譯前言:本文主要是Gartner在2011年底所發(fā)表的全年NAC行業(yè)技術(shù)趨勢(shì)總結(jié)分析,主要針對(duì)的是國外NAC市場(chǎng)(北美、歐洲)。而由于國外市場(chǎng)在整個(gè)NAC行業(yè)中的先進(jìn)性和前瞻性,因此我們完全可以把這篇分析作為國內(nèi)市場(chǎng)的技術(shù)風(fēng)向標(biāo),為2012年國內(nèi)的網(wǎng)絡(luò)準(zhǔn)入控制行業(yè)提供有效的參考。
文章摘要
當(dāng)下,各機(jī)構(gòu)都在尋找合適的產(chǎn)品來針對(duì)個(gè)人設(shè)備或移動(dòng)設(shè)備部署安全策略,這股“BYOD(bring your own device)”浪潮正在驅(qū)動(dòng)著NAC市場(chǎng)的增長。當(dāng)機(jī)構(gòu)面對(duì)著“BYOD”的挑戰(zhàn)時(shí),必須考慮如何便捷迅速地識(shí)別出個(gè)人移動(dòng)設(shè)備的信息,并向其派發(fā)已制定好的針對(duì)這些移動(dòng)設(shè)備的安全策略。
市場(chǎng)概觀
在經(jīng)歷了數(shù)年平淡的市場(chǎng)表現(xiàn)之后,各機(jī)構(gòu)對(duì)于部署NAC的需求在“BYOD”浪潮的驅(qū)動(dòng)下被重新激發(fā)了。盡管存在許多管理個(gè)人設(shè)備的安全措施或產(chǎn)品,Gartner仍然相信NAC將是保護(hù)網(wǎng)絡(luò)免受個(gè)人移動(dòng)設(shè)備中潛在威脅影響的最靈活、最重要的方式(key mechanisms)之一。
NAC方案中的安全策略隨著時(shí)間的推移在不斷的變化。在NAC應(yīng)用的第一波浪潮(2003 ~ 2006年)中,主要的NAC管理策略是針對(duì)終端的系統(tǒng)配置(如windows系統(tǒng)補(bǔ)丁是否更新、殺毒軟件是否安裝等)。在2007年,NAC應(yīng)用進(jìn)入了第二波浪潮,焦點(diǎn)變?yōu)榱藢?duì)來賓設(shè)備提供簡便易行的基于認(rèn)證的控制,從而搭建出靈活的訪客網(wǎng)絡(luò)環(huán)境。在2011年——NAC技術(shù)的第三波浪潮中,除了對(duì)來賓提供簡易的接入服務(wù)外,還提出了對(duì)員工的個(gè)人設(shè)備提供“有限訪問區(qū)”的控制要求。Gartner認(rèn)為,這次的第三波NAC應(yīng)用浪潮將是有史以來最為強(qiáng)勁的一次,并且通過周期性的宣傳,能夠驅(qū)動(dòng)NAC行業(yè)達(dá)到真正的生產(chǎn)力成熟期和穩(wěn)定期。
為了避免BYOD所引發(fā)的威脅,機(jī)構(gòu)們都開始創(chuàng)建自己的有限訪問區(qū),從而控制個(gè)人移動(dòng)設(shè)備與網(wǎng)絡(luò)中的重要區(qū)域?qū)崿F(xiàn)隔離。“BYOD”們只能夠獲得internet的訪問權(quán),以及只能夠訪問公司業(yè)務(wù)的一個(gè)特定的子集。而由于這些終端設(shè)備都是私人所有,因此IT部門往往很難對(duì)其強(qiáng)制部署策略、安全客戶端或生命周期管理工具。而另一方面,將這些私人終端隔離到有限訪問區(qū)內(nèi)則能夠?qū)ΡU暇W(wǎng)絡(luò)的安全起到有益的作用。要建立起完善的有限訪問區(qū),一個(gè)十分重要的元素就是在終端(例如ipad、Android設(shè)備、ip電話、打印機(jī)以及PC)接入網(wǎng)絡(luò)時(shí)能夠?qū)ζ溥M(jìn)行發(fā)現(xiàn)并識(shí)別出相關(guān)信息,這也被稱為“顯影”(profiling)。一旦一臺(tái)終端設(shè)備得到了識(shí)別,自然就立即能夠被放置于合適的網(wǎng)絡(luò)區(qū)域(機(jī)構(gòu)生產(chǎn)網(wǎng)、來賓訪客網(wǎng)、或有限訪問區(qū)等)中,在這些不同的網(wǎng)絡(luò)區(qū)域中,NAC能夠執(zhí)行不同的接入控制策略。越是能夠意識(shí)到終端識(shí)別能力的重要性,并能夠針對(duì)不同的私人移動(dòng)終端設(shè)備進(jìn)行隔離和策略應(yīng)用的廠商,其在戰(zhàn)略完整度(Vision Completeness,請(qǐng)參見本文下篇)這一項(xiàng)上的得分就越高。
