文/iThome | 2007-02-26發表

一般來說,不論是哪一廠商提出的架構,NAC的架構基本上是由三個主要的元件所組成,包含了Policy Server 或是所謂的Controller控制器、Agent(代理程式)以及Enforcer(執行器)。Policy Server或Controller的作用是檢查從網路存取裝置轉送來的端點安全憑證,判定並給予其適當的存取權限 (如允許進入、隔離或拒絕進入);Agent 的功能在於蒐集端點的安全訊息與設定等資訊,並把這些訊息傳遞到網路存取裝置 (Enforcer);Enforcer則是強制執行的設備,負責阻擋或隔離不符合網路政策的網路行為。

NAC是業界對企業網路更高的安全需求所產生的反應,是一種更為全面性的防護方式,持續監控使用者的連線,而不是單純假設只要使用者通過網路連線一開始的安全和惡意軟體檢查,便不會做出其他違反安全規範的行為。基本上,完整而有效的NAC 架構應該要能提供以下幾個層面的安全功能:

● 端點安全狀態檢查:評估連線裝置的「安全健康狀況」。

● 零時攻擊防禦:主動預測出潛在威脅,而非只針對已發現的威脅做出反應。

● 動態執行政策:能夠即時對網路上的高風險活動立即採取行動。

● 精確進行隔離與矯正:隔離威脅來源並排解疑難。

● 提供網路情報:提供 IT 管理人員進行管理決策所需的資訊。

● 政策決定和政策執行:將網路存取對應至企業需求。

有了安全,沒了方便?
病毒與蠕蟲不斷地透過網路來影響企業營運,因為它而導致企業必須面對停工、負擔恢復運作所需費用、無止盡的修補、公共責任、收入損失等等。零時差攻擊表明了一件事,系統安全更新 (patch) 遠跟不上脆弱系統被攻擊的速度,往往系統在安全業者提供最新的更新碼 (patch、病毒碼) 前就已經遭受了攻擊。而NAC是因應無所不在的攻擊模式所產生的防護架構,只是,防堵了因為圖一己之便所衍生出的網安問題,卻有可能因此降低了企業流程的便利性?

企業在部署 NAC或其他安全防護機制時,一定要在安全維護與使用便利性上取得平衡。根據知名研究機構 Current Analysis調查指出,企業在部署安全防護方案時有四點基本的考量與需求:

第一個要求是部署簡單,可以快速完成。

第二個考量是開放標準,也就是希望未來新的解決方案要能支援各端點的安全需求,要能整合各種加值應用,如此才不會被特定安全提供商所牽絆住,各項產品才有機會整合成一個完美的防護機制。

第三個考量則是希望除了內部員工之外,包括協力廠商、訪客等在進入企業網路範疇之前都能夠受到管控。

最後一項則是,希望能夠分階段部署這些安全機制與設備,不管是依部門或是依照網路層的不同來分段建置,也希望能夠整合不同時間所建置的安全設備。

存取控制機制除了要針對內部員工之外,也常需針對外在的訪客來反應。目前新竹科學園區許多企業在訪客攜帶筆記型電腦進入公司之前,都會要求其填寫一份安全防護問券表,若是填寫的問券表中顯示,訪客沒有符合該公司的安全防護規定,如未安裝每些防毒軟體等,常會被要求須在特定區域等候負責人員替訪客直行筆記型電腦的掃毒動作,確認安全無虞之後才准在企業內部上網。如此的安全維護動作雖然很確實,但卻是非常不方便,除了會增加企業 IT 人員的負擔外,也耽誤到訪客寶貴的時間。

平衡方案與未來趨勢
有了安全就沒了方便,要方便使否就要忽略安全呢?有企業開始使用Agentless 的方式,以便平衡便利存取與安全防護這兩個難以取捨的網安議題。

許多企業開始以較簡易而不用直接安裝防護機制的方式來做到安全與便利性的並重。譬如當外來訪客上網準備進入內網體系時,類似NAC架構中Enforcer的機制,若發現訪客點腦尚未安裝某些防毒程式,或是病毒碼未更新等違反企業安全規範的狀況,便會自動將其導引至某些特定的網頁,讓這些電腦自動可以更新病毒碼,或是乾脆讓它們只能存取特定網頁,而無法存取企業網路內的資源,這就是系統的矯正以及隔離功能。

隨著可選擇的網路連結方式增加,企業網路的發展,正逐步擺脫傳統的思考模式與過去的約束。現在的企業開始認知到,網際網路連線的普遍性所帶來的彈性和賦予的能力,必須與完善詳盡的安全措施達到一個平衡點,以保持企業的優勢不受到負面影響。NAC 技術可說是因應此種趨勢適時發展出來的技術,不但可解決目前及正在浮現的遠端安全存取的需求,還可能成為存取控制機制的公認標準,完全改寫目前有關使用者應該如何存取重要企業資訊的想法。

話雖如此,對於NAC的架構,業界標準尚未完全確定,而TNC等團體的出現,為開放標準的統一撥開的一道曙光,也讓企業網路安全的建構,有了更大的未來性。

《作者簡介》林佶駿
Juniper Networks新興科技部門技術經理,曾任職臺灣電腦網路危機處理中心(TWCERT)、鈺松國際資深技術顧問,敦陽科技資訊安全事業處資訊安全顧問。擁有美國CERT/CC講師認證、CEH講師認證、CISSP證照。

曾發表多項安全弱點,協助執行電腦犯罪鑑識,擁有豐富的網路安全滲透測試服務經驗。

熱門新聞

Advertisement