Choć rozwiązania NAC są implementowane na urządzeniach końcowych oraz w sieciach – czyli jest to stricte działalność IT, moim zdaniem należy je postrzegać głównie pod kątem inicjatywy biznesowej.
Technologia Network Access Control zatrzymuje nieautoryzowanych użytkowników oraz stacje robocze niespełniające polityk bezpieczeństwa przed dostępem do sieci – i dzięki temu poprawia bezpieczeństwo oraz dostępność sieci. Jednocześnie rozwiązania NAC pomagają usprawnić procesy biznesowe w następujący sposób:
- Otwierają dostęp do sieci zarówno dla pracowników, jak i osób z zewnątrz, np. konsultantów, podwykonawców, kontrahentów itp.
- Poprawiają zarządzanie firmą – implementacja NAC dostarcza szczegółowych informacji audytujących do raportów na temat zgodności z normami branżowymi. W Polsce jest to jeszcze rzadko doceniane.
- Automatyzują procesy IT.
- Pomagają poprawić bezpieczeństwo oraz prywatność danych – separują nieautoryzowanych użytkowników od sieci.
Menedżerowie oraz kierownicy IT doceniają znaczenie bezpieczeństwa oraz wartość operacyjną Network Access Control, jednak osiągnięcie wspólnego dla nich sukcesu – tj. udana implementacja od strony technicznej oraz uzyskanie realnych korzyści biznesowych – może być utrudnione. Przy wdrożeniu NAC napotyka się na kilka problemów, które mogą prowadzić do niespełnienia oczekiwań pokładanych w tym rozwiązaniu:
- Pojedyncze rozwiązania nie skalują się – np. rozwiązanie dla komputerów podłączonych bezpośrednio do sieci poprzez przełącznik nie rozwiązuje problemu użytkowników bezprzewodowych lub pracujących zdalnie z domu.
- Problem z uzgodnieniem, jakie kryteria musi spełniać „zdrowy komputer” – kiedy stacja robocza nie jest zgodna z politykami, jakie działanie powinno być podjęte? Te relatywnie proste pytanie często prowadzi do skomplikowanej implementacji i tworzenia złożonych procesów. Tak naprawdę polityki NAC oraz technologii blokujących nie można postrzegać jako „czarnych” lub „białych”. Definicja „zdrowej” stacji może wynikać z roli użytkownika czy jego lokalizacji. Uruchomienie mechanizmów blokujących może zależeć, na przykład od tego czy użytkownik łączy się do sieci firmowej poprzez LAN, WAN, czy sieć bezprzewodową. Implementacja NAC, która nie bierze pod uwagę polityk na komputerze końcowym, może prowadzić do przestoju w dostępie do sieci i tym samym frustracji użytkowników.
- Implementacja może nie dać większych korzyści niż podstawowa weryfikacja bezpieczeństwa stacji końcowej – jeżeli projekt nie będzie motywowany potrzebami biznesowymi. Jak wspomniałem wcześniej, pomyślne wdrożenie nie zależy wyłącznie od departamentu informatycznego; cała operacja jest w dużej mierze uzależniona od współpracy między różnymi działami w firmie.
- Projekt NAC może nieść za sobą dodatkowe inwestycje – oprócz dodania oprogramowania na końcówkach oraz serwerów zarządzających, niektóre produkty NAC wymagają, np. zakupu nowych przełączników (lub aktualizacji ich oprogramowania), bezprzewodowych punktów dostępowych oraz specyficznej integracji pomiędzy switchami i serwerami uwierzytelniającymi.
Istnieje wiele podejść oraz punktów widzenia na temat implementacji systemu NAC. Osobiście podchodzę do tego zagadnienia od strony stacji roboczej, co moim zdaniem zapewnia najlepszą metodę oceny bezpieczeństwa komputera oraz jego automatyczną naprawę. Co ważne, to podejście daje firmom również komfortowy wstęp do wdrożenia całego systemu NAC.
Rekomenduję klientom podejście trójfazowe do implementacji, będące ewolucją, a nie swoistą rewolucją. Zaczynamy od blokady stacji roboczych, następnie częściowo zamykamy sieć, aby w finalnym etapie ostatecznie doprowadzić do pełnego zamknięcia/zabezpieczenia sieci.
- W fazie pierwszej zalecam, aby zacząć od włączenia funkcjonalności, które dostępne są w samym oprogramowaniu ochronnym na stacjach końcowych (np. poprzez wykorzystanie funkcjonalności zintegrowanej zapory ogniowej) – adresujemy stacje robocze oraz laptopy, którymi dotychczas zarządzaliśmy.
- W fazie drugiej przechodzimy do niezarządzanych końcówek naszych gości, łączących się do firmowej sieci – korzystamy z funkcjonalności separacji sieci poprzez tzw. Gateway Enforcera.
- Faza trzecia to pełna kontrola sieci, włączenie autoryzacji w oparciu o protokół 802.1x lub wykorzystanie możliwości, jakie daje rozwiązanie DHCP Enforcer.
Wraz z końcem ostatniej fazy projekt implementacji NAC zostanie ukończony. Wszystkie stacje robocze oraz laptopy przed uzyskaniem dostępu do sieci są zatrzymywane i sprawdzone, z kolei stacje nie spełniające polityk bezpieczeństwa są przerzucane do kwarantanny lub aktualizowane w czasie rzeczywistym. Poprawa konfiguracji komputera ewoluuje z pracochłonnej czyności IT do w pełni zautomatyzowanego procesu. Finalnie całość rozwiązania wychodzi poza zakres kontroli dostępu do sieci i zaczyna być elementem wymuszającym reguły autoryzacji. Specjaliści IT i menedżerowie często zapominają o ważnej korzyści – rozwiązanie Network Access Control może zapewnić dużo większe bezpieczeństwo, obniżając jednocześnie koszty operacyjne, a w szczególności czas osób zatrudnionych w dziale IT.
Maciej Iwanicki, Senior Presales Consultant, Symantec Polska
