NAC:犯了什么错误？

近来看到了一个介绍NAC的英文文章，是networkworld在去年5月份的一个报道，下面是其英文链接。
http://www.networkworld.com/reviews/201 ... -test.html
找个时间将其翻译为了中文，供大家来共同对NAC市场的进行探讨。
由于E文水平有限及对NAC的理解受限，翻译不好请多多见谅。

 

 

NAC:犯了什么错误？

 

经过5年之后，IT经理发现部署网络访问控制仍然不是一件容易的事情。

 

在对12个业内领先的网络访问控制长达4个月的实验室测试之后，我们得出了下面的结论：进过5年的商业化宣传推广，白皮书和产品的发布以及标准争论与经销商的炒作后关于NAC的真正含义仍然是不清晰和难以理解，这个和2005年第一个NAC产品面世时候情况一样。

我们对Microsoft，Cisco，HP， Juniper，McAfee和Symantec等重量级的NAC产品的逐一比较专题将出现在网络世界的6月21日期刊上面。在这篇报道中我们分析了在企业环境中部署这些NAC的障碍。

网络访问控制，我们定义为一个包含认证，端点安全检查和访问控制的联合体，最早出现的时候是用来解决移动终端用户接入企业网络的问题。NAC试着解决以下真正的问题并给出真正的答案：谁正在接入我的网络？他们健康吗？我能控制他们访问的目的吗？如果他们出现状况我可以隔离他们吗？

基本上来说，在我们这个行业随着时间的推移产品都是相同功能和特性的联合。例如来自不同厂家的交换机都是具有非常大的替换性。将HP的交换机替换为Enterasys交换机这个时候网络仍然会继续工作正常，但是NAC却不行。NAC的产品相互之间很少有相似性。即使仔细的比较，网络管理员才可能找到2到3个有可比性的产品。但是找出可比性的产品是非常困难的，如果这样做预示着网络管理员已经知道了他们所期望的功能和特性。

在NAC里面没有最好的产品，因为在我们比较的12个产品中他们几乎是12个不同的产品。

障碍1：政策的问题

一个特别困难的问题是在网络内找到一个产品既可以满足政策要求又满足技术要求。由于NAC包含安全，网络管理，终端管理，NAC的部署面临的企业组织架构问题要大于技术问题。

为了避免这个问题，通过进行折衷，NAC厂家的产品会降低跨部门合作的必要性。然而每一个NAC厂家进行折衷的时候关注的地方不一致，关注的程度也不一样。比如Symantec的产品完全关注于桌面团队，然而HP却关注于网络建设，配置和维护的团队。

所有这些都增加了期望部署NAC产品的网络管理员的障碍。即使不考虑产品的价格，仅仅考虑哪个产品可以满足要求和是否这些产品能够在企业内使用起来这个相对于交换机，防火墙和服务器等就更困难和更耗费时间。

障碍2：厂家的不同点太多

NAC具有认证，端点安全检查和访问控制三个组件，但是厂家倾向于将他们的产品重点关注于他们的强势部分。这个意味着NAC厂家将焦点关注于三个组件中的一个而忽略其它的两个。例如：对于McAfee的产品，他们关注的是他们的端点安全产品ePolicy Orchestrator，对于Juniper，他们关注的是他们对防火墙，交换机的网络安全组件。

这种产品不同点也在于大家对于达到相同目的可以有不同的最好方法的一个认同。这种缺少一致性的问题也导致在对网络内部署NAC感兴趣的人的一些困惑，比如认证重要吗？不重要吗？

对于这个问题，如果你询问Forescout，他们的回答是不重要。因为他们的产品很少关注最终用户的认证。访问控制重要吗？如果你问Bradford，他们的回答是不重要，因为他们的产品主要关注于终端设备的标识然后划分到各个不同的VLAN，根本就不区分用户和控制他们的访问。而且如果你想了解终端安全是否重要，不要去问HP，他们的设备出厂根本就不支持端点安全检查，除非你去寻找一个第三方的厂家来实现这个功能。

