网络访问控制 (NAC) 是一种网络安全技术,可防止未经授权的用户和设备进入专用网络并访问敏感资源。NAC 也称为网络准入控制,在 2000 年代中后期首次在企业中站稳脚跟,作为通过基本扫描和阻止技术管理端点的一种方式。
随着知识工作者变得越来越移动化,并且随着 BYOD 计划在组织中传播,NAC 解决方案演变为不仅对用户进行身份验证,而且还用于管理端点和执行策略。
NAC 工具检测网络上的所有设备并提供对这些设备的可见性。NAC 软件可防止未经授权的用户进入网络,并对端点实施策略以确保设备符合网络安全策略。例如,NAC 解决方案将确保端点具有最新的防病毒和反恶意软件保护。
不合规的设备可能会被网络阻止、被隔离或被授予有限的访问权限。
NAC 分两个阶段工作。第一阶段,身份验证,识别用户并验证他们的凭据。大多数 NAC 工具支持多种身份验证方法,包括密码、一次性密码和生物识别。
在第二阶段,NAC 强制执行许多策略因素,包括设备运行状况、位置和用户角色。大多数 NAC 设备还具有按角色限制访问权限的能力,允许用户仅访问完成工作所需的资源。
如果用户或设备在身份验证或授权阶段失败,NAC 工具会阻止或隔离设备和/或用户。
NAC 方法可能在许多方面有所不同,但两个常见的差异涉及检查设备的时间以及系统如何从网络收集信息。
准入前与准入后: NAC 授权访问终端设备的方式有两种。在预准入设计中,在授予设备访问网络权限之前检查设备并实施策略。这种方法最适合设备可能没有最新的防病毒和反恶意软件的用例。
或者,准入后设计较少关注设备姿势,而更多地关注用户,根据行为执行政策。这种方法适用于访客访问等用例,在这些用例中,在线活动往往仅限于网页浏览和检查电子邮件等。
许多 NAC 产品提供了这些方法的组合,这些方法可能因位置、设备类型或用户组而异。
基于代理与无代理的设计:另一个架构差异是基于代理与无代理的信息收集。一些 NAC 供应商要求用户在其客户端设备上下载代理软件。然后代理将设备特性报告回 NAC 系统。
或者,无代理 NAC 解决方案不断扫描网络和库存设备,依靠设备和用户行为来触发执行决策。
NAC 通过多种核心功能保护网络。这些包括:
身份验证和授权:管理用户和设备对资源的访问。
集中策略生命周期管理:为所有用户和设备实施策略,同时管理整个组织的策略变更。
发现、可见性和配置文件:查找网络上的设备,识别它们,将它们放入具有特定配置文件的组中,同时阻止未经授权的用户和不合规的设备。
访客网络访问:管理访客,并通过可定制的自助服务门户为访客提供临时且通常受限的访问权限。
安全状况检查:按用户类型、设备类型、位置、操作系统版本和组织定义的其他安全标准评估对安全策略的遵守情况。
事件响应:自动阻止可疑活动,隔离不合规设备,并在可能的情况下更新设备以使其合规——所有这些都无需 IT 干预。
双向集成:通过开放/RESTful API 将 NAC 与其他安全工具和网络解决方案集成,使 NAC 能够共享上下文信息(IP 和 MAC 地址、用户 ID、用户角色、位置等)
尽管 NAC 是一项已有近 20 年历史的技术,但它的采用大多仅限于大中型企业。然而,随着网络边缘继续蔓延到实体企业边界之外,并且随着 COVID-19 大流行加速了对家庭、移动和混合工作环境的接受,NAC 已成为零信任安全方法的支持技术。
随着网络变得更加分散和复杂,网络安全团队必须找到方法来保持对连接到组织网络最远范围的设备的可见性。NAC 通过检测和查看所有进入网络的设备、集中访问控制和跨所有设备的策略实施来提供此功能。
员工流动性的增加、BYOD 设备数量的增加以及大流行导致的支持混合工作环境的需求推动了对更强大的网络访问控制的需求。NAC 的常见用例包括:
访客和合作伙伴访问: NAC 解决方案允许组织为访客、合作伙伴和承包商提供临时的、受限的访问。NAC 解决方案探测访客设备以确保它们符合组织的安全策略。
BYOD 和随时随地工作:随着知识工作者的移动性越来越强,NAC 用于对可能在未知设备和未知位置的用户进行身份验证,同时还对这些用户和设备执行策略。如果员工将公司设备带回家,NAC 可确保在设备重新进入组织网络时没有外部恶意软件渗入网络。
在 COVID-19 大流行期间出现的在家工作和随时随地混合工作的环境遵循了类似的模式,NAC 解决方案对用户进行身份验证,确保设备符合政策,并根据以下因素限制对资源的访问:位置和用户角色。
物联网: NAC 提供可见性、设备分析、策略实施和访问管理的能力有助于降低与物联网设备进入企业网络相关的风险。NAC 工具可以在每个设备进入网络时对其进行清点和标记,将物联网设备分类到具有有限权限的组中,并持续监控物联网设备的行为。NAC 将自动执行规则以确保设备符合业务、安全和合规相关政策。
医疗设备:对于受高度监管的医疗保健环境中的物联网设备,NAC 不仅可以检测和阻止对设备和医疗记录的未经授权的访问,还可以执行确保医疗保健网络中的设备符合 HIPAA 等法规的政策。NAC 还可以在医疗专业人员远程访问网络时强制执行策略。
事件响应:部署 NAC 系统后,组织可以使用它与第三方安全点产品共享信息,例如用户 ID、设备类型和上下文信息。这实现了自动化事件响应,NAC 系统通过阻止和/或隔离潜在受损设备来自动响应网络安全警告,而无需 IT 干预。
随着越来越多的行业规范企业处理消费者数据和保护隐私的方式,合规性已成为 NAC 采用的驱动力。NAC 系统可以帮助组织保持对一系列法规的遵守,包括但不限于 HIPPA、PCI-DSS、GLBA、SOX、GDRP 和 CCPA。
这些隐私保护的要求通常侧重于了解用户和设备在网络上的人员、内容、时间和位置,同时将敏感数据的访问权限仅限于具有合法需求的人员。证明您已经通过可重复和可审计的流程完成了所有这些对于合规性也至关重要。
NAC 可以通过访问控制、跨用户和设备的策略实施、网络可见性和审计跟踪来满足各种监管要求。此外,许多 NAC 供应商已内置功能来帮助组织自动遵守常见法规,例如 HIPPA、PCI-DSS 和 SOX。
