NAC:犯了什麼錯誤？

近來看到了一個介紹NAC的英文文章，是networkworld在去年5月份的一個報道，下面是其英文鏈接。
http://www.networkworld.com/reviews/201 ... -test.html
找個時間將其翻譯爲了中文，供大家來共同對NAC市場的進行探討。
由於E文水平有限及對NAC的理解受限，翻譯不好請多多見諒。

 

 

NAC:犯了什麼錯誤？

 

經過5年之後，IT經理髮現部署網絡訪問控制仍然不是一件容易的事情。

 

在對12個業內領先的網絡訪問控制長達4個月的實驗室測試之後，我們得出了下面的結論：進過5年的商業化宣傳推廣，白皮書和產品的發佈以及標準爭論與經銷商的炒作後關於NAC的真正含義仍然是不清晰和難以理解，這個和2005年第一個NAC產品面世時候情況一樣。

我們對Microsoft，Cisco，HP， Juniper，McAfee和Symantec等重量級的NAC產品的逐一比較專題將出現在網絡世界的6月21日期刊上面。在這篇報道中我們分析了在企業環境中部署這些NAC的障礙。

網絡訪問控制，我們定義爲一個包含認證，端點安全檢查和訪問控制的聯合體，最早出現的時候是用來解決移動終端用戶接入企業網絡的問題。NAC試着解決以下真正的問題並給出真正的答案：誰正在接入我的網絡？他們健康嗎？我能控制他們訪問的目的嗎？如果他們出現狀況我可以隔離他們嗎？

基本上來說，在我們這個行業隨着時間的推移產品都是相同功能和特性的聯合。例如來自不同廠家的交換機都是具有非常大的替換性。將HP的交換機替換爲Enterasys交換機這個時候網絡仍然會繼續工作正常，但是NAC卻不行。NAC的產品相互之間很少有相似性。即使仔細的比較，網絡管理員纔可能找到2到3個有可比性的產品。但是找出可比性的產品是非常困難的，如果這樣做預示着網絡管理員已經知道了他們所期望的功能和特性。

在NAC裏面沒有最好的產品，因爲在我們比較的12個產品中他們幾乎是12個不同的產品。

障礙1：政策的問題

一個特別困難的問題是在網絡內找到一個產品既可以滿足政策要求又滿足技術要求。由於NAC包含安全，網絡管理，終端管理，NAC的部署面臨的企業組織架構問題要大於技術問題。

爲了避免這個問題，通過進行折衷，NAC廠家的產品會降低跨部門合作的必要性。然而每一個NAC廠家進行折衷的時候關注的地方不一致，關注的程度也不一樣。比如Symantec的產品完全關注於桌面團隊，然而HP卻關注於網絡建設，配置和維護的團隊。

所有這些都增加了期望部署NAC產品的網絡管理員的障礙。即使不考慮產品的價格，僅僅考慮哪個產品可以滿足要求和是否這些產品能夠在企業內使用起來這個相對於交換機，防火牆和服務器等就更困難和更耗費時間。

障礙2：廠家的不同點太多

NAC具有認證，端點安全檢查和訪問控制三個組件，但是廠家傾向於將他們的產品重點關注於他們的強勢部分。這個意味着NAC廠家將焦點關注於三個組件中的一個而忽略其它的兩個。例如：對於McAfee的產品，他們關注的是他們的端點安全產品ePolicy Orchestrator，對於Juniper，他們關注的是他們對防火牆，交換機的網絡安全組件。

這種產品不同點也在於大家對於達到相同目的可以有不同的最好方法的一個認同。這種缺少一致性的問題也導致在對網絡內部署NAC感興趣的人的一些困惑，比如認證重要嗎？不重要嗎？

對於這個問題，如果你詢問Forescout，他們的回答是不重要。因爲他們的產品很少關注最終用戶的認證。訪問控制重要嗎？如果你問Bradford，他們的回答是不重要，因爲他們的產品主要關注於終端設備的標識然後劃分到各個不同的VLAN，根本就不區分用戶和控制他們的訪問。而且如果你想了解終端安全是否重要，不要去問HP，他們的設備出廠根本就不支持端點安全檢查，除非你去尋找一個第三方的廠家來實現這個功能。

