認識網路存取控制:NAC
網路存取控制對於企業來說最重要的意義在於,確保終端電腦連網時的健康狀況,降低因為不合乎資安政策所可能帶來的風險,而NAC最主要的3個元件為終端軟體、政策執行據點、政策伺服器,其中政策伺服器是處理的核心,經由其判斷後,交由執行據點阻斷或封鎖存取服務。

NAC的技術新趨勢
如果你長期觀察NAC的發展,其實會發現這項控管機制相關的設備和解決方案正在不斷擴充。從最早期以路由器為主要控管端,到後來陸續加入的交換器、防火牆/UTM、SSL VPN、DHCP伺服器、IPS等,除了提供端點更好的防護能力,更朝向整合入侵防禦系統、弱點管理等方向發展。

未來NAC可能成為基礎建設的一環
越來越多相關設備與軟體開始內建支援NAC的元件,加上新的交換器,多數都能支援IEEE 802.1x標準,未來企業內部網路的軟、硬體,將很有可能在一購入的時候就擁有NAC的功能,等於是企業內IT基礎建設的一環。

10個你必須問的NAC問題
企業在導入NAC機制時,要注意有能力阻斷連線的政策執行據點,是否和原本企業自有的應用相容。透過我們所列舉的這10個問題,能夠幫助你評估NAC機制對於你的企業將會帶來多大的影響。

企業導入NAC的四大部署模式
以往企業總認為在既有的IT基礎架構上導入NAC,需要「大換血」全換成單一品牌的設備,是一件浩大的工程,但現在這項工作已經變得不那麼困難,現在有更多選擇,讓你在有限的變更幅度下完成。


DHCP部署模式 利用DHCP伺服器將稽核失敗的端點隔離,做法較簡單,除了DHCP伺服器之外,無需整合其它的網路設備。
閘道型部署模式 閘道型NAC架構精簡,直接在網路進出口處把關,非Windows的端點也能保護。
與交換器整合的部署模式 與交換器整合可以精簡網路架構,同時也可以整合其它的NAC部署架構,例如802.1x。
802.1x部署模式 802.1x納入身分控管的機制,對於端點的管理最為徹底,還可以相互整合多種支援802.1x的網路設備。


NAC先導者第一手經驗談
從這次訪問到的幾家先期導入NAC企業來看,需要考量的主要因素有三,我們可以歸納為架構變更多寡、部署難度與對NAC的功能需求。其中,先期導入者認為,當部署難度與NAC功能需要取捨時,功能是最主要考量,部署難度反而次之。

從第一代NAC就開始導入的企業
和泰汽車以NAC落實資安政策
導入NAC機制對於和泰汽車來說,最大的效益就是掌握了過去難以掌控的眾多終端電腦,確保防毒的水準,連帶的也使得和泰汽車的內網受到病毒或是木馬程式感染的風險降低許多。

期望以NAC填補可能漏洞
南亞科技以NAC消弭1%的風險
南亞科技開始在新廠區導入NAC機制,期望以NAC機制確保過去部分無法透過軟體派送更新的終端電腦符合資安政策。認識網路存取控制:NAC

4年前,和泰汽車的資訊室電話響起,話筒那邊傳來一個尖銳而清脆的問題:「我沒有辦法連上和泰汽車的內網,可以幫我看一下嗎?」這時候和泰汽車的資訊室人員,立刻就會反問對方:「請問你的Windows作業系統是哪個版本?」一邊心裡也開始盤算兩種可能性,是不是路由器被病毒或木馬的流量拖垮?還是使用者的電腦出了什麼問題呢?

由於和泰汽車採用集中式架構,因此分布在全省的8個經銷商,共兩百多個據點,都必須連回該公司的內網,才能讓許多業務順利進行。所以,對於和泰汽車的資訊人員來說,當經銷商撥電話來詢問連線的問題時,這很可能就代表某項業務因為無法連網而延遲了。無法連網的可能性很多,其中最讓他們頭痛的,不外乎就是病毒或木馬拖垮了整個路由器的運作效率。雖然當時和泰汽車要求所有的經銷商都必須在與其連線的電腦上安裝防毒軟體,並且定期更新病毒碼與作業系統,但是這些資安政策實際在經銷商端執行的狀況,和泰汽車並不易掌握。在這樣的狀況下,因為病毒或木馬而導致網路效率大幅降低的情事,對於當時的和泰汽車來說,已經是日益頭大的問題。

這一切,迫使和泰汽車選擇了當時在市場上剛剛開始出現的一種方案,強制讓所有這些屬於經銷商,難以控管的終端電腦,全部都必須符合其制訂的資安政策,它就是網路存取控制(Network Access Control,NAC)。

NAC三大元件:終端軟體、政策執行據點與政策伺服器
對於和泰汽車來說,NAC的導入,大幅減少了該公司因為病毒或木馬擴散,而降低網路效能的機率。那麼NAC到底是怎麼樣的東西?為什麼有能力做到這一點?

