Reden om het WEL te doen: het securitymodel deugt

Het centrale idee achter NAC-beveiliging is erg populair onder beveiligers: een apparaat wordt pas tot het netwerk toegelaten als het aan alle beveiligingspolicies voldoet die van tevoren zijn ingesteld. Bang voor Conficker of een andere worm? Je stelt gewoon in dat apparaten die de nodige patch niet hebben, geen toegang krijgen. Dat weert zwakke punten in het netwerk.

Reden om het NIET te doen: Geen standaard, kans op vendor lock-in

Zowel Cisco als Microsoft hebben hun eigen idee van NAC uitgedragen. Bij Cisco is het Network Admission Control (afgekort CNAC), terwijl het bij Microsoft Network Access Protection (NAP) heet. De twee zijn tijden met elkaar aan het praten over interoperabiliteit. Daar zijn ze over uit, maar een standaard is het absoluut niet. De vraag rijst in hoeverre zo'n 'standaard' het toelaat om buiten deze twee leveranciers te shoppen. Met andere woorden: wil je het risico lopen op termijn vast te zitten aan een duur wurgcontract?

WEL: NAC gaat onderhand een stuk verder dan 802.1X

Nog een jaar geleden werd het 802.1X-protocol gelijkgesteld aan NAC. Hoewel die standaard als erg betrouwbaar en robuust te boek staat, is er een probleem: het is nogal stug. Het protocol komt niet verder dan het wel of niet toelaten van een apparaat. Het toelaten met beperkte rechten een stuk lastiger, wat tot heel veel frustraties kan leiden als een gastgebruiker geen toegang krijgt voor het snel even checken van de mail. "Het feit dat NAC niet langer helemaal vastzit aan 802.1X voor het toegangsgedeelte is wellicht de grootste verandering die het heeft ondergaan de afgelopen tijd", zegt Jeff Prince, CEO van ConSentry Networks, een leverancier van endpoint-beveiliging. "Ondernemingen kunnen het loginproces van het domein gebruiken om uit te maken of een apparaat kan worden toegelaten tot het netwerk, terwijl ze subtielere mechanismen kunnen gebruiken om rechten toe te kennen. Dat staat allemaal los van 802.1X."

NIET: Implementatie kost heel veel tijd en geld

Het instellen van NAC-policies is geen eenvoudige klus. Mocht je NAC willen gaan implementeren, dan kan dat niet snel en eenvoudig. Daar zijn volgens aanbieders wel oplossingen voor; je kunt voor een schaalbare oplossing gaan, waarmee je in de loop van de tijd meer policies kunt toevoegen en zo heel geleidelijk tot een werkend model kunt komen. Maar dat neemt niet weg dat NAC ingrijpend is, en duur. Bovendien is het zeker geen directe kostenbesparing; goed patchbeheer is al snel een goedkopere methode, en op het gebied van investering komt de waarde vooral uit het feit dat je aan wet- en regelgeving voldoet, bijvoorbeeld in ziekenhuizen of de financiële sector. Heeft jouw bedrijf daar weinig mee te maken, dan kun je de vraag stellen of de kosten opwegen tegen de baten. Dat schreef NetworkWorld columnist Richard Stiennon een jaar terug, en het is een argument dat nu nog steeds zwaar weegt.

WEL: 'Early Adopters' lijken tevreden

NAC is hier en daar al in gebruik. Namens Cisco meldde Marc Samson dat ze aan het eind van 2007 al zo'n veertig tot vijftig Nederlandse CNAC-klanten hadden. Nu zijn dat volgens zijn opvolger Ron Jacob "ettelijke honderden." Daarbij nemen ze ook steeds meer diensten rond NAC af, zo zegt de business development manager voor Cisco Security. "We zien de trend dat klanten beginnen met de fundamenten van CNAC, het echt toelaten op basis van policies, en er vervolgens allemaal applicaties omheen aanschaffen", zegt Jacob. "Denk daarbij aan zaken als aparte guest-toegang en overzichten van wie achter welk endpoint zit." Bedrijven die NAC toepassen werken volgens Jacob vooral veel met contracters, of zitten in het onderwijs (studenten brengen vaak hun eigen laptops mee) en overheid. Die laatste sector heeft volgens Jacob al zo'n 15.000 beheerde endpoints.

NIET: Het is geen remedie voor al uw beveiligingsproblemen De marketing rond NAC is er vaak op gericht dat in één klap alle beveiligingsproblemen rond endpoints de wereld uit zijn, maar dat is niet zo. De grootste gevaren komen van binnenuit, en daar doet NAC nou juist niet heel veel tegen. Bij netwerkbeveiliger Pinewood weten ze hoe dat komt. "Bij NAC-leveranciers als Cisco wordt er vaak vanuit gegaan dat je het netwerk moet beschermen tegen de endpoint", zegt Arthur van Vliet, account manager van Pinewood. "Ik denk dat het beide kanten op moet gaan." Hans Doornbos, directeur van Pinewood, voegt eraan toe dat het handiger is om je te richten op volledige endpoint-beveiliging. "En NAC is maar een heel klein deel daarvan." Bron: Techworld