法规遵从让网络访问控制日受重视

　　绝大部分公司正在部署或者打算部署网络访问控制（NAC），这是2007年《Network Computing》杂志对325名IT专业人员所作调查后得出的结果。今年，部署NAC的比例明显上升，只有15%的调查对象未计划实施，而一年前这个数字还高达46%。这表明NAC已从一种值得关注的概念发展成为一种切实可行、受到重视的企业技术。但是结果发现，计划部署的IT专业人员期望从NAC得到的效益有别于实施人员实际得到的效益。虽然人们似乎普遍认为，NAC是个好东西，但哪个才是最佳的架构方案方面缺乏一致意见。由于规划人员和实施人员的答案差异在整个调查中都很明显，我们决定对这两组的结果进行细分，并且与各自在2006年的结果进行了比较。

　　人们日益对推动NAC发展的几个因素达成共识：资源访问控制和法规遵从。不过，备受关注的却是法规遵从，特别是对已经在实施这项技术的公司而言，更是如此。在2006年，只有52%的调查对象认为采用NAC是为了满足遵从法规的要求；而现在却有63%的实施人员这么认为。在关注像《萨班斯－奥克斯利法案》这些个别法规的人当中，这个比例更高。52%的实施人员如今认为，具体的法规需求在推动NAC采用率提高；而仍在规划NAC的人当中只有22%认为法规要求是推动因素。

　　实际上没有哪部法规明确要求采取实施NAC这样的任何具体措施；而是提到了相关概念，比如管理及保护访问数据的主机。这就留下了很大的解释空间。NAC被认为是满足法规要求的一种方法，似乎即将成为一条最佳实践（best practice）。NAC旨在评估主机的状况，然后根据评估结果，授予或者拒绝访问网络及资源的权限。最佳实践常常是市场中自发出现的，而不是强制规定的——如果大多数遵守某个惯例——现在NAC就是这种情况，那么这个惯例就成了最佳实践。

　　棘手问题

　　NAC并不是完整的访问控制系统。它的功能是授予访问网络的权限，而不是通常作为针对应用的访问控制机制的一部分。举例说，某主机可能通过了主机评估，因而获得了访问网络的权限；但一旦到了网络上，NAC可能无法防止恶意的用户行为，比如应用级攻击，如针对Web应用的SQL注入（SQL injection）；或者是比较普通的问题，比如把数据保存到USB驱动器等可移动介质上或者其他外部存储设备上。如今不少NAC产品缺乏控制访问可移动介质的机制。

　　应用级控制似乎引起了NAC实施人员和规划人员的注意。控制访问数据中心的资源——这几乎总是需要了解应用情况，被认为是NAC要保护的最重要的资源。仅次于数据中心的是比较传统的NAC功能，有线网络、远程机构和分支机构被列为接下来最重要的几个保护对象。而最不重要的是当初作为NAC卖点来宣传的两个问题：访客和承包商的访问。看来，许多公司已经用其他方式妥善解决了这些问题，比如根据典型的网络入口点来限制访客和承包商的访问。有些公司还要求承包商使用本公司的系统，而不是使用对方自己的系统。虽然这是一项合理的安全措施，同时有悖于国内收入署（IRS）的指导方针，后者明确界定了承包商和雇员之间的区别。承包商使用自己的设备，雇员使用本公司的设备——至少IRS是这么规定的。

　　NAC问题重重

　　NAC不是没有问题——它既有实际存在的问题，也有感觉存在的问题。NAC部署需要的绝不仅仅是为网络添加某个新硬件。大量工作需要确定访问策略、它们应该作用于哪些用户或者用户组。NAC部署会带来如何为用户配置方面的变化，还会带来支持部门必须解决的新问题。此外，NAC部署会带来其他操作问题，尤其是诸如部署补丁和新的应用程序此类的相关问题。而在有些情况下，如果补救机制是NAC架构的一部分，它可以简化部署补丁及应用程序的过程，因为两者部署可能是补救流程的一方面。

