Was ist Netzwerkzugriffssteuerung (NAC)?

Die Steuerung des Zugriffs auf digitale Ressourcen ist eine wichtige IT-Sicherheitsfunktion für Unternehmen. Lösungen zur Netzwerkzugriffssteuerung (NAC) ermöglichen der IT-Abteilung, Benutzern und Geräten den Zugriff auf Ressourcen innerhalb des Netzwerks zu erlauben oder zu verweigern. NAC spielt eine wichtige Rolle beim Ressourcenzugriff mit den geringsten Rechten, der als Grundlage für Zero Trust-Strategien dient.

Netzwerkzugriffssteuerung erklärt

Netzwerkzugriffssteuerungen schränken den Zugriff auf Ressourcen durch Benutzer und Geräte basierend auf von der IT-Abteilung festgelegten Regeln ein. In ähnlicher Weise, wie Türschlösser und Sicherheitsplaketten Eindringlinge am Zutritt zu physischen Unternehmensressourcen wie Gebäuden und Büros hindern, schützen Netzwerkzugriffssteuerungen digitale Ressourcen vor unbefugtem Zugriff.

Warum ist Netzwerkzugriffssteuerung wichtig?

  • Sicherheit – Netzwerkzugriffssteuerungen schützen Ressourcen vor Manipulationen und Diebstahl durch böswillige Akteure. NAC-Lösungen stellen sicher, dass nur Benutzer und Geräte mit ordnungsgemäßer Berechtigung auf das Netzwerk und Netzwerk-Ressourcen zugreifen können. Darüber hinaus können manche NAC-Lösungen Subjekte erkennen, die an einem Angriff beteiligt sind und diese unter Quarantäne stellen oder den Zugriff dieser Subjekte bis zum Abschluss weiterer Untersuchungen sperren. Diese Funktionalität kann die Verbreitung von Angriffen verhindern.
  • Datenschutz – Unternehmen arbeiten mit einem größeren Volumen und einer größeren Vielfalt von Daten als je zuvor. Manche dieser Daten sind sensibel und/oder vertraulich. Lösungen zur Netzwerkzugriffssteuerung ermöglichen Unternehmen, festzulegen, wer, was, wann und wie auf Daten innerhalb des Netzwerks zugreifen kann, um das Risiko von Datenschutzverletzungen zu reduzieren.
  • Compliance – Regulierte Unternehmen müssen häufig Datenschutzvorschriften einhalten, z. B. die Datenschutzgrundverordnung (DSGVO), Health Insurance Portability and Accountability Act (HIPAA) und Sarbanes-Oyley (SOX). NAC-Lösungen können Unternehmen dabei unterstützen, diese Vorschriften einzuhalten, indem sie den Zugriff auf Daten beschränken, den Datenverkehr sicher und separat halten sowie Protokolle und Berichte für Audits bereitstellen.

Wie funktioniert Netzwerkzugriffssteuerung?

Netzwerkzugriffssteuerung basiert auf dem Konzept, dass unterschiedliche Benutzer und Geräte (Subjekte) unterschiedliche Zugriffsrechte erhalten, die auf ihrem Bedarf basieren. Granularität bezeichnet die Detailstufe, mit der ein Subjekt, sein Bedarf sowie seine zugehörigen Zugriffsberechtigungen definiert und umgesetzt werden können. Hochgranulare Netzwerkzugriffssteuerungen sind eine wichtige Komponente von Zero Trust Sicherheitskonzepten, um den Zugriff eines Subjekts auf nur die Ressourcen zu beschränken, die zur Bewältigung ihrer Arbeit oder zur Erfüllung ihrer Funktion erforderlich sind.

Für einen effektiven Ressourcenschutz müssen Lösungen zur Netzwerkzugriffssteuerung mehrere miteinander verknüpfte Funktionen bieten, die durch eine Mischung aus Technologien ermöglicht werden.

Elemente der Netzwerkzugriffssteuerung

MerkmaleFunktionTechnologien
TransparenzWissen, wer und was sich zu einem gegebenen Zeitpunkt im Netzwerk befindetPhysische oder virtuelle Datenerfassungen; aktive (NMAP, WMI, SNMP, SSH) und passive (SPAN, DHCP, NetFlow/S-Flow/IPFIX) Discovery-Methoden; KI-/ML-gestützte Erstellung von Geräteprofilen; Deep Packet Inspection
AuthentifizierungZuverlässige Sicherstellung, dass ein Benutzer oder Gerät ist, wer/was er/es vorgibt zu sein802.1x Authentifizierung; EAP-TLS, RADIUS, TAC-ACS; Multi-Faktor-Authentifizierung; Zertifikate
RichtliniendefinitionDefinieren von Regeln für Benutzer und Geräte in Bezug auf die Ressourcen, auf die sie Zugriff erhalten, und wie auf diese Ressourcen zugegriffen werden kannTools zur Regelformulierung, die kontextuelle Parameter wie Rolle, Gerätetyp, Authentifizierungsmethode, Gerätestatus, Datenverkehrsmuster, Standort sowie Uhrzeit beinhalten können
AutorisierungBestimmen der geeigneten Regeln für die jeweiligen authentifizierten Benutzer oder Geräte 
DurchsetzungGestatten, verweigern oder widerrufen des Zugriffs eines authentifizierten Benutzers oder Geräts auf eine Ressource basierend auf der entsprechenden RichtlinieIntegration und bidirektionale Kommunikation mit Firewalls und anderen Sicherheits-Tools

Was sind Beispiele für Netzwerkzugriffssteuerung?

