Контроль доступа к сети (NAC) - это технология сетевой безопасности, которая предотвращает проникновение неавторизованных пользователей и устройств в частные сети и доступ к важным ресурсам. NAC, также известная как Network Admission Control, впервые получила распространение на предприятиях в середине-конце 2000-х годов как способ управления конечными устройствами с помощью базовых методов сканирования и блокирования.
По мере того как сотрудники, работающие в сфере знаний, становятся все более мобильными, а инициативы BYOD распространяются по организациям, решения NAC развиваются, чтобы не только аутентифицировать пользователей, но и управлять конечными устройствами и применять политики.
Как работает NAC
Средства NAC обнаруживают и обеспечивают видимость всех устройств в сети. Программное обеспечение NAC предотвращает проникновение неавторизованных пользователей в сеть и применяет политики на конечных устройствах, чтобы обеспечить соответствие устройств политикам сетевой безопасности. Например, решение NAC гарантирует, что на конечных устройствах установлена новейшая антивирусная защита и защита от вредоносного ПО.
Устройства, не соответствующие требованиям, могут быть заблокированы в сети, помещены в карантин или получить ограниченный доступ.
NAC работает в два этапа. На первом этапе, аутентификации, происходит идентификация пользователя и проверка его учетных данных. Большинство инструментов NAC поддерживают несколько методов аутентификации, включая пароли, одноразовые пароли и биометрию.
На втором этапе NAC применяет ряд факторов политики, включая состояние устройства, местоположение и роли пользователей. Большинство устройств NAC также имеют возможность ограничивать доступ по ролям, позволяя пользователям получать доступ только к тем ресурсам, которые необходимы для выполнения их работы.
Если пользователь или устройство не прошли этап аутентификации или авторизации, средства NAC блокируют или помещают устройство и/или пользователя в карантин.
Каковы различные типы методов NAC?
Методы NAC могут различаться по многим параметрам, но два общих различия связаны с тем, когда проверяется устройство и как система собирает информацию из сети.
Предварительное и последующее разрешение: Существует два способа авторизации доступа к терминальным устройствам с помощью NAC. При предварительном допуске устройства проверяются, а политики применяются до того, как им будет предоставлен доступ к сети. Этот метод лучше всего подходит для тех случаев, когда на устройстве может не быть новейшего антивирусного и антивирусного программного обеспечения.
В альтернативном варианте разработка после допуска в меньшей степени ориентирована на состояние устройства и в большей - на пользователя, применяя политики на основе поведения. Такой подход хорошо подходит для таких случаев использования, как гостевой доступ, когда онлайн-активность часто ограничивается просмотром веб-страниц и проверкой электронной почты.
Многие продукты NAC предлагают комбинацию этих методов, которые могут различаться в зависимости от местоположения, типа устройства или группы пользователей.
Разработка на основе агентов и без агентов: Еще одно архитектурное различие - сбор информации на основе агентов и без них. Некоторые производители NAC требуют, чтобы пользователи загружали программное обеспечение агента на свои клиентские устройства. Затем агент сообщает характеристики устройства системе NAC.
В противном случае решения NAC без агентов постоянно сканируют сеть и инвентарь устройств, полагаясь на поведение устройств и пользователей для принятия решений о выполнении.
Основные возможности системы NAC
NAC защищает сеть с помощью нескольких основных функций. К ним относятся:
Аутентификация и авторизация: Управление доступом пользователей и устройств к ресурсам.
Централизованное управление жизненным циклом политик: Обеспечьте соблюдение политик для всех пользователей и устройств, управляя изменениями политик в масштабах всей организации.
Обнаружение, видимость и профили: Находите устройства в сети, идентифицируйте их и объединяйте в группы с определенными профилями, блокируя неавторизованных пользователей и устройства, не соответствующие требованиям.
Гостевой доступ к сети: Управляйте гостями и предоставляйте им временный и часто ограниченный доступ с помощью настраиваемого портала самообслуживания.
Проверка уровня безопасности: Оценка соответствия политикам безопасности по типу пользователя, типу устройства, местоположению, версии операционной системы и другим критериям безопасности, определенным организацией.
Реагирование на инциденты: Автоматическое блокирование подозрительной активности, помещение в карантин устройств, не соответствующих требованиям, и обновление устройств для приведения их в соответствие с требованиями, если это возможно, - и все это без вмешательства ИТ-специалистов.
Двунаправленная интеграция: Интеграция NAC с другими инструментами безопасности и сетевыми решениями через открытые/RESTful API, позволяющие NAC обмениваться контекстной информацией (IP- и MAC-адреса, идентификаторы пользователей, их роли, местоположение и т. д.).
