1. Ustal priorytety dla wymagań dotyczących uwierzytelniania, bezpieczeństwa punktów końcowych, kontroli dostępu oraz zarządzania całością, jeszcze przed rozpoczęciem zakupów.

Produkty NAC różni sposób połączenia przedstawionych wyżej 4 komponentów. Łatwo odkryć, że produkty NAC typu "all-in-one" stawiają większy nacisk na bezpieczeństwo punktów końcowych niż uwierzytelnienie, kontrolę dostępu czy zarządzanie. Z punktu widzenia administratora poszukującego szybkiego rozwiązania, to właśnie bezpieczeństwo punktów końcowych jest największym wyzwaniem. Nie oznacza to wcale, że nie można znaleźć rozwiązania, które posiada silne metody uwierzytelniania i inne rozbudowane funkcjonalności. Trzeba spojrzeć trochę głębiej w oferty producentów, aby zrozumieć sposób pracy omawianych produktów w ważnych dla nas obszarach. Warto upewnić się, że sprostają wszystkim wymaganiom.

2. Nie przerażaj się problemami skalowalności i wydajności.

Większość produktów NAC typu "all-in-one" posiada wewnętrzne specjalizowane komponenty - czasami wykorzystywane wyłącznie w procesie dopuszczania użytkownika do ruchu. Gdy urządzenie jest umieszczone pomiędzy użytkownikiem, a pozostałą częścią sieci, istnieje potencjalna możliwość nadwyrężenia wydajności. Wszystkie produkty NAC konfigurowane w przedstawiony sposób, wymagają ostrożnego planowania wydajności. Niektórzy producenci NAC próbują uciec od problemu wydajności poprzez zastosowanie hybrydowych rozwiązań. Takie urządzenia pracują w trybie NAC tylko podczas uwierzytelniania, sprawdzania bezpieczeństwa punktów końcowych lub sprawdzania zgodności z założoną polityką. Następnie rekonfigurują swoją infrastrukturę "w locie", realizując zadania przełącznika.

Cześć producentów proponuje wyłączenie zbędnych funkcjonalności, aby wydajność urządzeń była wystarczająca. Wyłączenie części funkcjonalności nie jest złotym środkiem, rozwiązującym wszystkie pojawiające się problemy w każdym środowisku. W zamian lepiej upewnić się, jakiej wydajności rzeczywiście potrzebujemy lub będziemy potrzebować. Następnie warto skontaktować się z potencjalnie wybranym producentem w celu sprawdzenia, czy dany produkt pracuje w trybie liniowym czy hybrydowym. Warto utworzyć specyfikację w każdym dokumencie zakupu, aby mieć "podkładkę" w przypadku problemów z wydajnością.

3. Precyzyjnie określ powody implementacji bezpieczeństwa punktów końcowych. Zastosowanie NAC do sprawdzania zgodności z założoną polityką jest zdecydowanie innym procesem, niż detekcja podejrzanych zachowań. To delikatna różnica pozwala na ułatwienie wyboru produktu NAC.

Niektóre przedsiębiorstwa rozpatrują bezpieczeństwo punktów końcowych NAC, jako zgodność komputera osobistego użytkownika z założoną polityką bezpieczeństwa. Żaden program antywirusowy czy osobista zapora ogniowa nie może jednak zagwarantować braku kompromitacji systemu. Dobra polityka bezpieczeństwa radykalnie redukuje ryzyko problemów. Drugi obóz to przedsiębiorstwa, które nie skupiają się na zgodności z polityką bezpieczeństwa. W przypadku wykrycia nieprawidłowych zachowań, izolują użytkowników i systemy.

Decyzja, w którym obozie znajdzie się nasze rozwiązane, świadomie kieruje nas do konkretnych produktów. Żaden pojedynczy produkt NAC nie realizuje obu zadań bardzo dobrze. Jeżeli szukamy czegoś realizującego obie funkcjonalności, należy zdecydować się na funkcjonalność bardziej istotna dla naszych założeń i wykazać to testami. Prawdopodobnie nie będziemy w stanie przetestować każdej możliwej kombinacji, więc trzeba zdecydować, co jest najważniejsze dla danej sieci. Następnie warto zapoznać się z ofertą producentów, która skupia się na wybranej strategii ochrony punktów końcowych.

