微准入,BYOD安全新力量!
责任编辑:盈高科技 时间:2014-05-20 浏览次数:4066
文章来自:和讯网
不久之前的“心脏出血”漏洞又一次唤起了IT管理者对于系统补丁和安全的重视,而对于内网而言,能够有效防止非法接入的准入控制系统则不啻是屏蔽在各种漏洞前的一道有效闸门。随着跨过第十个年头,准入控制行业在新的BYOD浪潮下又掀起了一抹亮色。
历史
在2003年cisco提出网络准入控制(NAC)概念的时候,目的就是防止非公司内部员工接入,并利用与杀毒软件的联动来防止公司内部各种系统的潜在漏洞被攻击和破坏。随后网络准入控制就
开始在功能不断扩张,价格不断上涨,组件不断增多的道路上越行越远。Gartner在预言了准入控制蓬勃发展的几年后,也开始反思这样的技术道路是不是可
行,因为NAC已经逐渐成为管理者谈之叹气(价格高昂,难以管理),用户谈之色变(体验差,影响使用,涉及隐私)的妖魔化产品。
变化
不得不承认网络准入控制在防止从内部发起的攻击上有不可替代的优势,但到了2014年,我们也同时发现,许多在多年前就部署了桌面管理产品来提供部分网络准入控制功能的机构,已经在悄然将这些组件下架,并在努力寻找新的能够代替桌面、客户端这些类似物品的另一种安全方式或手段。
最近国外一家著名的NAC供应商也在媒体上谈到,很多人在实施准入控制系统时都有过不愉快的经历,由于涉及到在每个入网终端上安装代理或客户端,但通常只
用于锁定系统,因此许多组织过去都被实施NAC搞得焦头烂额。而到了智能便携设备大行其道的当下,不可能也无法做到对所有移动设备和个人设备安装代理,这
就是我们说的BYOD对准入控制造成的冲击。
事实上,网络准入控制NAC正在悄然发生变化。
就像国人购买安全产品思路的演变史,一开始大家都只是想买到具有一定功能的产品(如防火墙);随着懂技术的管理者越来越多,功能越多且覆盖越全的产品逐渐
受到欢迎,人们恨不得一次投资就购买到一款什么都能管的救火英雄式的怪物(如UTM);而到了第三阶段,管理者则更为接受那些细分市场下更为专业的产品,
这恰好符合了云计算环境下scale out的普世思路,解放堆叠,让管理更平面化,当然,产品的可操作性和友好性也绝对不可或缺。
不可否认,在很长的一段时间内,二三阶段的认知思路会长期并存在国内的网络安全界。
So does NAC。
思路
一个是大而全的网络准入控制平台,一个是小快灵的“微准入”产品,你会选择哪一种?
在介绍这个新名词—“微准入”之前,我们需要梳理一下传统的准入方案设计思路。在以往,现在,也许还包括一段不短时间的将来,我们可能倾向于部署一大堆
复杂的安全策略,因为我们也许十分的不相信自己的员工,因为我们也许总觉得他们中的任何一个人都可能具有顶级黑客的手段并花上不菲的代价只是为了进入网络
中来获得某人C盘下的隐藏共享文件夹。可是,所有的机构或网络都需要如此的妖魔化自己的内部员工吗?
在与某政务外网安全负责人闲聊时,当事人说起了自己的准入安全理念:“涉及到重要机密的数据服务器不会部署在我们的网络中,我们的网络主要是对办公人员
提供接入服务和资源,但有一个很重要的特点就是需要入网的终端太多了(上万点),另外就是各种很难管理的社区接入和私接hub。所以在有限的人力下,目前
我的重点会放在不能让任何人随便的进入网络,还有就是防止各种未经允许的改变网络拓扑(私接hub等)。不过在做好这些安全工作的同时,很重要的一点是对
于绝大多数的正常用户一定不能干扰他们的日常工作。总之,我需要在抓住准入控制核心的同时保证用户的流畅使用,这才是我们这样的大网络管理的核心。”
于是,“微准入”应运而生。
什么是“微准入”?
当传统NAC策略的执行越来越复杂,而企业网络中BYOD和临时设备的数量又面临着不断增长的麻烦的时候,就促使了新的NAC解决方案的到来。
“微准入”是一种强调只需要极少量的配置,极短的部署时间和极微小的用户干扰即可搭建核心准入平台的新方案。“微准入”只需要极细微的调整就可以迅速获得最核心的准入功能,所谓“以小博大”;
另一方面,“微准入”在行业中第一次果决地舍弃了以往被无数次诟病的客户端,准入控制从此突破了终端操作系统的限制,从“终端”准入控制
(EndpointAccessControl)真正蜕变成为了“网络”准入控制(NAC)。我们欣慰地看到NAC在历经数年的历炼后,终于返璞归真了。
选择,还是求真?
早在2010年,盈高科技就第一次在行业中提出了“无客户端Agentless”的准入控制理念,2014年,盈高科技又发布了新形势下基于“微准入”理念的产品—ASM “OCEAN”版。以前,只有具有严苛安全需求的大型机构才会使用NAC,如今,性价比更高的“微准入”则为中小型机构中缺乏管理的网络、以及提供公众接入服务的资源型网络(如政务外网)带来了另一种解决方案。
再次回到那个问题,一个是大而全的网络准入控制平台,一个是小快灵的“微准入”产品,你会选择哪一种?就像航母和驱逐舰的配置,也许,这并不关乎选择,而是提醒我们更好的去思考自己的网络现状和管理需求。