Kolejnym klockiem układanki w koncepcji TNC jest punkt kontroli dostępu (Policy Enforcement Point). Tutaj zasady są dość liberalne. Tak jak w ogólnej koncepcji NAC mogą znaleźć się tutaj przełączniki, firewalle itp.

Ostatnim ważnym elementem w strukturze TCG/TNC jest centrum weryfikacji (Policy Decision Point). Jest to w zasadzie lustrzane odbicie komponentów funkcjonujących po stronie klienta. I tak wyróżniamy tutaj: Network Access Authority (NAA), Integrity Measurement Verifiers (IMV) oraz TNC Server (TNCS).

NAA to klocek odpowiedzialny za komunikację z serwerem uwierzytelniania oraz przekazywanie rezultatów analiz do punktu kontroli dostępu (a więc urząd dostępu). IMV to elementy, które sprawdzają to, co otrzymują od swoich "braci" (IMC) po stronie klienta (to weryfikatory stanu). Warto tutaj zwrócić uwagę na to, że TCG nie poświęca zbyt wiele uwagi sposobowi, w jaki "dogadają" się ze sobą IMV i IMC - to pozostawione jest woli producentów konkretnego oprogramowania (określa to specyfikacja IF-M). Ważne jest, aby końcowy rezultat tej rozmowy wykorzystywał protokół zbudowany przez TCG. Wreszcie potrzebny jest TNCS, który posłuży jako interfejs pomiędzy IMV oraz NAA.

Rozwiązanie TCG/TNC jest koncepcją niezwykle elastyczną, dającą producentom, którzy zechcieliby z niej skorzystać, bardzo dużą swobodę. W swoim obecnym kształcie kładzie duży nacisk na 802.1x. Jedyne elementy "sztywne", z których należy korzystać, to klient (TNCC) oraz serwer (TNCS). Pozostałe składniki mogą być dobrane w sposób niemalże dowolny. Dzięki temu opierając się na TCG/TNC można stworzyć system NAC na bazie istniejącej infrastruktury, np.: klienci VPN, przełączniki rozumiejące 802.1x, serwery RADIUS jako punkt uwierzytelniania.

Dziecko w gimnazjum

Jak się okazuje NAC jest koncepcją, którą trzeba traktować poważnie, bo też i poważnie podchodzą do niej eksperci z branży bezpieczeństwa. Nie można jednak akceptować jej bezkrytycznie. Zanim podejmiemy decyzję, czy inwestować w NAC, a jeżeli tak, to w jakie rozwiązanie, musimy postawić sobie wiele innych pytań, takich jak:

Czy wdrożenie NAC jest uzasadnione biznesowo (wyniki sondaży pokazują, że brak jest jednoznacznej odpowiedzi)? Jaka jest moja polityka dostępu? Jakiego rodzaju dostęp do zasobów ma być chroniony (LAN, VPN, Wi-Fi)? Czy NAC zapewnia coś, co jest nam niezbędne, a czego posiadana infrastruktura nie zapewnia? Czy posiadamy już część elementów niezbędnych do wdrożenia NAC, czy musimy dokonać całkowitej rewolucji? Który ze standardów najlepiej pasuje do naszej sytuacji?

Odpowiedź na te pytania pozwoli na podjęcie wstępnych decyzji. Zalecana jest jednak bardzo duża ostrożność. W chwili obecnej, jak pokazaliśmy, funkcjonują co najmniej trzy wiodące quasi standardy.

Zdaniem zarówno specjalistów, jak i użytkowników najważniejsza jest nie konkretna technologia, ale to żeby była ona zgodna z ogólnie przyjętymi standardami. Z tym większą niecierpliwością należy oczekiwać wyników prac IETF, choć nie można ich przeceniać. IETF jednak odwleka ogłoszenie ostatecznego poglądu na sprawę. Dopóki to nie nastąpi, NAC jest trochę jak dziecko błądzące we mgle. Nie raczkujące co prawda, ale przemierzające korytarze bezpieczeństwa w niebieskim mundurku (obowiązkowym!).