https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

為BYOD而生的下一代NAC

2014 / 02 / 24
編輯部/編譯
為BYOD而生的下一代NAC

過去,為了管理企業中眾多的網路連網設備,資安廠商推出了所謂網路存取控制(Network access control; NAC)的方案,這一類型的產品,主要是針對企業內部靜態存在的桌上型電腦和筆記型電腦,目的是要求所有的連網設備必須要經過驗證與授權,才能存取企業網路或其他網路設備所提供的服務與資料。

不過,若是在NAC的資安管理政策中,限制員工只能使用一台公司配發標準的電腦,才能連結公司網路來工作,在現今行動裝置普及的時代中,似乎不能滿足員工的工作需求。因為許多人可能同時使用好幾台行動裝置,而這些設備也可能是私人擁有的,過時的NAC方案已滿足不了企業面臨的BYOD需求。

企業網路存取控制的重點

因此,未來的NAC方案,其控制重點在於如何維持一貫的網路設備控管政策,並且也能允許BYOD經由身分與設備驗證之後,在企業中能夠合理的應用,以下將是下一代NAC為因應BYOD的挑戰,所應具有的功能特色。

1. 設備能見度:在企業之中,行動裝置在一天的工作之中可能來來去去,不斷地穿梭在企業的網路環境,因此NAC必須在這些設備具有連網能力之前,就能夠發現它,並且透過身分驗證機制來掌握誰是使用者,所使用的設備類型是什麼,以及允許存取的資源可能存在的風險。換句話說,NAC不只要能夠識別裝置類型,更需要包括所使用的軟體狀態,並且判斷使用者可以存取網路的所在地點和時間。

2. 自動化存取管控:下一代的NAC可以讓管理者自行定義彈性的存取政策,並且自動化的判定使用者在何種情況下,可以使用哪些設備並且連結哪一區段的網路,並且結合企業已存在的目錄服務 (AD),以便更容易地來依據使用者所屬的不同群組,賦予所需的存取權限。另外,NAC也能夠依據預先設定的連網時間和網路流量,限制使用者的使用行為。

例如針對訪客,NAC可能只給予Internet的連線,但針對經過授權的研發人員,可以給予存取研發資源的網路權限。此外,若發現使用者的設備存在安全弱點,NAC將會控制其先在一個隔離的網路區,在安裝完成修補檔案或更新病毒碼之後,才會讓它連結企業的內部網路。

3. 自動化配置供應:如今如果想要存取企業的網路資源,還需要等待漫長的申請流程,很可能會影響企業的工作效率,因此NAC能夠基於「誰、什麼時間、什麼地點、存取什麼資源」的原則,評估使用者和其所使用的設備可能產生的風險,自動化地給予其合理的網路存取權取。當然,對於違反政策的行為,也能夠及時地阻斷使用者與設備的連線。

4. 與MDM方案結合:許多企業針對BYOD的管理,可能已經導入了行動裝置的管理方案,下一代的NAC應能夠與MDM相互整合,以便發揮整體的存取管理功效。

5. 具有分析能力:下一代的NAC可以針對連網裝置提供詳盡的報告,這將有助於企業更容易地管理愈來愈多的BYOD行動設備,也能夠協助企業分析網路效能、設備軟體授權及符合法規的要求。

如果企業正在考量導入有關行動裝置和網路管理的方案,那麼如何能夠協助企業進連網設備認證管理、行動裝置使用安全,並且提高企業對於BYOD的能見度等,以上幾點將會是您選擇評估的重點。 (編輯部/編譯)