不久之前的“心臟出血”漏洞又一次喚起了IT管理者對(duì)于系統(tǒng)補(bǔ)丁和安全的重視,而對(duì)于內(nèi)網(wǎng)而言,能夠有效防止非法接入的準(zhǔn)入控制系統(tǒng)則不啻是屏蔽在各種漏洞前的一道有效閘門。隨著跨過(guò)第十個(gè)年頭,準(zhǔn)入控制行業(yè)在新的BYOD浪潮下又掀起了一抹亮色。
歷史
在2003年cisco提出網(wǎng)絡(luò)準(zhǔn)入控制(NAC)概念的時(shí)候,目的就是防止非公司內(nèi)部員工接入,并利用與殺毒軟件的聯(lián)動(dòng)來(lái)防止公司內(nèi)部各種系統(tǒng)的潛在漏洞被攻擊和破壞。隨后網(wǎng)絡(luò)準(zhǔn)入控制就開始在功能不斷擴(kuò)張,價(jià)格不斷上漲,組件不斷增多的道路上越行越遠(yuǎn)。Gartner在預(yù)言了準(zhǔn)入控制蓬勃發(fā)展的幾年后,也開始反思這樣的技術(shù)道路是不是可行,因?yàn)镹AC已經(jīng)逐漸成為管理者談之嘆氣(價(jià)格高昂,難以管理),用戶談之色變(體驗(yàn)差,影響使用,涉及隱私)的妖魔化產(chǎn)品。
變化
不得不承認(rèn)網(wǎng)絡(luò)準(zhǔn)入控制在防止從內(nèi)部發(fā)起的攻擊上有不可替代的優(yōu)勢(shì),但到了2014年,我們也同時(shí)發(fā)現(xiàn),許多在多年前就部署了桌面管理產(chǎn)品來(lái)提供部分網(wǎng)絡(luò)準(zhǔn)入控制功能的機(jī)構(gòu),已經(jīng)在悄然將這些組件下架,并在努力尋找新的能夠代替桌面、客戶端這些類似物品的另一種安全方式或手段。
最近國(guó)外一家著名的NAC供應(yīng)商也在媒體上談到,很多人在實(shí)施準(zhǔn)入控制系統(tǒng)時(shí)都有過(guò)不愉快的經(jīng)歷,由于涉及到在每個(gè)入網(wǎng)終端上安裝代理或客戶端,但通常只用于鎖定系統(tǒng),因此許多組織過(guò)去都被實(shí)施NAC搞得焦頭爛額。而到了智能便攜設(shè)備大行其道的當(dāng)下,不可能也無(wú)法做到對(duì)所有移動(dòng)設(shè)備和個(gè)人設(shè)備安裝代理,這就是我們說(shuō)的BYOD對(duì)準(zhǔn)入控制造成的沖擊。
事實(shí)上,網(wǎng)絡(luò)準(zhǔn)入控制NAC正在悄然發(fā)生變化。
就像國(guó)人購(gòu)買安全產(chǎn)品思路的演變史,一開始大家都只是想買到具有一定功能的產(chǎn)品(如防火墻);隨著懂技術(shù)的管理者越來(lái)越多,功能越多且覆蓋越全的產(chǎn)品逐漸受到歡迎,人們恨不得一次投資就購(gòu)買到一款什么都能管的救火英雄式的怪物(如UTM);而到了第三階段,管理者則更為接受那些細(xì)分市場(chǎng)下更為專業(yè)的產(chǎn)品,這恰好符合了云計(jì)算環(huán)境下scale out的普世思路,解放堆疊,讓管理更平面化,當(dāng)然,產(chǎn)品的可操作性和友好性也絕對(duì)不可或缺。
不可否認(rèn),在很長(zhǎng)的一段時(shí)間內(nèi),二三階段的認(rèn)知思路會(huì)長(zhǎng)期并存在國(guó)內(nèi)的網(wǎng)絡(luò)安全界。
So does NAC。
思路
一個(gè)是大而全的網(wǎng)絡(luò)準(zhǔn)入控制平臺(tái),一個(gè)是小快靈的“微準(zhǔn)入”產(chǎn)品,你會(huì)選擇哪一種?
