网络访问控制 什么是网络访问控制 (NAC)?
控制对数字资源的访问是组织至关重要的一项 IT 安全能力。网络访问控制 (NAC) 解决方案可以帮助 IT 部门授权或阻止用户和设备访问网络资源。提供对资源的最低权限访问是零信任安全策略的基础,NAC 在这其中发挥着重要作用。
- NAC 释义
- NAC 为何如此重要?
- NAC 如何运作?
- NAC 有哪些示例?
- 如何选择 NAC 解决方案?
NAC 释义
网络访问控制根据 IT 部门制定的规则限制用户和设备的资源访问权限。正如门锁和安全标识可以阻止入侵者访问办公楼和办公室等实体组织资源一样,网络访问控制也可以保护联网数字资源免遭未经授权的访问。
NAC 元素
| 功能 | 功能 | 技术 |
|---|---|---|
| 可见性 | 随时了解网络上的人员和内容 | 物理或虚拟数据收集器:主动(NMAP、WMI、SNMP、SSH)和被动(SPAN、DHCP、NetFlow/S-Flow/IPFIX)发现方法:AI/ML 辅助设备分析;深度包检测 |
| 身份验证 | 有把握确定用户或设备的真实身份 | 802.1x 身份验证;EAP-TLD、RADIUS、TAC-ACS;多重身份验证;证书 |
| 策略定义 | 为用户和设备定义规则,确定可以访问的资源以及访问方式 | 规则编写工具,可包括各种上下文参数,如角色、设备类型、身份验证方法、设备运行状况、通信模式、位置以及具体时间点 |
| 授权 | 为经过身份验证的用户或设备确定适当的规则 | |
| 实施 | 根据适当的策略,允许、拒绝或撤销经过身份验证的用户或设备对资源的访问权限 | 与防火墙和其他安全工具集成并进行双向通信 |
NAC 的用途
HPE Aruba Networking ClearPass 等 NAC 解决方案可处理组织内的多种安全连接用例:
| 访客和临时工 NAC | 借助 ClearPass Guest,接待员、活动协调员和其他非 IT 员工可以每天轻松高效地为任意数量的来宾创建临时网络访问帐户。ClearPass Guest 还提供了定制化自注册门户,帮助访客创建自己的凭据,并将其存储在 ClearPass 中,凭据有效期预先确定,也可设置为自动过期。 |
|---|---|
| 自带设备 (BYOD) NAC | ClearPass Onboard 可自动配置和设置移动设备,让移动设备可以安全地连接到企业网络。员工可根据注册和连接说明自行配置自己的设备。每台设备都会应用独一无二的证书,确保用户只需少量 IT 交互,即可安全地将其设备连接到网络。 |
| 端点安全态势评估 NAC | ClearPass Onboard 可执行端点/设备态势评估,确保设备在连接到企业网络之前满足安全性和合规性要求,从而帮助组织防止 IT 环境出现漏洞。 |
| 物联网 (IoT) 设备 NAC | ClearPass Device Insight 可通过风险评分和机器学习来识别未知设备并缩短识别时间,让用户全方位了解已连接网络的设备。ClearPass Device Insight 还能监控通信流量行为,提高安全性。 |
| 有线设备 NAC | ClearPass OnConnect 为打印机和 VoIP 电话等不使用 802.1x 技术进行身份验证的设备提供安全的有线访问控制。 |
| 云原生 NAC | HPE Aruba Networking Central Cloud Auth 集成了常见的云身份存储,可为用户和设备提供基于云的无缝登录和基于角色的安全策略。 |
