Защита только на границе сети и продукты, реализующие традиционные специализированные решения по обеспечению безопасности, более не способны защитить сеть организации

Современные угрозы требуют комплексных, всеобъемлющих и тесно интегрированных решений по обеспечению безопасности, которые включают механизмы принудительного применения политик или контроля доступа, удовлетворяющие новым требованиям. Эти механизмы должны позволить организациям принудительно распространять свои политики безопасности на все устройства (управляемые и неуправляемые) при регистрации пользователей в сети, независимо от способов доступа, принадлежности, типов устройств, конфигураций приложений и моделей исправления.


Следующие шаги

Посмотрите демо-ролик о решении Network Admission Control. (Flash)


Узнайте больше об основных положениях решения Network Admission Control.


Более детальная информация в полном варианте статьи.

Механизмы контроля доступа должны включать в себя следующие функции:


  • Оценка и проверка полномочий: Сбор релевантной информации о безопасности оконечной точки прежде чем устройство получит доступ к сети и использование ее для проверки соответствия оконечной точки требованиям политики безопасности. Кроме этого должна быть обеспечена поддержка аутентификации пользователя.
  • Принудительное применение политик: Запрет, разрешение, перенаправление или блокировка доступа к сети, в зависимости от уровня требований соответствия политикам.
  • Исправление: Помощь в приведении в соответствие несоответствующих устройств. В идеале исправление производиться без участия пользователя и обеспечивать постоянное содействие в процессе приведения к соответствию путем автоматического обновления персональных компьютеров таким образом, чтобы они принимали текущие изменения и изменения требований политики безопасности.

Помимо основных требований к управлению доступом к сети, следующие действия значительно повышают квалификацию пользователей и качество работы администраторов:


  • Основные уровни оконечной безопасности: Проверка, что такие приложения как антивирусное ПО, персональные межсетевые экраны, пакеты исправлений и обновлений ОС, доступны и настроены должным образом.
  • Интеграция: Предотвращение попыток «обойти» политики безопасности за счет интеграции следующих возможностей: поиска уязвимых мест, выявления вредоносного ПО, настраиваемых клиентских сценариев, эффективной передачи данных и средств защиты.
  • Совместимость и способность к взаимодействию: Интеграция других приложений и предоставление возможности взаимодействия с продуктами защиты, которые могут быть приобретены организацией в ближайшее время.

Рассмотрение перспектив развертывания

Планируя применение механизма управления доступом к сети, задайте себе следующие вопросы:


Какие риски безопасности вы хотите минимизировать?

Определение рисков безопасности, на которые будет направлена работа механизма NAC (Network Admission Control – контроль доступа к сети), влияет на сферу действия проекта. Типичные риски безопасности включают мобильные оконечные устройства (так как зачастую профиль их системы безопасности устарел) и беспроводные соединения.


Существуют ли деловые политики и политики безопасности, которые поддерживают контроль доступа?

Необходимо упорядочить политики безопасности, чтобы обеспечить достижение соответствия между пользователями и их устройствами, до того как им будет разрешен доступ к сети. Кроме этого, необходимо обнародовать стандарты безопасности, таким образом, чтобы пользователи поняли существующие технические требования.


Готовы ли пользователи к новой среде безопасности?

При отсутствии постоянно действующих фундаментальных информационных программ, некоторые пользователи (особенно те, которые привыкли к неограниченному никакими условиями доступу к сети) могут быть не готовы к изменениям. Готовы ли пользователи, понимая первостепенное значение и преимущества управления доступом, перестроить свое поведение?


Каким должен быть тип архитектуры?

Например, если пользователи в большинстве мобильные, то имеет смысл сначала применить политики управления доступом к сегменту удаленного доступа. Если вас беспокоит уровень защиты офисов филиалов (из-за нехватки специалистов IT и безопасности), принимайте решение о применении управления доступом в первую очередь в удаленных офисах. Начав с нескольких небольших участков, можно получить знания и опыт, а затем провести более масштабное внедрение.


Какие последующие технические решения необходимы?

После того как выбраны основные направления работы, необходимо принять ряд детализированных технических решений. Необходимо определиться с конкретным оборудованием и требованиями к разработке плана, удовлетворяющими потребностям бизнеса. Например:


  • Каким образом компоненты управления доступом будут интегрированы в существующую инфраструктуру?
  • Как будет регулироваться использование ПО обеспечения безопасности, если вы предпочитаете не предоставлять лицензионное ПО гостям или наемным работникам?
  • Где будет размещаться управляющее оборудование?
  • Где будут храниться собранные данные?
  • Как будут обрабатываться мониторинг и отчетность?