趨勢一:將無客戶端化進行到底
2012年是國內市場提出無客戶端准入的第三個年頭,越來越多的機構開始投入無客戶端准入的用戶陣營。鑑於隱私、實施便捷性、維護度、故障點等多方面的原因,高端客戶或對準入有深入瞭解的客戶也更傾向於只需要一臺硬件化的設備就能夠幫助自己解決絕大多數的問題,one box,one day已經成爲了無客戶端准入產品的主打宣傳詞。對於意欲實施NAC的各行業,尤其是在政府行業,無客戶端化的准入產品已經成爲了必需的配置——鑑於前幾個年頭桌面產品風風火火的進入及其在2011年中的黯然退出,在信息化建設較爲先進的沿海各省份政府機構中,准入選型中的無客戶端化已經成爲了最基本的要求。當然,能夠提供可選的客戶端配置是必須的,尤其對於企業用戶來說,NAC所附加的功能(如交互式提醒、虛擬防火牆、准入環境下的軟件監測等)是一個增加管理權和控制力度的有效砝碼。
趨勢二:市場趨於穩定,品牌效應顯現
2011年是國內准入市場的第二波浪潮,NAC在各機構中的擴散度堪比iphone在個人電子消費領域的影響程度,各行業均有衆多用戶把准入控制列入到年度網絡安全建設的預算範圍內,甚至有高端用戶在幾年前已經部署的軟件准入系統之基礎上,停用原架構而改投硬件准入的陣營——有相當多的802.1x用戶中止了原系統的運行。在2011年我們看到,技術發展的日新月異驅動了許多准入系統的重建設和二次投入。但正如我們在《2011准入控制聖誕樹》中所描述的那樣,繁榮的市場背後卻是魚龍混雜,借安全趨勢而投機者大有人在,這正是國內安全市場多年來的發展痼疾:各類產品和廠家都想借時局的東風分一杯羹,但真正在技術領域有深層次積累和專業化投入的純准入團隊卻屈指可數。
在2012年,國內NAC市場將趨於穩定和冷靜,因此一大批淺嘗輒止的公司將淡出NAC市場而轉投其他門檻較低但利潤值更高的新概念安全產品,准入市場將最終由最具技術性和積累度的原創型品牌擔綱領銜。歷經了3年的涅盤,准入市場的鳳凰將破壁而出,品牌效應將在2012年真正開始顯現。
趨勢三:第三方無線准入產品面市
無線接入作爲數通技術發展的前沿領域已經是一個不爭的事實,這一點尤其在企業中表現得最爲明顯,2011年已經有高端企業在整個生產區域都實現了無線接入的全部覆蓋。對於大部分還在考慮辦公大樓無線化的用戶而言,這個建設方案實在太前衛了,投入產出比如何還值得考究。
不管無線與有線之爭的結局如何,我們起碼很欣喜的看到了國內用戶對於新興技術的關注度和投入熱情。但在從基礎無線部署遷移到大規模覆蓋之後,大量的無線通道該怎樣建設,以及需要建設到怎樣的安全水準也是管理者無法迴避的一個問題。目前大部分的無線安全均僅僅停留在2層的控制上,也就是在接入SSID時進行安全認證,比如WPA或WPA2,或常見的802.1x(這又回到了客戶端的老調上),但是對於需要在接入層全部覆蓋NAC的用戶而言,我們不得不再次強調一個談論了多年的原則:身份認證≠准入控制。這裏可以回到之前所提到的那個大規模無線部署案例,在大規模鋪設了專業的WLC、lightweight AP等設備後,該機構中具有前瞻性的管理者已經着手製定了合理的WLAN NAC方案,這裏就囊括了基本的3層認證、安全性判別、漏洞修復、虛擬防火牆等整套NAC架構,全部方案基於無客戶端模式,而需要強調的是,不同於傳統NAC在網關層面所做的工作,WLAN NAC方案的合格要求應該是在接入AP層就實施准入管理,在這樣的要求下,目前大部分技術白皮書中以網關技術來“支持”無線AP均只是隔靴搔癢。
對於WLAN NAC方案,國外廠商中也僅有少數網絡巨頭有整體的設計和產品,例如cisco,在WLC中直接集成了NAC屬性,但要真正用起來,其高昂的費用就不是國內用戶所能夠承擔的了,附加的NAC套件可能比搭建整個WLAN體系的費用還要貴不止一倍。因此對於大部分國內用戶來說,要搭建一個比較可行的WLAN NAC方案只能去考慮第三方NAC廠商,況且在兼容性上第三方廠商做的更爲優秀。
基於以上背景,在2012年,國內的NAC大廠將會跟進技術前沿的需求,推出第三方的無線NAC產品。而可以預計的是,在2012年中到今後的2~3年間,WLAN NAC將逐漸成爲網絡准入行業的主流方案,其所蘊含的高技術含量也將建立起網絡准入行業自身的准入門檻。
趨勢四:雲計算與准入坐擁2大安全體系
誰也不可否認,2011年不管是在基礎運營界還是網絡安全界,“雲”已經勢不可擋了。作爲資源集中化的最佳解決方案,“雲”同樣在安全領域帶來了摧枯拉朽的效果,可是在大家一陣風似的跪拜在“雲”腳下的時候,裏面到底是團棉花還是空氣就真的不得而知了。對於2012,甚至5年之內的安全界一個最大膽的預測是——NAC將與“雲”共同組成用戶內網的2大安全體系。對於用戶而言,由於“私有云”的長期存在,數據的保護和資源的配比將得到有效的控制和管理;而NAC則將從網絡層面保護整個雲的接入體系和“端”到“雲”的數據傳輸體系安全。巧合的是,沒有任何一個單一的產品能夠承擔整個“雲”體系,也沒有任何一個單一的產品能夠承擔整個NAC體系,2者在誕生之時就已經不謀而合,NAC與“雲”的握手必將火星四濺。
趨勢五:國家標準發佈
准入控制國標早在2010年就已經由公安部聯合國際國內5家知名安全廠商予以制定,其技術實現細則的初稿也早已提交,但由於國內准入技術發展的日新月異,加上無客戶端化浪潮的不斷演進,原有技術細則中過多偏向於802.1x技術實現的弊病也顯露無疑。標準頒佈後無法匹配現實甚至大大滯後於現實,這是標準制定方乃至廠商都不願看到的結局,在這個背景下,標準的頒佈日期確是撲朔迷離。我們相信,通過具有行業責任和社會責任的領導廠商及衆多支持者的不懈努力,NAC標準的船票將促使整個行業成長爲獨樹一幟的信息安全諾亞方舟。
趨勢僅僅代表着方向,2012年的網絡准入控制NAC市場還會有什麼新的奇蹟發生? 期待着與同行和用戶在新的一年裏共同見證。