راب شاپلند، به عنوان کارشناس شبکه نگاهی به بهترین محصولات کنترل دسترسی شبکه در بازار امروز کرده و ویژگی‌ها و قابلیت‌هایی را که فروشندگان برتر را در این فضا متمایز کرده است، بررسی می‌کند.

نیاز سازمان برای کنترل بیشتر محدوده شبکه خود، به ویژه در عصر BYOD، به این معنی است که کنترل دسترسی شبکه در مقایسه با زمانی که برای اولین بار به بازار عرضه شد است، نشان‌دهنده یک پیشرفت متمایز در سرنوشت سازمان است. امروزه کنترل دسترسی شبکه نقش مهمی امنیتی را در جهت خودکارسازی نوع دسترسی به یک دستگاه جدید ایفا کرده و کنترل موشکافانه‌ای برای دسترسی به منابع فراهم می‌کند. این نقش قبلاً توسط کارکنان امنیتی پشتیبانی و نگهداری شبکه پر می‌شد، اما بدون اتوماسیون که همین مساله وقت‌گیر بوده و منجر به اشتباه می‌شود.

سازمان ها در هنگام جستجوی بهترین محصولات کنترل دسترسی شبکه برای نیازهای خود، عوامل متعددی را در نظر می‌گیرند. با این حال، تمام محصولات متناسب با انواع سازمان ها نیستند. برخی از آنها در شرکتهای بزرگتر با هزینه های بالا مورد استفاده قرار می‌گیرند. برای اطلاعات بیشتر در مورد تعرفه خدمات شبکه می‌توانید مقاله کامل ما روی وبسایت را مطالعه کنید. در حالی که دیگران برای کسب و کارهای کوچکتر که نیازی به پشتیبانی از تعداد زیادی دستگاه جدید از انواع مختلف ندارند، بیشتر مورد قرار میگیرند. این مقاله بهترین محصولات کنترل دسترسی شبکه موجود را بررسی می کند. برای این مقاله، ما ارائه کنندگان پیشروی زیر را در نظر می گیریم: فن آوری ForeScout، شبکه های برادفورد، سیسکو، شبکه های آروبا، Trustwave، Extreme Networks و Pulse Secure.

 

پشتیبانی از دستگاه

معیار کلیدی در هنگام بررسی پشتیبانی از دستگاه، کنترل دسترسی شبکه (NAC) مبتنی بر عامل در مقابل بدون عامل است. پارامترهای NAC اطلاعات دقیق در مورد دستگاه های متصل را ارائه می دهند. این امر می تواند شامل محدود کردن دستگاه هایی که از آنتی ویروس به روز استفاده نمی کنند یا برنامه های ممنوعه را نصب کرده اند باشد. عوامل NAC را می توان به ماندگار و قابل تجزیه تقسیم کرد – عوامل ماندگار بر روی دستگاه هدف نصب می شوند، در حالی که عوامل قابل تجزیه یکبار تأیید دستگاه را ارائه می دهند و سپس حذف می شوند.

محصولات NAC بدون عامل، انعطاف پذیری بیشتری در زمینه شناسایی انواع دستگاه هایی که به شبکه متصل شده اند و از سیاست های مناسب استفاده می کنند ارائه می دهند. این می تواند از طریق Active Directory نیز اجرا شود – که از طریق آن، کد NAC بدون عامل به ارزیابی دستگاه هنگامی که یک کاربر به دامنه می پیوندد می پردازد، یا با ادغام آن با سایر محصولات امنیتی مانند سیستم های پیشگیری از نفوذ یا تجزیه و تحلیل رفتار شبکه. این محصول ایده آل، سیستم عامل ها و سیستم های بدون عامل را متصل می کند که به گزارش عامل زمانی که در دسترس است پیش فرض می شود و از راه حل بدون عامل به عنوان یک جایگزین استفاده می کند. این محصول بزرگترین ترکیب دقت و انعطاف پذیری فراهم می کند که یک الزام اساسی در یک شبکه بزرگ است که نیاز به اداره انواع مختلف دستگاه مانند BYOD دارد.

