Network Access Control (NAC)

NAC Nedir

Aslında, NAC hızla gelişen bir kategoride geniş bir terimdir. Yüksek düzeyde, NAC yalnızca belirli cihazların belirli bir koşul kümesine bağlı olarak farklı düzeylerde ağ erişimi aldığı bir güvenlik politikasını tanımlar. İlk NAC çözümleri yalnızca 802.1X ön kimlik doğrulaması kullanıyordu ve erişim kontrollerinin nasıl uygulanacağı konusunda yalnızca temel seçeneklere sahipti- genellikle bir on/off switch biçiminde. Bu erken çözümler, her yerde ağlarda giderek artan sayıda Nesnelerin İnterneti (IoT) cihazlarıyla modern BT ortamında artık geçerli değil. Modern NAC çözümleri çok daha zariftir. Benzersiz uç noktaları belirleme, çok çeşitli kaynaklardan büyük miktarda veri toplama ve kontrolleri en iyi nasıl uygulayacakları konusunda son derece bilinçli kararlar vermek için kullanma becerisine sahiptirler.

Bir Nac Çözümünde nelere dikkat edilir?

Güvenlik politikaları, ağ ve BT sistemleri tasarımları ve gereksinimleri kuruluştan kuruluşa büyük farklılıklar gösterir. Bu nedenle, bugün kurumsal ağlarda var olan ve yarın ortaya çıkacak sayısız benzersiz durumla başa çıkmak için kuruluşunuza en fazla seçenek ve esnekliği sağlayan çözümü aramak istiyorsunuz. İşte aranacak birkaç temel yetenek:

Endpoint Data Visibility

NAC çözümünüze ne kadar çok veri beslerseniz, çözüm o kadar bilinçli kararlar verebilir ve ağ erişim kontrol politikanızı o kadar otomatik hale getirebilirsiniz. Bazı ortamlar için, bir router/switch satıcısından bağımsız çözüm önemlidir, bu nedenle ağ cihazı satıcılarınızın istediğiniz NAC çözümü tarafından tam olarak desteklendiğinden emin olun. Ek olarak, mevcut ağınız ile güvenlik açığı tarayıcıları veya mobil cihaz yönetimi çözümleri gibi güvenlik araçları arasında entegrasyon noktaları arayın. Bunlar gibi entegrasyonlar, NAC çözümünüzün bu diğer araçlarla veri paylaşmasına ve her ikisinin de daha akıllı güvenlik kararları almasına olanak tanır. Son olarak, kendi özel entegrasyonlarınızı oluşturabildiğinizden emin olun. Bu, herhangi bir ortamda erişim kontrollerine yönelik gerçekten otomatikleştirilmiş bir yaklaşımı gerçekleştirmenin anahtarı olabilir.

Inline vs. Out-of-Band

Bir inline çözüm, gerçek zamanlı ağ trafiğini gözlemleyebilir, özellikler hakkında kararlar alabilir ve istenmeyen trafiği durdurmak için ağ ve taşıma katmanında eylemler gerçekleştirebilir. Dezavantajı, tüm ağ trafiğinizin dahili ağlarınıza girmesi veya çıkması için fazladan zaman almasıdır. Out-of-Band bir çözümle, ağlarınıza giren veya çıkan trafik üzerinde hiçbir etkisi yoktur, ancak gerçek zamanlı ağ trafiğini görebilmek daha zor hale gelir. Her ikisinin de faydalarını sunan bir ürün bulun. Ek olarak, büyük bir kuruluşta tek bir çözümün tüm doğu/batı trafiğini tüm konumlarda görebilmesi pek olası olmadığından, temel işlevlerini yerine getirmenin tamamen ağ trafiği görünürlüğüne bağlı olmadığından emin olun.

Pre-Connect vs. Post-Connect

Pre-connect, erişim denetimi kararlarının bir cihaza üretim kaynaklarına erişim izni verilmeden önce alınması anlamına gelir. Bir NAC çözümünün, kullanıcı beklerken sistem güvenliğini doğrulaması, denetlemesi veya başka bir şekilde onaylaması gerektiğinden, bu yaklaşım, güvenliği kullanıcı deneyimine göre önceliklendirir. Kesinlikle kimlik doğrulama kullanan klasik 802.1X çözümleri bu kategoriye girer. Post- connect , özellikle kablolu ağlar için tam tersi ve daha yaygın, modern yaklaşımdır. Uç noktaların üretim ağına girmesine izin verilir ve hemen denetlenir. Gereksinimleri karşılamıyorlarsa, erişimlerinin bir kısmı veya tamamı kaldırılır. Bu yaklaşım, nihai güvenlik yerine kullanıcı deneyimini ve çalışma süresini tercih eder. İdeal olarak, her ikisini de yapabilen bir sistem istiyorsunuz. Örneğin, kablosuz ağlarda yalnızca kullanıcı sistemleri bulunmalıdır, bu nedenle önceden bağlantı 802.1X kimlik doğrulama yaklaşımı en uygun olanıdır. Ancak kablolu ağlar, zamanın yüzde 100'ünde üretken kalması gereken kritik bir altyapıya veya kullanıcı tabanına sahiptir; bu nedenle, tüm sistemlerin kesintisiz, bağlantı sonrası arka plan değerlendirmesi daha iyi bir yaklaşım olabilir. Sizi tüm ağlarınızda tek bir yaklaşıma kilitlemeyen bir ürün arayın.

Agent vs. Remote Inspection

"başka bir ajan daha mı!" Ağ erişimi elde etmesi için sürekli çalışması gereken başka bir ajanla uç noktalarınızı boğmak istemezsiniz. Düşünebildiğiniz kadar çok işletim sisteminde, hiçbir aracı olmadan uç noktaları uzaktan denetleyebilen ve yönetebilen bir çözüm bulun. Ancak aynı zamanda, eski uygulamalarınızı desteklemek için çalışmaya devam etmesi gereken eski sistemleri garip durumlarda kullanılabilmesi için aracısı olan birini bulun. Her sistemi etki alanı seviyesinden yönetemeyebilirsiniz, bu nedenle bu gibi durumlarda, bir aracı ile sistemin derinlemesine incelenmesini sağlayabilirsiniz. Aracıların her yerde veya hiçbir yerde kullanılmasını gerektiren global bir anahtar yerine aracının bu şekilde kullanılabileceğinden emin olun.

Controls

Bir NAC çözümünün denetimleri nasıl uyguladığı, ağınıza erişimi reddetmek veya kısıtlamak için oyun sonu yeteneklerini açıklar ve birden çok seçeneğe sahip olmak, her duruma yanıt vermenin anahtarıdır. Yerel siteler arasında farklı ağ uygulamaları ve yapılandırmaları, istenmeyen sistemleri ağdan engelleyen temel bir ağ erişim kontrol politikasını standartlaştırmayı imkansız hale getirebilir. Bu nedenle, OSI modelinin birden çok düzeyinde, en azından 1'den 4'e kadar olan katmanlara erişimi kısıtlayabilen bir çözüm istiyorsunuz. diğerlerinden çok farklı bir ağ kısıtlaması. Bunun için, kontrollerin, daha fazla ağ erişimini kaldırmak ve dolayısıyla üretkenliği engellemek zorunda kalmadan tüm kullanım durumlarını ayrı ayrı ve etkili bir şekilde hedefleyecek kadar ayrıntılı olmasını istiyorsunuz.