資安進入協同防禦新世代(三)

網路架構與資安政策影響導入意願
影響企業導入NAC架構，其實牽涉到更複雜的IT環境歷史因素，例如現有網路架構的複雜程度、網路設備資產年齡、個人端程式部署意願，以及身分認證管理與資安政策管理能否落實等因素。

如何評估企業網路架構是否複雜？你可以從個人端電腦總量、分公司/駐外辦公室多寡，以及內部網路的VLAN與子網路數、分布結構等因素考量，數量越多、連結越多的越複雜。網路設備的使用年限也是變數之一，越老舊的設備可能須靠閘道伺服器軟體和代理程式互動的方式，彈性支援協同防禦的隔離架構，近三年內採購的設備也許可以靠更新韌體的方式取得802.1x這類標準的支援能力。

即使設備更新不費工，不花半毛錢，但是部署個人端程式也會讓許多MIS十分頭痛。統整網路架構就夠頭大了，再加上代理程式的大量部署、相容性測試、例外處理將增添更多額外的管理負擔。如果又想徹底整合電腦與使用者的身分認證，則牽涉到企業是否已經強制所有個人端電腦、伺服器都登入目錄服務系統，部分無法登入網域電腦，同樣需要考量。這些相關的IT管理準則最後還有賴於資安政策的制定和落實，如遇高階主管施壓或員工抵制，MIS即讓步放任存取，設備和軟體再怎麼自動化，也是枉然。

強化末端協同防禦仍是必要之痛
NAC解決方案在過去幾年陸續浮現，然而與末端安全相關的機制，企業在導入時往往都會遇到不少難解狀況，例如網路設備的支援，或在限制個人端存取發生問題，而協同防禦最終還是要拓展到個人端存取控管。

臺灣的NAC建置目前完成的案例並不多見。一般認為，除非是特定品牌的死忠用戶，或是規模很大的企業，一口氣更新整個公司的網路基礎架構，同時連個人端一起調整，成功機率較大，而中小企業大多覺得承擔不起這樣的建置和導入成本。臺灣現在有一些Cisco的企業用戶已經將NAC架構應用在公司與各經銷商之間往來的網路上。

不過世事無絕對，時至今日，中小企業並非完全沒機會。這兩年以來，從個人端安全以外的資安解決方案，廠商已經推出得差不多了，主要的幾種網路安全功能已經整合到UTM上，當網路端防線日益完整，資安廠商將會繼續引導企業用戶再往個人端安全挺進。

越往個人端防護協同整合，安全性固然日趨完備，可是建置面臨的難度和複雜度相對增大。不從個人端考量，NAC確實容易建置得多，但相對所獲得的安全防護效果還是有限。

不僅用戶覺得麻煩，廠商在推廣這樣的產品也很為難。NAC相關的功能多，當企業獲知某些交換器具有協同防禦的功能，聽完這麼「博大精深」的架構、最後多半還是退縮，企業不想當白老鼠，加上目前應用仍不共通、普及的防護性做法，寧可選擇功能較單純的防護設備。這樣的心態雖然務實，但很可惜的是，網路設備即使再聰明，如果不另闢新的應用，它永遠只是一套負責「連接」的設備而已，不能發揮更多價值。企業導入NAC，常遇到的狀況如下：

1.末端電腦作業環境版本差異過大
臺灣企業IT環境很複雜，個人端作業系統從Windows 98、NT、2000到XP都同時存在內部網路上，而且有些使用者或電腦是不登入網域的；因人員流動頻繁，無法深入控管MAC address位址，而MIS對802.1x的身分認證管理興趣缺缺；如果透過Web對個人端大量部署Java Applet的協同防禦程式，可能會遇到每部電腦得強制安裝JRE（Java Runtime Environment），然而因為某套營運系統的個人端程式限制，有些電腦卻又只能裝特定版本的JRE元件。諸如此類IT環境錯綜複雜、缺乏統整的問題，在這種協同防禦的環境中將更加凸顯建置的困難度。

2.停滯在靜態存取控管
為了不影響員工既有的網路存取方式，簡化維護難度，在更換或升級交換器時，企業通常不願意花額外時間測試和調整末端電腦的相容性，再者從交換器上建置NAC解決方案，還是要購買、建置管理伺服器軟體，增加換機時間和成本。

網路基礎架構過舊或新舊參雜
企業的環境除了作業系統版本分歧，有些企業的網路基礎架構仍大量使用集線器串接，或是因為不同時間陸續採購，導致企業目前使用的網路設備新舊規格不一，雖然不會對網路運作產生明顯的影響，但假如企業想建置協同防禦的方案，這些不起眼的小差異可能會變成導入時需克服的障礙。

如果企業對協同防禦很有興趣，除了持續關注議題，收集相關產品技術資料、評估可行性，該好好檢視一下既有的網路基礎架構和個人端環境。因為企業IT多採用開放的環境、重視便利，先天上都有脆弱不堪的一面，後天我們能做的就是把政策準備好、落實使用者身分與電腦存取的認證、將個人端電腦的作業環境盡量提升到統一的版本，有機會採購新型網路設備可以注意一下，是否附加這方面的功能或支援相關規格。各廠商既然仍持續整併、擴充設備與應用系統支援度，企業想靠既有網路設備搭配一套價錢可接受的NAC系統，相信幾年內應該會越來越容易實現，尤其是透過交換器端強制隔離的協同防禦。文⊙李宗翰