Jeszcze nie tak dawno porty i adresy IP były skutecznymi identyfikatorami tożsamości. Mobilność była bardzo ograniczona, a adres IP był praktycznie niezmienny dla danej stacji roboczej i w ten sposób powiązany z jej użytkownikiem.

Ten stan zmienił się jednak radykalnie, ponieważ użytkownicy wykorzystują różne typy urządzeń i różne sposoby podłączania ich do sieci. Adres IP laptopa może zmieniać się w zależności od tego, czy jest on podłączony przez Wi-Fi, 3G, LAN, VPN. Różni użytkownicy mogą używać tego samego adresu IP w ciągu jednego tylko dnia.

Rozwijane są więc narzędzia, skupiające się bardziej na użytkowniku niż na adresach IP czy portach. Do nich należą rozwiązania NAC (Network Access Control). Mogą one obsługiwać zarówno bezpieczeństwo w warstwie 2. punktu końcowego, jak i kontrolę dostępu, zarządzanie tożsamością i monitorowanie zachowań w warstwie 7. - wszystko to na podstawie tożsamości użytkownika i jego roli w organizacji. Najbardziej znane narzędzia to Network Access Protection Microsoftu i Network Admission Control Cisco. Inne firmy oferują też własne rozwiązania tego problemu.

Zarządzanie polityką zorientowaną na użytkownika i listami kontroli dostępu nie jest zadaniem łatwym i cechuje się dużą złożonością operacyjną. Kiedy chce się decydować, jaki dostęp ma mieć każdy użytkownik w przedsiębiorstwie na podstawie tego kim jest, to trzeba zaangażować do tego zarządzanie polityką bezpieczeństwa obejmującą wszystkich użytkowników, tak aby potrzeby pojedynczego były ściśle określone, co dla wielu organizacji może okazać się bardzo trudne w realizacji.

Podejście zorientowane na użytkownika oznacza także zdolność monitorowania jego zachowań po uzyskaniu dostępu do sieci i autoryzacji. Do tej pory tego typu kontrola (post-admission) była mechanizmem przeznaczonym głównie dla mniejszych sieci, obsługiwanych przez rozwiązania jednego dostawcy. To powinno się zmieniać w miarę jak dostawcy NAC zaczną adaptować i integrować IF-MAP (Interface to Metadata Access Point) - standard kontroli post-admission wydany przez TCG w maju 2008 r.

Przy wdrażaniu rozwiązań kontroli dostępu należy pamiętać, że efektywne reguły polityki NAC muszą spełniać zarówno wymogi bezpieczeństwa, jak i biznesowe. Jeżeli NAC będzie zbyt uciążliwą przeszkodą w dostępie do sieci, to zostanie też uznany za złą inwestycję, i np. będzie można mu przypisywać winę za obniżanie wydajności pracowników potrzebujących w swojej pracy szybkiego dostępu do sieci.

Niewłaściwie dobrane reguły polityki mogą spowodować, że NAC stanie się technologią niepożądaną. Jeżeli natomiast wymuszają one np. ściąganie nowych sygnatur wirusów, wtedy potrzebne są efektywne środki do ich rozprowadzania, najlepiej nie w czasie, kiedy użytkownik mający pilne zadanie do wykonania poddaje się kontroli NAC, która pozwoli mu na dostęp do sieci. Dopuszczenie, aby indywidualne maszyny mogły mieć pewne opóźnienie w instalowaniu nowych sygnatur, może łatwo usunąć ten problem, ale wymaga oceny ryzyka. Czy uaktualnienie sygnatur warte jest potencjalnego zdenerwowania czekającego użytkownika końcowego? Jest to problem, który trzeba rozważyć przy wdrażaniu NAC. Nawet zautomatyzowane uaktualnianie, wymagające niewielkiego wysiłku ze strony użytkownika, powoduje, że musi on jednak czekać na zakończenie takiego procesu i to może stanowić istotny problem.