现代NAC技术成为园区网络迈向“自动驾驶”的关键

2021-02-08 14:59:09 浏览数 (1)

作者简介:叶正平 华为数通网络分析专家

终端准入控制Network Access Control(NAC)是一个非常“古老”的技术,从2003年提出到现在已经有十几年的历史。最初它只是网络安全领域的一个技术,主要控制用户终端设备对于网络的访问和控制。但是随着IoT、无线等新兴技术的兴起,基于移动化的万物互联成为了现代园区网络发展的趋势。

01

传统NAC已经不满足未来园区发展的趋势

让我们回溯大约十几年,回想一下当时的IT环境。追溯到2006年左右,园区办公环境开始看到一种转变,这种转变现在看来是非常“古朴”的。那时候,对企业的IT网络而言,新的“威胁”是笔记本电脑的激增以及我们处理局域网的方式的变化。如果再往前走,与我们现在相比,典型的IT接入配置非常简单,通过网线访问Internet的台式计算机相对容易管理和监控。而现在的园区网络正经历着翻天覆地的变化。

首先园区网络中接入设备的类型种类越来越多。在过去的几年中,园区网络“传统”固定桌面设备曾经占据多数。而随着信息技术和IoT在各行业的不断发展,企业园区网络中设备类型也越来越多。从笔记本电脑到平板电脑再到智能手机,从各种“BYOD”(自带设备)到各种有线或者无线接入的“IoT”(物联网)设备。

这些哑终端和IoT设备大部分都是没有操作系统和显示器的,传统的网络访问控制(NAC)解决方案和方法论不适用于这些设备。IEEE 802.1X实施通常难以管理或几乎无法与IoT设备集成。导致这些新类型终端无法被传统园区网络所识别。即使接入园区网络后对于整体网络而言,也犹如黑匣子一样,成为了园区网络的一个个盲点。全网不能做到可视化给园区网络的管理运维带来了极大的挑战。

其次园区网络中接入的设备数量也成指数级增长。根据权威分析机构Gartner的预测,到2028年,企业网络中将会有超过50亿台企业终端设备。主要行业的园区网络数量的年复合增长率都超过了2位数。

网络如果需要管理多海量终端,并做到后期的运维和故障定位依靠传统的人力或者专家经验当然不行,必须依靠SDN和人工智能技术,让网络真正做到自治自愈。而传统NAC技术是无法做到同SDN和人工智能良好的集成的。

最后由于大量已知和未知终端的接入,随之而来的网络安全的问题也变得突出。伴随着网络连接的已知的和未知的终端类型和终端数量的增加,这些终端设备也成了主要的网络安全漏洞点。由于加速使用多云和混合IT资源,企业也遭受了越来越多来自终端和物联网设备暴露的攻击。因为疫情原因,更多的企业支持员工进行远程办公,这样员工及其终端设备可能处在一个混合且复杂的工作环境中。在这样的环境下,即要确保用户生产力不受影响也要保证信息安全合规,就要扩大和加强对用户设备的监督。近年来经历的持续网络入侵、数据泄露和业务中断表明,终端设备管理仍然是企业和组织环境中的一个重点。

而传统的NAC仅仅依靠单一的认证安全手段进行终端认证,对于无法安装代理的哑终端和IoT设备缺乏安全检查的手段。最重要的一点是如今的网络环境已经复杂的多,仅仅依靠终端接入的时候检查一次是远远不够的。

02

现代NAC技术必须具备的关键能力

针对现代园区网络发展的趋势,满足园区网络“自动驾驶”的需要,现代NAC技术必须要具备如下一些关键能力:

强大的终端识别和发现能力

面对园区日益增多的海量终端接入,首先网络需要有强大的终端识别和发现能力,做到全网可视无盲区。无论接入的是BYOD、IoT还是OT(Operational Technology运营技术)设备都要能够识别并对网络管理员可见。其次网络要能够识别的终端设备信息足够多,这样整个网络根据这些信息能做出的决策也就越多,这样就能够做到精细化控制,能够做到的自动化程度就越高。比如能够获取到终端的设备类型、操作系统、版本信息、甚至何时接入网络以及各时段流量情况等,通过各种安全解决方案、网络和分析工具双向集成做到精确化识别和控制,这样整个网络都能够做出更智能的决策。

技术上就要求方案具备一个强大的终端设备指纹库,有更多识别终端的技术方法,比如如下我列出了一些常用的技术方法和应用场景供大家参考。其它一些IoT设备还有其它一些技术识别方法,在这里不一一赘述。最后,可能有些终端无法被常规的技术手段识别,最好NAC可以扩展让用户可以自己定义扩展识别终端的方法,并支指纹库的扩展升级。

另外一个技术关键是要能支持无代理模式(Agentless)。这种模式不需要在终端设备上安装代理,可以识别、分类和保护没有传统操作系统的设备,哑终端,如IP话机,打印机等。借助无代理技术,可以实时发现IoT设备,并根据适当的用户和设备信息进行分类,监控不规则行为,甚至在需要时将其阻止或隔离。无代理网络安全性还可以通过自动化资产管理和主动针对补救活动(例如限制对Internet的访问)来降低IT支持成本。业界普遍认为在随着园区网络有越来越多的IoT设备接入,方案支持无代理模式十分关键。

所有连网终端设备建立零信任安全框架

由于海量终端的接入给网络带来巨大的风险, IoT终端本身又是极易被仿冒,被替换,被入侵的,我们认为对所有连网的终端要建立零信任安全框架。第一,交换机等内网网元,作为安全检测和防御的第一线,需要深度集成安全能力。第二,网元,本地安全分析器和网络控制器,以及云端情报中心,三者需要协同来构建一个无处不在的主动防御体系。