各行業(yè)都越來越需要允許私人筆記本電腦、智能手機(jī)以及平板電腦在網(wǎng)絡(luò)內(nèi)的使用,這就大大改變了NAC市場(chǎng)的格局。在許多方面,企業(yè)等各個(gè)行業(yè)都越來越表現(xiàn)出與教育行業(yè)的相似性,尤其是大學(xué)校園:在大學(xué)里,終端用戶(學(xué)生)都使用自己的終端設(shè)備連接到機(jī)構(gòu)(大學(xué))的網(wǎng)絡(luò)中。傳統(tǒng)的EPP(Endpoint protection platform 端點(diǎn)安全平臺(tái),即國內(nèi)的桌面產(chǎn)品)廠商由于著力于對(duì)機(jī)構(gòu)所購置的內(nèi)部終端進(jìn)行控制,因此在NAC的第一波浪潮中取得了成功,但是在BYOD的趨勢(shì)下逐漸喪失了優(yōu)勢(shì)。EPP廠商必須改變他們的NAC策略來適應(yīng)BYOD現(xiàn)象。
市場(chǎng)組成
NAC市場(chǎng)包括以下幾個(gè)類型的組成:
·網(wǎng)絡(luò)基礎(chǔ)設(shè)施類廠商
大多數(shù)的商用級(jí)網(wǎng)絡(luò)交換機(jī)廠商都能夠提供NAC的解決方案。在市場(chǎng)的早期,這些廠商均將NAC功能集成在了網(wǎng)絡(luò)交換機(jī)中。BYOD現(xiàn)象為此帶來了不小的難題,因?yàn)榇藭r(shí)的策略必須開始分別針對(duì)有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò),而大部分的交換機(jī)制造商并沒有較強(qiáng)的無線產(chǎn)品實(shí)力。總體來看,在WLAN上支持NAC策略的能力將在BYOD新紀(jì)元下變得越來越重要,另外,有線和無線網(wǎng)絡(luò)基礎(chǔ)設(shè)施廠商在異構(gòu)網(wǎng)絡(luò)中或其競(jìng)爭(zhēng)對(duì)手的基礎(chǔ)網(wǎng)絡(luò)中均很難將自己的NAC體系部署上去,這是一個(gè)不可避免的硬傷——兼容性問題。
·網(wǎng)絡(luò)安全廠商
包括IPS、防火墻、VPN等廠商均能夠提供部分的NAC功能。因?yàn)樯鲜龅倪@些產(chǎn)品在網(wǎng)絡(luò)中都已經(jīng)作為一個(gè)策略強(qiáng)制點(diǎn)存在了,因此能夠變相的作為一個(gè)附加的NAC控制點(diǎn)。
·純NAC廠商
BYOD為這些廠商創(chuàng)造了新的契機(jī),純NAC廠商也成為了新趨勢(shì)下引導(dǎo)NAC市場(chǎng)增長的主力軍。在今天的多元化終端環(huán)境下很多時(shí)候均需要各種特定的策略來進(jìn)行部署和管理,因此第三方純NAC廠商優(yōu)秀的兼容性和專業(yè)度就成為了大規(guī)模及復(fù)雜網(wǎng)絡(luò)環(huán)境下用戶的重要參考。
譯后記
Gartner對(duì)于BYOD浪潮下第三方純NAC廠商的高度評(píng)價(jià)可供國內(nèi)的網(wǎng)絡(luò)準(zhǔn)入控制用戶參考。國內(nèi)機(jī)構(gòu)的網(wǎng)絡(luò)環(huán)境往往比歐美國家的標(biāo)準(zhǔn)化網(wǎng)絡(luò)具有更高的復(fù)雜度,且國內(nèi)的垂直行業(yè)(vertical industry)(如部級(jí)或省級(jí)政府)網(wǎng)絡(luò)規(guī)模由于用戶數(shù)的支撐也絕不輸于歐美跨國公司,因此第三方NAC廠商(如杭州盈高科技)就成為了國內(nèi)NAC市場(chǎng)的主力軍和核心力量。
在本文的下篇中,我們將進(jìn)一步領(lǐng)略Gartner專業(yè)的評(píng)估標(biāo)準(zhǔn),以及對(duì)于2012年NAC市場(chǎng)表現(xiàn)所做出的預(yù)測(cè)。
原文鏈接:http://tech.ccidnet.com/art/1099/20120203/3556163_1.html