当然每一个NAC厂家都会硬性的包含其中的一点或者一小部分，以便满足在进行投标或者政府强制规范中的特性要求。但是在我们的测试中发现，这个其实只是在厂家的核心产品上面增加的一个基本功能。

由于NAC厂家缺少共性，网络管理员经常陷于NAC是否能够带来真正的价值或者是否值得采购和部署的困境。

障碍3：互通性的灾难

网络世界2007年在对NAC产品进行对比测试的时候将产品分为两个部分，一个测试关注于2个标准（Cisco和TCG），这个包含有30个产品符合这两个标准。其它13个产品拥有自己的独立标准。我们本来期望如今有一个统一的标准而且所有的产品都符合这个标准可以进行互通。

不幸的是在2007年独立标准产品在2010年还是保留在独立标准阶段。这样的产品在2007年的13个产品中，我们今年看到了7个。这13个产品中只有Juniper向标准的兼容性方面有了提高（其它3个已经消失了，2个已经停止销售，1个已经被收购）。

甚至对于旧的标准，比如IEEE的802.1X，在许多的NAC产品中也没有得到完全的支持。虽然我们发现一些产品在竭尽全力的支持和使用802.1X，但是其它的一些产品只是事后的简单802.1X支持。

这个减少了网络设备厂商和NAC厂商之间的互通性。每一个厂家都有工作正常的优选安全产品，但是如果你期望将这些产品组织起来，你会发现你的NAC部署不能甚至是不可能进行工作。这个就会导致一个奇怪的厂家期望锁定结果：你的NAC产品会限制你改变你使用的网络设备厂家，认证厂家和端点安全厂家。

由于很少产品支持统一的标准，网络管理员会发现一个真正的即插即用的NAC产品还有很长的一段路要走。

障碍4：部署的难度

对于NAC厂家来说一个长期的战斗是部署的难度。虽然很多NAC的产品都设计为可以在企业的网络逐步的推广甚至是逐个的端口推广，但是部署NAC也是一个长期的过程。更重要的是部署NAC会包含许多重要的决策点，如果这些决策点没有一直推行，那么整个的部署可能又要重现开始。对于一些简单的问题比如“我如何进行认证”或者“我用什么机制来进行访问控制”如果没有丰富的实施经验是很难进行自信的回答，然而这些又必须在NAC部署之前进行决策。

 

我们的经历对于网络管理员来说是一个启示。在我们的小型测试中只有12个产品可以在一天之内安装和工作正常，对于一个只有几个交换机和子网的网络大部分的产品要花费2到5天的时间才可以正常工作。如果NAC部署花费的较长的时间，那么网络展示将比期望的时间更长。

网络管理员也会发现日常的网络维护和调试也是一个巨大的挑战。大部分的产品和交换机联动进行VLAN切换或者将ACL下发到端口上面。网络管理员则不得不去学习如何在现有的设备上面去发现和维护这些动态的信息。虽然交换机厂商已经进行了改善以便简化这些调试和跟踪，但是不是所有的人在网络内都有最新的设备或者软件升级。

如果NAC产品是串联的，那么又带来了另外一个挑战，因为现在网络管理团队有了一个新的设备要学习和调试。还有一种更糟糕的情况是如果NAC产品是通过修改网络协议实体比如Arp表（Trustwave NAC）或者修改网络协议信息（Forescout NAC）来进行访问控制，那么调试将更加麻烦。因为这些产品采用的行为在正常情况下是永远不会出现的，如果他们产品出现失误则根本就没有简单的方法去跟踪和发现。

故障5：潜在的可伸缩性问题

在我们这次的测试中缺少可伸缩性和可用性是一个很突出的问题。我们没有测试当将所有流量都汇接到一个端口下面时候的网络性能。早期的NAC产品大部分是串联的，这个意味着你必须购买每一个硬件或者方案部署在你期望进行控制的每一个交换机和网络之间。

