扫一扫
关注微信公众号

网络访问控制应该包括什么?
2008-04-01   

最近,对于什么是构成一个“完整的”网络访问控制解决方案的内容存在许多争议。最初的网络访问控制(如主机状态检查、隔离和补救措施)的定义一直在显著地扩大。网络架构和网络运维管理员毫无疑问都开始质疑这个词汇是否被滥用了,以至于失去了一些真正的含义。

要保证不可避免的“赶时髦”效应让厂商推出与一年前标记的东西明显不同的网络访问控制产品。尽管存在这些担心,我仍喜欢为网络访问控制提供比去年看起来更广泛的定义。

研究公司Current Analysis认为,一个完整的网络访问控制解决方案应该包括下列功能:主机状态检查;隔离和补救措施;熟悉身份和基于政策的身份识别以及资源访问控制;入网后威胁保护、隔离和补救措施。

我们从这个扩展的定义中获得的东西是把网络访问控制与IT基础设施更紧密集成在一起的能力,从而把网络访问控制作为一个真正的普遍存在的访问控制系统。这将为当前的网络提供两个单独的、但是同样重要的增强功能,提供网络层身份管理和一个防御威胁控制台。

在网络访问解决方案中,熟悉用户身份的好处确实是显而易见的。有趣的是网络访问解决方案定位于安全解决方案是很普通的,因为它们仅与安全有关。正如以前预料的那样,网络访问控制没有增加任何额外的安全功能,而是要保证机构全面利用其现有的安全投资(例如,检查杀毒软件是否安装、打开并且更新了)。

把网络访问控制系统定位于一个系统管理、审计和遵守法规的解决方案至少是很明显的。但是,要全面利用网络访问控制作为审计和遵守法规的管理工具的潜力,这个解决方案需要把网络通讯与特定的用户和具体的政策联系起来。现有的解决方案一般采用以应用程序为中心的方法做这件事情。这个事实也许是偶然的,而不是设计上的。本星期宣布的消息称,甲骨文(以应用为中心进行身份识别管理的典范)与Identity Engines 公司(一家熟悉身份的网络访问控制厂商)的合作将成为一种趋势。这种趋势是更迅速和更完全地向网络访问控制解决方案提供熟悉身份的技术。

要成为一个活跃的安全系统,网络访问控制解决方案需要支持入网之后的威胁保护。目前许多网络访问控制解决方案确实支持定期重新检查主机配置的入网之后的保护措施。如果发现一台设备没有遵守规则,就把它放在隔离的地方并且进行修复。然而,更强大的功能是利用网络访问控制实施点来封锁网络通讯,或者根据现有网络或基于主机的安全产品的威胁检测结果来隔离具体的设备。随着网络访问控制功能集成到网络基础设施,安全厂商将尽它们最大的努力做事。这些事情包括检测新兴的威胁,并且通过消除专用线路内的安全设备来简化网络。

我们将看到我们距离拥有这种广泛功能的网络访问解决方案还相差很远。但是,我们的第一步肯定是一致赞成朝着这个方向发展。市场需求将围绕更广泛的解决方案发展,因此,你将看到进行合作和收购的厂商以及他们提供这些解决方案的技术。


热词搜索:

上一篇:绕过网络访问控制
下一篇:思科NAC解决方案核心:可信代理(1)

分享到: 收藏