在介紹這個(gè)新名詞—“微準(zhǔn)入”之前,我們需要梳理一下傳統(tǒng)的準(zhǔn)入方案設(shè)計(jì)思路。在以往,現(xiàn)在,也許還包括一段不短時(shí)間的將來(lái),我們可能傾向于部署一大堆復(fù)雜的安全策略,因?yàn)槲覀円苍S十分的不相信自己的員工,因?yàn)槲覀円苍S總覺(jué)得他們中的任何一個(gè)人都可能具有頂級(jí)黑客的手段并花上不菲的代價(jià)只是為了進(jìn)入網(wǎng)絡(luò)中來(lái)獲得某人C盤下的隱藏共享文件夾??墒?,所有的機(jī)構(gòu)或網(wǎng)絡(luò)都需要如此的妖魔化自己的內(nèi)部員工嗎?
在與某政務(wù)外網(wǎng)安全負(fù)責(zé)人閑聊時(shí),當(dāng)事人說(shuō)起了自己的準(zhǔn)入安全理念:“涉及到重要機(jī)密的數(shù)據(jù)服務(wù)器不會(huì)部署在我們的網(wǎng)絡(luò)中,我們的網(wǎng)絡(luò)主要是對(duì)辦公人員提供接入服務(wù)和資源,但有一個(gè)很重要的特點(diǎn)就是需要入網(wǎng)的終端太多了(上萬(wàn)點(diǎn)),另外就是各種很難管理的社區(qū)接入和私接hub。所以在有限的人力下,目前我的重點(diǎn)會(huì)放在不能讓任何人隨便的進(jìn)入網(wǎng)絡(luò),還有就是防止各種未經(jīng)允許的改變網(wǎng)絡(luò)拓?fù)洌ㄋ浇觝ub等)。不過(guò)在做好這些安全工作的同時(shí),很重要的一點(diǎn)是對(duì)于絕大多數(shù)的正常用戶一定不能干擾他們的日常工作??傊倚枰谧プ?zhǔn)入控制核心的同時(shí)保證用戶的流暢使用,這才是我們這樣的大網(wǎng)絡(luò)管理的核心。”
于是,“微準(zhǔn)入”應(yīng)運(yùn)而生。
什么是“微準(zhǔn)入”?
當(dāng)傳統(tǒng)NAC策略的執(zhí)行越來(lái)越復(fù)雜,而企業(yè)網(wǎng)絡(luò)中BYOD和臨時(shí)設(shè)備的數(shù)量又面臨著不斷增長(zhǎng)的麻煩的時(shí)候,就促使了新的NAC解決方案的到來(lái)。
“微準(zhǔn)入”是一種強(qiáng)調(diào)只需要極少量的配置,極短的部署時(shí)間和極微小的用戶干擾即可搭建核心準(zhǔn)入平臺(tái)的新方案。“微準(zhǔn)入”只需要極細(xì)微的調(diào)整就可以迅速獲得最核心的準(zhǔn)入功能,所謂“以小博大”;
另一方面,“微準(zhǔn)入”在行業(yè)中第一次果決地舍棄了以往被無(wú)數(shù)次詬病的客戶端,準(zhǔn)入控制從此突破了終端操作系統(tǒng)的限制,從“終端”準(zhǔn)入控制(EndpointAccessControl)真正蛻變成為了“網(wǎng)絡(luò)”準(zhǔn)入控制(NAC)。我們欣慰地看到NAC在歷經(jīng)數(shù)年的歷煉后,終于返璞歸真了。
選擇,還是求真?
早在2010年,盈高科技就第一次在行業(yè)中提出了“無(wú)客戶端Agentless”的準(zhǔn)入控制理念,2014年,盈高科技又發(fā)布了新形勢(shì)下基于“微準(zhǔn)入”理念的產(chǎn)品—ASM “OCEAN”版。以前,只有具有嚴(yán)苛安全需求的大型機(jī)構(gòu)才會(huì)使用NAC,如今,性價(jià)比更高的“微準(zhǔn)入”則為中小型機(jī)構(gòu)中缺乏管理的網(wǎng)絡(luò)、以及提供公眾接入服務(wù)的資源型網(wǎng)絡(luò)(如政務(wù)外網(wǎng))帶來(lái)了另一種解決方案。
再次回到那個(gè)問(wèn)題,一個(gè)是大而全的網(wǎng)絡(luò)準(zhǔn)入控制平臺(tái),一個(gè)是小快靈的“微準(zhǔn)入”產(chǎn)品,你會(huì)選擇哪一種?就像航母和驅(qū)逐艦的配置,也許,這并不關(guān)乎選擇,而是提醒我們更好的去思考自己的網(wǎng)絡(luò)現(xiàn)狀和管理需求。