Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Поставщики решений NAC готовятся к наступлению

Джоэл Коновер

Компании Cisco, Microsoft и объединение Trusted Computing Group соперничают между собой за доминирование на рынке средств контроля доступа к сети. Проведенный нами интерактивный опрос призван выяснить, что при этом главное — узнаваемость бренда или открытый стандарт.

Аббревиатура “NAC” обозначает системы контроля доступа к корпоративной сети, поддерживающие широкий диапазон функций, таких, как идентификация пользователя, оценка состояния хоста и нейтрализация угроз, объединенный с контролем доступа, который базируется на корпоративной сетевой политике. Однозначного толкования этого акронима не существует, и то, чего ожидают потребители от возможностей систем NAC, меняется по мере развития событий. Ранее журнал Network Computing уже публиковал развернутый анализ новых предложений и стоящих за ними конкурирующих архитектур в области NAC (см.: Сети и системы связи. 2006. № 6. С. 92). Сегодня — т. е. полгода спустя — рынок активизировался еще больше, на нем работают десятки производителей, конкурирующих между собой за ваше внимание и ваши денежки. Основываясь на результатах обширного интерактивного опроса, редакция нашего журнала и отраслевые аналитики из компании Current Analysis предприняли совместный “мозговой штурм” с целью предоставить однозначное и четкое определение NAC, а также выявить текущие ожидания клиентов и их потребности.

Вопросы и ожидания

Мы начали наше исследование с опроса читателей, в котором приняли участие 303 респондента. Они сообщили нам, что принимали непосредственное участие в выборе или внедрении NAC-продуктов. Каждому из них было предложено ответить на 35 конкретных вопросов о NAC-решениях и связанных с ними технологиях.

Полную версию данной статьи смотрите в 14-ом номере журнала за 2006 год.

Затем мы соотнесли ожидания потребителей с тем, что предлагает большое количество отобранных нами конкурирующих производителей NAC-продуктов, и четко выделили пять функциональных возможностей, которые сегодня все ждут от них.

1. Оценка состояния хоста перед соединением с сетью.

2. Помещение хоста на карантин и нейтрализация угрозы.

3. Контроль доступа к сети на основании идентификации пользователя.

4. Контроль доступа к ресурсам сети на основании идентификации пользователя и корпоративной политики.

5. Мониторинг угроз и ограничение распространения возникшей угрозы.

Большинство наших респондентов делали акцент на решении какой-либо одной из двух основных проблем. Первой из них значилась идентификация пользователя и контроль его доступа к сети на основании определенной корпоративной политики, второй — нейтрализация угроз, исходящих от зараженных хостов в сети. На сегодняшний день ни один производитель не предлагает продукт, в котором реализуются все пять вышеперечисленных функций, но ведь и большинство заказчиков пытаются решать только часть проблем управления доступом. Многие производители в своих разработках сосредоточили усилия либо на оценке состояния хоста перед соединением с сетью, либо на механизмах идентификации пользователя и контроля доступа.

Зачем нужен NAC именно сейчас?

Наш опрос отражает мнение тех, кто уже давно стал приверженцем систем NAC. Его результаты показывают, что корпоративные пользователи, пытающиеся внедрить продукты NAC, образуют, как говорится, только верхушку айсберга данного рынка. У 36% из общего числа опрошенных нами респондентов намерение внедрить NAC возникло под влиянием требований закона HIPAA в отношении безопасности информационных систем организаций, занятых в сфере медицинского страхования. Этим организациям предписано контролировать доступ к хранящейся у них информации, основываясь на идентификации пользователей. Производители NAC-продуктов подтвердили нам, что организации здравоохранения являются самыми крупными потребителями продукции зарождающегося рынка NAC, а сразу за ними идут учреждения образования.

Требования законодательства — это мощный импульс развития рынка средств информационной безопасности. Влияние этих требований четко прослеживается и на рынке NAC. Наш опрос показал, что руководители высшего звена многих организаций настаивают на применении в их сетях NAC-решений и перед отделами ИТ ста-вят задачу: изучить имеющиеся на рынке продукты и приступить к внедрению данной технологии. Из числа опрошенных нами респондентов 96% отметили, что на их решение внедрить NAC повлияло по крайней мере одно правительственное или отраслевое узаконение. Управление доступом к сети становится основной статьей расходов организаций в части соблюдения требований законодательства. Решения, обеспечивающие контроль доступа к сети на основании идентификации пользователя, могут существенно повысить оценку их законопослушания.

