NAC与端点安全框架 何去何从?
2008-09-10 13:22:09 来源:WEB开发网TNC的关键要素是支持RADIUS和802.1X验证服务器和协议的功能,另外还有端点上的可信硬件芯片和软件。
TNC的联合主席、Juniper Networks公司的产品经理Steve Hanna说:“这可不是需要全面改动的叉车式升级(forklift upgrade)。”它与思科采用的方案有着尤其明显的区别,后者使用思科的ACS验证服务器。
名为可信平台模块(TPM)的一种公钥基础设施(PKI)芯片增强了验证功能,有助于通过硬件实现方案来防止软件遭到潜在破坏,从而保护笔记本电脑的安全,远离未授权用户,比如窃贼或者仅仅捡到丢失笔记本电脑的人。
Hanna说:“如今你根本没法信任软件,因为PC可能遭到了零日漏洞(zero-day vulnerability)或者用户通过互联网下载的东西的破坏。要发现这个问题,惟一的办法就是借助可信硬件。”许多笔记本电脑厂商已经把可信硬件模块添加到了各自的产品线当中,包括戴尔、富士通、惠普和联想。
一旦验证检查获得通过,可信硬件里面的程序就会把控制权交给第三方软件代理,由代理检查设备遵从策略的情况,与负责处理网络验证和登录访问的TNC架构协同工作。作为一项开放标准,TNC有望使用任何一种执行机制。
思科的竞争对手Juniper已经在提供符合TNC的产品,这不足为怪。Juniper之前收购了开发RADIUS服务器产品的Funk软件公司。
SSL VPN支持是软肋
这三款解决方案都缺少了支持SSL VPN有功能。TNC的Hanna说:“谁都没有支持SSL VPN的任何产品,我们还无法支持它。不过我们预计很快就会出现这样的功能。”
SSL VPN方面要走很长的一段路。没多少厂商提供支持众多反病毒扫描器的功能,许多只支持Windows/IE组合,或者在网络登录之前扫描网络连接。问题的一方面在于,大多数VPN厂商在完成开发了第一批产品之后才添加了支持端点安全的功能。举例说,北电网络(Nortel)和Aventail在各自的VPN产品中有两套不同的访问控制——一个支持端点安全,而另一个不支持。许多SSL VPN厂商正与第三方端点安全厂商合作——提供NAC、NAP和TNC之外选择的市场在日渐壮大。
更多精彩
赞助商链接