觀點

將安全列管-事後監控機制填補NAC/NAP的不足

2007 / 03 / 12
Eric Ogren
將安全列管-事後監控機制填補NAC/NAP的不足

據了解,部份客戶所要求的東西甚至比起NAC/NAP方案所能提供的還多,截至目前為止,對這些安全技術許多人抱持觀望態度,直到確定能符合期待才會進一步地接受。當然,真正的問題在於,對將安全列管無法隔離的用戶端及協力商設備的處理方式到底為何?或是要求超出其組織需求,但卻得強迫遵守的高安全標準,這合理嗎?再者,要求他人安裝軟體用以管理企業安全,並非數位版權管理(DRM)產品的本意,也絕非端點安全的解決之道。

另外,資訊安全屬服務性質,鮮少有人會真正把客戶放到安全隔離區當中。所以,在傾聽用戶的需求之後,我條列出三項有關NAC/NAP的post-admission控制功能:

強制採取身分為基礎的網路存取
企業資源網路應該採用身分識別決定權限,限制擁有合法存取權利的功能,而且,限制匿名到訪者及非授權者的擅入,更是成為2006年建構NAC的主要誘因。

防止受害範圍惡化
網路安全措施雖然無法完全杜絕攻擊的存在,不過,起碼它要能防範攻擊行為的擴散,以確保整體網路的運作安全。

減輕企業營運的負擔
尤其是勞力密集性質的工作,需透過自動化管理,可讓IT團隊提供企業更高品質的服務。比方說,像是IT人員在回報工作事項時,藉由透過pre-admission機制,便可輕易察覺有問題的端點情形,並改善管理主機的狀況;而採取post-admission的方式,則可確保端點遵守安全政策。

確保機密資料的安全
雖然防範機密資料流失目前並非NAC的項目,但相信不久之後,應該是會納入成為端點安全的一環。至於其他功能,像是追蹤機敏性資料的流向,淨空資料檔案櫃,以及利用虛擬化功能將資料集中在資料中心統一管理等,這些也都在這裡的保護智財權的範疇之內。但是,請牢記一點,就是沒有一家廠商可以滿足上述所有需求。不過,企業還是可以藉由要求主要系統架構商發展以下功能,同樣能達到推動post-admission控制的效果:

定義較廣義的端點健檢訊息
時常更新特徵資料庫並進行漏洞修補是件好事,但是,請允許所安裝的安全套件也能一併將一些重要訊息納入,比方說,像是端點系統的執行效能、是否為允許連結的端點裝置?還有端點究竟使用那些套件軟體?另外,再加上機密資料曝露的危險程度與登入用戶遵從安全政策與否?

支援動態的post-admission監控功能
有些重要的網路功能,是能讓企業安全地與那些未經管理的用戶端點和裝置協同作業。這些網路範疇舉凡像是限制受感染主機的網路連線,還有因端點健檢設定檔中的定義變動而要變更端點的存取權限,另外再加上選擇最適合的虛擬化軟體遞送機制,以便能滿足機密資料防護效能的需求。

不過, 也該是時候讓安全產業擴展現今pre-admission控制架構下的NAC/NAP版本了!如此一來,這樣更能使得互連網路當中的交易程序顯得安全一些。也許到了2007年,我們會樂見將NAC納到整合式系統當中,以協助企業制定出更聰明的安全政策來進行商業活動。

Eric Ogran現職為Enterprise Strategy Group的安全分析師。

*註1: pre-admission指的是,在端點存取企業資源前所進行的一連串資格審查,涵蓋範圍主要包括安全掃描及身分識別二個部份。
*註2: post-admission則是監控企業資源有無遭毀壞,以及用戶異常的連線存取活動,涵蓋範圍主要包括身分管理及入侵偵測二個部份。