　　实施NAC面临三大问题，那就是NAC与其他网络产品的兼容问题、需要在安全性和工作效率之间进行折衷考虑；以及加大了技术支持部门的负担——这三大问题都是切实存在的，应当在评估阶段得到审查。值得关注的是，正在规划但还没有开始实施的人员比已经实施了NAC的人员更担心下面这点：NAC其实无法改善本公司的总体安全状况。在这方面，有两个因素极有可能起到了作用：虽然已实施这项技术的人似乎比较满意，但至少可能性同样大的是，没有及早采用该技术的人员因NAC未能满足一些关键要求（他们感觉是这样）而避而远之。不过，实施人员的满意度比较高，这让我们认为：对大多数公司而言，感觉存在的问题是可以得到解决的。

　　虽然许多公司正在实施NAC，但不少公司的实施不是非常普遍。成本和复杂性无疑是阻碍NAC得到采用的最主要的两个因素。在今年的调查中，60%以上的调查对象提到成本是三大障碍之一。尽管成本仍是人们最担心的问题，不过与2006年的85%相比还是有所减少。人们不像过去那样担心成本，这可能与有大量的实际实施案例作为指导有关。也有可能是由于可选的架构方案数量更多了，有些方案的部署成本远远低于第一批NAC架构。提到担心复杂性问题的调查对象比例基本上未变，两次调查都大约为60%。下一个最经常提到的采用NAC面临的障碍就是市场和产品欠成熟，有35%的调查对象提到了它。

　　实际部署

　　NAC部署确实很复杂。虽然在去年有56%的部署规划人员以为部署可能用不了六个月时间，而今年完成部署的人当中只有38%在六个月内完成了部署。部署时间用了7到12个月、13到24个月及超过24个月的调查对象三者比例大致一样，共占剩下的62%。不过，就重大的IT项目而言，NAC的部署比较快。

　　现在有四种方法可以部署NAC。各有优缺点，没有哪种方法成为首选的架构。基于安全交换机的系统需要得到网络边缘处所有交换机的支持，另外还要添加策略评估设备和操作控制台。这种系统是思科网络准入控制（CNAC）架构的基础。它似乎广为人知、得到公认，48%的调查对象表示他们愿意升级自己的局域网交换基础设施。虽然这是一种广为人知的架构，但无疑也是广泛实施起来成本最高的一种，以至于思科本身如今在出售基于设备的带外解决方案。

　　带内系统是最受人们青睐的，60%以上的人表示他们会为网络添加嵌入式设备（即带内设备）。这种系统的优点是，能够评估所有网络流量，因而与带外系统相比，攻击者想绕过带内系统的难度大得多。它们还能监控异常行为，而出现异常行为可能表明存在攻击——其他解决方案不具有这种功能。从理论上来说，嵌入式系统能够跟踪用户活动，一直跟踪到应用层。这多少可以解释该系统为什么比较受到欢迎，因为它们有助于实现其他技术无法实现的细粒度访问控制级别。而至于缺点方面，这种系统带来了新的单一故障点和潜在瓶颈——厂商们迫切希望缓解这个问题。当前的设计效果很好，而且基于高度可靠的硬件，具有冗余风扇和电源等特性。

　　带外设备使用各种方法来执行策略。因为这种设备并不是直接控制流量，所以不少人认为带外解决方案很容易被攻击者绕过。虽然确实如此，但这种系统的部署成本通常比较低，因为许多不包括按用户数量收取的许可费，也不受到大量网络流量的影响。大约45%的调查对象表示愿意使用带外产品。微软公司的网络访问保护（Network Access Protection）是这种架构的最知名典例。

　　最后，出现了一种新的基于主机的产品。这种系统独立于网络设计，甚至独立于网络的存在。它们就如同个人防火墙，只不过这种系统评估的是主机状态，而不是入站网络流量的状态。调查显示，47%的人愿意实施这种解决方案。

　　虽然大多数公司可能会从某一种架构入手，但使用若干种架构也许更可取，这完全有可能。举例说，一所大学可能会倾向于在学生宿室使用成本较合理的带外系统，而选择较为可靠的带内产品来满足处理学术和行政管理数据的要求。