Bảo vệ mạng bằng kiểm soát truy cập mạng – Network Access Control (NAC)
Kiểm soát truy cập mạng đang trở thành chìa khóa trong các mạng hiện đại hàng ngày vì thế giới kỹ thuật số đang chứng kiến rất nhiều thay đổi liên quan đến cách người dùng kết nối với các mạng khác nhau. Điều này bao gồm các mạng doanh nghiệp, văn phòng nhỏ, mạng tại gia đình và thậm chí các mạng công khai như mạng hotspot. Với sự xuất hiện của các hiện tượng mới như mang theo thiết bị cá nhân BYOD và sự phát triển của các thiết bị di động được sử dụng để truy cập mạng thì việc kiểm soát truy cập mạng (NAC) là vấn đề cốt lõi của một mạng an toàn.
Kiểm soát truy cập mạng NAC là gì và tại sao nó lại quan trọng như vậy?
Kiểm soát truy cập mạng NAC, như tên gọi của nó, là một giải pháp kiểm soát truy cập vào mạng. Cách đây rất lâu, các thiết bị của khách hàng cần kết nối với mạng đã được xác định trước và có bản chất tĩnh. Chẳng hạn, người ta thường thấy một doanh nghiệp có hàng trăm hoặc có thể hàng ngàn PC cố định, với khả năng tốt là tất cả các PC đó đều được cung cấp bởi cùng một nhà cung cấp. Kiểm soát một môi trường như vậy là một miếng bánh cho hầu hết các quản trị viên mạng. Nhiệm vụ đơn giản này từng được thực hiện bằng cách sử dụng kết hợp các danh sách kiểm soát truy cập ACL và tính năng bảo mật cổng trên các switch.
Nhưng mọi thứ bắt đầu thay đổi với sự tăng trưởng theo cấp số nhân của việc sử dụng thiết bị di động và mọi thứ bắt đầu vượt khỏi tầm kiểm soát đối với hầu hết các quản trị viên mạng. Đó là lý do tại sao quản trị viên cần một giải pháp động có thể mở rộng quy mô, không quan tâm đến số lượng và loại thiết bị khách được kết nối. Và đây là chức năng cơ bản đầu tiên và cơ bản nhất của NAC là điều khiển ai – WHO được phép truy cập mạng.
Chức năng Who của các hệ thống NAC có thể đạt được bằng cách sử dụng tính năng 802.1X trong các switch truy cập (access switch) hoặc trong các điểm truy cập hoặc bộ điều khiển không dây (acess point) và các máy chủ cơ sở dữ liệu nhận dạng dùng để xác thực với các giao thức xác thực mở rộng khác nhau.
Vậy câu hỏi đặt ra là chức năng WHO này có đủ cho NAC – Kiểm soát truy cập mạng hiện đại không?
Mặc dù chức năng Who của Kiểm soát truy cập mạng NAC rất quan trọng, tuy nhiên giải pháp NAC đã phải phát triển để bao gồm các chức năng và tính năng nâng cao hơn. Chẳng hạn, NAC Kiểm soát truy cập mạng hiện đại sẽ cung cấp đó là chức năng Ai/ Được phép làm những gì. Chức năng này cho biết loại người dùng / thiết bị được kết nối để từ đó cho biết vị trí của người dùng / thiết bị đang cố gắng kết nối, cho dù đó là cố gắng kết nối bằng kết nối có dây, kết nối không dây hoặc thậm chí kết nối từ xa bằng các công nghệ VPN khác nhau. Và cuối cùng sẽ giúp quản trị viên hiểu sâu hơn về các hoạt động khác nhau đang diễn ra trong mạng của họ.
Loại dịch vụ và tính năng nào chúng ta nên mong đợi từ NAC Kiểm soát truy cập mạng hiện đại?
Danh sách các dịch vụ và tính năng được cung cấp bởi NAC có thể khác nhau tùy thuộc vào nhà cung cấp. Tuy nhiên, nói chung, NAC hiện đại cần có các khả năng sau:
- Hỗ trợ cấu hình mở rộng: các giải pháp kiểm soát truy cập mạng hiện đại sẽ có thể xác định người dùng / thiết bị (chức năng Who) bằng cách sử dụng thông tin mở rộng. Thông tin này có thể được lấy từ các thiết bị cố gắng kết nối. Thông tin đó có thể là tên người dùng, hệ điều hành, loại thiết bị, địa chỉ MAC, địa chỉ IP, v.v … Bằng cách kết hợp thông tin đó, hệ thống có thể nhận dạng rất chính xác người dùng / thiết bị đang cố gắng kết nối, từ đó đảm bảo việc áp đặt chính sách truy cập mạng được chính xác.
