將安全列管－事後監控機制填補NAC/NAP的不足

2007 / 02 / 09

ERIC OGREN

據了解，部份客戶所要求的東西甚至比起NAC/NAP方案所能提供的還多，截至目前為止，對這些安全技術許多人抱持觀望態度，直到確定能符合期待才會進一步地接受。當然，真正的問題在於，對將安全列管無法隔離的用戶端及協力商設備的處理方式到底為何？或是要求超出其組織需求，但卻得強迫遵守的高安全標準，這合理嗎？再者，要求他人安裝軟體用以管理企業安全，並非數位版權管理(DRM)產品的本意，也絕非端點安全的解決之道。
另外，資訊安全屬服務性質，鮮少有人會真正把客戶放到安全隔離區當中。所以，在傾聽用戶的需求之後，我條列出三項有關NAC/NAP的post-admission控制功能：強制採取身分為基礎的網路存取企業資源網路應該採用身分識別決定權限，限制擁有合法存取權利的功能，而且，限制匿名到訪者及非授權者的擅入，更是成為2006年建構NAC的主要誘因。
防止受害範圍惡化網路安全措施雖然無法完全杜絕攻擊的存在，不過，起碼它要能防範攻擊行為的擴散，以確保整體網路的運作安全。減輕企業營運的負擔尤其是勞力密集性質的工作，需透過自動化管理，可讓IT團隊提供企業更高品質的服務。比方說，像是IT人員在回報工作事項時，藉由透過pre-admission機制，便可輕易察覺有問題的端點情形，並改善管理主機的狀況；而採取post-admission的方式，則可確保端點遵守安全政策。

端點安全 NAC NAP