當然每一個NAC廠家都會硬性的包含其中的一點或者一小部分，以便滿足在進行投標或者政府強制規範中的特性要求。但是在我們的測試中發現，這個其實只是在廠家的核心產品上面增加的一個基本功能。

由於NAC廠家缺少共性，網絡管理員經常陷於NAC是否能夠帶來真正的價值或者是否值得采購和部署的困境。

障礙3：互通性的災難

網絡世界2007年在對NAC產品進行對比測試的時候將產品分爲兩個部分，一個測試關注於2個標準（Cisco和TCG），這個包含有30個產品符合這兩個標準。其它13個產品擁有自己的獨立標準。我們本來期望如今有一個統一的標準而且所有的產品都符合這個標準可以進行互通。

不幸的是在2007年獨立標準產品在2010年還是保留在獨立標準階段。這樣的產品在2007年的13個產品中，我們今年看到了7個。這13個產品中只有Juniper向標準的兼容性方面有了提高（其它3個已經消失了，2個已經停止銷售，1個已經被收購）。

甚至對於舊的標準，比如IEEE的802.1X，在許多的NAC產品中也沒有得到完全的支持。雖然我們發現一些產品在竭盡全力的支持和使用802.1X，但是其它的一些產品只是事後的簡單802.1X支持。

這個減少了網絡設備廠商和NAC廠商之間的互通性。每一個廠家都有工作正常的優選安全產品，但是如果你期望將這些產品組織起來，你會發現你的NAC部署不能甚至是不可能進行工作。這個就會導致一個奇怪的廠家期望鎖定結果：你的NAC產品會限制你改變你使用的網絡設備廠家，認證廠家和端點安全廠家。

由於很少產品支持統一的標準，網絡管理員會發現一個真正的即插即用的NAC產品還有很長的一段路要走。

障礙4：部署的難度

對於NAC廠家來說一個長期的戰鬥是部署的難度。雖然很多NAC的產品都設計爲可以在企業的網絡逐步的推廣甚至是逐個的端口推廣，但是部署NAC也是一個長期的過程。更重要的是部署NAC會包含許多重要的決策點，如果這些決策點沒有一直推行，那麼整個的部署可能又要重現開始。對於一些簡單的問題比如“我如何進行認證”或者“我用什麼機制來進行訪問控制”如果沒有豐富的實施經驗是很難進行自信的回答，然而這些又必須在NAC部署之前進行決策。

 

我們的經歷對於網絡管理員來說是一個啓示。在我們的小型測試中只有12個產品可以在一天之內安裝和工作正常，對於一個只有幾個交換機和子網的網絡大部分的產品要花費2到5天的時間纔可以正常工作。如果NAC部署花費的較長的時間，那麼網絡展示將比期望的時間更長。

網絡管理員也會發現日常的網絡維護和調試也是一個巨大的挑戰。大部分的產品和交換機聯動進行VLAN切換或者將ACL下發到端口上面。網絡管理員則不得不去學習如何在現有的設備上面去發現和維護這些動態的信息。雖然交換機廠商已經進行了改善以便簡化這些調試和跟蹤，但是不是所有的人在網絡內都有最新的設備或者軟件升級。

如果NAC產品是串聯的，那麼又帶來了另外一個挑戰，因爲現在網絡管理團隊有了一個新的設備要學習和調試。還有一種更糟糕的情況是如果NAC產品是通過修改網絡協議實體比如Arp表（Trustwave NAC）或者修改網絡協議信息（Forescout NAC）來進行訪問控制，那麼調試將更加麻煩。因爲這些產品採用的行爲在正常情況下是永遠不會出現的，如果他們產品出現失誤則根本就沒有簡單的方法去跟蹤和發現。

故障5：潛在的可伸縮性問題

在我們這次的測試中缺少可伸縮性和可用性是一個很突出的問題。我們沒有測試當將所有流量都匯接到一個端口下面時候的網絡性能。早期的NAC產品大部分是串聯的，這個意味着你必須購買每一個硬件或者方案部署在你期望進行控制的每一個交換機和網絡之間。

