کنترل دسترسی شبکه یکی از مهم ترین بخشهای پشتیبانی شبکه میباشد که سهم بسزایی در امنیت داده های سازمانی ایفا می نماید. این قابلیت سبب ساز می شود تا هر کارمندی به میزانی از داده های سازمانی که مورد نیازش میباشد دسترسی داشته باشد. نه بیشتر و نه کمتر.

نیاز سازمان برای کنترل طولانی تر محدوده شبکه خویش، به ویژه در عصر BYOD (Bring Your Own Device، به‌این مفهوم میباشد که کنترل دسترسی شبکه در مقایسه با وقتی که برای اولین دفعه به بازار عرضه شد میباشد، نشان‌دهنده یک پیشرفت متمایز در سرانجام سازمان میباشد. امروزه کنترل دسترسی شبکه نقش مهمی امنیتی را در سمت خودکارسازی مدل دسترسی به یک دستگاه نو ایفا کرده و کنترل موشکافانه‌ای برای دسترسی به منابع آماده می نماید. این نقش پیش از این به وسیله پرسنل امنیتی پشتیبانی و مراقبت شبکه پر میشد، البته سوای اتوماسیون که همین مساله وقت‌گیر بوده و سبب ساز خطا میشود.

سازمان ها در هنگام جستجوی شایسته ترین تولید ها کنترل دسترسی شبکه برای نیازهای خویش، کارداران زیادی را در لحاظ می گیرند. با این حال، تمام تولید ها متناسب با گونه های سازمان ها نیستند. برخی از آن ها در موسسات بزرگتر با مخارج بالا مورد به کارگیری قرار میگیرند. برای داده های بیش تر راجع به تعرفه سرویس های شبکه میتوانید نوشته ی ما روی تارنما را مطالعه فرمایید. در حالی که سایرافراد برای کسب و شغل های کوچکتر که نیازی به پشتیبانی از تعداد متعددی دستگاه تازه از گونه های گوناگون ندارند، بیش تر مورد قرار می‌گیرند. این نوشته‌علمی شایسته ترین تولید های کنترل دسترسی شبکه موجود را باز نگری میکند. برای این نوشته ی علمی، ما ارائه کنندگان پیشروی پایین را در نظر میگیریم: فناوری ForeScout، شبکه های برادفورد، سیسکو، شبکه های آروبا، Trustwave، Extreme Networks و Pulse Secure.

پشتیبانی از دستگاه

واحد سنجش کلیدی در هنگام بازنگری پشتیبانی از دستگاه، کنترل دسترسی شبکه (NAC) مبتنی بر عامل در مقابل بدون عامل است. پارامترهای NAC داده های حساس در زمینه ی دستگاه های متصل را ارائه میدهند. این دستور میتواند مشتمل بر محدود کردن دستگاه هایی که از آنتی ویروس آپ دیت به کار گیری نمی‌کنند یا این که برنامه های ممنوعه را نصب کرده اند باشد. دست اندرکاران NAC را می شود به ماندگار و قابل تجزیه تقسیم کرد – دست اندرکاران ماندگار بر روی دستگاه هدف نصب می گردند، در حالی که کارداران قابل تجزیه یکبار تأیید دستگاه را ارائه میدهند و آن‌گاه حذف میگردند.

محصول ها NAC بدون عامل، انعطاف پذیری بیشتری در مورد شناسایی اشکال دستگاه هایی که به شبکه متصل گردیده اند و از سیاست های مطلوب استعمال می‌کنند ارائه می‌دهند. این می‌تواند از روش Active Directory نیز اجرا شود – که از روش آن، کد NAC بدون عامل به بررسی دستگاه زمانی که یک استفاده کننده به دامنه می پیوندد میپردازد، یا این که با ترکیب آن با بقیه تولیدها امنیتی مانند سیستم های پیشگیری از نفوذ یا این که تجزیه و ارزیابی رفتار شبکه. این کالای ایده آل، سیستم عامل و سیستم های بدون عامل را متصل می نماید که به نقل از عامل وقتی که در دسترس میباشد پیش فرض میگردد و از چاره بدون عامل تحت عنوان یک جایگزین به کارگیری می نماید. این محصول وسیع ترین ادغام اعتنا و انعطاف پذیری آماده می‌کند که یک الزام اساسی در یک شبکه وسیع میباشد که نیاز به اداره اشکال متفاوت دستگاه مانند BYOD دارااست.

