網(wǎng)絡(luò)訪問控制(NAC)名聲不好，我們得讓它改改。過去十年里，NAC出現(xiàn)了部署失敗和安全策略過份嚴(yán)格等問題，這使得許多CEO發(fā)現(xiàn)按照IT部門實(shí)施的NAC，自己的筆記本電腦無法訪問網(wǎng)絡(luò)。

但是，現(xiàn)在情況已經(jīng)發(fā)生變化。專家指出，NAC不再只是訪問控制;而是提供終端可見性和感知環(huán)境的安全性。Enterprise Strategy Group的研究表明，NAC正演變成一種新的平臺產(chǎn)品，它叫終端監(jiān)控、訪問與安全(EVAS)，它能夠?qū)崿F(xiàn)感知環(huán)境的安全性，可以給其他安全平臺提供信息，同時(shí)應(yīng)用這些平臺專用的策略。

ESG高級主任分析師Jon Oltsik指出，早期的NAC解決方案會檢查用戶設(shè)備的狀態(tài)，保證它們未感染病毒，并且安裝了正確的終端安全 軟件，然后才允許它們連接網(wǎng)絡(luò)。之后，NAC增加了軟件補(bǔ)丁和配置檢查?，F(xiàn)在，NAC解決進(jìn)一步發(fā)展成為EVAS平臺，從而符合企業(yè)關(guān)于感知環(huán)境安全性的需求。他說，思科、瞻博、ForeScout和Bradford都推出了這樣的產(chǎn)品。

EVAS的特點(diǎn)是增加了兩個(gè)新功能。這個(gè)平臺可以整合到其他安全和策略系統(tǒng)，而且與早期NAC系統(tǒng)不同，它們不僅能處理傳統(tǒng)PC機(jī)，也能處理更廣泛的終端設(shè)備。

Jon Oltsik說：“EVAS已經(jīng)整合到基礎(chǔ)架構(gòu)的其他部分上，包括MDM[移動設(shè)備管理]、身份驗(yàn)證和RADIUS服務(wù)器等。它既可以提供分析的信息，也能夠加強(qiáng)策略。而且，EVAS面向下一代終端開發(fā);而不僅僅針對于PC。它包括移動終端和其他一些IP設(shè)備，如打印機(jī)、控制系統(tǒng)、醫(yī)療設(shè)備或其他需要監(jiān)控的網(wǎng)絡(luò)設(shè)備。它能夠識別設(shè)備，也能夠提供這些設(shè)備上與環(huán)境相關(guān)的信息。

企業(yè)會在其中部署許多安全分析工具，包括安全與事件管理平臺、數(shù)據(jù)包分析或流量分析等。安全工程師真正缺乏的是這些分析的更詳細(xì)信息。當(dāng)您想知道用戶在使用哪些設(shè)備，他們執(zhí)行了哪些活動，以及特定時(shí)間的系統(tǒng)配置情況，這里會缺少很多信息，而且很難捕捉這些信息。EVAS可以作為一個(gè)中間設(shè)備，捕捉這些信息，并且提供更詳細(xì)的信息。”他還指出，EVAS還可以應(yīng)用策略，這是分析平臺無法做到的。”

終端可見性與訪問控制：是變換名稱還是新技術(shù)?

Frost & Sullivan 網(wǎng)絡(luò)安全行業(yè)分析師Chris Rodriguez指出，NAC并不一定會發(fā)展成為一個(gè)新產(chǎn)品。但是，在最近幾年，客戶發(fā)現(xiàn)了一些除簡單訪問控制之外的用例，這項(xiàng)技術(shù)增加了一些新功能。EVAS的說法是“更準(zhǔn)確反映NAC價(jià)值的一種嘗試。”此外，他還認(rèn)為，這也是改變過去幾年NAC市場中因?yàn)椴渴鹗《斐傻牟涣济??？蛻粢恢闭f，使用NAC解決方案，他們可以看到比任何終端管理解決方案更多的東西，他們看到的不僅僅是企業(yè)擁有的設(shè)備。也能夠監(jiān)控員工擁有的設(shè)備，以及不能安裝客戶端的設(shè)備，如控制系統(tǒng)和醫(yī)療監(jiān)控設(shè)備。

EVAS控制著終端，而非數(shù)據(jù)

雖然可見性和感知環(huán)境很重要，但是并非所有人都認(rèn)為終端是最需要關(guān)注的元素。Forrester Research主任分析師John Kindervag指出，安全供應(yīng)商應(yīng)該關(guān)注于真正有價(jià)值的東西——數(shù)據(jù)。

Kindervag說：“我認(rèn)同可見性，但是我們的終端不需要它。終端上更需要的是數(shù)據(jù)，因?yàn)榻K端的數(shù)量太龐大了。您無法控制這么多的終端。我們需要控制自己能夠控制的東西，那就是數(shù)據(jù)。為了保護(hù)數(shù)據(jù)，企業(yè)需要檢測和監(jiān)控所有的流量，因?yàn)檫@樣才能夠知道數(shù)據(jù)發(fā)生了什么變化。他說，擔(dān)心誰有權(quán)限訪問網(wǎng)絡(luò)是浪費(fèi)時(shí)間。在這里，流量是很有價(jià)值的。我們完全不需要直接進(jìn)入終端，流量就可以告訴我們終端中發(fā)生的一切。這也是更有可能實(shí)現(xiàn)的位置。它與進(jìn)入網(wǎng)絡(luò)設(shè)備無關(guān)。我們必須從認(rèn)識上糾正這一點(diǎn)。邊界已經(jīng)沒有意義。我們要超越它。”

基于終端的控制還造成了對安全性和合規(guī)性的一種誤解。是的，進(jìn)入我們網(wǎng)絡(luò)的人都是批準(zhǔn)進(jìn)入的。所以不如就讓他們正正當(dāng)當(dāng)進(jìn)來。讓所有人都從前門進(jìn)來，但是我們要盯住數(shù)據(jù)。如果有人想要?jiǎng)訑?shù)據(jù)，那么您就要采取措施。在您關(guān)注數(shù)據(jù)之后，終端保護(hù)可能會受到影響，但是不要認(rèn)為可以在終端上解決這個(gè)問題。

多年以來，Kindervag和Forrester Research都認(rèn)為企業(yè)應(yīng)該采用一種“零信任”安全模型，也就是認(rèn)為所有流量都是不可信的，它們都應(yīng)該檢查和分析。即使授權(quán)用戶連接網(wǎng)絡(luò)的設(shè)備符合策略規(guī)定，他們也仍然可能威脅公司的數(shù)據(jù)。所以，企業(yè)必須跟蹤數(shù)據(jù)傳輸，而不要關(guān)注于誰和什么設(shè)備在訪問網(wǎng)絡(luò)。

NAC/EVAS供應(yīng)商支持這種零信任方法。ForeScout首席銷售官Scott Gordon說：“假設(shè)您有一個(gè)企業(yè)政策，它要求用戶激活個(gè)人防火墻，要求設(shè)置特定的補(bǔ)丁級別，并且要求安裝并激活數(shù)據(jù)丟失保護(hù)軟件。我們的系統(tǒng)可以動態(tài)驗(yàn)證網(wǎng)絡(luò)進(jìn)出訪問。如果數(shù)據(jù)丟失保護(hù)[DLP]安裝但沒有運(yùn)行，那么就可能存在一種風(fēng)險(xiǎn)，即DLP管理系統(tǒng)會誤認(rèn)為一切都是正常的。NAC/EVAS平臺可以檢測到終端未激活DLP，然后指示DLP系統(tǒng)通知該設(shè)備的客戶端。”