NAC: funkcje i ograniczenia
- 28.08.2007
Zależnie od producenta i jego założeń oprogramowanie NAC jest przystosowywane do odmiennych zastosowań i wymagań biznesowych.
Zależnie od producenta i jego założeń oprogramowanie NAC jest przystosowywane do odmiennych zastosowań i wymagań biznesowych.
Planując wdrożenie jednego z dostępnych na rynku systemów kontroli dostępu do sieci NAC (Network Access Control), warto przeanalizować zakres możliwych zastosowań, a także pamiętać, jakie są jego ograniczenia wymagające stosowania dodatkowych systemów i rozwiązań uzupełniających jego funkcje. Zależnie od producenta i jego założeń oprogramowanie takie było bowiem z reguły przystosowywane do odmiennych zastosowań i wymagań biznesowych.
W powszechnym rozumieniu system NAC to przede wszystkim technologia zapewniająca kontrolę dostępu do sieci LAN przy wykorzystaniu mechanizmów autentykacji oraz skanowania komputerów pod kątem zgodności ich zabezpieczeń ze zdefiniowaną w firmie polityką bezpieczeństwa. Ale jest to definicja tylko podstawowych funkcji NAC, które w bardziej zaawansowanych systemach mogą być znacznie szersze i obejmować także funkcje kontroli określające uprawnienia użytkownika, który już uzyskał dostęp do sieci - jakie serwery są dla niego dostępne oraz jakie dane lub jakie aplikacje może on uruchamiać. Niektóre rozwiązania oferują również funkcje bieżącej kontroli ruchu sieciowego.
Zeus Kerravala, Yankee Group
Jeśli oprogramowanie NAC jest wyposażone w funkcje audytu, możliwa jest kontrola tego, jacy użytkownicy i do jakich plików żądali dostępu, a na tej podstawie ocena, czy jest to zgodne z wykonywanymi przez nich zadaniami. Nie oznacza to jednak, że system NAC zabezpiecza przed ewentualnym, niepożądanym wyciekiem informacji na zewnątrz, bo jest to funkcja wykraczająca poza jego możliwości. Nie ulega wątpliwości, że nawet najbardziej zaawansowany, wyposażony we wszystkie wymienione niżej funkcje, system NAC nie może zapewnić pełnego bezpieczeństwa i wymaga korzystania także z innych dodatkowych narzędzi, takich jak: mechanizmy do zapobiegania wyciekowi danych, oprogramowanie do szyfrowania informacji, blokowania dostępu do przenośnych pamięci USB czy danych zapisywanych w komputerach przenośnych.
Dla ułatwienia orientacji, czego można oczekiwać od rozwiązań NAC, a na jakie funkcje i zastosowania nie należy liczyć, Zeus Kerravala z Yankee Group opracował zaprezentowaną obok listę funkcji, w które mogą być wyposażone systemy kontroli dostępu do sieci, a także niektóre z zabezpieczeń wymagających stosowania dodatkowych aplikacji.
Zeus Kerravala, Yankee Group