Укрепление ядра (часть 2) — контроль доступа к сети

Опубликовано: 7 Апреля, 2023
Укрепление ядра (часть 2) — контроль доступа к сети

История НАК

Контроль доступа к сети (NAC) существует уже некоторое время, почти десятилетие, оценивая устройства, подключающиеся к сетям, и ограничивая доступ к сетевым ресурсам только теми устройствами, которые соответствуют четко определенным политикам безопасности.

Количество мобильных устройств растет, и все больше компаний переходят к стратегиям BYOD. В настоящее время организациям требуются сбалансированные, контекстуальные, зрелые и масштабируемые решения, которые учитывают безопасность и соответствие нормативным требованиям и способны работать в динамичной среде современного разнообразного бизнеса.

Имеет смысл предоставить пользователям безопасный доступ к сетевым ресурсам для выполнения своих функций как на месте, так и удаленно, при этом критически важные бизнес-системы и процессы остаются защищенными и изолированными от эксплуатации и компрометации. Использование NAC определенно растет, он медленно стартовал при выходе на рынок в 2004 году, и Gartner ожидал, что он подскочит на 63% на рынке в 2013 году, в то время как в действительности потребление было вдвое меньше, чем в Европе..

Современные разнообразные среды требуют динамического сбалансированного, но безопасного контроля доступа к сети. Организациям нужны преимущества, предоставляемые NAC на сетевом уровне, но им также требуются дополнительные контекстные стратегии безопасности, такие как управление мобильными устройствами (MDM) на уровне устройств. Комбинированное решение для обеспечения безопасности, состоящее из традиционных возможностей NAC, дополненных возможностями мобильной безопасности, соответствия конечных точек и управления угрозами, необходимо для безопасного мобильного века. Это обеспечит комплексный подход к защите, но последним барьером по-прежнему остается культура и принятие пользователем такого подхода.

Ключевые функции решения NAC

  • Выполняет аутентификацию и авторизацию перед доступом к защищенной среде.
  • Защита, организации защищены от угроз безопасности, а также от атак вирусов и червей с помощью мер по борьбе с угрозами (брандмауэры, антивирусные решения и шпионское ПО). Перед предоставлением доступа к охраняемой среде возможно соответствие и сравнение с контрольным показателем безопасности.
  • Предотвращает неблагоприятное использование сетевых ресурсов.
  • Обеспечивает соблюдение коммуникационных политик, а также регулирует и ограничивает задачи, которые пользователи могут выполнять после подключения к сети, что позволяет повысить эффективность бизнес-процессов.
  • Обеспечивает уровень безопасности между системами, которые не были подключены к сети в течение определенного периода времени, одновременно проверяя состояние безопасности, чтобы убедиться, что системы соответствуют общим и текущим базовым уровням безопасности.

Важные аспекты для достижения эффективного решения NAC

  • Решение NAC должно иметь возможность развертывания в открытой архитектуре, адаптируемой к требованиям организации.
  • Решение должно поддерживать несколько типов устройств под управлением нескольких типов операционных систем, поскольку современные среды разнообразны. Решение, которое подходит только для определенных конечных систем, делает сеть и службы уязвимыми для атак со стороны систем, не включенных в систему безопасности.
  • Решение NAC должно быть достаточно гибким для интеграции нескольких типов технологий оценки. Благодаря этому решение NAC может охватывать любое оконечное устройство, мобильное устройство или систему, подключенную к сети.
  • Устройства должны быть оценены до того, как будет разрешено подключение, а также после подключения.
  • Решение NAC должно иметь возможность обращаться к конечным устройствам/системам, подключенным к различным типам сетевых коммутаторов.
  • Все обращения должны быть зарегистрированы.
  • Решение NAC должно соответствовать основанным на стандартах технологиям аутентификации и применения политик.
  • Убедитесь, что решение NAC включает все конечные устройства/системы. С осознанием конвергентных сетей в бизнесе сегодня сети вступают в контакт с целым рядом устройств/систем, от настольных компьютеров, ноутбуков и принтеров до растущих мобильных устройств (планшетов и телефонов), и это лишь некоторые из них.
  • Не должны иметь безопасности, специфичной для определенных типов устройств, операционных систем или программного обеспечения. Безопасность должна быть сосредоточена на охвате широкого спектра конечных систем — список бесконечен.
  • Решение должно быть способно оценивать аутентификацию и авторизацию различных конечных устройств, использующих разные операционные системы и работающие с разными приложениями.
  • Решение NAC должно учитывать несколько атрибутов, прежде чем разрешать доступ устройства к сети. Эти атрибуты должны включать, помимо авторизации устройства, тип устройства, местоположение, время, учетные данные пользователя, учетные данные компьютера и функцию устройства в бизнесе. Благодаря надлежащей оценке может быть применен эффективный доступ или перенаправление. Чем больше информации будет получено во время авторизации, тем более эффективным и безопасным будет решение.
  • Точное применение политик является важным аспектом решения NAC. Применяя политики в точке сетевого подключения устройства, вы можете гарантировать, что использование сети безопасно, эффективно и используется должным образом. Политики должны быть такими, чтобы их можно было применять по всей сети для достижения максимального контроля. Политики должны включать политики как для устройств, так и для использования сети.
  • Включите политику для помещения в карантин устройств, которые не предназначены для подключения к сети, до тех пор, пока устройство не будет соответствовать сетевой политике. При этом вся сеть не подвергается риску и не скомпрометирована. Пользователь должен быть уведомлен (веб-браузер, служба мгновенных сообщений или электронная почта) о том, что его устройство помещено в карантин, и ему должна быть предоставлена соответствующая информация, необходимая для устранения проблемы.
  • Отчеты о соответствии необходимы для эффективного решения NAC. Решение по управлению доступом к сети должно иметь возможность собирать информацию об устройствах, пользователях и коммуникациях. Эти данные можно использовать для составления отчетов о соответствии как для исторических событий, так и для событий в реальном времени.

