近年來,因為網路病毒、USB病毒的持續發威,使得內罔安全與端點安全議題越來越受到關注,而NAC正式因應這個局勢所不斷發展的解決方案。本期採購特即將帶你進入NAC的世界,教你如何購買NAC相關產品。 顯而易見的,NAC將會成為企業基礎資安建設中的一環,而隨著微軟新一代的作業系統Windows Server 2008 上市,用內附的NAP即可直接建置NAC,門檻已大幅降低。我們將告訴你如何採購NAC產品,也將探討時下熱門的NAP共通性議題。
採購NAC要訣:注意使用彈性,以及架構與政策的規畫 NAC在架構上,主要由政策伺服器(Policy Server)、代理程式(Agent),以及政策執行器(Enforcer)三大元件所組成。而想要發揮控管效果,最好多了解NAC各種部署架構的限制,並且準備好可能的漏洞防堵措施。
高安全性等級或簡易建置? NAC都能做到 你是否也想過這個難題?不知要在什麼樣的網路和端點環境下部署NAC。可以考量公司的需求,選擇是要高安全性的802.1x或者是能簡易部署的DHCP。
與NAP共通是NAC應用的趨勢 隨著Windows Server 2008推出,微軟的Network Access Protection(NAP)正式成形,部分資安廠商也陸續推出與NAP達成共通的NAC產品。而不論是軟體NAC或硬體NAC,如果能先透過與NAP之間的共通,不但可簡化NAC產品的部署難度,也強化本身的防護能力。
透過共通,簡化整體部署 與NAP共通的好處一來是使用NAP的代理程式做為NAC的終端軟體,能簡化產品的部署;二來是利用NAP整合多種架構部署的特性,能強化NAC的防護功能。
進一步提高NAC產品的可用性 除了上述的共通性作法外,另外一種共通性做法是利用的是NAP可以同時整合多種不同架構部署的特性,主要把NPS伺服器當做是NAC的政策執行器,然後透過NAP的平臺實施網路隔離,強化NAC的政策稽核能力。
案例研究─台灣企業導入NAP實例 從事電腦周邊製造的A公司考量到微軟的NAP備妥基本的軟體派送與漏洞修補機制,所以決定導入NAP。然而在作好軟體派送、修補管理之後,下一步要如何強化個人端電腦的網路存取控制則是新發展出來的問題。
7款軟體式NAC產品總評 我們這次一共測試了7家廠商所推出的軟體式NAC產品,其中包括了微軟內建在Windows Server 2008平臺上的NAP。測試完後我們認為企業在選購NAC產品時,必須依照管理對象選擇部署架構,而NAC和NAP整合是未來應用的走向。
Check Point Endpoint Security Check Point所推出的網路存取控制(NAC)產品Check Point Endpoint Security已納入Smart Center的整合管理平臺,其主要功能為代理程式內建個人防火牆,以及其他多種防護功能,另外可以整合同廠牌其他設備協同運作。
Extreme Sentriant AG Sentriant AG 是由Extreme推出的網路存取控制產品,對於各種不同方式架設而成的DHCP伺服器,皆能提供良好的相容性•另外能用Agentless模式掌握個人端電腦的狀態。
McAfee Network Access Control 3.0 Network Access Control(NAC) 3.0是採用模組的方式加掛在McAfee的ePolicy Orchestrator(ePO)管理平臺,對於各種不同方式架設而成的DHCP伺服器,皆能提供良好的相容性。
微軟Network Access Protection Network Access Protection(NAP)是一項內建於Windows Server 2008的安全功能,本身並非單獨建置的資安產品,能透過5種方式去建構NAC的端點安全環境,並維持最基本的個人端電腦安全狀態。
Novell ZENworks ESM Endpoint Security Management(ESM)是Novell的ZENworks中專門負責端點安全及網路管理功能的軟體。它可以利用內建的隔離政策,限制電腦存取網路的能力,進而達到網路隔離的目的。
Sophos NAC Advanced 3.0 NAC Advanced 3.0支援多種市售資安軟體,且同時具備良好的矯正能力。但要注意目前它所支援的資料庫版本對正在使用SQL Server 2005,甚至是有意導入下一版微軟資料庫系統的企業來說,有可能造成產品部署上的障礙。
Symantec Network Access Control 11.0 Symantec Network Access Control 11.0整體而言在功能設計上有3大特色:一,管理上使用Symantec Endpoint Protection Manager(SEPM)主控臺,降低操作的難度和學習時間;二,將原本需要手動部署在另一臺Linux伺服器上的Enforcer套件,先安裝到一臺x86伺服器;三,號稱能與微軟的NAP達成共通。
全文>>
沒有留言:
張貼留言