什么是网络访问控制?
网络访问控制是一种安全解决方案,它使用一组协议来阻止未经授权的用户和设备进入专用网络,或者限制对符合网络安全策略的设备的访问。它也被称为网络准入控制。它处理网络管理和安全,实施安全策略、合规性和对网络访问控制的管理。
NAC 通过识别连接到网络的不同设备在有线和无线网络上工作。为了设置 NAC 网络安全解决方案,管理员将确定协议,这些协议将决定如何授权设备和用户获得正确的授权级别。访问规则通常基于使用的设备、访问的位置、各种个人的访问权限以及访问的特定数据和资源等标准。
网络访问控制方案的组成部分:
- Restricted Access:通过用户认证和授权控制来限制对网络的访问。例如,用户在没有访问权限的情况下不能访问受保护的网络资源。
- 网络边界保护:监控和控制网络与外部网络的连通性。它包括受控接口、入侵检测和防病毒工具等工具。它也被称为外围防御。例如,防火墙可用于防止未经授权从网络外部访问网络资源。
网络访问控制的类型:
- 预准入:发生在用户或设备初始化请求访问网络时准许访问网络之前。它评估访问尝试,并且仅在用户或设备符合组织安全策略并被授权访问网络时才允许访问。
- 准入后:当用户或设备尝试访问网络的不同部分时,它发生在网络内。它通过要求对每个访问网络不同部分的请求重新进行身份验证来限制设备在网络内的横向移动。
实施 NAC 解决方案的步骤:
实施 NAC 解决方案
- 收集数据:执行详尽的调查并收集有关必须与网络资源接口的每个设备、用户和服务器的信息。
- 管理身份:通过身份验证和授权验证组织内的用户身份。
- 确定权限:创建权限策略,说明已识别用户组的不同访问级别。
- 申请权限:对已识别的用户组应用权限策略,并在 NAC 系统中注册每个用户,以跟踪他们在网络中的访问级别和活动。
- 更新:监控安全操作并根据组织随时间变化的需求调整权限策略。
网络访问控制的重要性:
在过去几年中,访问组织专用网络的移动设备数量呈指数级增长。这导致组织资源和安全风险的增加 因此,需要一些工具来提供可见性、访问控制和合规性功能,以加强网络安全基础设施。
NAC 系统可以拒绝对不合规设备的网络访问,或仅授予它们对计算资源的受限访问权限,从而防止不安全的节点感染网络。此外,NAC 产品可以处理具有大量不同设备类型连接到网络的大型企业网络。
职责:
- 它只允许合规的、经过身份验证的设备访问网络资源和基础设施。
- 它控制和监视网络上连接设备的活动。
- 它将私人组织的网络资源的可用性限制为遵循其安全策略的设备。
- 它规范了用户对网络资源的访问。
- 它通过强制执行阻止、隔离和修复不合规机器的安全策略来缓解网络威胁,而无需管理员注意。
常见用例:
- 允许员工使用自己的设备或将公司设备带回家的组织使用 NAC 来确保网络安全。
- 组织使用 NAC 向组织外部的人员或设备授予对不同网络资源的访问权限,并受到不同的安全控制。
- NAC 通过将 IoT 设备分类为权限有限的组并持续监控其活动,从而防止因使用 IoT 设备而造成的威胁。
好处:
- 可以要求用户通过多因素身份验证进行身份验证,这比基于 IP 地址或用户名和密码组合识别用户更安全。
- 它为网络的各个部分提供了额外的保护级别。
限制:
- 它在物联网设备和没有特定用户的设备中的可见性较低。
- 它不能防止网络内部存在的威胁。
- 如果它与现有的安全控制不兼容,它可能不适用于组织。