什么是网络访问控制 (NAC)?
控制对数字资源的访问是组织至关重要的一项 IT 安全能力。网络访问控制 (NAC) 解决方案可以帮助 IT 部门授权或阻止用户和设备访问网络资源。提供对资源的最低权限访问是零信任安全策略的基础,NAC 在这其中发挥着重要作用。
网络访问控制的释义
网络访问控制根据 IT 部门制定的规则限制用户和设备的资源访问权限。正如门锁和安全标识可以阻止入侵者访问办公楼和办公室等实体组织资源一样,网络访问控制也可以保护联网数字资源免遭未经授权的访问。
网络访问控制为何如此重要?
- 安全性 — 网络访问控制可以防止恶意人员篡改和窃取资源。NAC 解决方案能够确保只有具备适当权限的用户和设备才能访问网络和联网资源。此外,一些 NAC 解决方案还可以识别可能参与攻击的主体,并在进一步调查之前隔离或阻止该主体的访问。该功能可以防止攻击扩散。
- 隐私 — 如今,组织所管理的数据量和数据种类远超以往,其中一些数据具有敏感性和/或机密性。组织借助网络访问控制解决方案,可以规定网络数据访问的人员、内容、时间和方式,从而降低数据外泄风险。
- 合规性 — 受监管的组织通常需要遵守数据隐私和数据保护方面的法规,例如《通用数据保护条例》(GDPR)、《健康保险携带和责任法案》(HIPAA) 和《萨班斯-奥克斯利法案》(SOX)。NAC 解决方案可以限制数据访问,保持通信的安全性和独立性,提供审计日志和报告,从而保证组织的合规性。
网络访问控制如何发挥作用?
网络访问控制基于如下概念:不同的用户和设备(主体)根据其需求被授予不同的访问权限。粒度是指定义和执行主体、其需求及其相关访问权限的具体程度。高粒度网络访问控制是零信任安全方法的关键组成部分,可以对主体进行限制,使其仅可访问完成工作或履行职能所需的资源。
为了有效保护资源,网络访问控制解决方案必须通过多种技术组合提供若干相互关联的能力。
网络访问控制要素
能力 | 功能 | 技术 |
---|---|---|
可见性 | 随时了解网络上的人员和内容 | 物理或虚拟数据收集器;主动(NMAP、WMI、SNMP、SSH)和被动(SPAN、DHCP、NetFlow/S-Flow/IPFIX)发现方法;AI/ML 辅助设备分析;深度包检测 |
身份验证 | 可靠确定用户或设备的真实身份 | 802.1x 身份验证;EAP-TLS、RADIUS、TAC-ACS;多重身份验证;证书 |
策略定义 | 为用户和设备定义规则,确定可以访问的资源以及访问方式 | 规则编写工具,可包括各种上下文参数,如角色、设备类型、身份验证方法、设备运行状况、通信模式、位置以及具体时间点 |
授权 | 为经过身份验证的用户或设备确定适当的规则 | |
实施 | 根据适当的策略,允许、拒绝或撤销经过身份验证的用户或设备对资源的访问权限 | 与防火墙和其他安全工具集成并进行双向通信 |
网络访问控制有哪些示例?
借助 NAC 解决方案,可安全地访问整个组织的资源。例如,医院利用 NAC 解决方案来分析、保护和管理已授权物联网设备的连接,同时排除其他设备。履行中心通过 NAC 解决方案对访问网络的每台有线和无线设备(如机器人)进行身份验证,并实施基于角色的一致策略。学校系统通过 NAC 解决方案对学生、教师、员工和访客进行身份验证,并根据定义的规则对通信进行细粒度分段。
网络访问控制有哪些用途?
HPE Aruba Networking ClearPass 等 NAC 解决方案可处理组织内的多种安全连接用例:
访客和临时工 NAC | 借助 ClearPass Guest,接待员、活动协调员和其他非 IT 员工可以每天轻松高效地为任意数量的来宾创建临时网络访问帐户。ClearPass Guest 还提供了定制化自注册门户,帮助访客创建自己的凭据,并将其存储在 ClearPass 中,凭据有效期预先确定,也可设置为自动过期。 |
自带设备 (BYOD) NAC | ClearPass Onboard 可自动配置和设置移动设备,让移动设备可以安全地连接到企业网络。员工可根据注册和连接说明自行配置自己的设备。每台设备都会应用独一无二的证书,确保用户只需少量 IT 交互,即可安全地将其设备连接到网络。 |
端点安全态势评估 NAC | ClearPass OnGuard 可执行端点/设备态势评估,确保设备在连接到企业网络之前满足安全性和合规性要求,从而帮助组织防止 IT 环境出现漏洞。 |
物联网 (IoT) 设备 NAC | ClearPass Device Insight 可通过风险评分和机器学习来识别未知设备并缩短识别时间,为网络连接设备提供全方位可见性。ClearPass Device Insight 还能监控通信流量行为,提高安全性。 ClearPass Policy Manager 可分析试图连接到网络的设备,并根据 IT 配置规则提供基于角色和设备的网络访问。 |
有线设备 NAC | ClearPass OnConnect 为打印机和 VoIP 电话等不使用 802.1x 技术进行身份验证的设备提供安全的有线访问控制。 |
云原生 NAC | HPE Aruba Networking Central Cloud Auth 集成了常见的云身份存储,可为用户和设备提供基于云的无缝登录和基于角色的安全策略。 |
如何选择网络访问控制解决方案?
选择 NAC 解决方案时,请考虑以下几点:
- 互操作性和不限供应商功能,避免昂贵的附加设备和供应商锁定
- 确保有能力保证通信的安全性和独立性
- 服务可用性,可支持最大限度的正常运行时间和不间断运营
- 可扩展性,以支持数十万并发端点
- 市场领先地位和降低网络风险方面的能力认证,如 Marsh Cyber CatalystSM 认证