W celu zapewnienia skutecznego bezpieczeństwa w dużych przedsiębiorstwach, system NAC można zintegrować z narzędziem badającym stan aktualności programu antywirusowego i ze skanerem podatności, a także urządzeniem IPS.

Program antywirusowy jest najczęściej wspominanym zabezpieczeniem komputerów. Do instalacji takiego narzędzia nie trzeba nikogo przekonywać, jest ono niezbędnym składnikiem infrastruktury. W przypadku małych i średnich firm, producenci szermują argumentami skuteczności ich produktów antywirusowych, ale w rozległej korporacji problemy są już zupełnie inne. Program antywirusowy nigdy nie jest jedynym narzędziem ochrony stacji roboczych, zatem jego skuteczność nie jest jedynym kryterium doboru.

W środowiskach firm wielooddziałowych, połączonych wirtualnymi sieciami prywatnymi, gdzie liczba stacji roboczych przekracza kilkaset, od skuteczności motorów systemów wykrywających wirusy, znacznie ważniejsze jest centralne zarządzanie i aktualizacja. Oprogramowanie antywirusowe przeznaczone dla stacji roboczych w firmach MSP jest aktualizowane bezpośrednio z serwerów producenta. Gdyby taki model zastosować w dużej korporacji, ruch generowany przez proces aktualizacji wielu programów antywirusowych byłby nie do przyjęcia.

W dużych środowiskach sprawdzą się rozwiązania z lokalnym repozytorium aktualizacji, połączonym z systemem centralnego zarządzania. Ponadto centralne zarządzanie umożliwi korelację zdarzeń i centralizację składowania logów ze wszystkich stacji roboczych, a także łatwe przygotowywanie i wdrażanie założeń polityki bezpieczeństwa.

Swój - obcy

Problem sprawdzania aktualności antywirusów i systemów operacyjnych oraz ochrona przed obcymi stacjami roboczymi były przyczyną powstania narzędzi, które separują niezgodne komputery od tych, które spełniają rygory korporacji. Aby maszyna mogła pracować we właściwym segmencie sieci, musi zostać autoryzowana. Do tego celu służą pakiety NAC. Sam NAC może co najwyżej oddzielić obce komputery od firmowych - i jest to jedno z jego głównych zastosowań - ale należy pamiętać, że technologia ta umożliwia coś więcej.

Dzięki integracji z systemem skanowania podatności systemów, można zrealizować schemat sprawdzania stacji roboczych pod kątem: aktualizacji systemu operacyjnego, zgodności ustawień z korporacyjnym standardem, aktualności oprogramowania antywirusowego czy autoryzacji użytkownika. Dopiero po pomyślnym przejściu wszystkich testów, stacja robocza uzyskuje dostęp do właściwego segmentu sieci. Stacje niezgodne mogą być przekazane do osobnej, wirtualnej sieci VLAN z przekierowaniem wszystkich zapytań do serwera „naprawczego” (tzw. remediation portal), z którego można pobrać aktualizacje i uzyskać pomoc.

Szybka reakcja

Aby można było takie testy przeprowadzić, NAC musi być zintegrowany z narzędziem badającym stan aktualności programu antywirusowego oraz ze skanerem podatności, określającym stan aktualności systemu (czy aplikacji) i jego ustawienia. Najprostszym środowiskiem, które to potrafi, jest PacketFence zintegrowany ze skanerem Nessus i narzędziami skryptowymi pobierającymi informację o stanie programu antywirusowego z systemu Windows. Oczywiście integracja produktów komercyjnych idzie znacznie dalej.

Systemy IPS zagościły w korporacjach, chroniąc głównie serwery Windows. Dzięki integracji IPS z modułem instalowanym na stacji roboczej oraz sieciowym NAC, można zrealizować model dynamicznego NAC, który pomoże w opanowaniu infekcji przez złośliwe oprogramowanie. W klasycznym NAC stacja robocza uzyskuje dostęp do sieci po jednokrotnym lub okresowym sprawdzeniu jej stanu. Dynamiczny NAC sprawia, że na podstawie alarmów z IPS można izolować już autoryzowane stacje robocze, które zostały zainfekowane po uzyskaniu dostępu i powodują alarm systemów IPS.

Dynamiczny NAC po wykryciu ataku (np. roznosiciela złośliwego oprogramowania), może niemal natychmiast przełączyć zarażoną stację roboczą do innej podsieci, chroniąc pozostałe komputery.

Połączyć wszystko razem

W środowisku korporacyjnym od właściwości pojedynczego modułu ważniejsza jest jego integracja z narzędziami centralnego zarządzania. W ten sposób administrator odpowiedzialny za stacje robocze w firmie może szybko uzyskać najważniejsze informacje na ich temat. Tymi informacjami mogą być: stan stacji roboczej, stan aktualności systemu operacyjnego, najważniejsze zagrożenia, lista maszyn spełniających wybrane warunki itd. Aby te czynności wykonać sprawnie, na każdej z zarządzanych maszyn musi być zainstalowane odpowiednie oprogramowanie agenta. Produkty ściśle korporacyjne posiadają już takie oprogramowanie wbudowane w swoje moduły, jak system antywirusowy. Moduł ten łączy się z korporacyjnym serwerem odpowiedzialnym za zarządzanie systemem i odpowiada za całą komunikację między stacją roboczą a zarządzającym serwerem. Agent taki odpowiada także za aktualizację wszystkich niezbędnych składników systemu, wdrażanie centralizowanej polityki bezpieczeństwa, pobieranej z serwera. Za pomocą agenta można także wdrażać nowe wersje programów lub nowe składniki systemu, przy czym instalacja w ten sposób przeprowadzana jest w sposób całkowicie nienadzorowany, automatyczny.

Centralny serwer może być narzędziem zarządzania infrastrukturą bezpieczeństwa w firmie, łącząc wszystkie niezbędne składniki. Ze wspomnianym już serwerem odpowiedzialnym za zarządzanie systemem (np. McAfee ePolicy Orchestratorem) można zintegrować firmowe urządzenia, IPS-y, narzędzia NAC, skanery podatności systemów, skanery poczty elektronicznej czy ruchu sieciowego. „Najważniejszym krokiem naszej strategii jest integracja wszystkich produktów z ePO, ponieważ jest to naszym najsilniejszym argumentem w przypadku klientów korporacyjnych” – przyznaje Robert Żelazo, Country Manager na Polskę, Ukrainę, Białoruś i kraje bałtyckie firmy McAfee.