簡單來說,NAC並不算是單一產品,而是一種牽連企業或組織內整體網路架構協防的機制,透過不同的軟體與交換器等硬體設備的互相溝通,NAC機制能讓企業掌握終端電腦(End Point)連上網路的權限,且為了確保終端電腦的健康,多數NAC方案都能檢查諸如防毒軟體更新、作業系統更新等終端電腦的健康狀態。4年過去了,現在市場上的NAC方案,已經和當時和泰汽車所選擇的方案大不相同,隨著類似和泰汽車這樣的企業,期望對於終端電腦的控管需求越來越多,NAC方案也逐漸發展出3大元件:終端軟體(Agent)、政策執行據點(Enforcer)與政策伺服器(Policy Server)。幾乎每個廠商的方案由這3大元件組成。

你可以這樣想像,NAC的終端軟體就像是司令部派到每臺電腦身邊的偵查兵;政策執行據點就像是進入企業內網的大門衛兵;政策伺服器就像是司令部的長官。偵查兵(終端軟體)會根據司令部事先發布的政策,檢查終端電腦是不是合乎規定,例如防毒軟體沒有更新或開啟等狀況。司令部長官(政策伺服器)就會經由偵查兵所得來的資訊,與後端的身分資料庫確認,找出這臺終端電腦是由誰使用,是否符合先前設定的政策,然後通知大門衛兵(政策執行據點),告訴他要對這臺終端電腦敞開或關上內網的大門。

NAC的這3種元件,並沒有一定由何種設備扮演,例如Juniper的NAC方案以防火牆做為政策執行據點,而防火牆可以是硬體的,也可以是安裝在終端電腦的個人防火牆。又有些廠商的NAC方案,他們的終端軟體除了扮演偵查兵的角色外,同時也能發揮政策執行據點的功能,直接關上終端電腦連上企業內網的大門,或是將之導入隔離區域,等待此一終端電腦將自己的環境調整為符合政策的狀況。

由這些元件組成的NAC機制,除了決定使用者能不能連上網路外,不妨也來看看,調查機構Infonetic Research對於NAC所下的定義。他們認為,目前市場上標準的NAC機制,通常擁有以下幾個特點:1.有能力辨識使用者的身分;2.能夠對終端電腦的健康狀況做檢查;3.能夠依據終端電腦的健康狀況與使用者的身分,依照事先設定好的政策,決定該臺終端電腦能否連上企業內網;4.能夠自動判斷該名使用者的權限;5.政策執行據點除了決定使用者能否連上內網外,有能力將使用者導向隔離區域;6.當使用者成功登入內網之後,NAC機制要有能力在一定時間內持續地去確認使用中的終端電腦是否仍然符合設定政策。

NAC的概念雖然並不困難,但因為牽扯的網路架構與終端軟體數量龐大,實際在企業的網路環境上部署時,有很多不同的困難必須克服。例如此家廠商的NAC方案支援哪些終端電腦的資安軟體?政策執行據點的部署是否很龐雜?現有環境的應用是不是會受到影響?諸如此類不同的問題,都是企業導入NAC機制時,所必須考量的不同要點。

變動越少架構、整合更多功能,將是NAC未來趨勢
在這樣的狀況下,現在多數廠商的NAC方案除了能支援802.1x標準的交換器以外,通常也會同時提供幾種不同的架構建置方式,主要的幾種建置方式,我們將在後面的篇幅有著詳細的介紹。總而言之,目前NAC方案的發展,各家廠商除了提供更多種不同架構的建置方式,讓企業依照自己的需求,能夠在網路架構變更最小的狀況下建立起自己的NAC機制之外,還可以看出另一個重要的方向,那就是試圖與更多的資安設備能夠建立溝通,例如許多廠商開始讓自家的NAC機制能夠與後端的IPS整合,就是一個顯著的例子。

NAC機制本身並不是資訊安全的萬靈丹,充其量只能算是一種身分控管辨識與權限自動決定的機制,由事先設定好的政策,透過不同設備與軟體間的聯繫,決定要連上企業內網的終端電腦,能不能夠進入企業的大門。文⊙劉哲銘NAC的技術新趨勢

NAC是一個概念,目前並沒有一套標準規定資安廠商必須讓產品具備那些功能才能算是NAC。在各自表述的情況下,近年許多資安廠商紛紛在自家的NAC平臺上提出了不少新功能,為企業提供更加嚴密的防護能力。

如果你長期觀察NAC的發展,其實會發現這項控管機制相關的設備和解決方案正在不斷擴充。從最早期以路由器為主要控管端,到後來陸續加入的交換器、防火牆/UTM、SSL VPN、DHCP伺服器、IPS等,以及NAC專屬的閘道設備,在相容性、廠商本身技術成熟度、部署難度等因素的考量下,在這些設備的不斷改版中,不論是自行發展或與其他大廠結盟,都逐漸發展出更多樣的NAC的控管方式。

整合IPS,強化網路防禦力
最近幾家NAC廠商,如TippingPoint、Juniper,以及趨勢等幾家,接連提出與自家IPS設備整合的概念。透過IPS的偵測,可以找出那些端點的網路行為已經違反了公司政策,對於這些端點,NAC同樣也會採取隔離的動作,限制這些端點存取網路的權限,藉以避免內部員工濫用公司的網路資源,或者是從事不當的網路行為而將重要的機密資料外流出去。

實際上TippingPoint NAC 4.1與Juniper UAC 2.1已經正式將IPS整合這項功能加入其中。至於趨勢則是計畫在新的IPS設備(該產品名稱暫定為Total Discovery Solution)推出時,就會把這項產品和該公司既有的NAC相整合。

隔離後,做到自動治療和矯正弱點
自動修復的功能,也是十分受到重視,當內部端點因為稽核失敗而被NAC隔離時,就必須要有配套的機制協助端點排除問題,關於這點,多數廠商採取的做法是整合自家,或者是第3方廠商的弱點修補產品來提供這項功能,另外,也有一部份則是將這項功能內建在NAC產品中,藉此簡化管理上的複雜程度。