針對全網的可伸縮性，大部分的網絡管理員認同在網絡邊界進行強制是必要的。我們這次測試的要求進行串聯部署的產品通過一些附加的說明也可以工作在邊界處。比如McAfee的產品在進行認證和安檢的時候是串聯的，但是會儘可能快的重構網絡以便將自身移除出去。Juniper提供的產品既包含串聯的也包含邊界的，不過對於採用防火牆的串聯設備會比採用交換機的邊界方法提供更多精細的控制。許多NAC廠家會包含一個串聯的方法用來解決一些必須必須的環境（比如WAN，***或者無線網絡）。

雖然我們沒有測試高可用性，但是我們檢查了每個產品的架構確保在NAC產品出現各種問題時候可以繼續工作，發現每一個廠家都有一個比較信服的說法。

網絡管理員對於隱藏的可伸縮性應該保持警惕，因爲我們測試的一些產品在推廣到一些大型網絡的時候都有一些顯著的問題。比如Forescout 和 Trustwave 的產品要求他們控制的所有終端的網絡流量都經過他們的設備，這個對於大型的網絡明顯是一個問題。還有一些比較潛在的考慮是比如一些依賴不可靠的SNMP協議或者要求輪詢每一個邊界交換機以便發現終端的變化。這些設計可以滿足一部分的要求，但是當網絡大規模的擴展時候或者一些舊的交換機CPU負載過高的時候可能會引起問題。

當我們和我們測試的廠家探討這些問題的時候，我們得到了一個共同的建議：好的售前溝通是成功的關鍵。爲了保證網絡管理員選擇的產品可能很好的在網絡內進行伸縮，在銷售階段他們應該提供儘可能多的信息以便各個廠家可以適當的調整他們的產品。

故障6：投資回報率（ROI）問題

對於新的技術好的網絡管理員經常會生成一個商業案例：這個東西花費多少，可以爲我們節省多少。如果節省比花費多，那麼是一個好的案例。對於NAC網絡管理員很難有時間去計算這個案例。

這個並不是說NAC沒有用處，而是這些好處經常模糊的歸納到安全的投資回報裏面去了，而這個卻是最難計算的。避免沒有小的***價值多少？避免沒有大的***價值多少？有多大的可能存在***？這個技術是否肯定可以避免***？這些都太難計算了。

 

廠家提供的ROI計算其實沒有很多的幫助。一些給我們提供了一個很便宜的價格，比如微軟在Vista，XP SP3和Windows7中提供了全套的NAC產品，如果你期望購買Windows，那麼這些幾乎是免費的。

但是即使NAC是免費的，那麼部署是昂貴的。部署要花費時間，而時間是金錢。你可能不得不買更多的交換機或者更新交換機，你也必須去了解你的網絡如何才能工作的更好，你也可能對你內部流程進行修改，刪除增加等。

廠家應該怎麼辦？

NAC是沒有達到預期，但是NAC也沒有消亡。Frost 和 Sullivan 預期2010年NAC可以銷售7500套大致2.5億美元的銷售額，而且每年以25%的速度增長。廠家也沒有看到預期的增長和收益，那麼廠家如何才能在企業內加速NAC的部署呢？我們提供瞭如下的建議：

1.       爲了避免政策問題，廠家應該將產品合理的分爲三個部分：網絡，桌面，安全。如果NAC產品可以讓每個團隊用最適合他們網絡的方法部署NAC中困惑的一部分，那麼成功的可能性就更高。

2.       對於ROI，除了降低數據丟失或者***的分享外，一些擁有NAC的企業已經看到了成本的節省。對於NAC廠家來說，接下來要做的是：計算出除了安全風險以外的NAC可以帶來的好處。我們在測試中看到了一些突出的儀表盤和可視化的工具。爲了把NAC變爲主流，這個是部署NAC的一個必要的好處。

3.       NAC的複雜度是其中的最大障礙。廠家已經增加了很多特性和複雜度到他們的產品中，正如他們從客戶處學習到的客戶需要什麼和客戶應該需要什麼。他們不太可能把這些完全拋棄然後重新開始。

 

然而如果風險投資仍然爲新創企業提供資金支持，依靠從業內所有人吸取的教訓，有着乾淨框架的新產品肯定能夠從中脫穎而出。否則NAC作爲一個偉大的創新會繼續頹廢而無法真正的騰飛。