Po pięciu latach szumu medialnego, premier wielu nowych produktów, walki o standardy i zamieszania na rynku dostawców - nadal nie jest jasne, na czym ma polegać kontrola dostępu do sieci. Zgoda na to, co w rzeczywistości oznacza NAC i właściwe podejście do tych rozwiązań, pozostają dzisiaj tak samo ulotne jak w 2005 r., kiedy na scenie pojawiły się pierwsze produkty NAC. Po pięciu latach nadal nie można osiągnąć spójnej kontroli dostępu do sieci.

W przemyśle IT produkty zazwyczaj ewoluują w czasie, w kierunku wypracowania zunifikowanego podejścia do problemu i wspólnych zestawów mechanizmów. Przykładowo, dzisiejsze przełączniki Ethernet pochodzące od różnych dostawców są w znacznym stopniu zastępowalne. Jednak rozwiązania NAC nie poszły tą drogą. Dostępne na rynku produkty mają bardzo mało wspólnych cech. Po bardzo dokładnym przejrzeniu rynku, trudno znaleźć dwa lub trzy produkty, które mogą być porównywalne. Znalezienie ich jest niełatwym zadaniem, ponieważ jego realizacja zakłada, że zarządca sieci już zna zestaw mechanizmów i możliwości, których potrzebuje. Wyniki testów produktów NAC, które przedstawimy w kolejnym numerze "NetWorld", w 2. części artykułu, pokazują, że nie ma takiego pojęcia jak najlepszy NAC, ponieważ ile testowanych produktów - tyle różnych typów NAC.

Na początek spróbujmy zatem określić problemy, które utrudniają wdrożenie NAC w sieci przedsiębiorstwa.

Polityka i istniejąca infrastruktura sieci

Szczególnie trudnym problemem jest znalezienie produktu, który będzie kompatybilny zarówno z polityką bezpieczeństwa obowiązującą w organizacji, jak i technicznie z siecią. Ponieważ NAC łączą mechanizmy bezpieczeństwa, zarządzania siecią i zarządzania desktopem - wdrożenia NAC napotykają poważne wyzwania organizacyjne, znacznie większe niż wyzwania techniczne.

Mając to na uwadze, dostawcy NAC często projektują swoje produkty tak, aby zminimalizować potrzeby kooperacji między różnymi zespołami w organizacji, idąc zazwyczaj na duże kompromisy. Jednak każdy dostawca decyduje się na te kompromisy w innych miejscach i w różnym stopniu. Przykładowo, rozwiązanie NAC Symanteca w całości jest dostosowane do zespołu odpowiedzialnego za desktopy, natomiast NAC w wydaniu HP przystosowano do instalacji, konfigurowania i zarządzania przez zespół sieciowy.

Takie podejście stwarza istotną barierę dla zarządców sieci zamierzających wdrażać NAC. Trzeba zapomnieć o kosztach produktu i rozpoznać, który zrealizuje niezbędny zakres kontroli oraz czy produkt istotnie trudniejszy i bardziej pracochłonny we wdrożeniu, będzie jednak współpracować w sieci z istniejącymi przełącznikami, zaporami ogniowymi czy serwerami.