部署模式增加,導入難度降低
當企業導入NAC的時侯,除了考慮安全控管功能是否符合需求之外,能否搭配現有的網路架構也是不可忽略的。

一般來說,大多數的企業都會傾向採用能夠和現有網路架構相容,或者是變動程度最小的產品。

常見的NAC部署架構有802.1x、DHCP、閘道器,以及整合在交換器內等4種。

企業在802.1x模式下導入NAC,往往需要同時更新交換器設備,對於預算不夠的企業來說,就會成為導入時的一項高門檻,因此後續才會有廠商提出DHCP等架構,在不需要大幅變更網路架構的情形之下,將NAC順利導入。整合交換器的產品在市場上並不多見,但是將網路與資安等多項角色整合為一的概念,長期而言,是可以節省企業採購設備時所做的花費,仍是值得考慮的選項。文⊙楊啟倫未來NAC可能成為基礎建設的一環

早在2003年,思科(Cisco)就提出了自我防禦網路(Self-Defending Network,SDN)的方案,可以說是之後網路存取控制(Network Access Control,NAC)方案的起源之一。最初自我防禦網路的概念,僅是希望路由器、交換器等現有的網路基礎設備,能夠與終端的防毒軟體或是防火牆等資安軟、硬體互相溝通,透過這樣的機制,掌握終端電腦的健康狀況與權限,降低企業因為內部電腦夾帶惡意程式而造成的資安風險。

由於企業對於掌控終端電腦的需求越來越高,隨著類似自我防禦網路此一概念的濫觴,NAC機制開始在這幾年來快速發展,現在的NAC機制已經不光只是與防毒軟體的互通,而有能力與各種不同的資安軟、硬體溝通,並且能透過政策執行據點(Enforcer)將不符合事先設定政策的流量,導向隔離區域或是拒絕其存取內網。

在這樣的趨勢下,越來越多廠商都開始跨入NAC的市場,其中微軟將在Windows Vista和XP SP3中加入其自有的NAP方案,更意味著未來NAC終端的軟體功能,將很有可能隨著微軟的作業系統直接內建在企業使用的作業系統中。除此之外,資安軟體的廠商也紛紛開始將NAC功能的終端軟體內建在自己原有的防毒或終端安全軟體中,例如賽門鐵克就在其最新版的端點防護軟體中,加入了支援自家NAC方案Sygate的終端軟體。且各家NAC方案的廠商,都開始提出支援入侵偵測防禦(IPS)的計畫,期望NAC機制能更進一步的以行為和流量的分析,與IPS協同即時阻斷可能的攻擊來源。

這些跡象都意味著一件事情,隨著越來越多相關設備與軟體開始內建支援NAC的元件,加上新的交換器,多數都能支援IEEE 802.1x標準,未來企業內部網路的軟、硬體,將很有可能在一購入的時候就擁有NAC的功能,等於是企業內基礎建設的一環。文⊙劉哲銘10個你必須問的NAC問題

你應該問廠商


1. NAC方案是否支援現有的防毒軟體?
防毒軟體是企業內部終端電腦上,一個重要的防護機制,如果無法順利與之聯防,就像是失去了右手的NAC機制一樣。一般來說,NAC機制必須要能夠偵測到防毒軟體的更新日期、更新是否正常運作、防毒軟體本身有沒有打開等。例如目前正在導入NAC機制的南亞科技,該公司的需求就包括:必須能看到防毒軟體更新的日期、防毒軟體是否運作中等資訊。目前市場上主要的廠商都支援約200種以上的防毒軟體,但是以南亞科技的經驗來看,很多細節能否達到要求,還是必須實測才能確定。

2. NAC方案是否僅支援特定廠牌的設備與軟體?
由於目前NAC方案尚未擁有統一的設備與軟體間互通標準,這也使得很多廠商推出的NAC方案,並沒有辦法全面支援不同廠商的軟、硬體。例如TippingPoint推出的NAC方案,在交換器方面,目前就只能支援Foundry與3Com和思科(Cisco)的交換器;Juniper的UAC方案,在IPS產品類別上,就僅能支援自家的IPS。由於絕大多數的企業都不可能僅用單一廠商的產品構築自己的網路架構,所以企業在導入NAC之前,必然要詳細考量各家方案所支援的軟、硬體。

3. NAC方案與現有應用的相容度?
這是多數廠商都沒有談到的問題,但是部分NAC方案的導入,很有可能影響到現有應用的執行,甚至讓企業只好放棄NAC機制的使用。和泰汽車資訊部網路通訊室高級專員陳思銘就指出,過去該公司曾經測試過某廠商的產品,但不知道為什麼,做為政策執行據點(Enforcer)的設備,有時就是無法讓該公司點貨的應用程式通過,這雖然和NAC本身無關,但是該設備卻是NAC必備的元件之一。

NAC機制由於牽涉的網路架構範圍很廣,所以除了就NAC本身的功能做了解與測試之外,各項元件和企業原有環境中的應用相容度,也是應該考慮的一環,以免NAC機制在建立之後,才發現各種難以解決的問題。尤其NAC機制的政策執行據點,往往有將連網阻斷的功能,一旦它與其他應用和設備的相容度不足,將會影響到企業運作。

4. NAC方案與現有身分認證機制的支援度?
雖然市場上多數的NAC方案提供廠商,都會支援包括RADIUS、DHCP、微軟AD架構等多種不同後端身分認證方式,但是要注意是否還有附加的限制。例如是否要使用特定的認證伺服器軟體,如思科(Cisco)的ACS(Access Control Server)等。

