 |
森下恭介(Kyosuke Morishita) Mirage Networks亞太區副總經理,曾服務於三井物產,負責日本大型金融機構安全保護專案,以及三井物產子公司IT部門管理,在網路與安全領域有10餘年的經歷。 |
一般來說,企業購買NAC產品的主要目的,就是企圖隔離安全設定未能符合企業要求的端點,以避免可能存在的資安威脅透過區域網路擴散。
就細部的功能而言,除了檢查端點是否依規定安裝資安軟體、修補程式,以及狀態檢測的基本功能之外,也有人認為,操作電腦的使用者,本身就是資安威脅的可能來源之一,因此應該控管使用者的網路行為,將不正常存取網路資源的電腦也一併隔離。
如何透過NAC控管使用者不當的網路行為?現今的做法有2種,一種是整合IPS,藉由特徵碼比對的方式,對於經過設備的封包,採取逐一檢查的動作,這類廠商以Juniper、TippingPoint為代表;另外一種則是行為感知,這種方式和防毒軟體的啟發式學習機制頗為類似,主要是從行為模式下手,判別使用者電腦目前存取網路的動作是否正常,這一類技術的代表廠商則有ForeScout以及Mirage等。
相較於我們所熟知的NAC技術,這類型的解決方案相當罕見而特殊。Mirage的亞太區副總經理森下恭介(Kyosuke Morishita)表示,使用者在電腦上的各類網路行為,理應列入NAC的控管項目,如此一來,才能真正遏止蠕蟲或病毒透過區域網路快速擴散。
問:以NAC控管使用者電腦網路行為的技術來說,與IPS整合的類型算是比較為人所熟知的,而這種行為感知的概念雖然很早就被提出,採用的廠商卻更少,為什麼?
答:主要是原廠和用戶之間對於真正非法的網路行為,以及中間灰色地帶的界定不同,在早期技術尚未成熟的情形下,有可能產生誤判,因而出現一些管理上的問題。
問:無論是IPS,或者是行為感知,在做法上都要讓流量可以完整地通過設備,然後才能從封包狀態,或者是流量傳輸的行為特徵加以辨識分析,對於有意採用這類控管方案的企業來說,哪些地方值得注意?
答:想要完整取得區域網路的進出流量,同時加以過濾,一般來說,有2種做法,比較常見的是把產品設置在網路的閘道端,以In-Line模式設置;至於另外一種做法則是透過交換器鏡射的方式,也就是以所謂的旁路模式,將通過交換器的流量複製一份提供給NAC過濾分析。
由於使用NAC產品的企業人數至少有一定規模,因此進出內網的流量勢必十分可觀,因此必須評估設備效能是否可以滿足企業的使用需求。除此之外,設備是否提供ByPass模式也很重要。因為在In-Line模式的架構下,一旦這臺NAC設備因為特定原因而停擺,流量即可能無法正常進出。
問:能否提出幾個實際的導入實例,讓我們了解這些公司為何想用NAC控管使用者電腦的網路行為?
答:在臺灣以外的其他國家,有幾家企業或單位已經導入一段時間。
像是日本的京都大學,先前就曾經因為蠕蟲攻擊的大量爆發,使得區域網路的頻寬負荷滿載,讓資料的傳輸變得十分緩慢,所以才會想要導入這類的產品。他們的做法是將濫送封包的電腦隔離起來,直到問題解決,確認安全無虞之後,才會解除封鎖,讓該臺電腦可以正常存取各項網路資源。同樣因為熊貓病毒與零時差的資安威脅等問題,韓國的某政府機關也面臨這些問題在區域網路流竄,因此想以NAC產品結合網路行為控管的做法加以解決。
問:除了整合IPS、行為感知的技術之外,未來你認為還有那些功能可能會被廠商整合到NAC?
答:像是與IPv6整合就有很大的可能。除了提供完整的防護功能之外,如何讓產品能夠適應每家企業各自不同的網路架構也很重要,就我們來說,整合802.1x是近程的目標。整理⊙楊啟倫
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-16
