概述
一段时间以来,企业始终在面对接入控制问题。这个需求始自于扩展企业,在此,远程用户常使用未加管理或不可管理的设备接入关键的局域网资源。如果不允许此类用户接入网络,势必影响他们的工作效率。然而,如果为这些用户提供 IPSec VPN 接入支持,端点与广域网之间敞开的隧道常成为传播用户端点携带的病毒、蠕虫、间谍软件或其他恶意软件的途径。
SSL VPN 可将端点安全状态与用户验证结果联系起来,并提供基于会话的特定角色和粒度极细的资源策略,从而允许未知设备安全地接入网络应用与资源,在很大程度上解决了上述问题。然而,随着第三方用户快速成为园区局域网用户,园区局域网中也出现了相同问题。实际上,由于局域网的用户比扩展企业更加多样化,因此在某些情况下,用户局域网本身需要更严格的接入控制。用户多样性导致端点多样化,从穿过网络外围的移动设备到不归企业管理的业务伙伴的设备,直到企业根本无从管理的访客的设备。
现在的园区在构建时常假设局域网上的用户是值得信赖的,因此,大多数局域网的设计基本上或根本不提供固有的保护功能。大多数情况下,您在园区中就等于在局域网上,很可能在无意中为局域网带来安全威胁或安全漏洞。
因此,安全接入市场水涨船高。从新兴企业到老牌的网络和安全公司,数十家供应商都使用“接入控制”来吸引您的眼球。有些产品确实是合理的、颇有建树的;但也有一些只是运用时髦词语来推销现有产品,或者是造成端到端供应商锁定的多厂商“解决方案”。
我们将根据客户实践经验来介绍如何为特定的部署环境选择正确的接入控制解决方案,以便最好地满足您的要求。
全面的接入控制
最新的接入控制技术追求将两个不同的概念结合在一起──最终用户身份识别及端点安全性。某些解决方案断章取义──如验证──并将其与流量检查机制相结合,造成能够检查端点安全状态的假象。其他接入控制解决方案则单纯地依赖端点安全状态,不能提供基于网络的流量处理功能。真正的接入控制解决方案至少应将用户身份识别、设备完整性和位置信息与策略执行功能相结合,以提供全面的接入控制。
当购买接入控制解决方案时,您首先应考虑“这个解决方案能否满足我的全部要求?”也就是说,如果员工在周末上网后于周一携带笔记本电脑上班时,解决方案能否同时进行用户和端点安全状态验证呢?
这项任务可能完全不同于检查承包商 PC 或访客 PC 的安全状态,因为您根本无法管理这些 PC。完整的接入控制解决方案必须不受公司 PC 版本或预装软件的影响,同时必须能够提供跨平台支持。此外,您还必须考虑到分支办事处的用户形态有时与园区局域网一样复杂──员工、承包商和访客──他们需要
与园区局域网用户接入相同的关键资源,但却无法提供相同的安全保证。
全面的接入控制解决方案应能够随端点安全状态、网络信息或用户信息的变化进行动态变化,即使这些变化出现在会话期间也不例外。这种动态策略还应能够在整个网络的执行点上实时执行。鉴于您已在园区和分支办事处的企业局域网基础设施上投入了大量资金,因此,在执行策略时最好能够利用现有的网络基础设施投资。
强劲的安全性
接入控制最终是为了确保安全性。因此,您应考虑网络安全决策是不是由专用安全设备做出的。此时您应考虑为什么购买(或计划购买)基础设施的特定组件。许多不同类型的设备都可在接入控制环境中使用,但这不并等于它们能够良好地运行。在典型的接入控制解决方案,这一点在执行设备上最为常见,尤其
是联防部署的设备。您必须认真考虑此类部署的吞吐量、可用性和弹性。
您还应考虑接入控制解决方案能否利用现有的安全设备投资,包括防火墙和 AAA 基础设施投资。接入控制解决方案必须与您的现有 AAA 基础设施无缝集成,以便利用验证基础设施来检验用户身份。然而,如果它还能利用目录服务器来了解用户及组群的成员关系,将成为更加经济高效的、更为安全的部署。
灵活性和易用性
选择接入控制解决方案时,如何才能将解决方案部署在生产环境中是一个主要考虑因素。分阶段的部署接入控制解决方案适用于大多数企业,允许循序渐进地部署控制功能。实际上,并非所有的网络段都是相同的,虽然某些网络段可能只需某个级别的接入控制,但其他网络段则可能需要完整的解决方案来满足企业规章制度。此外,据著名的分析公司称,许多企业从未想过部署公司级的接入控制解决方案!最佳的解决方案应支持多种实施方法,并能够将现有基础设施作为组件给予最充分的利用。
您需要考虑的另一个问题是接入控制解决方案是否灵活。您的网络是动态的,不是静态的,全面的接入控制解决方案应能够与网络保持同步变化。这也是支持多种部署方式的解决方案受到普遍欢迎的原因之一。它允许您随时利用特定的高级技术,并尽量使用常见设备。不管选择何种部署方式,您都可以添加
另一个执行方法,无需大幅度改造或替换现有部署。
基于开放规范和标准的解决方案是确保此类互操作性的最佳方法之一。某些解决方案,包括声称提供“协作”功能或支持“整个行业”标准的解决方案,实际上只依赖一家供应商的专用产品或协议。您应考虑接入控制解决方案能否保护现有投资──包括不同的端点供应商安全解决方案、不同的审计/日志记录
解决方案、不同的网络基础设施(如交换机或路由器)以及不同的授权协议等──否则,您的网络将被锁定在单一供应商的解决方案中。您在决定选择单一供应商之前必须再三考虑,切勿因为图方便而造成终生的网络基础设施设备锁定。
管理
如果易于部署性是您购买全新接入控制解决方案的主要考虑因素,则易于管理性肯定是紧随其后的第二个主要考虑因素。毕竟,如果产品能够提供强劲的接入控制功能但您却无法管理它,该产品将没有任何意义。您在考虑管理因素时,解决方案及其组件是否经过了现场测试是最重要的指标之一。网络接入控
制解决方案是新兴技术,因此,没有一家供应商敢断言自己的产品经过了全面的验证,但您可通过考察解决方案组件的方式进行判断。例如,如果解决方案的运行依靠动态交付的代理,则考虑供应商在使用此类技术的产品上是否具备丰富的经验。
能否通过现有基础设施进行管理是衡量接入控制解决方案是否易于管理的标准之一。解决方案的审计或日志记录工具是不是专用工具?解决方案是否允许您使用现有工具?解决方案是否允许您输入并输出必要的数据以便简化使用和报告流程?您可能还要考虑解决方案如何简化创建或编辑策略以及端点安全标准的部署流程。
部署架构:
特性优势:
Pulse Secure解决方案的主要特性和优势可概括为以下三个方面:
● 高级网络保护
● 控制、可视性和监控
● 简单、灵活的接入控制
以上来源:http://www.xinsec.com.cn/Program.asp?adid=1036
Pulse Secure:
了解更多请至英文官网:https://www.pulsesecure.net/