此外,在實際測試時也必須注意該方案能不能與後端的身分資料庫正常驗證。南亞科技資訊處部經理劉誠先就指出,廠商的很多功能都在與企業不同的環境下測試,到了實際的企業環境時,安裝不同的軟體或是程序不同,往往就會發生問題。就該公司目前導入的經驗來看,當初光是要釐清AD伺服器上哪些元件是需要、哪些不需要,才能讓NAC和AD架構正常運作,這些測試就花了不少時間。

5. NAC方案支援何種作業系統與版本?
各家廠商的NAC方案支援的作業系統種類與版本都略有不同,以微軟現階段的NAP為例,需要Windows XP SP3以及Windows Server 2008一起搭配才能發揮效用,雖然還未正式推出,但若企業內部終端電腦的作業系統與後端伺服器,在未來推出產品時,沒有辦法跟上的話,這項機制可能就完全不適用。

此外,部分NAC機制的終端軟體或是防毒軟體,在更新時可能需要同步更新版本,才能確保NAC機制的正常運作。最明顯的例子就是在4年前導入思科NAC機制的和泰汽車,陳思銘表示,和泰汽車過去導入NAC機制時,不同終端電腦的防毒軟體版本就必須統一,並且同步更新,才能確保NAC機制的正常運作。

企業在導入NAC機制時,這個問題將會牽涉到終端電腦部署與管理NAC相關軟體時的複雜度,如果無法統一作業系統的環境,或是提供終端軟體同步更新的機制,可能就不適合採用在終端電腦部署NAC終端軟體的方案。


你應該問自己


6. 需要強制遵循的資安政策有哪些?
NAC機制的資安政策就像是一面雙面刃,和其他資安機制不同,如果制訂得太嚴或過於複雜,很有可能會造成企業內的使用者無法正常存取網路。TippingPoint香港/臺灣區技術總監石謂龍就指出,現在許多家廠商的NAC方案都開始試圖整合IPS等有能力透過掃描應用層而後阻斷連線的設備,這代表未來IPS產品的誤判可能不只是假警報而已,而是會完全阻斷使用者連網。這意味著資安政策的設定成為企業在導入NAC機制前必須注意的問題。

7. 現有交換器是否支援IEEE 802.1x標準?
現在幾乎全部的NAC方案提供廠商,都提供以IEEE 802.1x標準的交換器建置企業內部的NAC機制。但是新的交換器上通常才會支援802.1x標準。透過交換器做到網路層第二層的控管,確實是較理想的方案,但是企業內如果多數交換器皆未支援802.1x標準,如果想要採用以此種架構建立的NAC方案,可能就必須大規模更換交換器,或是在建置新廠房的時候,一次購買才比較可行。

當企業內部的交換器多數都不支援802.1x標準時,應該考量是不是真的需要以此種架構做為實行NAC機制的做法。此外,Juniper技術經理林佶駿表示,即便是使用802.1x標準的交換器,由於不同廠商設定的差異,在實際建置時,也很有可能會發生因為設定的錯誤,導致NAC機制無法遂行的情形發生。企業在導入NAC機制時,要審慎評估使用此一架構的可能性,以免對營運或原有架構造成過大的衝擊。

8. 那些終端電腦該納入NAC機制中?
正如先前談到,由於NAC機制牽涉範圍很廣,使得導入時往往需要企業大規模的投資,許多企業多採取分階段的方式建置,那麼首先要考量的就是哪些終端電腦應該最先納入NAC機制中。以免NAC機制防護了部分原本就較為安全的電腦,卻反而沒有管理到那些原本風險性就較高的電腦。從南亞科技導入的經驗來看,該公司就充分的考量了此一原則,先由較常使用無線網路存取的筆記型電腦開始,搭配後端的NAC機制,減少行動工作者因為沒有遵循資安政策而可能造成的風險。

9. 路由路徑是否會造成NAC機制的漏洞?
這也是NAC機制可能的問題。現在企業各個據點間的連線,往往會透過MPLS VPN等網路架構,進行串連。當企業在總部建置了NAC機制,分支機構間的資料傳輸,如果沒有經由總部再重新導入,就很有可能避開NAC機制的檢查,形成一種只保護總部,而沒照顧到分支機構的狀況。

為了解決此類的問題,現在也有廠商推出較小規模的NAC方案,提供給企業的分支機構使用,以便解決這樣的問題。例如思科就在ISR路由器2800與3800系列上,推出了NAC的模組,填補因為路由問題而造成分支機構間可能的NAC機制漏洞。

和泰汽車建置的NAC機制也是一個典型例子,由於是透過總部的路由器做為政策執行據點,經銷商間的流量,就沒有納入NAC機制中;且路由器僅能管理到80%的流量,這是該公司目前使用的NAC機制較為不足之處。

10. 網路架構變更對企業營運影響有多大?
NAC機制的導入,雖然能夠帶給企業管理終端電腦健康狀況與存取權限等的優勢,但是如果為了導入NAC機制,而需要大幅變更網路架構,對企業營運帶來的影響,是在企業導入NAC機制前,就必須評估的。

如果原本企業的資安政策貫徹以及管理就很嚴格,再花大錢建置NAC機制是否划算?企業能不能承受沒有NAC機制的可能風險?這些都是在導入前必須詢問自己的問題。舉例來說,如果公司多數的員工都是使用座位上的桌上型電腦工作,且防毒軟體更新、漏洞的修補都已經有一定的水準,業務的流程也很少需要讓外人進入內網,已經有了防火牆、IPS等機制,是否還需要導入NAC機制,彌補可能的終端電腦風險,這可能就是見仁見智的問題了。文⊙劉哲銘企業導入NAC的四大部署模式

