您的位置: 网界网 > 周报全文 > 正文

[周报全文]NAC的是与非

2006年06月20日 16:23:17 | 作者:美国《Network World》专栏作家 Joel Snyder | 来源:$page.getBroMedia() | 查看本文手机版

摘要:NAC听上去简单,实施起来却并不简单。而且,它也不可能是一劳永逸的网络安全解决方案。

标签
NAC
 

NAC听上去简单,实施起来却并不简单。而且,它也不可能是一劳永逸的网络安全解决方案。

网络访问控制(NAC)是个很简单的概念:对每一个欲接入网络的用户进行认证,然后依照他们的身份和其他信息,如端点安全检查信息或者用户是通过有线还是无线接入等,而赋予其不同的访问控制策略。我为《Network World》撰写了一篇关于NAC的结构性评述文章,自然也发现了NAC的一些是与非。

我本人对NAC很热衷,不过我更信奉魔鬼在细节中的信条。特别地说来,我认为NAC有以下五大缺陷。

端点安全检查其实是在你不怎么需要的时候进行的,而当你最需要安全检查的时候,它们却会撂挑子。基于端点安全检查的NAC策略对于可管理的笔记本和台式机来说工作得很好,然而(根据我们的测试)对于组织机构中的人员管理来说却不那么好。假如你用NAC去检查有陌生人上传了病毒扫描程序,那么这样做的理由显然不对。

将军们总是想一战定胜负,而不想准备去接着打下一场战争,NAC也如此。NAC的花招大多是极端保守的——只关心上周的威胁。这的确是有用的,但在现实中我们却不可能在几年之内就对病毒来一场巨大的、全网络的胜利大围剿。我们只能在防范病毒方面做得越来越好,但病毒仍然会不断产生,只是其频率和危害程度会逐渐降低而已。

NACROI是个巨大的未知数。NAC意味着大量的工作。即使企业的网络基础设施已对NAC的部署做好了准备,但要让其发挥作用依然成本不低,而且不易。其成本到底如何?你可能需要不断地进行核算。企业在安全上的成本支出方式有很多,其中有些可能有不错的ROI(+本站微信networkworldweixin),但另外一些则没有。

太多的信息有时候会成为累赘。NAC的好处之一是我们有机会为每个用户制定不同的访问策略。但问题正在于每个组织如果要这样来制定策略的话就有可能瘫痪掉。你可以采用最简单的方式来使用NAC,如果需要认证就用,如果不需要就别用。否则会自寻烦恼。

你只能控制看得见的东西。NAC让人们登录允许登录的服务器,但这些服务器照样可能会成为巡视整个网络的起点,这样一来,NAC策略就可能在网络中制造一个天大的漏洞。NAC是一种奇特、复杂且成本不菲的东西,但它也只是更庞大的深度防御体系中的一个成员而已。

当然,上述这些观点并不是要阻止人们使用NAC,而是说在你使用NAC的时候,眼睛要睁大,思路要放开。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]