سیسکو، بیش تر به جهت سهم بازار خویش در فضای زیرساخت شبکه، یکی از دو بازیگر برتر در بازار NAC شناخته میشود. در اکثری از موردها، سازمان ها در مییابند که تامین محصول ها NAC از یک خالق معمولی تر از تامین آن ها از ارائه دهنده های دیگر میباشد. متاع Clean Access سیسکو قوی به شناسایی دستگاه ها با به کارگیری از طریق های بی قاعده میباشد، ولی بهتر میباشد در شبکه ای که اکنون به شدت در بقیه تولیدات سیسکو سپرده گذاری نموده است، ساکن شود. در حالتی‌که زیرساخت شبکه شما از تولیدکنندگان مختلفی به کار گیری می‌نماید، سیستم های NAC دیگری وجود دارند که ممکن میباشد مطلوب تر یا این که ارزان تر باشند.

دیگر بازیگر برتر در بازار NAC، ForeScout Counter ACT میباشد، محصولی بسیار انعطاف پذیر که امکان تشخیص بدون عامل درستی از دستگاه های جدیدی که به شبکه متصل میگردند، ارائه میدهد. این فرمان منجر میگردد این محصول تعداد متعددی از گونه های دستگاه را شناسایی کرده و سیاست های مبنی بر این ها را اعمال نماید. از حیث تشخیص و پشتیبانی دستگاه، ForeScout یک چاره عالی ارائه می دهد.

تولیدات Bradford Networks از نظر پشتیبانی از دستگاه انعطاف پذیر میباشند و اجازه میدهند تا هر دو عامل به یادماندنی و قابل حل و همینطور NAC بدون عامل در سطح Active Directory یا این که در مخلوط با دستگاه های امنیتی اجرا شوند.

آروبا و Trustwave در‌این حوزه نسبتا کمتر منعطف میباشند. آروبا یک هنرپیشه کلیدی در بازار بی سیم میباشد و جنس NAC آن برای BYOD خیلی خوب میباشد ولی می‌تواند برای شبکه های سیمی نیز به کارگیری شود. جنس NAC آروبا مورد های مختلفی برای ارائه سرویس ها در وقتی که دستگاه ها متصل می‌باشند آماده می نماید، هر چند از اجرای حقیقی و واقعی بدون عامل پشتیبانی نمی نماید. Trustwave محصول های بدون عامل و غیر قابل تجزیه ارائه میدهد.

ترکیب و یکپارچگی

اطمینان از اینکه یک سیستم انتخابی NAC با سیستم های موجود مخلوط میگردد یکی از مهمترین عامل ها در تعیین یک محصول مطلوب می‌باشد. اکثری از سازمان ها اینک به شدت در محصولاتی مانند MDM، SIEM، بررسی آسیب پذیری، امنیت استوار و نسل های بعدی فایروال سپرده گذاری کرده اند. محصول ها NAC چنانچه که کار کشته به مخلوط با این‌راه حل های امنیتی نباشند اثرگذاری کمتری خواهند داشت. پیشین از باز نگری سیستم های NAC، لیستی از تمام سیستم های موجود در شبکه خویش را تولید فرمائید که می بایست با آن ترکیب شود و جستجوی خویش را به صورت مطلوب غربال نمائید.

از نگاه مخلوط، غالب فعلی به نظر می‌رسد CounterACT ForeScout میباشد که همیاری عالی با بازیگران کلیدی که تولیدات امنیتی مختلفی را وارد می کنند دارااست. این ترکیب با تمام ابزارهای مدیریت آسیب پذیری کلیدی و پشتیبانی از اکثر تولید های SIEM که از فرمت های پیامرسانی استاندارد به کارگیری می نمایند پشتیبانی میکند. همگام سازی با MDM و محصول ها تشخیص تهدید توسعه یافته نیز موجود است.

