2014-02-25為BYOD而生的下一代NAC

張貼日期：2014/2/24 下午 06:29:53

過去，為了管理企業中眾多的網路連網設備，資安廠商推出了所謂網路存取控制(Network access control; NAC)的方案，這一類型的產品，主要是針對企業內部靜態存在的桌上型電腦和筆記型電腦，目的是要求所有的連網設備必須要經過驗證與授權，才能存取企業網路或其他網路設備所提供的服務與資料。 

不過，若是在NAC的資安管理政策中，限制員工只能使用一台公司配發標準的電腦，才能連結公司網路來工作，在現今行動裝置普及的時代中，似乎不能滿足員工的工作需求。因為許多人可能同時使用好幾台行動裝置，而這些設備也可能是私人擁有的，過時的NAC方案已滿足不了企業面臨的BYOD需求。

企業網路存取控制的重點

因此，未來的NAC方案，其控制重點在於如何維持一貫的網路設備控管政策，並且也能允許BYOD經由身分與設備驗證之後，在企業中能夠合理的應用，以下將是下一代NAC為因應BYOD的挑戰，所應具有的功能特色。 

1. 設備能見度：在企業之中，行動裝置在一天的工作之中可能來來去去，不斷地穿梭在企業的網路環境，因此NAC必須在這些設備具有連網能力之前，就能夠發現它，並且透過身分驗證機制來掌握誰是使用者，所使用的設備類型是什麼，以及允許存取的資源可能存在的風險。換句話說，NAC不只要能夠識別裝置類型，更需要包括所使用的軟體狀態，並且判斷使用者可以存取網路的所在地點和時間。 

2. 自動化存取管控：下一代的NAC可以讓管理者自行定義彈性的存取政策，並且自動化的判定使用者在何種情況下，可以使用哪些設備並且連結哪一區段的網路，並且結合企業已存在的目錄服務 (AD)，以便更容易地來依據使用者所屬的不同群組，賦予所需的存取權限。另外，NAC也能夠依據預先設定的連網時間和網路流量，限制使用者的使用行為。 

例如針對訪客，NAC可能只給予Internet的連線，但針對經過授權的研發人員，可以給予存取研發資源的網路權限。此外，若發現使用者的設備存在安全弱點，NAC將會控制其先在一個隔離的網路區，在安裝完成修補檔案或更新病毒碼之後，才會讓它連結企業的內部網路。 

3. 自動化配置供應：如今如果想要存取企業的網路資源，還需要等待漫長的申請流程，很可能會影響企業的工作效率，因此NAC能夠基於「誰、什麼時間、什麼地點、存取什麼資源」的原則，評估使用者和其所使用的設備可能產生的風險，自動化地給予其合理的網路存取權取。當然，對於違反政策的行為，也能夠及時地阻斷使用者與設備的連線。 

4. 與MDM方案結合：許多企業針對BYOD的管理，可能已經導入了行動裝置的管理方案，下一代的NAC應能夠與MDM相互整合，以便發揮整體的存取管理功效。 

5. 具有分析能力：下一代的NAC可以針對連網裝置提供詳盡的報告，這將有助於企業更容易地管理愈來愈多的BYOD行動設備，也能夠協助企業分析網路效能、設備軟體授權及符合法規的要求。 

如果企業正在考量導入有關行動裝置和網路管理的方案，那麼如何能夠協助企業進連網設備認證管理、行動裝置使用安全，並且提高企業對於BYOD的能見度等，以上幾點將會是您選擇評估的重點。