在《安全大盘点:2011网络准入控制圣诞树》中,对2011年的NAC市场进行了综合盘点,在本文中,将继续对2012年网络准入控制市场的发展趋势进行详细的分析和预测。
趋势一:将无客户端化进行到底
2012年是国内市场提出无客户端准入的第三个年头,越来越多的机构开始投入无客户端准入的用户阵营。鉴于隐私、实施便捷性、维护度、故障点等多方面的原因,高端客户或对准入有深入了解的客户也更倾向于只需要一台硬件化的设备就能够帮助自己解决绝大多数的问题,one box,one day已经成为了无客户端准入产品的主打宣传词。对于意欲实施NAC的各行业,尤其是在政府行业,无客户端化的准入产品已经成为了必需的配置——鉴于前几个年头桌面产品风风火火的进入及其在2011年中的黯然退出,在信息化建设较为先进的沿海各省份政府机构中,准入选型中的无客户端化已经成为了最基本的要求。当然,能够提供可选的客户端配置是必须的,尤其对于企业用户来说,NAC所附加的功能(如交互式提醒、虚拟防火墙、准入环境下的软件监测等)是一个增加管理权和控制力度的有效砝码。
趋势二:市场趋于稳定,品牌效应显现
2011年是国内准入市场的第二波浪潮,NAC在各机构中的扩散度堪比iphone在个人电子消费领域的影响程度,各行业均有众多用户把准入控制列入到年度网络安全建设的预算范围内,甚至有高端用户在几年前已经部署的软件准入系统之基础上,停用原架构而改投硬件准入的阵营——有相当多的802.1x用户中止了原系统的运行。在2011年我们看到,技术发展的日新月异驱动了许多准入系统的重建设和二次投入。但正如我们在《2011准入控制圣诞树》中所描述的那样,繁荣的市场背后却是鱼龙混杂,借安全趋势而投机者大有人在,这正是国内安全市场多年来的发展痼疾:各类产品和厂家都想借时局的东风分一杯羹,但真正在技术领域有深层次积累和专业化投入的纯准入团队却屈指可数。
在2012年,国内NAC市场将趋于稳定和冷静,因此一大批浅尝辄止的公司将淡出NAC市场而转投其他门槛较低但利润值更高的新概念安全产品,准入市场将最终由最具技术性和积累度的原创型品牌担纲领衔。历经了3年的涅槃,准入市场的凤凰将破壁而出,品牌效应将在2012年真正开始显现。
趋势三:第三方无线准入产品面市
无线接入作为数通技术发展的前沿领域已经是一个不争的事实,这一点尤其在企业中表现得最为明显,2011年已经有高端企业在整个生产区域都实现了无线接入的全部覆盖。对于大部分还在考虑办公大楼无线化的用户而言,这个建设方案实在太前卫了,投入产出比如何还值得考究。
不管无线与有线之争的结局如何,我们起码很欣喜的看到了国内用户对于新兴技术的关注度和投入热情。但在从基础无线部署迁移到大规模覆盖之后,大量的无线通道该怎样建设,以及需要建设到怎样的安全水准也是管理者无法回避的一个问题。目前大部分的无线安全均仅仅停留在2层的控制上,也就是在接入SSID时进行安全认证,比如WPA或WPA2,或常见的802.1x(这又回到了客户端的老调上),但是对于需要在接入层全部覆盖NAC的用户而言,我们不得不再次强调一个谈论了多年的原则:身份认证≠准入控制。这里可以回到之前所提到的那个大规模无线部署案例,在大规模铺设了专业的WLC、lightweight AP等设备后,该机构中具有前瞻性的管理者已经着手制定了合理的WLAN NAC方案,这里就囊括了基本的3层认证、安全性判别、漏洞修复、虚拟防火墙等整套NAC架构,全部方案基于无客户端模式,而需要强调的是,不同于传统NAC在网关层面所做的工作,WLAN NAC方案的合格要求应该是在接入AP层就实施准入管理,在这样的要求下,目前大部分技术白皮书中以网关技术来“支持”无线AP均只是隔靴搔痒。
对于WLAN NAC方案,国外厂商中也仅有少数网络巨头有整体的设计和产品,例如cisco,在WLC中直接集成了NAC属性,但要真正用起来,其高昂的费用就不是国内用户所能够承担的了,附加的NAC套件可能比搭建整个WLAN体系的费用还要贵不止一倍。因此对于大部分国内用户来说,要搭建一个比较可行的WLAN NAC方案只能去考虑第三方NAC厂商,况且在兼容性上第三方厂商做的更为优秀。
基于以上背景,在2012年,国内的NAC大厂将会跟进技术前沿的需求,推出第三方的无线NAC产品。而可以预计的是,在2012年中到今后的2~3年间,WLAN NAC将逐渐成为网络准入行业的主流方案,其所蕴含的高技术含量也将建立起网络准入行业自身的准入门槛。
趋势四:云计算与准入坐拥2大安全体系
谁也不可否认,2011年不管是在基础运营界还是网络安全界,“云”已经势不可挡了。作为资源集中化的最佳解决方案,“云”同样在安全领域带来了摧枯拉朽的效果,可是在大家一阵风似的跪拜在“云”脚下的时候,里面到底是团棉花还是空气就真的不得而知了。对于2012,甚至5年之内的安全界一个最大胆的预测是——NAC将与“云”共同组成用户内网的2大安全体系。对于用户而言,由于“私有云”的长期存在,数据的保护和资源的配比将得到有效的控制和管理;而NAC则将从网络层面保护整个云的接入体系和“端”到“云”的数据传输体系安全。巧合的是,没有任何一个单一的产品能够承担整个“云”体系,也没有任何一个单一的产品能够承担整个NAC体系,2者在诞生之时就已经不谋而合,NAC与“云”的握手必将火星四溅。
趋势五:国家标准发布
准入控制国标早在2010年就已经由公安部联合国际国内5家知名安全厂商予以制定,其技术实现细则的初稿也早已提交,但由于国内准入技术发展的日新月异,加上无客户端化浪潮的不断演进,原有技术细则中过多偏向于802.1x技术实现的弊病也显露无疑。标准颁布后无法匹配现实甚至大大滞后于现实,这是标准制定方乃至厂商都不愿看到的结局,在这个背景下,标准的颁布日期确是扑朔迷离。作为无客户端NAC领域的倡导者和国内NAC行业的大厂,盈高科技将在2012年大力关注和参与国家NAC标准的制定,我们相信,通过具有行业责任和社会责任的领导厂商及众多支持者的不懈努力,NAC标准的船票将促使整个行业成长为独树一帜的信息安全诺亚方舟。
趋势仅仅代表着方向,2012年的网络准入控制NAC市场还会有什么新的奇迹发生?作为行业的研究者和参与者,盈高科技期待着与同行和用户在新的一年里共同见证。