NAC: много шума из ничего?

ДЖЕЙСОН БРУКС: БЕЗОПАСНОСТЬ

В теории управление сетевым доступом выглядит намного привлекательнее, чем на практике

Варианты решений NAC (Network Access Control - управление сетевым доступом) вызывают сейчас пристальный интерес, их активно продвигают и отраслевые тяжеловесы, и небольшие компании. Вот только при несомненной благости заявленных целей до сих пор остается неясным: а стоит ли корпорациям тратить время и деньги на поддержку подобных инициатив?

Другими словами, способна ли технология NAC выполнять стоящие перед ней задачи? Я, честно говоря, сомневаюсь... Особенно в том, что касается проверки конечных пользователей. На мой взгляд, полученного от клиента ответа о типе операционной системы, свежести заплат в ПО и антивирусной сигнатуре явно недостаточно, чтобы сделать вывод о том, что ему, клиенту, можно доверять.

В первую очередь меня, как давнего пользователя Linux и сторонника открытых опций клиентской платформы, тревожит то, что NAC грозит возвести новые барьеры на пути использования операционных систем, не имеющих отношения к Windows. Сегодня технический ландшафт буквально усеян множеством разнотипных клиентов, и если взаимодействие между ними не ограничивается простыми переговорами, а требует обязательной проверки состояния собеседника, связь в огромном количестве случаев станет просто невозможной.

Никто не спорит: администратор четко организованной корпоративной инфраструктуры имеет право и просто обязан управлять доступом своих пользователей и клиентов в сеть. Вот только в такой среде технология NAC выглядит, как мне кажется, явно избыточной. При отлаженном управлении на компьютерах не может оказаться никаких посторонних программ, а прав для закрытия брешей безопасности и обновления антивирусных средств у администратора и без того достаточно.

Что же касается систем, которые невозможно поставить под строгий административный контроль (например, персональных компьютеров надомников или ноутбуков партнеров), то NAC просто не в состоянии гарантировать их надлежащее состояние. Что бы там ни сообщал установленный дома клиентский компьютер о своем состоянии, никакой уверенности в отсутствии на нем зловредных программ не будет, и быть не может. Да и ваши партнеры вовсе не обязательно управляют своими компьютерами по тем же правилам, что и вы. Может, скажем, случиться так, что в вашей компании надежной считается только система с полным комплектом установленных заплат, а партнер вынужден отказаться от некоторых из-за проблем совместимости с ключевыми приложениями.

В обоих случаях выход может быть только один: делать исключения из общих правил. А учитывая бесконечный поток все новых заплат для ОС и обновлений антивирусных сигнатур, не говоря уже о непредсказуемых конфликтах между ними, я предвижу настоящий кошмар бесконечного пересмотра политики и правил. И без того перегруженным подразделениям ИТ придется, мягко говоря, взвалить на себя дополнительную неподъемную ношу.

Вот и думается: кому нужны данные, которым не слишком-то доверяешь, о состоянии систем, которые полностью не контролируешь? Может, вместо того чтобы тратиться на разработку, развертывание и управление системой NAC со всеми ее правилами, программными и аппаратными компонентами, лучше пойти по другому пути? Обратить внимание на улучшение защищенности своих клиентов и серверов, чтобы те стали устойчивее к внешним угрозам, которые неизбежно просочатся в вашу сеть?

На серверах хорошую службу могут сослужить новые функции безопасности операционных систем, завоевавших доверие в нишевых решениях и постепенно мигрирующих на основные платформы, таких как Linux или Solaris. Что же касается клиентов, то компаниям придется усилить контроль над ними. Там же, где это невозможно, остается только создавать на них отдельные островки безопасности, даже не стараясь защитить клиента полностью. Хороший путь для этого, скажем, открывает использование виртуальных машин и терминальных сервисов.

Конечно, это было бы просто здорово - послать клиенту запрос и по его ответу автоматически определить уровень доверия к нему. Вот только даже самые ярые сторонники NAC не берутся утверждать, что такое возможно при данном развитии технологии. Так что нам остается не слишком-то полагаться на доверительные отношения и привыкать к подозрительности.