NAC-Lösungen ermöglichen sicheren Zugriff auf Ressourcen innerhalb einer Organisationsstruktur. Beispielsweise nutzt ein Krankenhaus eine NAC-Lösung für die Profilierung, den Schutz und die Anbindung autorisierter IoT-Geräte, während andere ausgeschlossen werden. Ein Abwicklungszentrum nutzt NAC-Lösungen, um alle kabelgebundenen oder kabellosen Geräte zu authentifizieren, die auf das Netzwerk zugreifen – beispielsweise Robots – und konsistente, rollenbasierte Richtlinien zu implementieren. Ein Schulsystem nutzt eine NAC-Lösung, um Lernende, Lehrende, Personal und Gäste zu authentifizieren und eine granulare Segmentierung des Datenverkehrs zu ermöglichen, die auf festgelegten Regeln basiert.

Beispiele für Netzwerkzugriffssteuerung innerhalb eines Unternehmensnetzwerks

Wofür wird Netzwerkzugriffssteuerung verwendet?

NAC-Lösungen wie HPE Aruba Networking ClearPass können mehrere Anwendungsfälle für sichere Konnektivität innerhalb von Unternehmen ermöglichen:

NAC für Gäste und Zeitarbeitskräfte Mit ClearPass Guest können Empfangsmitarbeiter, Veranstaltungskoordinatoren und andere IT-fremde Mitarbeitende einfach und effizient temporäre Netzwerkzugriffskonten für eine beliebige Anzahl von Gastbenutzern pro Tag erstellen. ClearPass Guest bietet ebenfalls ein kundenspezifisches Portal zur Selbstregistrierung, das Besuchern ermöglicht, ihre eigenen Zugangsdaten zu erstellen, die anschließend über einen zuvor definierten Zeitraum in ClearPass gespeichert werden, der automatisch abläuft.
NAC für Bring Your Own Device (BYOD)ClearPass Onboard konfiguriert und implementiert mobile Geräte automatisch, um eine sichere Verbindung zu Unternehmensnetzwerken zu ermöglichen. Mitarbeitende können ihre eigenen Geräte selbst konfigurieren, indem sie die geführte Registrierung durchführen und die Verbindungsanweisungen befolgen. Gerätespezifische Zertifikate werden verwendet, um sicherzustellen, dass die Benutzer ihre Geräte mit minimalen Eingriffen durch die IT-Abteilung sicher mit den Netzwerken verbinden können.
NAC zur Bewertung der EndgerätesicherheitClearPass OnGuard führt eine Bewertung der Endgerätesicherheit durch, um zu gewährleisten, dass die Sicherheits- und Compliance-Anforderungen erfüllt sind, bevor die Geräte mit dem Unternehmensnetzwerk verbunden werden. So können Unternehmen vermeiden, dass Schwachstellen in ihren IT-Umgebungen entstehen.
NAC für IoT-Geräte (Internet der Dinge)ClearPass Device Insight bietet vollständige Transparenz hinsichtlich mit dem Netzwerk verbundener Geräte durch Risiko-Scoring und maschinelles Lernen, um unbekannte Geräte zu erkennen und die Zeit bis zur Identifizierung zu verkürzen. ClearPass Device Insight überwacht ebenfalls das Verhalten von Datenverkehrs-Strömen und bietet so zusätzliche Sicherheit.
ClearPass Policy Manager erstellt Profile von Geräten, die versuchen, eine Verbindung zum Netzwerk herzustellen, und ermöglicht einen von der IT-Abteilung konfigurierten rollen- und gerätebasierten Netzwerkzugriff.
NAC für kabelgebundene GeräteClearPass OnConnect ermöglicht eine sichere kabelgebundene Zugriffssteuerung für Geräte wie Drucker und VoIP-Telefone, die sich nicht mithilfe von 802.1x authentifizieren.
Cloud-native NACHPE Aruba Networking Central Cloud Auth integriert sich in herkömmliche Cloud-Identitätsspeicher, um ein nahtloses Cloud-basiertes Onboarding sowie sichere rollenbasierte Richtlinien für Benutzer und Geräte zu ermöglichen.

Wie wähle ich eine Lösung für die Netzwerkzugriffssteuerung aus?

Berücksichtigen Sie bei der Auswahl einer NAC-Lösung Folgendes:

  • Interoperabilität und anbieterneutrale Funktionen, um kostspielige Add-ons und Anbieterabhängigkeiten zu vermeiden
  • Nachgewiesene Fähigkeit, den Datenverkehr zu schützen und zu separieren
  • Service-Verfügbarkeit zur Unterstützung maximaler Betriebszeiten und eines unterbrechungsfreien Betriebs
  • Skalierbarkeit zur parallelen Unterstützung Hunderter oder Tausender Endgeräte
  • Marktführerschaft und Auszeichnungen, die die Fähigkeit belegen, Cyber-Risiken zu reduzieren, wie z. B. Cyber CatalystSM by Marsh

Sind Sie startklar?