Многие действующие правительственные или отраслевые узаконения не содержат конкретных формулировок в отношении информационной безопасности и контроля доступа на сетевом уровне. В них также не установлена мера ответственности за несоблюдение соответствующих требований. Но ситуация меняется, и производители NAC используют сетевые угрозы как жупел для продвижения своих решений, особенно в структурах с вертикалью подчиненности, в которых соблюдение законодательства ставится во главу угла. Даже если оставить в стороне этот вопрос, то желание знать точно, кто в данный момент обращается за данными к вашей сети, — это проявление простого здравомыслия в ведении бизнеса, и решения NAC обеспечивают эту возможность.

Применение систем NAC диктуется также изменениями самой рабочей среды. Мы попросили респондентов проранжировать категории пользователей по степеням привносимых ими потенциальных угроз безопасности ЛВС. В ответе 40% опрошенных прозвучало, что наибольшую угрозу представляют пользователи-визитеры, а 30% респондентов ко второй по значимости категории угроз отнесли сотрудников, работающих по контракту. На третьем месте стоят так называемые мобильные сотрудники. Сегодня многие организации разрешают доступ к своим сетям пользователям-визитерам, что является серьезным отступлением от правил политики безопасности ЛВС, действовавшей в прошлом.

NAC — от Cisco, NAP — от Microsoft

На сегодняшний день существуют три конкурирующие архитектуры NAC. 65% респондентов знакомы с NAC-решением компании Cisco (CNAC) или уже используют его. Явно лидирующая в гонке за узнаваемость своего бренда Cisco Systems занимает также первое место относительно того, чего ожидают потребители в деле обеспечения интероперабельности и выбора предпочтительной платформы. Есть только одно “но”: отвечая на вопрос о важности “привязки” к платформе или стандарту, респонденты, не задумываясь, отдали свои голоса за CNAC, но еще более уверенно они высказались за соответствие любому отраслевому стандарту (см. диаграмму).

Доминирующее положение Cisco на рынке ИТ-инфраструктуры в принципе гарантирует, что потребители будут все увереннее предпочитать ее программу управления допуском в сеть (Network Admission Control). Но пока Cisco наслаждается этой ситуацией, такую радужную картину ей все больше “омрачает” фирма Microsoft со своей архитектурой защиты доступа к сети (Network Access Protection — NAP), создавая Cisco сложности в отношениях с корпоративными заказчиками. И это несмотря на то, что обе компании заявили о своем сотрудничестве в деле разработки интероперабельного решения!

NAP от Microsoft дополняет CNAC в одном и повторяет в другом. Впервые о NAP как о наборе расширений ОС Windows Server 2003 и Windows XP было заявлено в июне 2004 г. в официальном документе фирмы “Network Access Protection Platform Architecture for Microsoft Windows Server 2003” (“Архитектура платформы защиты доступа к сети для Microsoft Windows Server 2003”). В этом документе была описана сложная, многоуровневая программная система, обеспечивающая расширенную оценку состояния систем, карантин и нейтрализацию угроз с использованием протоколов PEAP (Protected Extensible Authentication Protocol) и PPP (Point to Point Protocol) для сеансов удаленного доступа и средств контроля на базе протокола DHCP для доступа к ЛВС.

Первый вариант архитектуры NAP от Microsoft был полон уязвимостей. Безопасными оставались только относящиеся к ЛВС решения на базе протокола DHCP. В собственной документации Microsoft предупреждала, что злонамеренный пользователь, назначив себе локальный IP-адрес, может “перехитрить” всю архитектуру NAP. Последняя требовала, чтобы контроль соблюдения политики безопасно-сти, помещение в карантин и нейтрализация угроз осуществлялись несколькими Windows-серверами и чтобы в каждом настольном ПК была установлена программа-агент службы карантина. При работе в среде с удаленным доступом необходим был также фирменный сервер IAS. Эта версия NAP не предлагала никакого использования собственных возможностей инфраструктуры ЛВС по управлению активами, ресурсами и безопасностью. Кроме того, продукт Microsoft был жестко привязан к ОС Windows. Поддержка других ОС или других платформ, кроме PC, не предлагалась.

Компания Microsoft, как уже говорилось, пообещала работать в тесном сотрудничестве с Cisco при разработке интегрированного решения CNAC/NAP. Были описаны некоторые технические детали разработки, но конкретика того, как NAP будет интегрироваться с CNAC, пока неясна. Сегодня Cisco приходится потесниться на рынке: многие производители объявили о своем участии в программе Microsoft NAP, хотя некоторые из них доверительно сообщили нам, что для сетевой интеграции компонента NAP использует протокол 802.1Х и мало чем отличается от CNAC. Решение NAP все еще остается ориентированным только на ОС Windows.

