Network Access Control (NAC) se sice jeví jako jedna z nejslibnějších bezpečnostních technologií, ale zároveň je i jedním z nejméně pochopených řešení. Mohou za to částečně dodavatelé, kteří vyvolávají kolem NAC rozruch a dožadují se pozornosti, přestože produkty, které prodávají, jsou v podstatě pouze jejími doplňky. To prohlubuje problémy firem, které o NAC přemýšlejí, ale nemají pořádné povědomí o tom, co to vlastně NAC je, jaký pro ně bude mít přínos a jaké investice bude vyžadovat.
Prvním krokem k ukončení tohoto humbuku je definovat NAC. Podle analytické společnosti Forrester Research NAC představuje kombinaci hardwarových a softwarových technologií, jež dynamicky řídí přístup klientských systémů do korporátních sítí, a to na základě splnění určitých pravidel.
Mezi základní architektury řešení NAC patří Network Admission Control od společnosti Cisco Systems či Unified Access Control od firmy Juniper Networks. Samostatná zařízení vyhovující požadavkům NAC zahrnují produkty společností ConSentry Networks, StillSecure a Vernier Networks. Další dodavatelé, jako například firmy Lockdown Networks a Mirage Networks, spolupracují s dalšími partnery.
Skupina Trusted Computing Group (TCG), která vytváří standardy pro NAC za účelem zajištění interoperability mezi různými dodavateli, představila také vlastní schéma NAC - Trusted Network Connect (TNC) specifikuje rozhraní produktů, která mohou dodavatelé použít ohledně začlenění svých výrobků do TNC architektury. TCG definuje NAC jako „otevřenou, neproprietální specifikaci, která umožní aplikovat a vynucovat bezpečnostní požadavky v případě klientů, kteří se chtějí připojit do firemních sítí“. Dodavatelé tedy mohou postavit své produkty na TNC NAC standardech, ale aby vytvořili fungující systém NAC, musejí se spoléhat na další produkty.
V praxi je NAC procesem, jenž spočívá ve skenování počítačů a jiných zařízení ještě před tím, než jsou připojena k síti, a to s cílem zjistit, zda splňují bezpečnostní požadavky, které jsou pevně stanovena firemními pravidly. Je jejich antivirový program aktualizovaný? Je jejich operační systém záplatován? Používají personální firewall?
Tento proces vyžaduje do firemní infrastruktury nasadit zařízení schopné porovnat výsledky skenování se stanovenými pravidly, aby tak bylo možné rozhodnout, zda je klient kvalifikován pro to, aby získal do příslušné sítě povolení přistoupit. Takové zařízení musí umět vynutit si pravidla na základě svého rozhodnutí – například zablokovat přístup, omezit přístup k určitým zdrojům nebo dovolit přístup pouze k určitému izolovanému segmentu sítě tak, aby si klient mohl provést update svých zatím nedostatečných bezpečnostních funkcí.
Pochopení světa NAC
Někteří výrobci se označují jako dodavatelé NAC, ale ve skutečnosti tím myslí, že je jejich produkty možné zařadit do širšího prostředí NAC.
Například firma CA tvrdí, že se připojila k plánu společnosti Cisco se svými antivirovými a antispywarovými řešeními řady eTrust, jenž jsou schopna předat informace o stavu svého mateřského počítače produktu označovanému jako Cisco Trust Agent. Ten shromažďuje data od různého softwaru umístěného v stolních počítačích či noteboocích uživatelů a vytváří z nich profil počítačů, které se snaží získat přístup do sítě.
Podobně funguje i software Tivoli Security Compliance Manager od společnosti IBM. Ten skenuje zařízení přistupující do sítě, ale sám o sobě nemůže rozhodnout, zda konkrétní zařízení získá přístup. K vynucení dodržování stanovaných pravidel potřebuje odpovídající infrastrukturu firmy Cisco nebo jiného dodavatele.
Produkty eTrust či Security Compliance Manager lze zařadit do architektury NAC, ale samy o sobě NAC prostředí nemohou vytvořit. Cisco i TCG uvádějí přehled mnoha partnerů, jejichž produkty mohou být součástí jejich schémat. Zákazník by si měl opravdu zjistit, co dodavatelé podporou NAC vlastně myslí.
Dalším významným faktorem, který komplikuje situaci, je ta skutečnost, že svou vlastní NAC architekturu - Network Access Protection (NAP) - má i Microsoft. Problém tkví v tom, že klíčové komponenty zatím nejsou dostupné, takže až na omezenou betaverzi Microsoft NAP platformy nelze provádět test interoperability.
Nutné je však podotknout, že 75 dodavatelů se zavázalo učinit své nástroje interoperabilní s komponentami Microsoft NAP, a to hned, jak budou tyto prvky k dispozici. Tento závazek se týká i společnosti Cisco Systems, se kterou Microsoft pracuje na interoperabilitě mezi NAP a Cisco NAC. Cisco, které u organizace IETE lobbuje pro vytvoření příslušných NAC standardů, se ale nepodílí na práci skupiny TCG. Samo má okolo 30 partnerů dodávajících nástroje kompatibilní s Cisco NAC a další desítky, kteří takové produkty vyvíjejí.
Požadavky na NAC
„Bez ohledu na výběr dodavatele musejí společnosti vědět, jaké výzvy před nimi stojí a které z nich chtějí řešit - a to ještě před tím, než se rozhodnou pro implementaci určité formy NAC,“ říká Joel Snyder z analytické společnosti Opus One. „Je překvapující, že mnoho firem si NAC pořídí, aniž by dopředu definovaly skutečné potřeby své firmy, jež by takovou investici ospravedlnily.“
„Jedním z prvních subjektů, který NAC nasadil, byla vysoká škola Colorado State University College of Business. Chtěla s její pomocí kontrolovat návštěvníky i studenty přistupující k síťovým zdrojům, ale zároveň hodlala tuto infrastrukturu ponechat co nejvíce otevřenou,“ říká Jon Schroth, technologický ředitel této instituce. Schroth také nechtěl vyřazovat žádný dosud používaný síťový hardware nebo být odpovědný za instalaci softwaru na uživatelských zařízeních....
Toto je ukázka z hlavního článku aktuálního 8. čísla časopisu Computerworld.
Více se o tomto vydání dozvíte zde (obsah čísla -- stávající okno).
Foto: IDG