Системы контроля сетевого доступа

Контроль сетевого доступа (NAC) — это комплекс технических мер и средств, реализующий политики и правила доступа в сеть, который также обеспечивает защиту всех конечных устройств, имеющих к ней доступ, от присутствующих внутри угроз безопасности.

Для выполнения требований политик информационной безопасности на предприятиях ответственные сотрудники должны контролировать учетные данные подключившихся к сервисам пользователей, информацию об устройстве, с которого было произведено подключение, и какими именно приложениями сотрудник может воспользоваться в рамках установленной сессии. Системы NAC позволяют выполнять эту задачу и обеспечить централизованное управление и администрирование политик доступа сотрудников в информационную среду организации.

Действия NAC-системы заключаются в том, чтобы выяснить, безопасно ли устройство, предпринимающее попытку подключения к сети, и соответствует ли его конфигурация определенным правилам доступа. После процедуры идентификации система принимает решение о том, какой уровень доступа к системным ресурсам необходимо предоставить.

Параллельно с увеличением количества совершаемых внешних атак посредством вирусов, червей, а также шпионских программ, решения NAC продолжают набирать свою популярность. Особое внимание этому классу продуктов уделяют разработчики антивирусных средств, так как в первую очередь стоит рассматривать работающих удаленно пользователей как потенциальных, даже если и неумышленно, нарушителей.

Изначально на рынке информационной безопасности появились два отдельных типа решений:

• Системы контроля доступа к сети (NAC).
• Системы централизованной аутентификации, авторизации и аккаунтинга (AAA).

Но с развитием технологий функциональности этих решений были интегрированы в одну систему. И теперь основными составляющими NAC являются:

• Сервер- и клиент-системы контроля доступа.
• Сетевые устройства, которые участвуют в идентификации сотрудников и применении определенных политик доступа.

Это позволило снизить риски успешного осуществления атак на сеть за счет превентивного блокирования доступа ноутбуков, мобильных телефонов и других удаленных устройств в случае их несоответствия принятым политикам, управлять и контролировать доступ, а также обеспечить автоматизацию доступа гостевых устройств.

Российские регуляторы выпустили ряд требований и рекомендаций к системам контроля сетевого доступа. Согласно ФСТЭК России, доступ к сервисам должен контролироваться, чтобы избежать компрометацию безопасности сети и самих сервисов.

При выборе NAC стоит обратить внимание на возможные особенности продуктов:

• Необходимо ли применение политик до или после подключения устройства к защищаемой сети.
• Будет ли установлен агент NAC или будет использоваться решение без агента.
• Внешнее исполнение или встроенные компоненты системы.

Зачастую компании, планирующие использовать NAC как средство защиты от внешних угроз, приходят к выводу, что для обеспечения всех внутренних требований к такой системе и соответствия внутренним политикам информационной безопасности необходимо настраивать два решения параллельно. Это зависит в первую очередь от количества и особенностей уже имеющихся систем информационных технологий внутри корпоративной сети.