这里有个关键的设备连接模型:预连接身份认证与后连接身份认证。预连接身份认证采用“有罪直到证明无罪”模型,默认拒绝。默认设备是不安全可靠的,直到设备自我证明自己是可信的才能接入网络。如果设备在身份认证中失败,将永不可接入网络。后连接身份认证采用“无罪直到证明有罪”模型,“默认允许”。默认设备都是安全可靠的,所有设备都可以接入网络,除非系统发现其是非法不可信设备,再将其剔除网络。

这两种设备连接方式业界主流厂商均有使用,但是相比较后连接身份验证,预链接身份认证更符合零信任安全框架,故而安全性更高。对于安全性需求较高的政府和金融行业尤其重要。虽然后连接身份能够让设备以较快的速度连上网络,有较好的用户体验,但是若这是以牺牲网络的安全风险为代价,则是不可取的。

此外为了在企业网络中真正实现零信任,需要考虑以下几点:1)将零信任扩展到用户之外,以包括非用户设备;2)对连网设备进行持续的网络监控管理,确保该设备连网后出现风险不会对网络造成威胁;3)了解连网的每台设备的身份,包括业务环境,流量和资源依赖关系。

AI加持的5W1H精细化管理

现代NAC解决方案必须要能够解决除了认证接入之外其它更强大的功能。比如执行自动化配置和安全评估,策略执行下发以及流量分析。这些解决方案不仅可以为公司管理的资产提供安全的身份验证,还可以对已知和未知设备进行指纹识别,并能够实施差异化服务。并且可以深入了解哪些类型的设备连接到网络,它们在哪里连接以及谁在使用该设备。

另外网络可以根据设备类型,用户角色,位置,一天中的时间以及管理员可以想象的几乎所有其他变量来实施不同的管理策略。对于不同设备可以赋予不同的权限,比如用户电脑和PC可以访问内网,而一些BYOD设备限制为仅接入访客网络。如果这些认证和授权是根据策略自动触发的话,即实现了设备的即插即用功能。并使用这些相同的方法,我们可以锁定特定的IoT设备,实施最低权限的策略。

现代NAC还提供了基于AI的更深的流量分析组件,既可以作为独立的,单独的但又是增强的解决方案,也可以作为更全面的NAC解决方案的一部分进行集成。这些软件提供了仅凭简单验证无法实现的先进功能,可确保所连网的终端和其它网络设备看上去如交换机和AP一样,甚至可以提供对端点的连续验证后监视。通过分析来自物联网设备的流量并建立正常活动的基准,这些附加工具可以监控偏差并就可疑活动发出警报。网络收到这些响应后可以做出相应的动作,例如隔离或限制访问,以及向适当的人员发出告警。比如物联网终端被劫持入侵,虽然可以通过MAC认证的检查,但是可以发现被入侵后的流量行为已经偏离正常的流量模型,管理员可发现该异常终端并做相应的处理。或者发现某个终端在园区办公网络进行大量娱乐流量,例如使用BT下载影视等,管理员可以剔除非必要的非业务流量,提升园区网络的有效利用率,这些都是传统NAC方案无法做到的。

03

现代NAC技术的带来的便利

综上所述,过去的传统的NAC方案简单提供了网络对于少数类型终端设备认证授权。使用网络厂商提供的现代NAC方案将能帮助客户适配现代园区网络发展的趋势。做到:

终端可视化,管理员可通过可查看全网终端类型,比如手机,笔记本或各种哑终端:打印机、IP摄像头、一卡通、门禁等,让全网做到管理无盲点,安全可视。

终端信息采集自动化,可以自动化批量采集终端信息,避免人工采集效率低且容易出错的问题。

管理智能化精细化,管理员可通过控制器基于终端的类型进行分类统计和流量数据分析管理,为网络能够做更多的智能决策提供依据。

策略差异化,管理员可终端类型对应的授权策略。终端接入网络时,根据终端类型下发对应的授权策略。实现不同终端类型差异化的策略。

保障全网接入安全,通过终端仿冒检测,零信任安全等技术全网保障不受到风险终端接入的安全威胁。

终端即插即用,保障用户体验,哑终端设备比如IP话机、打印机、IP摄像头等,无需管理员收集哑终端的MAC做准入认证,也无需管理员为每种终端类型配置对应的VLAN等业务配置。网络管理员只需要在SDN控制器指定终端类型的策略。终端上线时,SDN控制器自动识别终端类型,下发对应的准入和授权策略,实现终端即插即用。

04

华为基于iMaster NCE-Campus的现代NAC方案

华为现代NAC功能均集成在面向园区网络的新一代自动驾驶网络管理控制系统iMaster NCE-Campus上,它最大的特色是用户可以借助系统提供的AI智能助理的帮助,利用简单的点击拖拽等操作即可实现强大的管理功能。

该系统内置业界强大终端指纹库,通过智能识别,多种识别方法综合运用大幅度提高终端类型识别的准确率,策略自动匹配,自动下发,做到终端即插即用,有效保障用户的接入体验。

基于AI智能助力的iMaster NCE-Campus

05

企业现代园区“自动驾驶网络”呼唤现代NAC技术

根据IDC的企业网络副总裁Brad Casemore分析,网络自动化进程先后经历Fabric,SDN, IBN时代,最终将会演进到Autonomous Driving Networking时代。届时借助于人工智能技术,网络可以真正做到自治自愈,像汽车一样做到“自动驾驶”。人在网络之上,真正享受网络带来的便利。

要想让网络能够像汽车一样“自动驾驶”不翻车,就要做到网络能够全网可视无盲点,根据人的意图精细化智能化主动运维,并安全可控。为了满足这些需求,采用现代网络准入控制(NAC)方案至关重要,能够适配园区网络朝着更快,更智能的“自动驾驶网络”方向发展。

0 人点赞