NAC: a standardu wciąż brak

Emocje wywołane powstawaniem koncepcji NAC powoli już ostygły. Nie oznacza, że temat okrzepł i nastąpiła stagnacja. Wręcz przeciwnie, mimo że od wprowadzenia przez Cisco pojęcia NAC w 2004 roku (rozumianego początkowo jako Network Admission Control) minęło już blisko 5 lat, to ciągle nie ma oficjalnego, a przy tym otwartego standardu, stanowiącego punkt odniesienia.

Można powiedzieć, że zarówno Cisco NAC, jak i powstały nieco później Microsoft NAP (Network Access Protection) to obecnie quasi-standardy. Wymagają bowiem stosowania rozwiązań częściowo przynajmniej ukierunkowanych na konkretnego producenta. Trzeba co prawda przyznać, że w 2006 r. obie firmy podpisały porozumienie, aby ich rozwiązania mogły "się komunikować", ale pewna hermetyczność jednak pozostaje. Brak standaryzacji sprawia, że na rynku pojawiają się rozmaite produkty, które wykorzystując termin NAC, starają się przyciągnąć potencjalnych nabywców. Jak można się zorientować, prowadząc choćby tylko rozmowy z producentami rozwiązań, NAC nie zawsze oznacza to samo.

Próby TCG-TNC

Obserwując trendy na rynku NAC, można dojść do wniosku, że obecnie wszystkie drogi - tak czy inaczej - prowadzą do niezależnej organizacji TCG-TNC (Trusted Computing Group - Trusted Network Connect). Od wielu już lat prowadzi ona intensywne prace nad przygotowaniem sformalizowanego, a przy tym otwartego zbioru specyfikacji. Celem tej inicjatywy, która nota bene powoli nabiera ram określanych także przez IETF, jest ujednolicenie koncepcji NAC i doprowadzenie do pełnej kompatybilności produktów różnych dostawców. TNC nie próbuje wywrócić do góry nogami tego, co stworzyło Cisco, nie odrzuca też pomysłów Microsoftu. Oba te mechanizmy stara się włączać do swojego projektu. Opracowało chociażby interfejs pozwalający na wykorzystanie elementów Microsoft NAP, dzięki czemu Windows XP SP3 czy Vista mogą przesyłać informacje o stanie systemu do rozwiązań zgodnych z TNC.

NAC zajmuje się również IETF (Internet Engineering Task Force). Organizacja ta powołała grupę NEA (Network Endpoint Assesment), odpowiedzialną za NAC, która obecnie swoje prace opiera na dwóch protokołach opracowanych przez TCG-TNC. Odwołuje się też do samej koncepcji TNC. W grupie tej aktywnie działa zarówno Cisco, jak i TCG-TNC. Można zatem dojść do wniosku, że i tak wszystko obraca się - w ten czy inny sposób - wokół wytycznych opracowywanych przez TCG. Celem pracy IETF ma być publikacja odpowiednich RFC.

IF-MAP

Oparta na SOAP centralna baza danych, ułatwiająca współpracę i wymianę informacji między rozwiązaniami tworzącymi NAC w heterogenicznym środowisku wielu producentów. Jak twierdzą autorzy tego standardu, może on uchodzić za odpowiednik MySpace dla urządzeń sieciowych IP oraz systemów w korporacji.

Szczególną uwagę należy zwrócić na przyjęty entuzjastycznie standard IF-MAP. Jak mówią autorzy, jest to odpowiednik MySpace dla urządzeń sieciowych IP oraz systemów w korporacji. Ta, oparta na SOAP centralna baza danych, ułatwia współpracę i wymianę informacji między rozwiązaniami tworzącymi NAC w heterogenicznym środowisku wielu producentów. Dzięki IF-MAP, np. system SIEM będzie mógł łatwo skorelować informacje związane ze środowiskiem sieciowym, odpytując serwer IF-MAP o aktualny stan każdego elementu. Nie jest to tylko koncepcja, co udowodnili wystawcy zarówno zeszłorocznej, jak i tegorocznej konferencji Interop. Co więcej, w maju br. TNC rozszerzyło wreszcie swoją koncepcję także o kontrolę innych "elementów" sieciowych, które dosyć trudno wyposażyć w odpowiedniego agenta. Chodzi tutaj m.in. o drukarki, skanery czy nawet systemy nadzoru nad procesami typu SCADA. TNC poszło jeszcze dalej. Bezpieczeństwo fizyczne, które do niedawna było traktowane trochę po macoszemu przez bezpieczeństwo IT, również znalazło się w obszarze zainteresowań TNC. Przykładem takiej konwergencji może być zbudowanie polityki, która wymagała "odbicia" karty przy wejściu przed zezwoleniem na zalogowanie do sieci. Jak dowiedziono na Interop, takie konwergentne i jednocześnie kompatybilne rozwiązania już istnieją.


TOP 200