WEB开发网
开发学院网络安全安全技术 NAC与端点安全框架 何去何从? 阅读

NAC与端点安全框架 何去何从?

 2008-09-10 13:22:09 来源:WEB开发网   
核心提示: ·微软的NAP偏重于健康评估和补救方案;它假定你从微软服务器和桌面系统开始着手;并且假定你主要关注的是确保它们安全运行,·可信计算组织的TNC采用了粗略的架构方案;它假定每个桌面系统都含有一种专门的硬件,NAC与端点安全框架 何去何从?(2),负责验证端点的安全

·微软的NAP偏重于健康评估和补救方案;它假定你从微软服务器和桌面系统开始着手;并且假定你主要关注的是确保它们安全运行。

·可信计算组织的TNC采用了粗略的架构方案;它假定每个桌面系统都含有一种专门的硬件,负责验证端点的安全未遭到破坏;并且依靠这个硬件来监控及执行端点策略。

我们不妨看一下这些计划,看看它们声称具有的功能以及各自存在的不足。

思科的NAC

NAC处于领先位置,这归功于同时出现了支持它的架构和产品。NAC旨在通过实施在路由器和交换机以及Windows和Linux客户端中的可信模块来保护网络访问。

现有众多厂商支持NAC,理由很充足:你需要其中几家厂商来组建一套完整的解决方案,以便满足端点安全需求的所有五个方面。你至少需要在端点上运行两个代理,才能处理比较复杂的策略以及检查遵从SSL VPN的情况。

NAC使用的客户软件思科可信代理(Cisco Trusted Agent)负责收集设备信息,并使?02.1X机制,把信息传送到思科的远程验证拨入用户服务(RADIUS)服务器:安全访问控制服务器(ACS)。而ACS与第三方策略服务器(反病毒和补丁)进行通信,确定遵从情况,并通过交换基础设施执行网络访问。

有些分析师认为,NAC需要部署太多的部件;实施起来可能有难度,因为要管理所有的互联网操作系统(IOS)更新工作,以便各部分协同工作;而且基础设施出现变化时,需要维护。

NAC的问题在于:它自身会带来全孤岛;依赖思科的RADIUS服务器作为惟一的验证机制;而且思科交换机需要最新版本的固件。此外,NAC不一定与思科的遗留基础设施协同工作,除非遗留系统更新到最新固件。

英国电信Radianz公司是一家面向金融服务行业的知名IT服务商,公司副总裁兼首席安全官Lloyd Hession说:“NAC问题的一方面在于,你必须升级IOS版本。我的网络上共有4万个路由器,对它们进行更新可不是容易的事情。”Hession改而选择了ConSentry公司,那样他不需要对网络进行MAC层过滤和访问控制。ConSentry销售的嵌入式安全设备能够自动评估及执行端点安全策略,确保遵从策略。

上一页  1 2 3 4 5 6  下一页

Tags:NAC 端点 安全

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接