Microsoft играет ключевую роль в разработке технологии NAC, предоставляя универсальный интерфейс для аудита и оценки состояния систем. Однако компания допустила ошибку, не сумев авторитетно заявить о своем видении решения NAP. Не делая практически никаких подвижек в данном направлении в течение двух лет, она породила опасения и неуверенность на рынке. По заявлению 48% наших респондентов, они не приобретут NAC-решение до тех пор, пока не поймут, какова роль Microsoft на этом рынке, и всего 36% опрошенных заявили, что планируют приобрести NAP-решение, когда оно созреет.

Соперники

Итак, в левом углу NAC-ринга — Cisco, действующий чемпион в области сетевой инфраструктуры, а в правом — толпа рассерженных конкурентов, раздосадованных тем, что компания может себе позволить единолично определять свою фирменную архитектуру контроля допуска к сети, а уже после этого выборочно решать, кому из поставщиков позволить участвовать в ее программе. Группа справа объединилась, чтобы сформировать Trusted Net-work Connect (TNC) — подгруппу в объединении Trusted Computing Group (TCG), задачей которой является разработка открытого отраслевого стандарта для NAC. В центре ринга — компания Microsoft, согласившаяся работать как с Cisco, так и с TNC, и имеющая свою собственную партнерскую программу, которую уже поддержали 66 фирм. Microsoft участвует как в программе Cisco, так и в программе TCG.

Является ли CNAC стандартом де-факто? Если учесть, что в разработке этой программы участвуют 65 поставщиков, то может показаться, что отрасль и Cisco сплели руки, чтобы закружиться в одном большом счастливом хороводе. Но единственный эффективный стандарт в CNAC — это “двойной” стандарт. Возьмем, к примеру, контроллер Secure LAN Controller компании ConSentry Networks, который мы рассмотрели в статье, посвященной теме поиска нелегальных узлов (см.: Сети и системы связи. 2006. № 6. С. 98). В то время ConSentry была членом программы CNAC. Но в мае 2006 г. она объявила о своем коммутаторе Secure LAN Switch, тем самым вторгшись на территорию Cisco. Несколько дней спустя ConSentry уже была вычеркнута из списка партнеров CNAC. Открытые стандарты отделяют протоколы от политики и защищают покупателей ИТ-продукции от закулисных игр производителей. Подход Cisco вселяет в клиентов уверенность в завтрашнем дне, однако делает их заложниками программы, в которой эта компания полностью контролирует сетевую архитектуру, к которой они оказываются жестко привязанными.

TNC изо всех сил старается поднять свою популярность как в корпоративной среде, так и среди производителей. Корпоративным пользователям, отвечавшим на наши вопросы, платформа TNC была мало известна. Она оказалась знакома только 30% респондентов, тогда как о платформах Cisco и Microsoft знают почти 40% опрошенных. Опрос показал, что продуктам, поддерживающим стандарт TNC, отдается меньше предпочтения. Он также выявил следующее: если рассматривать интероперабельность, то респонденты больше склоняются к CNAC и Microsoft NAP, чем к TNC.

Но, повторяем, в своих ответах эти же самые респонденты ясно дали понять, что они предпочитают иметь “какой-нибудь стандарт” или “любой стандарт”, а не какую-либо фирменную структуру — будь то CNAC, Microsoft NAP или TNC.

Trusted Network Connect Sub Group (TNC-SG, подгруппа TCG) разработала и обнародовала открытую архитектуру и набор стандартов для оценки целостности конечных узлов. К TCG присоединились более 100 участников (они могут выбирать, участвовать им в работе TNC-SG или нет) и примерно десять из них выпустили продукты, соответствующие архитектуре TNC.

Некоторые из производителей, с которыми мы разговаривали, были разочарованы тем, что TNC не обеспечила достаточную осведомленность рынка о своей архитектуре. Они также выразили беспокойство по поводу того, что, даже если TNC разработает стандарт, у нее нет организации, которая обеспечила бы контроль за интероперабельностью решений. Мы также заметили растущее неудовлетворение респондентов медленными темпами разработки протоколов и методов в рамках рассматриваемого стандарта. На выставке Interop 2006 подгруппа TNC предприняла некоторые серьезные шаги, продемонстрировав большинство своих важнейших механизмов перехода от стадии “проверки концепции” к потенциально интероперабельному решению для гетерогенной среды. На выставке несколько производителей показали интероперабельность своих продуктов, среди них компании Fujitsu, Hewlett-Packard, IBM, Juniper Networks, Meetinghouse Data Communications, Nortel Networks, Symantec и Wave Systems.

