何謂網路存取控制 (NAC)?

對組織來說,控制數位資源的存取權是至關重要的 IT 安全能力。使用網路存取控制 (NAC) 解決方案,IT 就能授權或阻止使用者和裝置存取網路上的資源。NAC 在執行最低權限原則以存取資源方面扮演重要角色,這是零信任安全性策略的基礎。

網路存取控制說明

網路存取控制會根據 IT 制定的規則,限制使用者和裝置存取資源。如同門鎖和保全識別證防止入侵者進入建築物和辦公室等實體組織資源,網路存取控制可以保護網路數位資源免於遭受未經授權的存取。

為什麼網路存取控制很重要?

  • 安全性 — 網路存取控制可保護資源,避免遭受惡意行為者的篡改和盜用。NAC 解決方案可確保只有具有適當權限的使用者和裝置才能存取網路和網路資源。此外,有些 NAC 解決方案還可以識別可能參與攻擊的主體,並隔離或封鎖該主體的存取,以等待進一步調查。這項功能可以防止攻擊的擴散。
  • 隱私權 — 組織所管理的資料量和資料種類之多史無前例,其中有些資料屬於敏感和/或機密性質。網路存取控制解決方案可讓組織定義哪些人可以在網路上存取哪些資料、何時可以存取以及如何存取,藉此降低資料外洩風險。
  • 合規性 — 受管制組織通常需要遵守資料隱私權和資料保護法規,例如《一般資料保護規範》(GDPR)、《健康保險可攜性與責任法案》(HIPAA) 和《沙賓法》(SOX) 等。NAC 解決方案可以透過限制對資料的存取、保持流量安全及隔絕,以及提供稽核用的記錄和報告,協助組織遵守這些要求。

網路存取控制如何運作?

網路存取控制的運作概念是:根據不同使用者和裝置 (主體) 的需要,將不同類型的存取權授予使用者和裝置。精細度是指對主體、其需求以及相關存取權的定義和執行所具有的詳細程度。高度精細的網路存取控制是零信任安全性方法的關鍵組成部分,它將主體的存取權限制在執行其工作或功能僅需的資源。

為了有效保護資源,網路存取控制解決方案必須透過混用多種技術來提供多種相互關聯的功能。

網路存取控制元素

能力功能技術
可見性隨時知道連上網路的人員和裝置實體或虛擬資料收集器;主動 (NMAP、WMI、SNMP、SSH) 和被動 (SPAN、DHCP、NetFlow/S-Flow/IPFIX) 探索方法;AI/ML 輔助裝置剖析;深層封包檢測
驗證自信地確定使用者或裝置的身分符合其所聲稱的身分802.1x 驗證;EAP-TLS、RADIUS、TAC-ACS;多因素驗證;憑證
原則定義為使用者和裝置定義可存取的資源及如何存取資源的相關規則規則編寫工具,其中可能包括內容參數,如角色、裝置類型、驗證方法、裝置健全狀況、流量模式、位置和時間。
授權決定適合已驗證使用者或裝置的規則 
強制實施根據適當的原則,允許、拒絕或撤銷已驗證使用者或裝置對資源的存取權與防火牆和其他安全工具進行整合和雙向通訊

網路存取控制有哪些例子?

NAC 解決方案提供對整個組織資源的安全存取。例如,醫院使用 NAC 解決方案來分析、保護及管理已授權 IoT 裝置的連線,同時排除其他裝置。履行中心使用 NAC 解決方案對存取網路的每個有線和無線裝置 (例如機器人) 進行驗證,並實施一致的角色型原則。學校系統使用 NAC 解決方案對學生、教師、員工和訪客進行驗證,並根據定義的規則對流量進行精細區隔。

企業網路內的網路存取控制範例

網路存取控制的用途為何?

HPE Aruba Networking ClearPass 等 NAC 解決方案可以因應組織內多種安全連線使用案例:

針對訪客和臨時員工的 NAC ClearPass Guest 能讓接待員、活動協調員和其他非 IT 人員輕鬆高效地每天為任意數目的訪客建立臨時的網路存取帳戶。ClearPass Guest 還提供自訂的自助註冊入口網站,可讓訪客建立自己的認證,然後將其儲存在 ClearPass 中一段時間 (事先設定),也可以設為自動到期。
針對自攜裝置 (BYOD) 的 NACClearPass Onboard 會自動配置及佈建行動裝置,讓這些裝置能安全地連線至企業網路。工作者可以按照引導式註冊和連線指示,自行配置自己的裝置。每台裝置會套用專屬憑證,確保使用者能安全地將其裝置連線至網路,將所需的 IT 互動最小化。
針對端點安全態勢評估的 NACClearPass OnGuard 能執行端點/裝置態勢評估,確保在裝置連線至公司網路之前符合安全性和合規性要求,這可以幫助組織避免將漏洞引入 IT 環境。
針對物聯網 (IoT) 裝置的 NACClearPass Device Insight 透過風險評分和機器學習來識別未知的裝置並減少識別所需時間,藉此讓您全面瞭解網路連線裝置。ClearPass Device Insight 還會監控流量流動的行為,藉此增強安全性。
ClearPass Policy Manager 會剖析試圖連線至網路的裝置,然後根據 IT 配置的規則,依據角色和裝置提供網路存取權。
針對有線裝置的 NACClearPass OnConnect 為印表機和 VoIP 電話等不使用 802.1x 技術進行驗證的裝置提供安全的有線存取控制。
雲端原生 NACHPE Aruba Networking Central Cloud Auth 與常見的雲端身分識別存放區相互整合,為使用者和裝置提供無縫的雲端型上線和安全的角色型原則。

如何選擇網路存取控制解決方案?

選擇 NAC 解決方案時,請考慮以下因素:

  • 互通性和不受廠商限制的功能,以免昂貴的附加項目及受限於供應商綁定
  • 保持流量安全和隔離的能力經過實證
  • 服務可用性,可最大程度延長正常運行時間和支持不間斷的運作
  • 可擴充性,能支援數十萬個同時連線的端點
  • 降低網路風險的能力廣受認可,占據市場領導地位並獲得業界稱號,例如獲得 Cyber CatalystSM by Marsh 稱號

準備好開始了嗎?