Vybíráte NAC? Přinášíme praktické rady (2)

Čtěte také první díl: Vybíráte NAC? Přinášíme praktické rady (1)

Součástí tohoto rozhodnutí je, zda chcete zahrnout správu identit využívanou ke zjišťování, kdo je uživatel -- ne jen počítač -- a jak rozsáhlý přístup k síti je uživateli povolen. To může být složitý problém. Někteří dodavatelé jako Microsoft se svou závislostí na adresáři Active Directory (AD) nebo Citrix se svým řešením Citrix XenApp SmartAccess považují za dané, že chcete, aby správa a ověřování identity úzce spolupracovaly s NAC.

Pokud vám vyhovují balíčky vše v jednom a nevadí vám související připoutání k jednomu dodavateli, tak na tomto přístupu není nic špatného. Pokud však upřednostňujete flexibilitu a chcete si pro svou síť vybrat t nejlepší specializované komponenty, měli byste raději hledat hybridní řešení. Jedním z příkladů takového přístupu je populární kombinace přepínačů Cisco a Microsoft AD nebo Novell eDirectory pro autentizaci.

Výhody síťové infrastruktury

Dále se musíte rozhodnout, zda chcete využít infrastrukturu sítě, nebo přístup založený na klientech. Většina dosud zmiňovaného v této oblasti se tak či onak týkala architektur založených na síti. Zde jsou služby NAC zajišťovány serverovým softwarem, který sídlí v applianci nebo v síťovém přepínači.

Tento přístup má několik vlastností. Díky své podstatě se lépe hodí pro centralizované řízení. Chcete-li snadněji nastavovat korporátní standardy používání počítačů v podniku, je to cesta přesně pro vás.  Na síti založené systémy také pracují dobře, pokud klientské počítače budou zahrnovat notebooky hostů nebo korporátní notebooky, které před přístupem k internetu neprocházejí přes firemní VPN. Tímto způsobem získáte určitou ochranu NAC, i když nemůžete nainstalovat klientské softwarové agenty do přenosných počítačů před přístupem těchto zařízení do korporátní infrastruktury.

Pokud se rozhodnete využít přístup založený na síti, bude také nutné zvážit, zda chcete použít funkci NAC vestavěnou v samotných přepínačích, nebo applianci typu out-of-band. Z hlediska škálování jsou produkty „in-band“ od firem Cisco, Juniper a Nortel vhodné pro velké podniky. Appliance mohou být dostupnějším řešením, pokud již mají pobočkové kanceláře své vlastní přepínače.

Výhody zabezpečení klientů

Při zabezpečení klientů musí mít každý počítač nainstalován softwarového agenta, který zkontroluje, zda jsou nainstalovány správné záplaty, a zajistí, že zařízení není infikováno malwarem a je v podstatě vyčištěné předtím, než se smí přihlásit do sítě.

Můžete se přít, že takový klientský přístup poskytuje lepší zabezpečení, protože počítač se nemůže připojit do sítě, dokud neprojde všemi kontrolami NAC.

Na druhou stranu je však tento přístup těžší ke zvládnutí, protože je software NAC umístěn v individuálních počítačích. Je to proto, že software NAC je součástí softwarové sady, kterou musíte udržovat a aktualizovat. Je to skutečně směs výhod a komplikací, takže jste to jenom vy, kdo se musí rozhodnout, co bude pro vás a vaše uživatele nejlepší.

Klientské produkty bývají dodávány od antivirových firem. Některé z těch významnějších, podle rozsahu funkcí a tržního podílu, zahrnují McAfee ePolicy Orchestrator, Sophos NAC Advanced nebo Symantec Endpoint Protection. Dalším velkým kritériem je, že tyto produkty mohou být pro malé společnosti mnohem dostupnější, než je tomu v případě síťových řešení.

Nakonec, a to nezávisle na skutečnosti, zda zvolíte konfiguraci NAC využívající síťovou strukturu, nebo oddělený klientský software, budete muset udělat další rozhodnutí: Chcete řešení, které jednoduše zkontroluje počítač při spouštění a pokusu o přihlášení do sítě, nebo naopak NAC, které bude provádět kontrolu zdravotního stavu počítače i po přihlášení do sítě?

Systémy NAC nepřetržitě monitorující počítače jsou, jak už jste možná uhádli, dražší než ty, které jednoduše otestují počítače při prvním kontaktu se sítí. Zde je opět nutno provést volbu přístupu podle toho, co vaše firma od řešení NAC potřebuje a jaký rozsah zabezpečení je z hlediska kompetentních pracovníků vaší společnosti již postačující.

Nezávisle na zvolené cestě by však každá firma využívající síť měla investovat do nějaké podoby NAC. I největší a technicky nejvíce vyspělé společnosti mohou být v současné době úspěšně napadeny. Dobrá a komplexní obrana pomocí NAC je dobrý začátek.

Tento článek vyšel v tištěném Security Worldu 4/2010