DHCP部署模式
對於沒有多餘預算隨著NAC導入802.1x的企業來說,DHCP部署模式是可行的選項之一,利用DHCP伺服器對端點指派不同子網路遮罩的做法,將稽核失敗的端點隔離在受保護的企業網路之外。由於做法簡單,因此有愈來愈多的NAC產品開始支援此種架構。

在DHCP模式的架構下,政策伺服器仍是獨立設置的,它可以是一臺硬體的專屬設備,也可以是一臺裝妥NAC系統的伺服器;至於政策執行據點,則是由DHCP伺服器來擔任。以Sophos的NAC Advanced為例,管理者需要在DHCP伺服器上安裝一支名為DHCP Enforcer Configuration Utility的外掛程式,藉由此程式控制DHCP伺服器的組態,當有端點連接上線的時侯,無論安全與否,DHCP伺服器均會給予1組255.255.255.255的子網路遮罩(IT管理者可以自定),禁止該端點存取受到內部網路,待政策伺服器確認端點安裝完畢終端軟體,而且已經符合管理政策的要求之後,才會予以放行,此時DHCP伺服器會重新指派1組正常的子網路遮罩,恢復該端點存取內部網路的權限。

某些NAC產品同時提供可以裝在Windows、Linux兩大平臺版本的外掛程式,而有一些則是只提供Windows版本,因此企業在選擇NAC方案上,須針對這點多加留意。

不少企業是以防火牆這類含有DHCP伺服器功能的網路設備指派IP位址,供內部端點連接網路,由於一般人無法在設備上安裝DHCP伺服器的外掛程式,在這種情形之下,就有需要借助其它硬體取代原本的DHCP伺服器,或者是用來控制DHCP伺服器發送何種組態的IP位址。

既然是以DHCP修改端點的網路組態達成網路隔離的目的,那麼理論上所有需要受到管理的端點就應該以自動方式從網路上取得1組IP位址,而不是以手動方式設定,如此才能收到控管內部端點的目的。文⊙楊啟倫

閘道型部署模式
閘道型(In-Line/Gateway)NAC的好處在於無需整合其它的網路設備就可以運作。只要把NAC設備部署在網路流量進出的必經路徑,便能管控到內部網路的所有端點,是4種主要架構中,導入門檻最低,也最簡單。

一般來說,企業經常會把這樣的NAC設備擺放在核心交換器(Core Switch),與下層的一般交換器之間,當端點連接上線之後,就必須受到NAC設備的政策稽核,符合要求者,NAC設備就會放行通過,批准這些端點,使它們能存取受到保護的內部網路資源;至於稽核失敗的端點,則會隔離起來,僅允許存取特定的網路資源。舉例來說,像是提供修補程式的更新伺服器,直到問題解決為止。

大多數的閘道型NAC產品是把政策伺服器與政策執行據點整合在同一臺設備,如Cisco的NAC Appliance(Clean Access)、Extreme的Sentriant AG,以及趨勢的Network Virus Wall Enforcer等。不過在此架構之下,也有比較不一樣的做法。舉例來說,像是Juniper的UAC是整合自家的NetScreen、SSG系列防火牆做為政策執行據點,一旦內部端點連接到網路之後,防火牆就會把連線交由政策伺服器(Infranet Controller,IC系列的設備)執行稽核,最後再依檢查結果決定,由防火牆執行放行或隔離的動作。

由於所有的網路流量皆會透過NAC設備進出,因此硬體針對NAC使用人數的負載能力,勢必會比802.1x、DHCP這類的架構要來得低,因為它還必須負擔其他類型的網路傳輸。若決定以閘道端設備部署NAC,就務必要評估此點。

對於企業來說,如果可以在內部的所有端點都能安裝NAC的終端軟體進行管理,則是再好不過,但是許多NAC的產品的終端軟體目前只有Windows平臺的版本,因此像是Linux、MAC等異質平臺,或者是印表機、網路電話這類無法任意安裝軟體的設備,就沒有辦法透過終端軟體有效地控管。

為了解決這個問題,一些閘道型NAC產品也開始改以網路掃描的方式,偵測內部端點是否已經符合NAC的政策要求。不過如果以網路掃描稽核端點,檢查的精細度會略遜於在端點部署終端軟體的傳統方式。文⊙楊啟倫與交換器整合的部署模式
與交換器整合的NAC產品,是4種架構當中,最精簡的一種類型。除了端點之外,部分屬於這類型的產品會把NAC架構中的其它元件,如政策伺服器、政策執行據點等,一併整合進來。這種模式適合預算有限,但是想導入802.1x,或者是原本就有意更換交換器設備的企業採用。

就市面上的現有產品來說,支援此種架構的NAC廠商並不常見,比較知名的有ConSentry以及Fortinet。雖然同樣是整合交換器,不過兩家產品在其它部份的設計就存在著許多明顯的不同之處。ConSentry的NAC是單純整合交換器的產品,Fortinet則將原本就很成熟的UTM架構同時納入。

和閘道型的NAC設備一樣,整合交換器的NAC產品也必須設置在所有網路流量進出的必經路徑,也因此,除了可以透過終端軟體控管端點之外,也可以採用網路掃描的方式偵測端點的運作狀態。