4. Nie warto uprzedzać się do oprogramowania klienckiego NAC.

Nie ma jednoznacznej drogi rozwiązywania problemów z programowymi klientami NAC. Nie każdy produkt NAC wymaga zainstalowanego klienta na komputerze biurkowym. Taka konfiguracja może jednak zdecydowanie uprościć realizację wielu scenariuszy NAC. Implementacja NAC, która nie używa zainstalowanego klienta ma kilka bardzo słabych punktów. Użytkownicy z zaporami ogniowymi i szeregiem zmiennych czynników systemowych oraz oprogramowanie generujące podejrzany ruch sieciowy mogą na dłuższy czas spowodować znaczne problemy w momencie logowania się użytkownika do sieci.

Nie warto jednak sugerować się dawnymi doświadczeniami z oprogramowaniem klienckim. Producenci na przestrzeni lat zdecydowanie ułatwili instalację i zarządzanie oprogramowaniem klienta NAC. Należy także rozważyć sensowność brnięcia w projekt NAC typu "all-in-one" zakładając, że instalacja klienta jest niemożliwa.

Nie można zapomnieć o współpracy danego klienta NAC z systemem Microsoft Vista. Microsoft Vista dostarcza całkiem poważne narzędzie, pomagające rozwiązać wszystkie aspekty NAC. Możemy nie planować obecnie przejścia na Vista, ale w przyszłości z pewnością okaże się to koniecznością. Jeżeli nie zdecydujemy się wykorzystać wbudowanych możliwości, warto zainstalować klienta NAC, który jest z pewnością bezpieczniejszym rozwiązaniem. Warto upewnić się, czy dostawca NAC nie odrzucił integracji z wbudowanym rozwiązaniem NAC Microsoft - może będzie potrzebne w przyszłości.

5. Doceń łatwość zarządzania i administrowania.

Mocną stroną produktów NAC typu "wszystko w jednym" jest kontrolowanie większości - o ile nie całości - komponentów architektury. Produkty od jednego dostawcy mogą doprowadzić do wysokiej ochrony użytkowników z minimalną przeszkodą konfiguracyjną oraz maksymalną integracją wszystkich podzespołów. Szybkie wdrożenie nie powinno jednak przesłonić istoty dobrego zarządzania i administracji.

Pamiętaj, że główną zaletą NAC jest kontrola urządzeń i użytkowników w sieci, w przeciwieństwie blokowania dostępu do sieci. Gdy użytkownik nie dostaje się do zasobów sieci, krytycznym problemem jest identyfikacja i rozwiązanie problemu tak szybko, jak będzie to możliwe. Wiele z testowanych urządzeń posiada pewne słabości w zakresie zarządzenia. Najważniejszą funkcjonalnością powinien odznaczać się system ostrzegania o różnych problemach, identyfikujący przyczyny i możliwe rozwiązanie problemu. Żaden z użytkowników nie będzie zadowolony, jeżeli nie przywrócimy szybko dostępu do sieci.

Podczas testowania produktów NAC warto upewnić się, że poświęcono wystarczająco dużo czasu na sprawdzenie interfejsu zarządzającego. Warto sprawdzić czy konfiguracja produktu jest łatwa, czy możesz uzyskać raporty statusu i wyjątków oraz czy istnieje odpowiedni dziennik i narzędzie wspomagające rozwiązywanie problemów. Pozwoli to przywrócić użytkowników do pracy, gdy wystąpią problemy.

6. Każdy system NAC posiada wady.

Każde rozwiązania NAC posiada pewne słabości bezpieczeństwa, które odkrywamy dopiero w momencie intensywnej analizy architektury. Przykładowo - implementacja NAC jest podatna na zawieszającego się klienta, który może nie być w takim przypadku zgodny z założoną polityką bezpieczeństwa.

Pomimo tego, że produkty NAC posiadają słabe punkty, mogą być wartościowymi narzędziami zwiększającymi ogólne bezpieczeństwo. W aktualnym naporze urządzeń NAC na rynek, wiele organizacji pracuje nad testami różnych urządzeń w celu wykazania wyższości własnych produktów. Żadne oprogramowanie lub sprzęt nie będzie chroniło kompleksowo przeciw użytkownikom, którzy znają wykorzystywane produkty i mają fizyczny dostęp do budynku.

***

Tekst powstał na podstawie artykułu zamieszczonego w amerykańskim NetworkWorld (IDG).