NAC и нулевое доверие
Хотя NAC - технология почти 20-летней давности, ее применение в основном ограничивалось предприятиями среднего и крупного размера. Однако по мере того как сетевые границы продолжают выходить за пределы физических границ предприятия, а пандемия COVID-19 ускоряет распространение домашних, мобильных и гибридных рабочих сред, NAC становится технологией, позволяющей реализовать подход к безопасности с нулевым доверием.
Поскольку сети становятся все более распределенными и сложными, команды кибербезопасности должны находить способы поддерживать видимость устройств, подключенных к самым отдаленным участкам сети организации. NAC обеспечивает такую возможность благодаря обнаружению и наблюдению за всеми устройствами, входящими в сеть, централизованному контролю доступа и применению политик на всех устройствах.
Основные варианты использования NAC
Повышенная мобильность сотрудников, увеличение числа устройств BYOD и необходимость поддержки гибридных рабочих сред в связи с пандемией вызывают потребность в усилении контроля сетевого доступа. К числу распространенных вариантов использования NAC относятся:
Доступ для гостей и партнеров: Решения NAC позволяют организациям предоставлять временный ограниченный доступ гостям, партнерам и подрядчикам. Решения NAC проверяют устройства гостей, чтобы убедиться в их соответствии политикам безопасности организации.
BYOD и работа из любого места: Поскольку сотрудники, работающие в сфере знаний, становятся все более мобильными, NAC используется для аутентификации пользователей, которые могут находиться на неизвестных устройствах и в неизвестных местах, а также для применения политик в отношении этих пользователей и устройств. Если сотрудник берет устройство компании домой, NAC гарантирует, что внешнее вредоносное ПО не проникнет в сеть, когда устройство снова войдет в сеть организации.
Гибридные рабочие среды "работа из дома" и "везде и всюду", возникшие во время пандемии COVID-19, развиваются по схожей схеме: решения NAC аутентифицируют пользователей, обеспечивают соответствие устройств политикам и ограничивают доступ к ресурсам в зависимости от местоположения и роли пользователя.
IoT: Способность NAC обеспечивать видимость, аналитику устройств, применение политик и управление доступом помогает снизить риски, связанные с проникновением IoT-устройств в корпоративные сети. Средства NAC могут инвентаризировать и помечать каждое устройство, когда оно входит в сеть, классифицировать IoT-устройства по группам с ограниченными разрешениями и постоянно отслеживать поведение IoT-устройств. NAC автоматически применяет правила для обеспечения соответствия устройств политикам бизнеса, безопасности и нормативно-правового соответствия.
Медицинские устройства: Для IoT-устройств в высокорегулируемых средах здравоохранения NAC может не только обнаруживать и блокировать несанкционированный доступ к устройствам и медицинским записям, но и применять политики, обеспечивающие соответствие устройств в сети здравоохранения нормативным требованиям, таким как HIPAA. NAC также может обеспечить соблюдение политик при удаленном доступе медицинских работников к сети.
Реагирование на инциденты: После развертывания системы NAC организации могут использовать ее для обмена информацией, такой как идентификатор пользователя, тип устройства и контекстная информация, со сторонними продуктами точек безопасности. Это позволяет автоматизировать реагирование на инциденты, когда система NAC автоматически реагирует на предупреждения о сетевой безопасности, блокируя и/или помещая в карантин потенциально скомпрометированные устройства без вмешательства ИТ-специалистов.
NAC и соответствие
Соответствие нормативным требованиям стало одной из движущих сил внедрения NAC, поскольку все больше отраслей регулируют работу предприятий с данными потребителей и защиту конфиденциальности. Системы NAC могут помочь организациям поддерживать соответствие целому ряду нормативных требований, включая, в частности, HIPPA, PCI-DSS, GLBA, SOX, GDRP и CCPA.
Эти требования к конфиденциальности обычно сосредоточены на понимании того, кто, что, когда и где использует пользователи и устройства в сети, а также на ограничении доступа к конфиденциальным данным только для тех, у кого есть законные потребности. Демонстрация того, что вы достигли всего этого с помощью повторяющихся и проверяемых процессов, также очень важна для соответствия требованиям.
NAC может удовлетворять различным нормативным требованиям, обеспечивая контроль доступа, применение политик в отношении пользователей и устройств, видимость сети и аудиторские записи. Кроме того, многие производители NAC имеют встроенную функциональность, помогающую организациям автоматизировать соблюдение таких распространенных нормативных требований, как HIPPA, PCI-DSS и SOX.