網路架構與資安政策影響導入意願
影響企業導入NAC架構,其實牽涉到更複雜的IT環境歷史因素,例如現有網路架構的複雜程度、網路設備資產年齡、個人端程式部署意願,以及身分認證管理與資安政策管理能否落實等因素。

如何評估企業網路架構是否複雜?你可以從個人端電腦總量、分公司/駐外辦公室多寡,以及內部網路的VLAN與子網路數、分布結構等因素考量,數量越多、連結越多的越複雜。網路設備的使用年限也是變數之一,越老舊的設備可能須靠閘道伺服器軟體和代理程式互動的方式,彈性支援協同防禦的隔離架構,近三年內採購的設備也許可以靠更新韌體的方式取得802.1x這類標準的支援能力。

即使設備更新不費工,不花半毛錢,但是部署個人端程式也會讓許多MIS十分頭痛。統整網路架構就夠頭大了,再加上代理程式的大量部署、相容性測試、例外處理將增添更多額外的管理負擔。如果又想徹底整合電腦與使用者的身分認證,則牽涉到企業是否已經強制所有個人端電腦、伺服器都登入目錄服務系統,部分無法登入網域電腦,同樣需要考量。這些相關的IT管理準則最後還有賴於資安政策的制定和落實,如遇高階主管施壓或員工抵制,MIS即讓步放任存取,設備和軟體再怎麼自動化,也是枉然。

強化末端協同防禦仍是必要之痛
NAC解決方案在過去幾年陸續浮現,然而與末端安全相關的機制,企業在導入時往往都會遇到不少難解狀況,例如網路設備的支援,或在限制個人端存取發生問題,而協同防禦最終還是要拓展到個人端存取控管。

臺灣的NAC建置目前完成的案例並不多見。一般認為,除非是特定品牌的死忠用戶,或是規模很大的企業,一口氣更新整個公司的網路基礎架構,同時連個人端一起調整,成功機率較大,而中小企業大多覺得承擔不起這樣的建置和導入成本。臺灣現在有一些Cisco的企業用戶已經將NAC架構應用在公司與各經銷商之間往來的網路上。

不過世事無絕對,時至今日,中小企業並非完全沒機會。這兩年以來,從個人端安全以外的資安解決方案,廠商已經推出得差不多了,主要的幾種網路安全功能已經整合到UTM上,當網路端防線日益完整,資安廠商將會繼續引導企業用戶再往個人端安全挺進。

越往個人端防護協同整合,安全性固然日趨完備,可是建置面臨的難度和複雜度相對增大。不從個人端考量,NAC確實容易建置得多,但相對所獲得的安全防護效果還是有限。

不僅用戶覺得麻煩,廠商在推廣這樣的產品也很為難。NAC相關的功能多,當企業獲知某些交換器具有協同防禦的功能,聽完這麼「博大精深」的架構、最後多半還是退縮,企業不想當白老鼠,加上目前應用仍不共通、普及的防護性做法,寧可選擇功能較單純的防護設備。這樣的心態雖然務實,但很可惜的是,網路設備即使再聰明,如果不另闢新的應用,它永遠只是一套負責「連接」的設備而已,不能發揮更多價值。企業導入NAC,常遇到的狀況如下:

1.末端電腦作業環境版本差異過大
臺灣企業IT環境很複雜,個人端作業系統從Windows 98、NT、2000到XP都同時存在內部網路上,而且有些使用者或電腦是不登入網域的;因人員流動頻繁,無法深入控管MAC address位址,而MIS對802.1x的身分認證管理興趣缺缺;如果透過Web對個人端大量部署Java Applet的協同防禦程式,可能會遇到每部電腦得強制安裝JRE(Java Runtime Environment),然而因為某套營運系統的個人端程式限制,有些電腦卻又只能裝特定版本的JRE元件。諸如此類IT環境錯綜複雜、缺乏統整的問題,在這種協同防禦的環境中將更加凸顯建置的困難度。

2.停滯在靜態存取控管
為了不影響員工既有的網路存取方式,簡化維護難度,在更換或升級交換器時,企業通常不願意花額外時間測試和調整末端電腦的相容性,再者從交換器上建置NAC解決方案,還是要購買、建置管理伺服器軟體,增加換機時間和成本。

網路基礎架構過舊或新舊參雜
企業的環境除了作業系統版本分歧,有些企業的網路基礎架構仍大量使用集線器串接,或是因為不同時間陸續採購,導致企業目前使用的網路設備新舊規格不一,雖然不會對網路運作產生明顯的影響,但假如企業想建置協同防禦的方案,這些不起眼的小差異可能會變成導入時需克服的障礙。

如果企業對協同防禦很有興趣,除了持續關注議題,收集相關產品技術資料、評估可行性,該好好檢視一下既有的網路基礎架構和個人端環境。因為企業IT多採用開放的環境、重視便利,先天上都有脆弱不堪的一面,後天我們能做的就是把政策準備好、落實使用者身分與電腦存取的認證、將個人端電腦的作業環境盡量提升到統一的版本,有機會採購新型網路設備可以注意一下,是否附加這方面的功能或支援相關規格。各廠商既然仍持續整併、擴充設備與應用系統支援度,企業想靠既有網路設備搭配一套價錢可接受的NAC系統,相信幾年內應該會越來越容易實現,尤其是透過交換器端強制隔離的協同防禦。文⊙李宗翰


Advertisement

更多 iThome相關內容