Trudności z wdrożeniem

Jednym ze stałych problemów dostawców NAC jest trudność wdrażania. Chociaż wiele z rozwiązań NAC zaprojektowano w sposób pozwalający na etapową instalację w sieci przedsiębiorstwa, to uzyskanie nawet jednego portu chronionego przez NAC może być procesem długim. Co więcej, instalacja NAC może obejmować wiele istotnych punktów decyzyjnych - i jeżeli decyzje są zmieniane w miarę postępu wdrażania, to może okazać się, że całe wdrożenie będzie musiało zostać powtórzone. Proste pytania: "jak zamierza się przeprowadzać uwierzytelnianie?" lub "który mechanizm będzie użyty do kontroli dostępu?" - są trudne do rozstrzygnięcia w sposób jednoznaczny bez pewnego doświadczenia. Jednakże odpowiedzi na nie muszą być znane przed rozpoczęciem wdrażania NAC.

W naszych testach problemy te pojawiały się nagminnie. Tylko jeden z testowanych produktów mógł zostać zainstalowany i włączony do działania w ciągu dnia w niewielkiej sieci testowej. Większość wymagała od dwóch do pięciu dni zmagań, aby uzyskać pełną zdolność operacyjności w przełącznikach i podsieciach. Kiedy uświadomimy sobie, jak długo trzeba instalować NAC w laboratorium testowym, to w dużej sieci może to być operacja bardziej czasochłonna niż można się spodziewać.

Również codzienne operacje i odpluskwianie (dostrajanie) produktów NAC mogą być wyzwaniem. Większość produktów NAC współpracuje z urządzeniami sieciowymi w zakresie zmian VLAN-ów lub stosowaniu list kontroli dostępu do indywidualnych portów lub przełączników. Zespoły sieciowe muszą nauczyć się, jak wykrywać i obsługiwać takie dynamiczne zdarzenia pochodzące z istniejących urządzeń. Chociaż dostawcy przełączników poczynili postępy w upraszczaniu strojenia NAC, rzadko który użytkownik ma najnowszy sprzęt i oprogramowanie w całej sieci.

Kiedy produkty NAC są włączane inline, pojawiają się kolejne wyzwania operacyjne, gdyż zespół sieciowy ma teraz nowe urządzenie i musi się nauczyć, jak je zarządzać i odpluskwiać. A najgorszy przypadek odpluskwiania dotyczy produktów, które realizują kontrolę dostępu przez manipulowanie elementami protokołu (takimi jak tablice ARP) lub przez "wstrzykiwanie" komunikatów protokołu zarządzania do sieci. Ponieważ zdarzenia w sieci wykorzystywane przez te produkty nigdy przypuszczalnie nie wydarzą się w normalnych warunkach, nie ma łatwego sposobu ich odpluskwienia, gdy zachowują się źle.

Ukryte problemy skalowania

Jedną z jaśniejszych stron wdrażania NAC, którą ujawniły testy, jest relatywny brak problemów skalowalności i dostępności. W testach z 2007 r. stwierdzono problemy wydajnościowe spowodowane kumulowaniem zbyt dużego ruchu w pojedynczym punkcie kontroli. Wczesne produkty NAC często były całkowicie wpinane do sieci (inline), co oznaczało konieczność zakupu nowego urządzenia specjalizowanego (appliance) lub urządzenia określonego rodzaju, które umiejscawiano pomiędzy kontrolowanymi narzędziami a resztą sieci.

Większość zarządzających siecią zgadza się jednak, że dla pełnej skalowalności w sieci przedsiębiorstwa, potrzebne jest egzekwowanie polityki dostępu na obrzeżu sieci. Obecnie produkty na ogół nie wymagają pełnego wdrożenia inline i mogą realizować swoje zadania na obrzeżu sieci. I tak np. urządzenie NAC McAfee jest umiejscowione inline w czasie wstępnego uwierzytelniania i fazy połączenia związanej z kontrolą stanu bezpieczeństwa punktu końcowego, po czym rekonfiguruje sieć tak szybko, jak to jest możliwe. Juniper NAC oferuje zarówno egzekwowanie inline, jak i na obrzeżu sieci, zapewniając bardziej wymyślną kontrolę przez użycie urządzenia inline (zapora ogniowa Juniper), niż może to zapewnić istniejący przełącznik brzegowy. Wiele ofert NAC nadal ma opcję pełnego wdrożenia inline, która może być pożądana w niektórych środowiskach (takich jak zastosowanie kontroli NAC do WAN, VPN czy sieci bezprzewodowych).