针对全网的可伸缩性，大部分的网络管理员认同在网络边界进行强制是必要的。我们这次测试的要求进行串联部署的产品通过一些附加的说明也可以工作在边界处。比如McAfee的产品在进行认证和安检的时候是串联的，但是会尽可能快的重构网络以便将自身移除出去。Juniper提供的产品既包含串联的也包含边界的，不过对于采用防火墙的串联设备会比采用交换机的边界方法提供更多精细的控制。许多NAC厂家会包含一个串联的方法用来解决一些必须必须的环境（比如WAN，***或者无线网络）。

虽然我们没有测试高可用性，但是我们检查了每个产品的架构确保在NAC产品出现各种问题时候可以继续工作，发现每一个厂家都有一个比较信服的说法。

网络管理员对于隐藏的可伸缩性应该保持警惕，因为我们测试的一些产品在推广到一些大型网络的时候都有一些显著的问题。比如Forescout 和 Trustwave 的产品要求他们控制的所有终端的网络流量都经过他们的设备，这个对于大型的网络明显是一个问题。还有一些比较潜在的考虑是比如一些依赖不可靠的SNMP协议或者要求轮询每一个边界交换机以便发现终端的变化。这些设计可以满足一部分的要求，但是当网络大规模的扩展时候或者一些旧的交换机CPU负载过高的时候可能会引起问题。

当我们和我们测试的厂家探讨这些问题的时候，我们得到了一个共同的建议：好的售前沟通是成功的关键。为了保证网络管理员选择的产品可能很好的在网络内进行伸缩，在销售阶段他们应该提供尽可能多的信息以便各个厂家可以适当的调整他们的产品。

故障6：投资回报率（ROI）问题

对于新的技术好的网络管理员经常会生成一个商业案例：这个东西花费多少，可以为我们节省多少。如果节省比花费多，那么是一个好的案例。对于NAC网络管理员很难有时间去计算这个案例。

这个并不是说NAC没有用处，而是这些好处经常模糊的归纳到安全的投资回报里面去了，而这个却是最难计算的。避免没有小的***价值多少？避免没有大的***价值多少？有多大的可能存在***？这个技术是否肯定可以避免***？这些都太难计算了。

 

厂家提供的ROI计算其实没有很多的帮助。一些给我们提供了一个很便宜的价格，比如微软在Vista，XP SP3和Windows7中提供了全套的NAC产品，如果你期望购买Windows，那么这些几乎是免费的。

但是即使NAC是免费的，那么部署是昂贵的。部署要花费时间，而时间是金钱。你可能不得不买更多的交换机或者更新交换机，你也必须去了解你的网络如何才能工作的更好，你也可能对你内部流程进行修改，删除增加等。

厂家应该怎么办？

NAC是没有达到预期，但是NAC也没有消亡。Frost 和 Sullivan 预期2010年NAC可以销售7500套大致2.5亿美元的销售额，而且每年以25%的速度增长。厂家也没有看到预期的增长和收益，那么厂家如何才能在企业内加速NAC的部署呢？我们提供了如下的建议：

1.       为了避免政策问题，厂家应该将产品合理的分为三个部分：网络，桌面，安全。如果NAC产品可以让每个团队用最适合他们网络的方法部署NAC中困惑的一部分，那么成功的可能性就更高。

2.       对于ROI，除了降低数据丢失或者***的分享外，一些拥有NAC的企业已经看到了成本的节省。对于NAC厂家来说，接下来要做的是：计算出除了安全风险以外的NAC可以带来的好处。我们在测试中看到了一些突出的仪表盘和可视化的工具。为了把NAC变为主流，这个是部署NAC的一个必要的好处。

3.       NAC的复杂度是其中的最大障碍。厂家已经增加了很多特性和复杂度到他们的产品中，正如他们从客户处学习到的客户需要什么和客户应该需要什么。他们不太可能把这些完全抛弃然后重新开始。

 

然而如果风险投资仍然为新创企业提供资金支持，依靠从业内所有人吸取的教训，有着干净框架的新产品肯定能够从中脱颖而出。否则NAC作为一个伟大的创新会继续颓废而无法真正的腾飞。