-
Quản lý khách nâng cao: khách yêu cầu quyền truy cập vào mạng doanh nghiệp rất phổ biến hiện nay và NAC truyền thống có thể kiểm soát khách để họ có thể tách biệt hoàn toàn với tài nguyên mạng nội bộ. Tuy nhiên, các hệ thống NAC hiện đại tiến thêm một bước bằng cách cho phép khách truy cập có kiểm soát đến các tài nguyên nội bộ được yêu cầu. Bất kỳ hành vi bất thường từ khách hàng đều có thể được phát hiện, ngăn chặn và có hành động phù hợp.
-
Hoạt động không cần tác nhân (agent): Các hệ thống NAC truyền thống khi sử dụng đều cần một tác nhân (agent). Tác nhân này phải được cài đặt trên các thiết bị cuối để có được thông tin cần thiết trong giai đoạn xác thực và để nhận các yêu cầu cung cấp giám sát các hoạt động của thiết bị / người dùng được kết nối. Mô hình này không thể mở rộng và các hệ thống NAC hiện đại có thể đạt được hầu hết các chức năng của nó mà không cần cài đặt bất kỳ tác nhân nào trên các thiết bị máy khách. Bằng cách này, hệ thống có thể mở rộng hơn và có thể bao quát phạm vi rộng hơn của các thiết bị máy khách, không quan tâm đến loại và hệ điều hành của chúng.
-
Khả năng chính sách nâng cao: Các giải pháp NAC hiện đại có thể xây dựng cấu hình theo ngữ cảnh để có thể kiểm soát các hoạt động khác nhau của các thiết bị khác nhau của người dùng cụ thể đó.
- Hỗ trợ nâng cấp: Như chúng tôi đã đề cập trước đó, một trong những động lực chính để thực hiện các giải pháp NAC là hiện tượng BYOD. Các giải pháp NAC hiện đại có thể tự động hóa việc đăng ký các thiết bị mới của những người dùng khác nhau thông qua cổng thông tin do hệ thống NAC cung cấp. Bằng cách này sẽ giảm tải rất nhiều cho quản trị viên mạng.
-
Tuân thủ điểm cuối nâng cao: Mô hình BYOD mới cho phép người dùng sử dụng các thiết bị khác nhau và nếu không được kiểm soát để truy cập mạng, điều này có thể mở một lỗ hổng bảo mật trong các hệ thống phòng thủ mạng, bởi vì thiết bị có thể bị nhiễm vi-rút hoặc phần mềm độc hại. Do đó, kiểm tra sức khỏe của các điểm cuối trước khi được chấp nhận truy cập mạng là một nhiệm vụ quan trọng để tránh các tình huống như vậy. Việc kiểm tra như vậy có thể yêu cầu một tác nhân được cài đặt trên điểm cuối (tùy thuộc vào nhà cung cấp) và có thể bao gồm nhiều khía cạnh về sức khỏe của hệ điều hành của thiết bị. Chẳng hạn, trạng thái cập nhật, bản vá đã cài đặt, phần mềm đã cài đặt, trạng thái chương trình Antivirus và rất nhiều yếu tố khác có thể được kiểm tra trước khi thừa nhận thiết bị kết nối với mạng.
Nhà cung cấp nào bạn nên chọn cho Giải pháp NAC Kiểm soát truy cập mạng?
Hệ thống kiểm soát truy cập mạng là một thị trường đầy hứa hẹn. Trong số nhiều nhà cung cấp cạnh tranh khác nhau, Cisco Systems là một trong những lựa chọn của chúng tôi. Chúng tôi quyết định như thế này vì nhiều lý do khác nhau.
Lý do chí
nh là các hệ thống của Cisco cung cấp giải pháp Kiểm soát truy cập mạng tiên tiến,
Cisco Identity Services Engine (ISE)
có tất cả các tính năng được đề cập ở trên, và nhiều hơn nữa. Giải pháp này cung cấp cho người dùng các tùy chọn triển khai rất linh hoạt bao gồm triển khai dựa trên thiết bị chuyên dụng hoặc máy ảo để phù hợp với nhu cầu của các khách hàng khác nhau. Cisco ISE có thể tích hợp với các sản phẩm còn lại của Cis
co, bao gồm Tường lửa thế hệ tiếp theo ASA của Cisco để cung cấp giải pháp bảo mật mạnh mẽ và đầy đủ nhất trên thị trường.