您的位置: 网界网 > 周报全文 > 正文

[周报全文]企业部署NAC的六大障碍

2010年05月31日 15:26:13 | 作者:CNW.com.cn | 来源:网界网 | 查看本文手机版

摘要:在NAC(网络接入控制)出现5年之后,IT经理们似乎仍然没有找到实现NAC的好办法。

标签
障碍
NAC
企业部署

第四大障碍

部署困难

NAC 厂商们反复遇到的一个棘手难题就是部署的困难。虽说我们所测试的很多NAC产品都允许在企业网中逐步地进行部署和安装,然而,即便只是想配置一个由NAC厂商所保护的端口都是一件很烦琐的事情。更麻烦的是,NAC产品的安装过程可能包含许多关键性的决策点——这些决策一旦要变化,那么整个部署进程就得推倒重来。一些很简单的问题,例如“打算进行身份认证吗?”或者“我采用哪种机制进行接入控制?”等,本来就是一些如果没有实际经验就很难回答的问题——而你却必须在开始启用NAC之前就得作出决定。我们的体验是,这些问题对于网络经理们来说,确实很棘手。在我们的小型测试网络中,12款产品只有1款是在1天之内安装和调试成功的,其他大多数产品都花费了2到5天的时间才能够与不多的几台交换机和子网完全匹配。如果说在一个测试实验室中安装NAC都需要 这么长时间的话,可以想见,在真实的企业网络环境中进行部署将会消耗更多的时间。

网络经理们还会发现,让NAC产品进入日常的运行和调试都将成为一种挑战。大多数NAC产品都会更改VLAN,在与网络设备交互工作时都会更改VLAN或交换机单个端口上的应用接入控制名单。网络运营团队将不得不学会如何通过现有设备去发现和操控这些动态变化。尽管交换机厂商已经简化了NAC的调试流程,但是在整个网络中也不可能全是最新的硬件和软件。而当 NAC产品部署就位后,运营上的问题就会接踵而至。因为网络团队现在必须学会如何管理和调试这些新设备。而调试过程中最坏的情况是,有些产品需要手动控制一些协议单元,如ARP表项(Trustwave的NAC产品),或者要将协议管理添加到网络中(Forescout的NAC产品)才能实现接入控制。

第五大障碍

隐蔽的扩展性问题

在我们今年的测试中,NAC部署的一个很明显的弱点就是扩展性和可用性的相对缺失。在2007年的那次NAC测试中,我们曾发现过由于太多的流量通过单一控制点而产生的性能瓶颈问题。早期的NAC产品多半都是完全“串联式”的。这就是说你(+本站微信networkworldweixin),不得不在你想要控制的设备与网络的其余部分之间放置一台新购买的NAC 设备。很多网络经理们都同意说,要想在整个企业网中进行扩展,就需要在边缘网络处强制执行NAC。而我们这一次所测试的产品都已经完全取消了全串联部署的要求,如今都能够工作在边缘网络,不过都有一些附带条件。例如McAfee的NAC设备在进行初始身份认证和执行端点安全连接检查时需要串联,但是重新配置网络便可以很快退出这种串联状态。Juniper的NAC既提供串联模式也提供边缘模式,在使用串联设备(例如Juniper防火墙)时能够比现有的边缘交换机提供更复杂的安全控制,很多NAC产品继续保留了全串联配置选项。因为在某些环境中(比如将NAC控制应用于WAN、VPN或无线网络)还需要这种配置。虽然我们没有测试高可用性,但我们还是测试了每家厂商所提供的产品能否在出现各种不同类型的失效时保证网络的连续运行。结果发现,每一款产品在这方面都是令人信服的。

但是网络经理们还是会担忧隐蔽的扩展性问题。我们所测试的一些产品在大规模网络中进行扩展时就出现了明显的问题。举例说,Forescout和 Trustwave的NAC产品,一般都需要从它们所控制的端点系统上监控所有的流量。而这一点在大型网络中明显地会成为问题,既不容易理解,也不容易规划。还有一些不那么明显的扩展限制问题,比如对不可靠的SNMP流量的依赖,或者要求每台边缘交换机频繁地检测客户端的状态变化,然后进行投票等。此类设计如果针对某一特定端点肯定是不错的,但是当网络迅速扩展,或者当比较老旧的交换机芯片因不曾预料到的管理流量激增而过载时,系统就会崩溃。当我们和厂商们探讨测试中出现的此类问题时,我们得到的回答都是一样的:良好的售前沟通对于成功的部署来说至关重要。要想保证用户们所选择的NAC解决方案 将来可以正确地扩展,网络经理们就必须提供企业网络扩张期的尽可能详尽的信息,那么NAC厂商便能预先正确地规划其产品的部署规模。

第六大障碍

ROI和成本不能兼顾

好的网络经理应该可以为任何新技术的使用树立成功的案例。比如这里需要投入,那里需要节约等,如果节约大于投入,那就是成功的案例。但是具体到NAC来说,网络经理们要想做出好的案例来却十分困难。

这倒不是说NAC带不来任何收益,而是说这些收益常常会陷入云山雾罩的安全ROI领域中,这个领域是最难计算投资回报的领域之一。为了避免小规模的攻击,投入多少值得?为了避免大规模的攻击,需要投入多少?这样的技术能够有效避免攻击吗?这些东西计算起来都很困难。

关于NAC的投资回报,只看厂商们提供的价格是无补于事的。有些厂商给我们的价格确实低廉,比如微软配备了Windows Vista、XP和Windows 7的全功能NAC产品,几乎是免费的。但是即便软件全免费,部署NAC的成本也是很高的。它需要花费大量的时间,而时间就是金钱。你还必须买更多的交换机或者对现有交换机进行升级才行。(更多内容详见http://www.cnw.com.cn/P/2533)

相关链接

厂商们该做些什么?

NAC 肯定不能满足你的期望,但它也并非一无是处。Frost&Sullivan预测说,NAC厂商将销售7500部NAC设备,总价值至少达2.5亿美元,稳定的年均增长率大约为25%。厂商们尚未看到预测中的这种收入和增长。但是厂商们可以做些什么来推进NAC在企业中的部署呢?我们有3条建议:

■ 1. 要解决企业组织上的问题。厂商应设计出能够打破网络、桌面和安全这三大要素各自为政局面的产品。假如NAC产品能让每个团队突破NAC的重重迷雾,将NAC产品最佳地部署到网络中,那么成功的可能性就会很大。

■ 2. 说到NAC的ROI,有些企业已经看到了NAC所带来的成本节约。因为它降低了数据泄漏或入侵的风险。下面是NAC厂商应该走的方向:即便在缺少安全收益数据时也能计算出其产品所带来的价值。在我们的测试中,我们已经看到了一些设计很好的仪表盘和可见性工具,其价值已不言而喻。这是任何NAC部署力图促使NAC成为主流所必须的。

■ 3. NAC的复杂性是必须要克服的最困难的障碍。厂商们为其产品添加了很多功能,增加了产品的复杂性,这是他们根据用户的需要而添加的。他们不太可能抛弃这一切,从零开始。

但是,假如风险投资家们继续为新兴企业提供资金,那么就会有人吸取行业内他人的教训而推出拥有简洁架构的新产品。如若不然,NAC就只能继续作为一个伟大但却不切实际的概念继续忍受着市场的煎熬。

1 2
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]