere typer inspeksjonsmekanismer vurderes for å få maksimal virkning med minimum arbeidsmengde for alle oppdagete og identifiserte endepunkter.

Definisjon av retningslinjer og håndheving.

Hvor lett er det å skape retningslinjer? Hvilket detaljnivå er nødvendig for effektiv enhets-inspeksjon og håndhevelse? Vil håndhevelse av policyer forstyrre nettverket eller brukere? Dette er spørsmål som må vurderes for å sikre at NAC løsning effektivt vil kunne levere detaljerte nivåer av adgangskontroll uten å forstyrre nettvirksomheten.

Integrasjon og implementasjon.

For å maksimere fordelene med en NAC-løsning, må den kunne sømløst integreres i eksisterende nettverksinfrastruktur uten å forårsake nedetid. Derfor må flere tilnærminger til distribusjon (f.eks out-of-band vs inline) vurderes og hvilken potensielle innvirkninger og grad av nedetid distribusjonsmetoden vil ha på den totale infrastrukturen. En annen avgjørende faktoren er NAC systemets evne til å utnytte eksisterende investeringer i nettverks-infrastruktur og utstyr uten å kreve kostbare oppgraderinger eller forårsaker nettverk nedetid.

I neste del går vi i dybden på deteksjon og inspeksjon av endepunkter.