计算机安全局和美国联邦调查局( FBI)公布的2005年CSI/FBI安全报告显示,尽管安全技术已经经过了很多年的发展,很多机构花费在病毒、蠕虫、间谍件及其它坏件防御方面的资金已经高达数百万美元,但安全问题仍然是当今各机构面临的头号问题。
网络病毒和蠕虫的智能性越来越高,现在已经能够针对预防措施进行变异,因而使防御工作越来越困难。另一方面,网络的性质总在改变,尤其是经常抵御病毒或蠕虫的边缘位置,总处在变化之中。
思科安全技术部首席技术官 Bob Gleichauf说:“防御的要害在于周边,但周边概念正在消失。企业已经不再拥有纯粹的专用网络,除军事网络之外,几乎都处在半专用半共用之间。客户就是边缘,无论是蓝牙电话、与网络远程相连的PC,还是Windows笔记本电脑,都在传输信息。边缘的增加为攻击者提供了很多可趁之机。
设备情况如何?
尽管多数机构都使用身份治理以及验证、授权和计费( AAA)执行用户验证和网络授权,但几乎都无法核实用户终端设备的安全状况。假如不能准确评估设备的“状况”,即使是最值得信任的用户也有可能在不经意之间将网上的其他人置于非常危险的境地,遭到未采取防病毒措施或已受到感染的设备的攻击。
增强策略执行
Cisco Secure access Control Server上的策略与Tivoli Security Compliance Manager一起决定准入决策。
基于 Cisco NAC框架和IBM TIVOLI的治理式网络接入
Cisco NAC型设备 思科无线接入点 企业资源
802.1X 兼容设备
802.1X 兼容性检查 网络接入
思科交换机 Cisco Secure Access Control Server
UDP/互联网
思科VPN集中器
不兼容设备 兼容性治理
修复,更新 拯救
Tivoli Security Compliance Manager Tivoli PRovisioning Manager 隔离VLAN
Tivoli Security Compliance Manager
准入决策由 Cisco Secure ACS制定,由Tivoli Security Compliance Manager治理。
思科安全技术部营销主管 Russell Rice说:“当员工在机场热点或本地咖啡馆中上网时,很可能会在浏览互联网的过程中无意下载病毒。另外,员工还有可能错误地关闭了笔记本电脑上安装的防病毒软件,然后将该笔记本电脑带回企业。因此,企业需要采取有效的方式来检查设备的安全状况。”
两年前,思科启动了网络准入控制( NAC)计划,开始解决这些问题。NAC包含很多技术和解决方案,目的是利用网络基础设施对希望访问网络计算资源的所有设备实施安全防护检查。实施了NAC的客户能够只访问符合要求、值得信任的端点设备(PC、服务器和PDA等),同时能够控制对不符合要求或不可治理的设备的访问。
一开始, NAC只能在思科路由器上使用,包括思科集成多业务路由器、模块化接入路由器、多服务接入路由器、7200系列路由器和VPN集中器。因此,NAC能够扩展到远程分支机构或远程设备访问,但无法部署到企业LAN和无线接入点上。
Rice说,现在,由于思科的NAC2增加了Cisco Catalyst交换机和无线解决方案,因而使NAC能够在最需要它的企业LAN上派上用场。
Rice说:“当思科首次推出NAC时,其主要目的是降低将病毒或蠕虫带入网络的危险。目前,这仍然是NAC的主要目的,但技术上已经有了很大的发展。利用NAC2,企业能够只答应适当的人员和设备接入企业网,加强对企业网接入和业务策略的审核,从而降低企业资源受到侵犯的风险。”
由 60多家合作伙伴组成的生态系统——NAC厂商计划,现在已经包含了开发用于评估非治理式和无代理资源的解决方案的厂商。Altiris、Symantec和Qualys已经推出了相关产品,并开始与已经参与计划的很多厂商合作,包括领先的防病毒、修复和客户安全提供商,例如Altiris、BigFix、Computer Associates、IBM、McAfee和Trend Micro。
思科为 NAC提供了两种方法:基于设备的方法和基于架框架的方法,后者也称为NAC框架。
Cisco Clean Access是一种设备,能够为快速NAC部署提供自含式端点评估、策略治理和拯救服务,包括从Microsoft和领先防病毒厂商下载补丁和更新件。部署Cisco Clean Access设备的客户已经超过了350名,最终用户数量已超过了250万。在最大的部署中,Cisco Clean Access设备需要为63,000名用户提供服务。亚利桑那州大学的发言人说:“部署Cisco Clean Access设备之后,网络安全事件从每年6,000件锐减为50件。”
NAC框架解决方案是一种企业级方法,它将NAC型网络设备、服务和中心策略治理与来自领先防病毒、安全和治理厂商的解决方案结合在一起,提供了精细的准入控制治理。迄今为止,这种解决方案是长期企业级部署的最佳方案。
NAC框架包含四个组件:
端点安全软件,为了将 NAC框架扩展到端点,各公司需要安装Cisco Trust Agent软件,该软件包含开放式应用编程接口(API),并支持防病毒、防间谍件或个人防火墙等端点上原有的安全软件,以便与NAC交互。
网络接入设备,用于实施准入控制策略,包括路由器、交换机、无线接入点和安全设备。这些设备要求用户提供主机证书,然后将这些信息发送到策略服务器,由策略服务器作出最后的决策。
策略服务,用于评估网络设备发来的端点安全信息,并作出相应的访问策略。作为 AAA RADIUS服务器的思科安全访问控制服务器(ACS)是策略服务器系统的基础。
治理系统,思科治理解决方案将提供相应的思科 NAC设备以及监控和报告运作工具。思科安全监控分析和响应系统(CS-MARS)已经得到了增强,能够像CiscoWorks安全信息治理器解决方案(CiscoWorks SIMS)那样,为NAC系统提供集中帮助桌面和排障支持。
IBM Tivoli软件是已经与思科NAC框架集成在一起的很多安全应用之一。第53页的图1表明,NAC能够与IBM的Tivoli身份治理和修复系统配合使用。利用Tivoli Security Compliance Manager,企业能够为接入网络的设备制定相应的策略。该策略信息将发送至Cisco Secure ACS,由Cisco Secure ACS作出网络准入决策。每个终端设备上都需要运行Cisco Trust Agent,状态信息将利用三种不同的技术——无线、802.1X或互联网用户电文协议(UDP)发送至思科网络设备、接入点、思科交换机和思科VPN集中器。兼容性检查由Cisco ACS立即执行。假如设备符合要求,能够直接接入企业网络。假如不符合要求,Cisco ACS只能将其转至隔离LAN。在这个受限VLAN上,Tivoli Security Compliance Manager将利用Tivoli Provisioning Manager为设备“补安全课”。“补课”结束之后,思科网络才答应设备接入安全的生产环境。
