Poszerzanie funkcjonalności i wykraczanie poza ramy standardowego NAC-a przez obecne rozwiązania zostały dostrzeżone przez organizację Enterprise Security Group (ESG). Zaczęła ona lansować ideę przekształcania NAC-a w rozwiązania nowego typu, które określiła mianem Endpoint Visibility, Access and Security (EVAS). Mowa tutaj o nabudowaniu na przygotowaną przez NAC podstawę dodatkowych funkcjonalności. Przytoczmy kilka wyróżników, które zauważa ESG:

• Podłączane urządzenia – EVAS obejmuje niemalże każde urządzenie, nie tylko komputery w Windows, ale również stacje z MacOS, tablety, smartfony, drukarki itp.

• Inspekcja – EVAS jest w stanie powiedzieć, co jest w danym momencie podłączone do sieci oraz udzielić informacji o stanie takiego urządzenia. Dla przykładu możemy mieć możliwość szybkiej weryfikacji liczby stacji z Windows XP SP3 ze starą wersją Internet Explorera podłączonych do sieci w Warszawie. Mówi się, że EVAS to swoisty system typu Asset Management nakierowany na bezpieczeństwo.

• Dostęp – EVAS rozszerza typową politykę dostępową NAC o dodatkowy kontekst, tj. pozwala na zarządzanie dostępem np. w zależności od roli użytkownika, typu urządzenia i jego konfiguracji, lokalizacji, VLAN-u, miejsca w AD, sposobu uzyskiwania dostępu czy pory dnia.

• Bezpieczeństwo – EVAS utrzymuje podejście NAC do badania konfiguracji podłączanego urządzenia, ale znacznie rozszerza możliwości przywrócenia stanu zgodności komunikując się z systemami MDM, SIEM, badania podatności, zarządzania konfiguracją, bezpieczeństwa stacji roboczych, IT GRC itp.

Niespodziewane koło ratunkowe

Wspominaliśmy o spadku zainteresowana technologią NAC. Tymczasem od blisko 2 lat widać ponowne zainteresowanie tą technologią, wywołane poprzez zjawisko BYOD. I nie chodzi tutaj tylko o smartfony i tablety, choć o to także. Są firmy, w których polityka zakupów wewnętrznych sprawia, że osoby chcące pracować na dobrym sprzęcie kupują go sobie sami – komputery o wyśrubowanych parametrach częściej mamy w domu niż w pracy. Nic więc dziwnego, że mając laptopa z górnej półki wolimy przynieść go do pracy i wykonać powierzone zadanie szybciej (lub przyjemniej). Na takie praktyki coraz częściej godzą się pracodawcy, czasem nie wprost, a w formie cichego przyzwolenia. Problemów jest z tym bez liku – organizacyjne, prawne, technologiczne. O ile jednak pecet to pecet – standardowe mechanizmy NAC dają się poprzez odpowiednie procedury przełożyć na sprzęt nienależący do organizacji, to już urządzenia mobilne to zupełnie inna para kaloszy. Obecnie mówi się, że BYOD zaczyna wygrywać z typowymi przypadkami użycia NAC, takimi jak zarządzanie zgodnością stacji roboczych i zapewnienie bezpiecznego dla organizacji dostępu dla gości i współpracowników.

Przyglądając się rozwiązaniom klasy MDM (Mobile Device Management) łatwo zauważyć, że coraz częściej pojawiają się w nich elementy, które znamy właśnie z NAC-a. Potrzebę dostrzegają zarówno producenci NAC-ów, jak i MDM-ów. Dla przykładu jeden z dostawców NAC, firma ForeScout (producent rozwiązania CounterACT) już nawiązała współpracę z dostawcami MDM-ów, m.in. z Fiberlink czy AirWatch. Cisco również współpracuje z takimi firmami jak Airwatch, Good Technology, MobileIron, Zenprise. Trend ten widać także u innych producentów specjalizujących się w NAC (takich jak Bradford Networks czy StillSecure) i u niektórych posiadających tę technologię w swoim portfolio (np. Juniper, Enterasys). Korzyści z takich integracji jest wiele. Wraz ze zgodą na BYOD, IT zaczyna dwoić się i troić, żeby utrzymać jednak kontrolę nad urządzeniami mobilnymi, które nie są własnością firmy. Połączenie z MDM daje NAC-owi możliwość otrzymywania informacji o wartościach określonych parametrów konfiguracyjnych urządzenia, a przez to ułatwia podjęcie decyzji o dopuszczeniu go do zasobów organizacji. Takimi parametrami mogą być na przykład różnego typu urządzenia, system operacyjny, właściciel, status w MDM-ie czy stan zgodności ze zdefiniowanymi w nim regułami. Jeśli więc urządzenie próbuje podłączyć się do sieci lokalnej NAC, może je wstępnie przeskanować i w zależności od rezultatu np. przekierować do portalu, w którym przeprowadzony zostanie proces objęcia MDM-em lub do strefy gościa, gdzie możliwy będzie jedynie dostęp do internetu.

Wstępna klasyfikacja urządzenia może być przeprowadzona np. poprzez analizę zapytania DHCP, informacje przekazane z „access pointa” czy techniki aktywnego lub pasywnego fingerprintingu. Po objęciu monitoringiem przez agenta MDM możliwa jest dalsza kontrola polegająca na przykład na weryfikacji „zrootowania” lub „jailbreaku” urządzenia, obecności aplikacji niedozwolonych, sposobu zabezpieczenia urządzenia itp.