سیسکو، بیشتر به دلیل سهم بازار خود در فضای زیرساخت شبکه، یکی از دو بازیگر برتر در بازار NAC شناخته می شود. در بسیاری از موارد، سازمان ها در می یابند که تامین محصولات NAC از یک تولید کننده ساده تر از تامین آنها از ارائه دهنده های دیگر است. محصول Clean Access سیسکو قادر به شناسایی دستگاه ها با استفاده از روش های بی قاعده است، اما بهتر است در شبکه ای که در حال حاضر به شدت در سایر محصولات سیسکو سرمایه گذاری کرده است، مستقر شود. اگر زیرساخت شبکه شما از تولیدکنندگان مختلفی استفاده می کند، سیستم های NAC دیگری وجود دارند که ممکن است مناسب تر یا ارزان تر باشند.

دیگر بازیگر برتر در بازار NAC، ForeScout Counter ACT است، محصولی بسیار انعطاف پذیر که قابلیت تشخیص بدون عامل خوبی از دستگاه های جدیدی که به شبکه متصل می شوند، ارائه می دهد. این امر باعث می شود این محصول تعداد زیادی از انواع دستگاه را شناسایی کرده و سیاست های مبتنی بر این ها را اعمال کند. از نظر تشخیص و پشتیبانی دستگاه، ForeScout یک راه حل عالی ارائه می‌دهد.

محصولات Bradford Networks از لحاظ پشتیبانی از دستگاه انعطاف پذیر هستند و اجازه می دهند تا هر دو عامل ماندگار و قابل حل و همچنین NAC بدون عامل در سطح Active Directory یا در ترکیب با دستگاه های امنیتی اجرا شوند.

آروبا و Trustwave در این حوزه نسبتا کمتر منعطف هستند. آروبا یک بازیگر کلیدی در بازار بی سیم است و محصول NAC آن برای BYOD خیلی خوب است اما می تواند برای شبکه های سیمی نیز مورد استفاده قرار گیرد. محصول NAC آروبا گزینه های مختلفی برای ارائه خدمات در هنگامی که دستگاه ها متصل هستند فراهم می کند، هر چند از اجرای واقعی بدون عامل پشتیبانی نمی کند. Trustwave محصولات بدون عامل و غیر قابل تجزیه ارائه می دهد.

 

ادغام و یکپارچگی

اطمینان از اینکه یک سیستم انتخابی NAC با سیستم های موجود ادغام می شود یکی از مهم ترین عوامل در انتخاب یک محصول مناسب می باشد. بسیاری از سازمان ها در حال حاضر به شدت در محصولاتی مانند MDM، SIEM، ارزیابی آسیب پذیری، امنیت پایدار و نسل های بعدی فایروال سرمایه گذاری کرده اند. محصولات NAC در صورتی که قادر به ادغام با این راه حل های امنیتی نباشند اثرگذاری کمتری خواهند داشت. قبل از بررسی سیستم های NAC، لیستی از تمام سیستم های موجود در شبکه خود را ایجاد کنید که باید با آن ادغام شود و جستجوی خود را به طور مناسب فیلتر کنید.

از لحاظ ادغام، برنده فعلی به نظر می رسد CounterACT ForeScout است که همکاری عالی با بازیگران کلیدی که محصولات امنیتی مختلفی را عرضه می کنند دارد. این ادغام با تمام ابزارهای مدیریت آسیب پذیری کلیدی و پشتیبانی از اکثر محصولات SIEM که از فرمت های پیامرسانی استاندارد استفاده می کنند پشتیبانی می کند. همگام سازی با MDM و محصولات تشخیص تهدید پیشرفته نیز وجود دارد.

