NAC產品報導－Cisco NAC

協同防禦是Cisco自我防禦網路的概念的一部分，企圖結合身分識別與網路信任機制。Cisco過去能做到控管網路連接埠，例如身分網路服務（IBNS）和無線網路設備，限制非法存取和不受控管的無線AP，現在已經發展到網路層控管，利用Cisco NAC（Network Admission Control）/Cisco Trust Agent（CTA）、Cisco Clean Access（CCA）和Cisco Security Agent（CSA）等系統，強制執行政策和隔離的VLANs。未來將繼續發展網域層級的控管，透過標籤和通訊協定區隔受感染的電腦，並區分出不同的信任角色與層級。

已完成第二階段實作
Cisco分階段推出NAC架構和既有產品支援。第一個階段（NAC 1.0）實作的範圍先從路由器開始。當使用者從遠端連到路由器時，系統會確認經由路由器出入的設備健康狀態，符合公司的要求。

由於很多企業的網路架構都是先連到第二層的交換器或工作群組交換器，再連到公司的核心交換器，之後進入公司內部其他的伺服器群組存取資源，這些企業認為許多內部使用者接觸的第一層網路設備是交換器，所以NAC需要具備交換器的辨識和協防能力。Cisco NAC第二階段在去年10月公佈，Catalyst交換器和無線網路均在支援之列。網路不應只是從防火牆閘道設備提供存取控制而已，所有透過IP連接到公司網路的任何途徑、任何設備，Cisco認為都應該想辦法控制。

演變至今，Cisco NAC已不像過去給人專為Cisco網路設備用戶打造的印象，如果是純粹Cisco網路的基礎架構，Cisco替這樣樣的解決方案，正名為「NAC Framework」，基本上全部都是以協同Cisco的網路設備為主。如果公司的基礎架構是多個網路設備供應商，暫時又沒有機會全部轉換成Cisco的設備，Cisco提供企業另一種選擇－NAC Appliance，也就是先前已經發表的Cisco Clean Access解決方案。

升級NAC 2.0有一定門檻
NAC 2.0只是在1.0/1.1的基礎上多出一些API，對既有的合作廠商變化不大，這些廠商在NAC 2.0發布前就已經結盟，企業不會面臨差別待遇。NAC 2.0差別僅在於NAC所支援的網路架構設備變得更多，API的變動不大，NAC 2.0所傳遞的資訊主要集中在個人端電腦的資安狀態。從1.0到現在的2.0，對既有Cisco NAC合作廠商未傳出衝擊，不過假如想將政策強制的架構擴大控管到Cisco Catalyst交換器和無線網路設備，升級到2.0仍是有需要的，企業必須將Cisco Secure Access Control Server（ACS）從3.3升級到4.0，部署在個人端電腦的Cisco Trust Agent需從1.0升到2.0，如果企業目前已經導入Cisco Security Agent（CSA），也要配合升級到4.5.1.639版。

1.0整合應用情境廣
Cisco號稱有60幾家合作夥伴援，他們是所有NAC廠商中最能具體說明實際跨廠牌應用的範例情境，從中可以看出Cisco NAC只是一個網路端的政策平臺，要搭配個人端安全產品才夠完整。

在弱點矯正修補方面，Cisco NAC能和IBM Tivoli Security Compliance Manager協同防禦，當不符資安政策要求的電腦被隔離到VLAN後，可以搭配Tivoli Automatic Patch Manager及Provision Manager，更新病毒定義檔再上線。

除了修補漏洞，Altiris的解決方案可稽核未安裝CTA的個人端，利用SecurityExpressions稽核伺服器與ACS伺服器互動，隔離不合格的電腦；至於已預裝CTA的個人端，Altiris政策伺服器Notification Server可以透過ACS伺服器正向驗證電腦的政策符合度。

假如個人端不想預裝CTA或其他類型的代理程式，可以透過Qualys的QualysGuard設備主動掃描連線端的健康狀態，個人端電腦不一定都要部署CTA。文⊙李宗翰