這一類設備對於端點的控管多半是從網路埠下手,也就是說,當發現到連接該網路埠的電腦未能符合NAC的政策要求,就會將網路埠隔離起來,也因此無法像是一般的交換器,或者是防火牆,可以在設備後方繼續串接交換器,延伸端點連接的埠數。如果你硬要在單個網路埠上串接交換器,讓其他電腦使用,在該網段中,只要有一臺電腦未能通過NAC的稽核,就會造成交換器上的所有端點全都連接上線,反而無法發揮控管效果。

為了解決網路埠數量的問題,也有廠商推出額外的輔助設備,讓企業可以串接在NAC設備與下層交換器之間,如此一來,就可以從正確找出有問題的端點,而不會將整臺交換器隔離起來。文⊙楊啟倫

802.1x部署模式
802.1x是多數廠牌NAC產品都支援的部署架構類型。這種方式主要是用來驗證使用者身分,並且依對方輸入的帳號,來決定要取用那些政策來稽核端點,它也是4種架構當中,對於端點的狀態管理最徹底的一種。

這項機制如果要實作,企業必須建置支援802.1x協定的網路交換器設備,才得以在企業的內部網路中落實政策控管。因此對於企業來說,也許就有可能要伴隨著NAC方案的導入,而必須要花上一筆額外的經費,將骨幹網路當中的舊有交換器一起更換。

實際部署802.1x的步驟相當複雜,因此事前必須有一番良好的計畫,才得以簡化實際建置的難度。而就整個流程來看,當端點接上網路之後,使用者必須輸入帳號、密碼,同時向網路上的RADIUS(Remote Authentication Dial In User Service)伺服器驗證帳號、密碼,然後再依照帳號所對應的使用者群組,決定這位使用者可以取用那些政策稽核端點。

對於稽核失敗的端點,政策執行據點(Enforcer)會告知交換器隔離到無法存取企業內部網路的VLAN,直到問題解決為止。

由於支援這種協定的NAC廠商很多,加上產品型態橫跨軟、硬體,因此實作起來的架構和方案的組合,有可能因為產品類型不同而有所差異。舉例來說,政策伺服器與政策執行據點有可能整合在同一臺設備,也有可能各自分開。文⊙楊啟倫NAC先導者第一手經驗談

對於想要導入NAC的企業來說,由於NAC機制牽涉的範圍十分廣,可以說自終端至網路架構,許多設備與軟體都必須互相聯繫,才能使NAC機制能夠成功運作,這也使得如何在原有的網路架構包袱下,建立起NAC的機制成為一件牽涉面廣泛的工程。從這次訪問到的幾家先期導入NAC企業來看,需要考量的主要因素有三,我們可以歸納為架構變更多寡、部署難度與對NAC的功能需求。

NAC牽涉範圍廣,架構變更多寡與ROI需詳細考量
但在這三個主要因素之前,究竟企業該不該導入NAC機制,也是一個重要的問題。企業既然身為一個營利宗旨的組織,一切都和投資與效益有關,NAC機制的導入當然也不例外,目前臺灣全面導入NAC機制的企業還不多,這也是最主要的原因。曾經替公司評估過NAC機制的臺灣萊雅(L’OREAL)營運部資訊管理經理鄭惠安表示,該公司十分重視資訊安全與員工上網存取的控管,所以曾經考慮過NAC方案,但是因為牽涉到投資的金額過於龐大,後來決定不導入。鄭惠安說:「我們公司本來就有限制員工能夠上網的區域,以及能夠存取的網站,加上筆記型電腦連網也有透過鎖定網路卡MAC位址的方式,在限制這麼嚴格的狀況下,再考量NAC機制需要變動的架構以及投入的金額,不大符合投資報酬率。」

臺灣萊雅的例子揭示了很多企業在考慮是否要導入NAC時,所面臨的第一個問題,那就是導入NAC所需投入的金額,如果能讓現有企業內的網路安全從90分提高到99分,那麼企業到底適不適合投資大筆的金錢?安全機制所能降低的風險,和企業的投資報酬率,這個亙古流長的問題,在NAC機制導入時,成為企業最需考量的問題。

同樣的問題,在不同的狀況下,就會得出不同的答案。以和泰汽車為例,該公司在4年前NAC方案剛出現時,就毅然而然決定導入思科的NAC機制。除了由於該公司網路設備原本就使用思科的產品此一能讓投資金額減少的優勢外,該公司不易掌握經銷商存取其內網的電腦健康狀況,也是驅使他們導入NAC機制的決心。和泰汽車資訊部網路通訊室高級專員陳思銘回想當時導入NAC機制之後對於企業所帶來效益,他是這麼說的:「我認為4年前導入NAC機制,對於和泰汽車來說,帶來了兩個好處,一是想要與和泰汽車有業務往來的經銷商,我們更能強制他們遵循過去我們針對防毒軟體所訂下的資安政策;二是因為NAC機制對作業系統的需求,讓我們同時升級了當時微軟已經準備不再支援的作業系統版本。」

由於臺灣萊雅原本對於企業內網存取電腦的管控就十分嚴格,所以經過考量之後才決定不導入NAC機制;但是在和泰汽車的狀況,由於經銷商的電腦並非是和泰自己全權管理的終端電腦,有了NAC機制的導入,能夠降低該公司內網,經由這些難以管理的終端電腦感染木馬或病毒,網路效能遭到拖垮的風險,也因此導入NAC機制所能帶來的效益與投資比較之下,較為可行。