Контроль доступа к сети для мобильных устройств

Чрезмерный рост использования мобильных устройств в бизнесе привел к признанию того, что для решения проблем, связанных с конечными точками, требуется большая прозрачность и обширный сетевой контроль. Чтобы достичь этого, решение NAC не должно основываться исключительно на аутентификации устройства в соответствии с его первоначальной функцией, а должно быть изменено таким образом, чтобы оно обеспечивало большую гибкость в управлении сетью. NAC больше не может быть «черным» или «белым», «разрешенным» или «запрещенным», современные среды требуют и требуют гибкости, если мобильный удаленный доступ должен быть эффективным и действенным.

Первоначально решения NAC были чрезвычайно строгими, устройства постоянно блокировались, и много времени тратилось на несоответствие, не было места для компромиссов. Это вызывает сбои и разочарование в организациях. Переход к более зрелому и гибкому решению допускает исключение, компромисс, когда речь идет о допуске устройств в сеть. Безопасность должна быть сбалансирована, иначе она не будет принята и в конечном итоге будет обойдена или станет контрпродуктивной.

Сочетание NAC, управления мобильными устройствами (MDM) и управления мобильными приложениями (MAM) может обеспечить надежную бизнес-инфраструктуру для защиты сети и обеспечения безопасной удаленной работы с помощью мобильных устройств. Используя комбинацию этих решений, NAC можно настроить для доступа мобильных устройств, сохраняя при этом эффективные меры безопасности и соблюдая нормативные требования.

Благодаря непосредственному взаимодействию решений NAC с другими стратегиями безопасности создаваемые отчеты о соответствии показывают полную и точную картину конечных систем/устройств, подключенных к сети. Это очень важно, учитывая огромное количество мобильных устройств, в основном персональных устройств, которые ежедневно подключаются к рабочей сети.

Возможности комбинированного решения NAC/MDM/MAM

  • Автоматическая идентификация и контроль устройств, подключенных к сети.
  • Все типы устройств или оконечных систем могут быть идентифицированы
  • Обнаружение сломанных или рутированных устройств в тюрьме
  • Непрерывный мониторинг устройств в сети
  • Обнаружение вредоносного, шпионского ПО и вирусов
  • Соответствие: обеспечивается мониторинг в режиме реального времени, что является требованием нормативных стандартов для обеспечения надлежащего процесса управления безопасностью и предотвращения рисков.
  • Полный контрольный журнал доступа к ресурсам
  • Базовое сравнение и оценка состояния безопасности.
  • Упрощенная реализация решения. Доступны Plug and Play, виртуальное или облачное решение
  • Более зрелое и гибкое решение

Вывод

Управление доступом к сети является важным элементом комплексной системы безопасности сети для защиты конфиденциальности, целостности и доступности информационных ресурсов бизнеса. Он также играет важную роль в оценке сети, авторизации, применении политик, оценке состояния безопасности и устранении неполадок.

Решение NAC быстро трансформируется, чтобы соответствовать сегодняшнему стремительному развитию мобильных устройств, а в эпоху удаленной работы превращается в решение, предлагающее набор инструментов, обеспечивающих дополнительную безопасность и гибкость бизнеса для удовлетворения бизнес-требований мобильных сотрудников.

Комбинированное решение NAC и MDM предлагает лучшее из обоих миров, обеспечивая сбалансированную безопасную сеть, а также безопасное управляемое устройство или конечную точку.

Недостатком решения является стоимость, при правильном внедрении решение не является экономичным, однако организациям необходимо увеличить стоимость по сравнению с преимуществами, поскольку мобильные устройства и удаленная работа никуда не денутся.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023