航空航天業是一個管理非常嚴格的行業。與政府和美國航天局合作意味著許多檢查和權衡。
EADS Astrium北美公司知道這一切。這個網絡包含不能和不應該被任何人訪問的敏感數據。但是其它公司的客戶、承包商和訪問者也要能夠訪問這個網絡。
該公司商務管理經理George Owoc說,我們必須要對無權訪問的人隔離這個網絡中的數據。
最近,歐洲航天公司EADS的子公司EADS Astrium在一個測試環境中推出了Lockdown公司的“Enforcer NAC”(NAC,網絡訪問控制)設備。
Owoc介紹說,這種標準的設備能夠根據一套靈活的參數強制限定對網絡的訪問。你可以根據端口位置、安裝的軟件、應用程序、重要的更新和補丁等參數批準或者拒絕訪問。然而,這個產品最大的優點是Enforcer能夠根據活動目錄中的身份批準或者拒絕訪問。
在保密的區域,只有某些組能夠根據身份進入子網。為了交換和查看那個區域的數據,訪問這個區域的任何人都要獲得批準。遵守認證要求的需求推動了NAC解決方案的產生。
Owoc半開玩笑地說,這基本上可以使人不至于因為犯這種錯誤而蹲監獄。他補充說,允許任何人訪問這個許可證可能會影響你未來保護這種許可證安全的能力。
其他獲得批準訪問這個網絡的人將被放到一個單獨的虛擬局域網。客人和訪問者都被一起放到一個不同的虛擬局域網中。這個虛擬局域網與飯店中的網絡相似。在那種網絡中,你可以訪問互聯網,但是,不能訪問其它應用程序。
Owoc說,我們依靠虛擬局域網控制那種訪問。這與思科的NAC在功能上非常相似。對于我們來說,這是一個一站式的解決方案。
Owoc表示,在把Enforcer應用到測試環境中之前,他的公司使用過Lockdown公司的Auditor。但是,那個產品不能集成活動目錄。在那個時候,如果一位客戶要訪問的話,Owoc必須親自去那里批準這個訪問。
Owoc說,如果我不在那里,他們如何獲得訪問權限呢?現在,這種事情可以放手了。我不需要到那里監視那些人了。
Owoc解釋說,對于本地用戶來說,NAC解決方案是不可見的。只有在他們進行身份識別的時候才會啟動這個解決方案。客人和訪問者都被放到一個“飯店”網絡。由于這是基于身份識別的,因此,用戶插入哪一個端口都沒有關系。這樣就完全自動化了。我不必擔心誰插入了哪一個端口。
使用Enforcer產品引起了人們對于試驗Lockdown公司未來的產品iNAC的興趣。Owoc說,使用iNAC設備,不會因為設置錯誤或者缺少補丁或者病毒等問題封鎖一個用戶訪問這個網絡,這個系統將向這臺機器發出更新程序。他說,我不用關閉這些機器,我可以強制它們進行升級。
據Lockdown公司稱,iNAC解決方案還可以同Enterasys公司的Dragon和Sentinel安全設備集成在一起,以及同Patchlink公司的安全設備結合在一起。Owoc表示,一旦EADS Astrium北美公司獲得和應用iNAC設備,他將把這種設備與Patchlink公司的產品結合在一起。
據Lockdown公司負責市場營銷的副總裁Dan Clark說,Enforcer與第三方廠商的產品結合在一起增強了一級安全并且實現了許多應用程序之間的雙向通訊的自動化。
Clark表示,在Lockdown計劃與Enterasys、IBM、英特爾和微軟的解決方案結合在一起的同時,Patchlink公司的這兩種產品又對NAC系統增加了額外的檢查。
當與Patchlink的產品結合在一起的時候,Enforcer檢查并要求Patchlink提供一個補丁。這個補丁將自動更新設備。在更新之后,這個設備將放回網絡之中。