- Почему одного межсетевого экрана недостаточно
- Когда для бизнеса актуален NAC
- Сценарии применения NAC
- Управление и контроль доступа администраторов к сетевому оборудованию
- Управление и контроль доступа пользователей к инфраструктуре
- Инвентаризация и комплаенс устройств пользователей
- Управление и контроль доступа удаленных пользователей через VPN
- Выбираем NAC: на что обратить внимание при выборе NAC
- Резюмируем
Почему одного межсетевого экрана недостаточно
Когда говорят о защите сети, базово подразумевают NGFW. Однако привычный многим компаниям межсетевой экран, несмотря на объем функциональных возможностей, не может в полной мере обеспечить прозрачное управление всеми сетевыми подключениями — например, внутренними. С точки зрения архитектуры NGFW находится на границе между инфраструктурой компании и внешней сетью, что позволяет ему фильтровать проходящий через него трафик. Другими словами, внутренний сегмент сети с его запросами остается без должного контроля.
С этой задачей отлично справляются решения класса Network Access Control (NAC), предназначенные для управления и контроля доступа пользователей и их устройств в защищаемую сеть. NAC находится внутри инфраструктуры и контролирует подключения к сетевому оборудованию — коммутаторам, беспроводным точкам доступа, VPN-шлюзам. При этом разграничение доступа распространяется как на пользователей, так и на администраторов — доступ выдается на основе выбранных параметров, например, принадлежности к доменным группам, соблюдения конкретных политик безопасности или условий — допустим, активен ли антивирус на устройстве пользователя.
Другой пример ситуации, когда возможностей межсетевого экрана недостаточно — ограничение несанкционированного доступа из одного сетевого сегмента в другой. Силами NGFW можно запретить доступ только при попытке подключения хоста из одного сетевого сегмента в другой, в это время NAC определит несанкционированный запрос к хосту уже на моменте его обращения к коммутатору.
В статье системный инженер по сетевой безопасности Данила Лопатин подробно разобрал сценарии применения NAC и преимущества от его использования для бизнеса.
Данила Лопатин
Системный инженер по сетевой безопасности
Когда для бизнеса актуален NAC
Если разделить компании на пять уровней зрелости ИБ-процессов в соответствии с ISO 27001 — начальный, повторяемый, управляемый, измеряемый, оптимизирующий, использовать NAC более релевантно для компаний на ступени между управляемым и измеряемым уровнями.
Действительно, применение NAC более продуктивно в больших организациях для централизованного контроля доступа к тысячам единиц сетевого оборудования, распределенного по многим площадкам. Однако это не аксиома: развернуть управление доступом к сети можно и в средних и малых организациях, которые хотят повысить уровень защищенности в своей инфраструктуре.
NAC можно развернуть напрямую на физических серверах или на виртуальных машинах, в том числе на облачных платформах — как в единичном, так и в отказоустойчивом исполнении. Последний вариант особенно актуален для небольших организаций, которые не хотят капитально вкладываться в on-premise.
Сценарии применения NAC
Управление и контроль доступа администраторов к сетевому оборудованию
Представим ситуацию, что перед администратором стоит задача добавить новую учетную запись другого администратора на коммутатор. Если это нужно сделать на одном сетевом устройстве, это не составит никаких проблем. Однако в некоторых ситуациях это нужно сделать не на одном коммутаторе, а на сотне. И не по одной учетной записи, а для десяти сразу с разными правами доступа на основе их доменной принадлежности.
Чтобы не тратить много времени на такую рутинную задачу, ее можно автоматизировать с помощью небольших скриптов. Однако чем более комплексной она будет становиться, тем сложнее будет ее автоматизировать. В итоге инженер или администратор каждый день будет тратить рабочее время на монотонное переписывание учетных данных администраторов на всех устройствах, а в один момент — допустит случайную ошибку и создаст дыру в безопасности.
NAC легко решает эту проблему — с помощью него можно привязать аутентификацию на всех сетевых устройствах к доменным группам и создать политику доступа, которая будет автоматически выдавать права администратору на основе его группы или других параметров. Каждый раз, когда в доменную группу сетевых администраторов будет добавляться новая учетная запись, она будет сразу доступна для аутентификации на устройстве.
Управление и контроль доступа пользователей к инфраструктуре
Допустим, у организации есть беспроводная точка доступа для удобства подключения к корпоративной сети сотрудников, работающих как с ноутбуков, так и с планшетов или смартфонов. Стандартный метод защиты беспроводного подключения в виде SSID, логина и пароля злоумышленники могут легко скомпрометировать.
