您的位置: 网界网 > 周报全文 > 正文

[周报全文]企业部署NAC的六大障碍

2010年05月31日 15:26:13 | 作者:CNW.com.cn | 来源:网界网 | 查看本文手机版

摘要:在NAC(网络接入控制)出现5年之后,IT经理们似乎仍然没有找到实现NAC的好办法。

标签
障碍
NAC
企业部署

【CNW.com.cn 专稿】美国《网络世界》在花了4个月时间、对12款领先的NAC产品进行了详尽的测试之后,得出了如下结论:尽管业界已经对NAC这个时髦术语大肆宣传了5年,尽管已经有了各种白皮书和产品发布,甚至出现了标准之争,但是直到如今,NAC似乎依然没有找到一条很明晰的发展道路。

从2005年首款NAC产品问世以来,NAC这个术语到底意味着什么?是不是一种有效的安全手段?这些问题到今天依然是不明朗的。我们对来自主要厂商如微软、思科、惠普、Juniper、McAfee和赛门铁克等的NAC产品的各项功能进行了横向评测,写出了测试报告。本文则主要分析阻碍了NAC在企业网中进行部署的六大壁垒。

所谓NAC,我们定义为身份认证、端点安全检查和接入控制的一种综合性的安全手段。它的出现是为了解决移动终端用户在使用笔记本等移动设备接入企业网络,时可能对企业网络带来的安全问题。NAC的出现是想回应如下这些问题:谁在接入企业网络?他们是否行为正常?我能否控制他们接入后的行为?我能否在他们行为不当时封杀他们?

在网络行业中,随着时间的演进,很多同类产品都会逐渐采用一些共通的方法和功能集合。举例来说,今天的以太网交换机虽然来自不同的厂家,但是大部分都可以相互替代。把惠普ProCurve的交换机换成Enterasys的交换机,网络可以照常运转。然而NAC产品却没法这么做。这类产品彼此间很少有相同之处,即便再怎么仔细地观察,也很难找出彼此间可以横向对比的功能。既然要找到相似的产品比较困难,那么网络经理们要想预先知道这些产品的功能,或者获得想要的功能也是比较困难的。

所以在NAC产品中就不存在所谓的“最佳品种”。因为就我们所评测的12家厂商的产品来说,几乎就有12种不同的NAC“品种”。

第一大障碍

组织架构上的阻碍

首先一个特别棘手的问题就是,如何才能找到和你的网络既在组织架构上相吻合,又在技术上相兼容的产品。由于NAC综合了安全、网络管理和桌面管理等多项任务,所以NAC部署除了面临着技术上的挑战以外,还面临着企业组织架构方面的巨大挑战。为了适应部门间的隔阂,厂商们通常都会尽量地降低NAC产品跨团队协作的需要,尽量采取一些妥协让步的做法。但是,每家厂商在不同的场合又会有不同程度的妥协。举例来说,赛门铁克的NAC产品完全只关注桌面团队,而惠普的NAC产品则是由网络团队安装、配置和管理的。所有这些问题都加厚了部署NAC产品所面临的障碍和壁垒。这还没有涉及产品的部署成本——仅仅要找出适合工作需要的产品,看它能否在组织中工作,这就已经相当困难了,更别说网络经理们在NAC上所耗的时间还要远长于在交换机、防火墙或者服务器上的时间。

第二大障碍

产品的变量太多

NAC 的三大构成要素是身份认证、端点安全和接入控制,然而厂商们却常常将其NAC产品偏向于他们自己的强项。也就是说,NAC产品往往会只偏重三大构成要素中的某一个,而忽略另外两个。比如说,McAfee在研发NAC产品时,就主要考虑它们能否适应自己的端点安全管理产品ePolicy Orchestrator。而Juniper的NAC则主要考虑网络安全要素:例如防火墙,或者某种程度上也考虑交换机。

导致产品变量太多的另一个原因是,实现最终目标的最佳途径可以有多条。而缺少一致性就有可能让有兴趣把NAC功能加入到企业网络中的任何人感到无所适从。

举个例子,身份认证到底重要不重要?这个问题你如果去问Forecout,得到的回答肯定是“重要”。因为他们的产品就支持终端用户的身份认证。那么接入控制重要吗?如果去问Bradford,回答肯定是“不重要”。因为他们关注的是确认设备并将设备置入不同的VLAN中,他们没必要去区分用户并控制用户的接入。如果你想知道端点安全是否重要,你就不能去问惠普,因为惠普的NAC产品根本不支持端点安全——你还得再找一家厂商来实现端点安全功能。

当然,每家NAC厂商总会有办法,可以把用户需要的所有功能都列在NAC的标书里,供用户们选择。但是在我们的测试中,其中的很多功能在核心产品架构中的表现多半和标书中所说是不一致的。由于主要NAC厂商彼此间很少有共通之处,所以网络经理们就很难搞清楚NAC产品究竟能给他们带来什么价值,是否值得去冒采购和部署的风险。

第三大障碍

互操作性灾难

美国《网络世界》在2007年曾对NAC产品做过测试,当时我们把测试分成了两部分。一部分主要考察两种NAC架构(思科和可信任计算组织),以及30款产品在两种架构中的工作情况。另一部分则测试了13款彼此不相干的NAC解决方案。我们当时曾预测,这两种架构将会统一,所有的NAC产品都将支持这两种架构。然而遗憾的是,我们在2007年所测试的那些彼此不相干的产品在2010年依然彼此不相干。今年,我们对2007年的13款产品中的7款做了测试,其中只有一款产品(Juniper)明显朝着符合标准的方向迈出了一大步。(2007年的13家厂商已有3家关张,另外2家不再销售NAC端点安全产品,还有1家谢绝参与测试。)

即便一些旧的标准,比如IEEE 802.1x。在很多NAC产品中都不提供完全的支持。不过我们发现,有些产品还是采取了开放标准的做法,可以支持802.1x,而其他产品对802.1x的支持则很差,需要事后做些添补才行。

这就加重了NAC解决方案与网络基础设施之间缺少互操作性的情况。每家NAC厂商都有自己所偏爱的安全产品组合。假如你想把不同的产品进行混搭,就会发现,你要么无法进行NAC部署,要么部署了也无法支持网络的变化。结果将会产生一种很奇特的厂商锁定:你的NAC产品会限制你去更换网络中的交换机、身份认证基础架构以及端点安全产品等。

只有少数厂商是真正出于自愿,采取了依据标准的做法。很显然,要想让NAC成为一种即插即用的解决方案,还有很长的路要走。

12
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]