功能與部署難度的拉鋸戰,為NAC機制的主要難題
當企業決定導入NAC機制時,由於牽涉的範圍很廣,原有網路架構所支撐起來的營運環境,反而在這個時候會成為導入NAC機制的包袱,某家國內的DRAM廠商,就是一個顯著的例子。該公司在2~3年前於新廠導入了NAC機制,但是在舊廠區,因為牽涉要變更的網路設備過多所以目前尚未導入。最主要的原因,就在於該公司使用的是以IEEE 802.1x標準的交換器做為政策執行據點。

該公司選擇的NAC方案,是賽門鐵克的Sygate方案,支援多種模式讓企業建置自己的NAC方案。而最後之所以會選擇需要部署終端軟體的方案,最大的原因還是在於該公司對於資安控管的需求。在導入NAC機制之前,該公司曾經遭遇過因為病毒而癱瘓辦公區域電腦一整天的事件,這也使得NAC機制的導入,對於該公司來說最重要的就是掌握終端電腦的健康狀況。雖然Sygate有提供免安裝終端軟體或是透過ActiveX的方式以Web介面檢查終端電腦,但是這兩種方案,所能檢查的資訊卻都沒有安裝終端軟體來得完善,對於該公司來說,這些方案還是有一定的弱點,並不能協助該公司解決掌控終端電腦健康狀況的問題。這也是為什麼該公司寧願選擇部署較為麻煩的終端軟體方式,建立起NAC機制。

在NAC的架構方面,此DRAM廠商的新廠是採用典型的802.1x架構,正如先前所談到,企業內部連結終端電腦的交換器必須都支援此一標準,才能透過交換器將不合政策的終端電腦導入隔離的VLAN或是直接拒絕其存取。但是在舊廠區,因為還有許多交換器尚未支援802.1x的標準,這也使得難以將舊廠區納入其NAC機制,而僅採用原本AD架構的身分認證而已。

就這家DRAM廠商的例子來說,由於新廠區在建立之初就考慮到NAC機制的建立,這也使得一開始網路架構的規畫上,就決定全面導入符合802.1x標準的交換器,這也使得該公司的NAC機制能夠在新廠正常運行。據了解,對於該公司來說,在新廠建立NAC機制最大的困難點,反而是在終端電腦上部署NAC的終端軟體。

此家DRAM公司的經驗,可以很明顯看出企業在選擇部署何種NAC機制時的兩難,是要選擇變動架構少,能夠快速建立且不影響使用者;還是要選擇功能較完善,卻可能必須要花費更大的力氣去部署與宣導的方案?最終該公司選擇了後者,理由很簡單,因為終端電腦可能的風險而造成一天的企業營運的停擺,和導入部署難度較高的NAC機制比較起來,該公司願意也樂意選擇風險較小的方案,期望能夠把終端電腦可能的風險降到最低。文⊙劉哲銘和泰汽車以NAC落實資安政策

和泰汽車早在4年前就導入了NAC機制,算是國內早期導入NAC機制的企業之一,該公司當初開始選擇NAC方案時,思科(Cisco)的NAC方案還尚未推出以交換器為基礎的NAC方案。

和泰汽車資訊部網路通訊室高級專員陳思銘表示,當初之所以會決定導入NAC機制,最大的原因還是在於企業內部網路的效能問題。和泰汽車在全省擁有8個經銷商,總共200多個據點,由於網路採用集中式架構,這些經銷商據點的所有業務往來,都必須連回和泰汽車的內網才進行。在這樣的狀況下,處理和泰汽車對外80%左右流量的路由器,就成為重要的網路架構樞紐。

以路由器做為政策執行據點,掌握終端電腦防毒狀況
但是在4年前左右,這臺路由器開始常常會因為企業內部的惡意程式流量太多,導致處理的效能低下。陳思銘表示,當時和泰汽車雖然規範所有的經銷商,必須在每臺能夠連回和泰汽車內網的電腦上安裝防毒軟體,並且定期更新防毒引擎與特徵碼。但是由於經銷商的IT是由這些公司自行管理,這也使得雖然針對經銷商制定資安政策,但是政策執行的狀況,和泰汽車卻難以掌握。陳思銘說:「後來我們才知道,很多經銷商連回我們內網的電腦,甚至連防毒軟體都沒有裝。」

由於有為數眾多的終端電腦難以掌握,和泰汽車發現,如果要確保網路的效能,就必須從終端電腦的健康狀況掌握開始,如此才能根本的確保終端電腦的防毒軟體達到一定的水準,也才能確保網路的效能不被木馬和病毒等惡意程式所拖累。「當初的想法其實很簡單,就是想建立一個能與終端防毒軟體相互溝通的協防機制,減少資安的風險。」陳思銘說。

在這樣的狀況下,和泰汽車選擇了思科當時剛推出不久的NAC方案,以路由器為基礎,建立起路由器與防毒軟體間的協防機制。陳思銘指出,因為和泰汽車原有的網路設備,就是採用思科的產品,也因此部署當時思科的NAC方案,在架構的變更上,並沒有遭遇太大的困難。而在防毒軟體的互通上,也由於當時和泰全面使用趨勢科技的防毒軟體OfficeScan,而思科的方案剛好可以支援,這兩點也是和泰汽車願意選擇NAC方案的重要的原因之一。和泰汽車的NAC機制,是以對外的路由器做為政策執行據點,並且要求所有業務上需要進入和泰汽車內網的經銷商,終端電腦都必須安裝OfficeScan,而OfficeScan在提供給終端電腦安裝時,也會一併安裝思科NAC方案的終端軟體CTA(Cisco Trust Agent)。