یکی‌از دیگر از برندگان مهم در این باره، Network Sentry شبکه برادفورد میباشد. یکی‌از سیاست های این مجموعه ترکیب با حداکثر تولید ها ممکن میباشد- لیست این موسسه از مخلوط های پشتیبانی گردیده بزرگ میباشد و دربرگیرنده ایجاد کنندگان عمده می گردد.درحال حاضر، نقطه ضعف این مجموعه در آن میباشد که بخش اعظمی از این خصوصیت های ترکیب، مخارج مازاد را اجبار مینمایند و آن را به یکی از مورد های لاکچری تبدیل میکنند. بقیه ارائه دهندگان همه دارنده یکپارچگی های گوناگون می‌باشند، ولی هیچ کدام به اندازه ی این دو آیتم گسترده نیستند.

رعایت و تطابق با قانون ها

تامین کنندگان NAC همواره خویش را تحت عنوان تولیدات عالی برای تطابق با استانداردهای مانند PCI DSS، ISO 27002 و NIST معرفی می‌کنند. در این مورد شبکه های برادفورد، Extreme Networks و ForeScout شایسته ترین میباشند که همگی آن‌ها پیشنهاد می کنند که چه‌گونه محصولاتشان مطابقت با ضوابط مورد استعمال قرار گیرند. ForeScout دراین باره از روش بستر سازش خویش بسیار قدرتمند میباشد. این موسسه سیاست های و گزارش مختص تطابق، از گزاره PCI DSS، SOX و HIPAA ارائه میدهد.

پشتیبانی

بعد از تعیین یک فرآورده NAC، نوبت به پیاده سازی و پشتیبانی از آن میرسد. برای اینکه NAC اثر گذار باشد، می بایست به وسیله پرسنل یگانه خویش اداره شود، یا این که دست‌کم به بخشی از مسئولیت پرسنل تبدیل شود. اعتنا به اینکه چه گونه پشتیبانی به وسیله ارائه کننده شخصی ارائه میشود و آیا این پشتیبانی در ناحیه جغرافیایی شما ارائه شده‌است یا این که نه، مهم و ضروری میباشد.

پشتیبانی از نگاه هزینه و سطح های متعدد میباشد. این هزینه و سطح سرویس ها در قرارداد پشتیبانی شبکه تماما مشخص و معلوم میگردد. در تمامی مورد ها، پشتیبانی فنی دقیق آیتمی مازاد میباشد که قادر است مخارج اجرای آن را به معیار قابل توجهی ارتقا دهد. تولیدات NAC نیز خط مشی انقضاء دارا هستند که در آن تولیدکننده پشتیبانی از آنها‌را انقطاع می نماید، به این ترتیب هزینه و توالی ارتقا سیستم می بایست مورد دقت قرار گیرد.

مثلا، کانال برادفورد، سطح های متفاوت پشتیبانی را با مخارج گوناگون ارائه میدهد. با این حال، این پشتیبانی عمدتا خاص بازار ایالات متحده میباشد و در فیض مشتریان در نقاط دیگر جهان به سطح پشتیبانی شبیه دسترسی ندارند. قبل از سپرده گذاری در محصول یک کمپانی، نظارت توان شرکای خویش برای ارائه پشتیبانی، کاری محتاطانه میباشد. ForeScout همینطور دارنده دو سطح پشتیبانی میباشد که هرکدام از آن‌ها با ارزش می‌باشند.

تحلیل شایسته ترین تولید های کنترل دسترسی شبکه

ForeScout یک فرآورده NAC خوب برای سازمانهای دارنده دارایی هنگفت میباشد، چون از گونه های متفاوت دستگاه ها و ماژول های تطابق پشتیبانی مینماید. با این حال، یکپارچگی ارائه گردیده از روش معماری ControlFabric – مانند مخلوط SIEM اکثر زمان ها تحت عنوان پلاگین ای مازاد ارائه می گردد و هزینه فرآورده میتواند به صورت قابل توجهی از آنچه پیش گویی گردیده بود بالاتر رود. کمپانی شبکه های برادفورد همینطور یک متاع بسیار متنوع را با یکپارچگی عالی و پشتیبانی از تطابق ارائه می‌دهد، البته از بضاعت و توان محدودی برای عمل در بیرون از آمریکا شامل است. مال سیسکو در بالا در سازمان هایی کاربرد دارا‌هستند که در سخت افزار خویش سپرده گذاری کرده اند. این قضیه درباره‌ی مدیریت سیاست Pulse Secure نیز درستگو میباشد.