С помощью NAC можно создать гибкую политику доступа, например, через гостевой портал с многофакторной аутентификацией через мобильный телефон для идентификации личности. Благодаря этому можно сохранить удобство использования Wi-Fi, но с достаточным уровнем безопасности.
Инвентаризация и комплаенс устройств пользователей
Помимо управления и контроля доступа пользователей системы, вместе с решениями класса NAC вы можете хранить полный перечень устройств в инфраструктуре организации и делать их профилирование.
Это означает, что если мы пометим определенный объект как принтер, а после в сеть попытается войти ноутбук, выдающий себя за этот объект, то в доступе ему будет отказано.
С помощью некоторых продуктов можно проводить комплаенс устройств пользователей на соответствие действующим политикам ИБ в компании. Для этого на конечные точки устанавливается специальное ПО. В момент подключения устройства к инфраструктуре оно перенаправит запрос на обработку в NAC со всеми необходимыми данными об устройстве. Решение проанализирует информацию и направит ответ, предоставлять ли доступ устройству или нет.
Управление и контроль доступа удаленных пользователей через VPN
В компаниях, где многие сотрудники работают в гибридном или удаленном форматах, особенно необходим аудит внешних подключений через VPN. Как правило, доступ к корпоративным ресурсам они получают посредством VPN-шлюза или NGFW с функциями построения VPN туннелей. Злоумышленник или инсайдер при удаленном формате может занести в защищаемый контур зловредное ПО.
В данном сценарии управление доступом к сети можно интегрировать с VPN-шлюзом или NGFW. При инициализации подключения агент передаст на сервер NAC данные о состоянии устройства, после чего NAC сообщит VPN-шлюзу или NGFW, можно ли принимать это подключение или нет.
Выбираем NAC: на что обратить внимание при выборе NAC
В первую очередь, вместе с выбранным продуктом должны открываться перечисленные выше сценарии использования — это нужно для детального управления и разграничения доступа к сети. Далее нужно обратить внимание на гибкость и многофункциональность настроек NAC. Чем больше в нем вариантов настройки сценариев, тем лучше система будет интегрирована в инфраструктуру.
О чем еще надо помнить
- Журналирование событий
- Мониторинг системы
- Составление схемы сети
- Отказоустойчивость
- Резервное копирование
- Гостевой портал
Журналы NAC должны быть информативными и удобными для прочтения, также должна быть возможность импортировать их в SIEM.
NAC должен предоставлять широкий спектр настроек для оповещения администраторов ИБ о происходящих событиях.
Удобно, когда NAC может продемонстрировать схему защищаемой сети с отображением собираемых событий, статусов и метрик.
Очень хорошо, если NAC умеет работать в отказоустойчивом режиме. Еще лучше, если он поддерживает режим распределенного отказоустойчивого кластера — это максимально повышает отказоустойчивость системы.
Важна не только отказоустойчивость решения, но и возможность восстановления системы из резервных копий — они должны автоматически по установленному расписанию отправляться на общий сервер.
Базово любой NAC должен предлагать опцию гостевого портала, но разница между продуктами разных вендоров заключается в поддерживаемых методах аутентификации пользователей на гостевом портале. Чем таких способов больше, тем лучше.
В результате всё сводится к тому, что NAC нужно подбирать по спектру и гибкости его возможностей. Ключевые из них предлагают почти все российские разработчики средств защиты. Однако важно понимать, какие возможности актуальны для вашей инфраструктуры и можно ли кастомизировать под ваш запрос.
Чтобы клиент протестировал все возможности решения и убедился в его эффективности с точки зрения решения бизнес-задач, наша команда всегда предлагает пилотирование интересующего продукта до внедрения.
Резюмируем
Network Access Control — не самое популярное решение среди направления сетевой безопасности. Всё потому, что компании стремятся защититься от внешних нарушителей. Но нельзя недооценивать нелегитимные действия пользователей внутри защищаемой сети — особенно удаленных сотрудников, зачастую работающих со своих личных устройств.
Вместе с NAC компания может повысить прозрачность сети с помощью разграничения доступа корпоративных пользователей. Управление доступом пользователей расширяет возможности защиты изнутри, выстраивая безопасносное подключение пользователей к внутренним ресурсам организации.