克服路由器連線數過於集中,與軟體版本不一問題
雖然先天條件的防毒軟體和路由器相容性,和泰汽車都具備了,但是在NAC機制建立之初,還是發生了一些問題。其中一個問題就是路由器因為NAC機制的建立,開始必須一一審核每個登入者的防毒軟體狀況,例如有無更新、有無安裝、開啟等,這使得路由器在依循政策審核時,負擔過大,導致NAC機制失效,連帶的竟然也使得原有的路由功能失效,影響到和泰汽車的企業運作。

陳思銘指出,後來發現,主要的原因在於政策審核的連線需求過大,而路由器效能又沒有經過最佳化,這才使得它失去作用。經過原廠技術人員的調整,和泰汽車在路由器審核防毒軟體政策的程序上,改為每個經銷商設定一個政策,減少連線數,解決了這樣的問題。之後才又將所有經銷商整合到同一個政策,但是同時連線數仍然以分割的方式處理,讓路由器不會再因為連線數量過多,而發生故障的問題。

另一個問題,則是軟體版本的問題。和泰汽車的NAC機制開始之初,許多經銷商的電腦作業系統版本尚未統一,從Windows XP一直到98都還有在使用,但是當時思科的NAC機制必須以Windows XP以上的版本才能運作,這也使得和泰汽車必須將所有的作業系統升級到XP。「現在看起來,當初導入NAC機制,連帶的讓我們將微軟將要停止支援的作業系統版本升級,也是這項計畫帶來的一個優點。」陳思銘說。

除了作業系統版本的問題,OfficeScan這個防毒軟體,本身也必須同時升級。要讓OfficeScan有辦法與NAC機制互相溝通,所有的終端電腦使用的OfficeScan必須是同一版本,才能正常運作。這也使得和泰汽車在統一版本和要求經銷商安裝OfficeScan上,下了不少工夫。「在剛開始的一周,還會有很多沒有安裝或是版本上的問題,但是過了這段時間,狀況就好多了。」陳思銘說。

導入NAC機制對於和泰汽車來說,最大的效益就是掌握了過去難以掌控的眾多終端電腦,確保防毒的水準,連帶的也使得和泰汽車的內網受到病毒或是木馬程式感染的風險降低許多。不過當時導入的NAC方案,就現在市場上的NAC方案來看,功能已經略嫌有些不足,和泰汽車近來也開始準備導入新的NAC方案,期望能夠將現在做不到的作業系統更新等更詳細的終端電腦狀況,一起納入NAC機制中,並且希望能夠整合身分辨識的需求,能夠由經銷商管理自己的人員,和泰汽車則管理自己的終端電腦,達到更完整的NAC機制。文⊙劉哲銘南亞科技以NAC消弭1%的風險

南亞科技最近開始導入NAC機制,該公司採用的是思科(Cisco)的NAC Appliance方案,以In-Line的方式,掃描所有無線網路和部分會議室的有線網路,未來有線網路的部分,則希望透過微軟的NAP機制來確保。

南亞科技資訊處部經理劉誠先表示,過去該公司的軟體更新,是透過微軟的SMS(System Management Server)來做,發送更新到每個終端電腦上。雖然達成率有99%,但是1%的終端電腦常有無法達成的狀況,而這1%的終端電腦,就有可能因為沒有更新,帶入病毒與木馬等各種惡意程式。

而選擇先由無線網路做起,則是因為無線網路是南亞科技出差人員回到公司後,最有可能先接取的網路。

會有這樣的顧慮,是因為南亞科技有許多筆記型電腦的使用者,這些員工往往出差到外地,在可能感染到惡意程式的環境中使用電腦,如果沒有確保更新的狀況,在使用者不自知的狀況下,很有可能就將惡意程式帶入企業的內部網路中。而導入NAC之後,由於不符合政策的終端電腦就會被導入隔離區,並且要求更新,自然能夠將風險降到最低。

劉誠先表示,在這樣的需求下,南亞科技之所以選擇新廠導入NAC,最主要的原因還是在於新廠的整體規畫,相較於舊廠現有的網路環境來說,比較單純,NAC機制的建置與部署都相對較為容易。而之所以選擇思科的NAC Appliance方案,則主要是成本的問題。由於新廠的無線網路也是採用思科的產品,所以透過合併採購,能夠降低NAC機制相關軟、硬體採購的成本。

此外,採用NAC Appliance方案的另一個原因,則是在原先設計網路架構上就能實做。劉誠先指出,評估之後,由於新廠的網路原先設計的關係,如果全部使用802.1x交換器的架構建置,將會讓部分區域的網路過度複雜,所以才採用此一方案。目前該公司新廠由於透過NAC Appliance In-Line的方式建立NAC機制,所以交換器不需全部使用符合IEEE 802.1x標準的設備,整體的投資也較為便宜。

而在終端軟體的功能方面,雖然思科的方案也支援Web Agent的方案,但是該公司仍然選擇以部署NAC終端軟體的方式建置。劉誠先指出,這主要還是因為功能面上的需求,透過終端軟體安裝的方式,僅有第一次部署時較為麻煩,功能上也能控管到較細的項目,並且取得詳細的資訊,相較之下,該公司對終端電腦健康狀況的掌握,透過此種模式較為符合其需求。「如果透過ActiveX或Java的下載,我們也很擔心到時候使用者會不會遇到一些問題,如此一來又會增加我們協助上的負擔。」劉誠先說。

目前南亞科技已經購入思科的NAC方案,但是部署到3個廠區8~900臺終端電腦上的作業則還未完成,目前許多功能都在測試中。文⊙劉哲銘


熱門新聞

Advertisement