یکی دیگر از برندگان مهم در این زمینه، Network Sentry شبکه برادفورد است. یکی از سیاست های این شرکت ادغام با حداکثر محصولات ممکن است- لیست این شرکت از ادغام های پشتیبانی شده وسیع است و شامل تولید کنندگان عمده می شود. با این حال، نقطه ضعف این شرکت در آن است که بسیاری از این ویژگی های ادغام، هزینه های اضافی را تحمیل می کنند و آن را به یکی از گزینه های گران قیمت تبدیل می کنند. سایر ارائه دهندگان همگی دارای یکپارچگی های مختلف هستند، اما هیچ کدام به اندازه ی این دو مورد گسترده نیستند.

 

رعایت و انطباق با مقررات

تامین کنندگان NAC همواره خود را به عنوان محصولات عالی برای انطباق با استانداردهای مانند PCI DSS، ISO 27002 و NIST معرفی می کنند. در این زمینه شبکه های برادفورد، Extreme Networks و ForeScout بهترین هستند که همه آنها توصیه می کنند که چگونه محصولاتشان منطبق با قوانین مورد استفاده قرار گیرند. ForeScout در این زمینه از طریق بستر سازگاری خود بسیار قوی است. این شرکت سیاست های و گزارش خاص انطباق، از جمله PCI DSS، SOX و HIPAA ارائه می دهد.

 

پشتیبانی

پس از انتخاب یک محصول NAC، نوبت به پیاده سازی و پشتیبانی از آن می‌رسد. برای اینکه NAC موثر باشد، باید توسط کارکنان مختص خود اداره شود، یا حداقل به بخشی از مسئولیت کارکنان تبدیل شود. توجه به اینکه چه نوع پشتیبانی توسط ارائه کننده فردی ارائه می‌شود و آیا این پشتیبانی در منطقه جغرافیایی شما ارائه شده است یا خیر، مهم و ضروری است.

پشتیبانی از نظر هزینه و سطوح متفاوت است. این هزینه و سطح خدمات در قرارداد پشتیبانی شبکه به طور کامل مشخص می‌شود. در همه موارد، پشتیبانی فنی دقیق گزینه ای اضافی است که می تواند هزینه های اجرای آن را به میزان قابل توجهی افزایش دهد. محصولات NAC نیز خط مشی انقضاء دارند که در آن تولیدکننده پشتیبانی از آنها را قطع می کند، بنابراین هزینه و توالی ارتقاء سیستم باید مورد توجه قرار گیرد.

برای مثال، شبکه برادفورد، سطوح مختلف پشتیبانی را با هزینه های مختلف ارائه می دهد. با این حال، این پشتیبانی عمدتا مختص بازار آمریکا است و در نتیجه مشتریان در نقاط دیگر دنیا به سطح پشتیبانی مشابه دسترسی ندارند. قبل از سرمایه گذاری در محصول یک شرکت، ارزیابی توانایی شرکای خود برای ارائه پشتیبانی، کاری محتاطانه است. ForeScout همچنین دارای دو سطح پشتیبانی است که هر کدام از آنها ارزشمند هستند.

 

ارزیابی بهترین محصولات کنترل دسترسی شبکه

ForeScout یک محصول NAC خوب برای سازمان های دارای بودجه هنگفت است، زیرا از انواع مختلف دستگاه ها و ماژول های انطباق پشتیبانی می کند. با این حال، یکپارچگی ارائه شده از طریق معماری ControlFabric – مانند ادغام SIEM اغلب به عنوان افزونه ای اضافی ارائه می شود و هزینه محصول می تواند به طور قابل توجهی از آنچه پیش بینی شده بود فراتر رود. شرکت شبکه های برادفورد همچنین یک محصول بسیار متنوع را با یکپارچگی عالی و پشتیبانی از انطباق ارائه می دهد، اما از توانایی محدودی برای فعالیت در خارج از ایالات متحده برخوردار است. محصول سیسکو در ابتدا در سازمان هایی کاربرد دارند که در سخت افزار خود سرمایه گذاری کرده اند. این موضوع در مورد مدیر سیاست Pulse Secure نیز صادق است.