靠主機/個人端電腦的防毒/防駭軟體,或是藉助防火牆、閘道防毒、入侵防禦系統,甚至整合多功能的UTM設備,通常只能做到頭痛醫頭、腳痛醫腳的局部防護和管理,企業面對非法的內部網路存取與橫行無阻的網路蠕蟲感染,始終無法全面而有效地圍堵,為了徹底杜絕這樣的危害,以資安政策為中心,聯合各種網路設備強制隔離不安全的電腦連上網路,執行「自主健康管理」,其實就是網路協同防禦想要落實的精神

關於如何更積極主動防禦各種網路威脅,以及強化網路存取控制(Network Access Control,NAC)的方法,IT業界已斷斷續續談了好幾年,直到2005年下半,因為許多具有NAC相關產品的公司不斷受到大廠併購,使得這方面的議題成為各界爭相矚目的焦點。

大廠爭相發表NAC,潛力驚人
去年8月先是賽門鐵克併購Sygate,3個月後Juniper Network併Funk Software,今年2月Blue Coat買下Premeo。其次是Cisco和Juniper Networks在2005年各自發表NAC新產品和新版本問世,例如Cisco推出NAC架構第二階段,發表Cisco Trust Agent(CTA)2.0來因應非Cisco網路設備的NAC硬體設備(即Cisco Clean Access),以及強化末端安全的Cisco Secure Agent (CSA)4.5;Juniper則推出Enterprise Infranet架構,包含存取控制設備、代理程式和政策執行設備,而McAfee 在2月也已經發表架構在ePolicy Orchestrator管理平臺上的Policy Enforcer。NAC相關新產品一波接著一波推出,話題不斷。NAC不只是國外喊得火熱,臺灣本地也有廠商提出類似的解決方案。

近期廠商仍將持續積極整併政策強制(Policy Enforcement)、交換器協同防禦與末端安全解決方案,強化自身的協同防禦架構,國內外都有相關的解決方案問世,美國一家研究公司Infonetics Research在今年1月更大膽預測:從2005到2008年,隨著廠商之間併購不斷,網路存取控制涵蓋個人端、以至網路整合設備、資安硬體設備和SSL VPN,每年的市場規模將從3億2300萬美元快速躍升到39億美元,成長1101%,NAC政策強制設備市場將激增3062%,而搭配NAC設備的SSL VPN市場會成長798%。

軸心巨頭vs.開放同盟
2003年是網路存取控制相關計畫興起的關鍵元年,因為從這一年開始,電腦病毒搖身一變為網路蠕蟲,例如Blaster和Slammer,橫行無阻,所有邊界防護閘道皆無法有效抑制內部網路的災情擴散,直到現在,IT業界仍拿不出一套具體可行的解決方案。

內部病毒/蠕蟲感染癱瘓網路,光靠防火牆、防毒牆、IPS或整合前述所有功能的UTM設備,事實上還是無能為力,因為這些威脅傳播的管道不一定會經過網路安全閘道設備,例如由協力廠商所攜入的一部中毒電腦、員工私自攜入的USB儲存設備,或是出差人員從不安全的公用電腦透過VPN連入企業內部網路,末端(End Point)電腦的安全性太差所產生的衝擊,不單只是影響單機、多部電腦或伺服器主機的還原,甚至漫延到整個網路。

舉凡VPN、有線區域網路、無線區域網路、作業系統/應用程式本身的漏洞,不論你只是連線,什麼事都不做,或被引誘下載廣告軟體/間諜軟體/惡意後門程式,區域網路過於開放,處處接上電腦可以存取企業網路,結果就是無法主動設防。

過去,企業建置的資安解決方案首重邊界防護,觀念很普及,然而內部網路的網路存取控管卻未受重視。

為了因應這些流竄在內部網路的各種威脅,大家開始著手改善網路架構和末端安全性。網路設備大廠Cisco最具知名度,從2003年11月起,他們就開始鼓吹這樣的架構和概念,稱為網路存取許可控制(Network Admission Control),微軟也在同年發表的Windows Server 2003中,逐步落實網路存取保護(Network Access Protection)的理想,最終會在Windows Vista和Windows Server「Longhorn」作為核心元件。

有Cisco和微軟領軍,其他廠商雖然推出自己的NAC解決方案,多半繼續選擇相容於兩大標準邁進,但是目前還有第三個單位:信任運算產業(Trusted Computing Group,TCG),成員最多,目前有130家廠商。

這個聯盟同樣於2003年形成,針對信任運算(trusted computing)開發、定義與推廣出開放的工業標準,中立且不具特定廠商色彩,目的是為了促進更安全的個人電腦標準。在NAC相關標準上,TNG在2005年推出可信任網路連線(Trusted Network Connect,TNC)協定,TNC架構在EAP 和TLS,可支援802.1x、IPsec/SSL VPNs,以及傳統的區域網路和撥接網路,同時可搭配信任平臺模組(Trusted Platform Module,TPM)。

我們試著比較一下三大聯盟:Cisco NAC和微軟 NAP不盡然各唱各的調,彼此還是互相照應。而兩大NAC的合作廠商中,許多廠商兩邊都站臺,特別是主打末端安全相關的廠商,其中防毒最多,漏洞修補、弱點掃描、個人防火牆、反間諜軟體、身分識別管理等都在支援之列,畢竟Cisco對於網路標準與基礎架構有極大影響力,微軟Windows在個人桌面與企業伺服器佔有率高,又事關末端防線與相容性。

TCG聲勢看似落後,微軟是會員之一而Cisco缺席,但光從聯盟家數而論,微軟和參與TCG的Juniper Networks兩家各自的合作夥伴數皆與Cisco相差無幾,NAC日後版圖鹿死誰手?很難說。

NAC聯盟比較表

主導者 架構名稱 時程 合作夥伴數 採用標準
Cisco Network Admission Control (NAC)

第一階段:路由器2004年8月

第二階段:交換器2005年11月

63 Cisco IOS 12.3(8)T、802.1x EAP、X.509
Microsoft Network Access Protection (NAP) Windows Server Longhorn 2007年第一季 53 DHCP、VPN、 802.1x (PEAP)、 IPsec
Trusted Computing Group Trusted Network Connect(TNC) 架構與基礎API:2005年5月 131 802.1x、IPSec,未來將整合TPM


資料來源:iThome電腦報整理


Advertisement

更多 iThome相關內容