Короче говоря, хотя TNC и отстает в своих наработках, рынок все еще очень молод, и ее деятельность пока не следует сбрасывать со счетов. Подгруппа разработала ингредиенты NAC-решения и даже продемонстрировала свой рецепт объединения этих ингредиентов вместе. Но, как говорится, чем дольше этот пирог будет находиться в духовке, тем труднее предсказать, окажется ли этот рецепт от TNC удачным или нет.

Разработка стратегии для NAC

Наш опрос показал, что для решения своих конкретных проблем респонденты хотели бы взять на вооружение не одну технологию, а, как минимум, несколько. Развитию NAC способствует актуальность трех базовых проблем: обеспечение принудительной реализации политики контроля доступа; соблюдение требований законодательства в отношении информационной безопасности; обеспечение контроля доступа к сети разного рода “неорганизованных” пользователей, в том числе партнеров и подрядчиков.

Оценка состояния хоста и идентификация пользователя вместе формируют основу для эффективной реализации корпоративного NAC-решения. Но, поставив эти две проблемы в отношении NAC на первое место, респонденты также четко обозначили свою озабоченность тем, какое влияние NAC может оказать на производительность и отказоустойчивость сети. Вопросы простоты пользования и развертывания тоже оказались в числе главных. Эффективное NAC-решение не должно создавать в инфраструктуре сети дополнительных проблемных точек потенциальных отказов или узких мест.

Актуальной задачей для большинства наших респондентов оказалась идентификация пользователя. Возможность запретить доступ к сети пользователю на основании данных его идентификации была одним из основных требований к NAC-решению. Аналогично мыслят и сетевые администраторы, которые при формировании политики доступа для пользователей ставят на первое место их идентификацию.

На рынке представлено множество NAC-решений. Мы говорили с разными производителями, предлагающими такие решения, и обнаружили, что, как правило, они преуспевают только в решении одной из двух ключевых проблем. Те из них, кто основное внимание уделяет оценке состояния ПК, обычно полагаются на то, чтобы контроль решений, принимаемых подсистемой соблюдения политики безопасности, выполнялся на уровне базовой архитектуры сети. На другом краю спектра решений — аппаратные механизмы, обеспечивающие детальный контроль доступа и выделения ресурсов на основании как идентификации пользователя, так и принятой политики безопасности.

Многие компании находятся, что называется, посередине и для восполнения пробелов в ассортименте своей продукции прибегают к кооперации. По мере созревания этого рынка неизбежными будут поглощения одних компаний другими. 62% респондентов дали понять, что в деле реализации наиболее эффективных NAC-решений они доверяют производителям инфраструктурных сетевых компонентов и систем информационной безопасности. Мы склонны согласиться с таким мнением. Оценка соблюдения политики лучше всего выполняется на уровне хоста, но принудительная реализация политики и непрерывный мониторинг функционирования сети лучше всего возложить на инфраструктуру ЛВС. При выборе производителя NAC следует учитывать в первую очередь то, какая проблема является для вас основной, поскольку сейчас наблюдается тенденция к некоторой специализации производителей на решении одной из двух групп проблем: 1) на оценке состояния, карантине, непрерывном мониторинге и нейтрализации угроз или 2) на принудительной реализации политики информационной безопасности на основе идентификации пользователя. Если вы, как и большинство наших респондентов, хотите иметь и то и другое, то вам, видимо, лучше подождать, пока не появятся более оптимальные решения..





  
14 '2006
СОДЕРЖАНИЕ

бизнес

• Конец эпохи тотального ИТ-контроля

• Стратегии выживания системного администратора в малой компании

• Oracle предлагает Linux неуязвимый

инфраструктура

• Модификация процессоров помогает осуществлять виртуализацию

• Горячие проблемы ЦОДов

• Предпроект в строительстве ЦОДа

информационные системы

• Алхимия данных

• Как нам лучше всего назвать call-центр

• Практическая экономика контакт-центров

• XBRL устанавливает стандарт отчетности

• «Инфоком—2006»: от Москвы до Екатеринбурга

кабельные системы

• Аудио- и видеобалуны расширяют применение UTP-проводки

• Анализ событий на рефлектограмме

сети связи

• Выполнение программы «Тетрарус»

• Сетевое видеонаблюдение

защита данных

• Массированное вторжение похитителей персональной информации

• Поможет ли вам шифрование не потерять работу?

• Поставщики решений NAC готовятся к наступлению

• Не следует игнорировать приложения Open-Source

новые продукты

• Новый компактный медиашлюз I-Gate


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх