Marktleider Cisco laat weten dat het in Nederland voor komend jaar iets meer dan vijftig klanten heeft, en Check Point ziet potentiële klanten twijfelen. "In de tweede helft van vorig jaar heeft Check Point, net als andere leveranciers, gesprekken gevoerd met klanten over NAC", vertelt Peter Sandkuijl, senior engineer high end solutions van Check Point. "De afgelopen maanden is eigenlijk de conclusie breed getrokken dat vooral het authenticatieprotocol, 802.1x, te star is om als NAC-protocol dienst te doen." Juist dat protocol is belangrijk voor NAC, omdat het de spil is rond welke toegangsverlening draait. "Je kunt in 802.1x wel categorieën aanmaken voor toegangspolicies, maar geweigerden worden op één hoop gegooid. Dat gaat veel klanten te ver: het is nu óf toegang krijgen met policies, óf helemaal geen toegang."

Duur

Wilbert Pijnenburg is tegenwoordig werkzaam bij Infosecure, maar was in het verleden bij Telindus betrokken bij NAC-implementaties. Hij is ook sceptisch over de kansen van het securitymodel op korte termijn. "Het principe deugt, het is goed om de desktop te controleren wanneer deze aanspraak maakt op het netwerk", zegt Pijnenburg. "Het probleem is dat de beschikbaarheid in het geding kan komen door de toegevoegde complexiteit bij een volledige implementatie." De NAC-fabrikanten overschatten de waarde die NAC heeft voor bedrijven, terwijl het een bijzonder dure oplossing is. "Om NAC goed uit te rollen heb je of iemand nodig die op meerdere fronten, desktop, netwerk en security, alles weet," zegt Pijnenburg. "Zo'n schaap met vijf poten is zeldzaam, en daardoor duur. Of ze hebben een groot team nodig die alle kennis in zich heeft, en ook dat is de meeste bedrijven al te veel gevraagd voor wat ze krijgen."

"Het is een hels karwei om NAC te implementeren", bevestigt analist Robert Whiteley van de infrastructuurdivisie van Forrester tegenover Techworld."Naast dat het systeem in het netwerk moet worden gehangen, moeten alle policies worden gedefinieerd, en dat kost heel veel tijd en mankracht." Bovendien, zo stelt Whiteley, wordt dat vertraagd door de organisatiestructuur van veel bedrijven. "De ict-afdeling legt de infrastructuur zelf aan, maar de policies liggen dikwijls in handen van de beveiligingstak. Dat wil nog wel eens langs elkaar heen werken."

Voorwaarden

NAC wordt daarom pas interessant als aan drie voorwaarden wordt voldaan, zegt Whiteley. "De eerste is dat de omgeving aan regelgeving is gebonden", zegt hij. "Denk dan aan bijvoorbeeld de privacyregels voor ziekenhuizen, waarbij verschillende dossiers van patiënten beschikbaar moeten zijn voor verschillende afdelingen, zonder dat een afdeling direct toegang krijgt tot alles."De tweede, aldus de analist, is een open draadloze omgeving. "Het idee dat gasten of inspecteurs gemakkelijk kunnen inloggen in het netwerk, zonder gedoe, maar ook zonder dat ze direct overal toegang toe hebben." En de derde is een omgeving met veel tijdelijke werknemers, die dus tijdelijke accounts nodig hebben. "Pas als aan twee of drie van die voorwaarden wordt voldaan, betaalt NAC zich redelijk snel terug", legt Whiteley uit. "Dat is ook de reden dat het in Amerika sneller gaat met de omarming van NAC: meer tijdelijke werknemers, meer open verbindingen, en qua regelgeving ontloopt het Europa niet veel."

Jungle

Dan is er het probleem dat de wereld van NAC een jungle is. Zelfs de namen verschillen per fabrikant. Bij Cisco, een van de pioniers op het gebied, heet het bijvoorbeeld Network Admission Control. Microsoft noemt het NAP (Network Access Protection). Dan zijn er verschillende manieren om de beveiliging aan te pakken: gebruik van agents of het continu het netwerk laten scannen, policies voor of na cliënttoegang doorvoeren, enzovoorts. Om toch overzicht te krijgen deelt Forrester NAC volgens Whiteley ruwweg in in drie categorieën: Softwarematig, dus als iets dat op desktops en servers geïnstalleerd wordt, de appliance, een apart systeem die de NAC regelt, en als laatste als infrastructuur-oplossing, waarbij NAC direct op switches en routers wordt gedraaid.

Virtualisatie

Daar bovenop komt een technisch probleem dat NAC krijgt met de opkomst van virtualisatie. "NACs werken nu over het algemeen op het niveau van poorten. Als een systeem niet de benodigde rechten heeft het netwerk op te gaan, dan wordt de poort afgesloten", zegt Whiteley. "Dat brengt een groot probleem in een gevirtualiseerde omgeving. Stel: je hebt een server staan waar vier VM's op draaien. Die gaan allemaal via dezelfde poort het netwerk op terwijl elke VM andere instellingen kan hebben. Als één VM niet voldoet, loop je het risico dat de gehele fysieke server, en dus allevier de VM's, worden afgesloten. Daar is geen pasklaar antwoord op." Het is een probleem dat vooral geldt voor hardwarematige NAC. "NAC die op agents is gebaseerd heeft daar niet zoveel last van. Die zijn immers geïnstalleerd in de VM zelf, en opereren op dat niveau."

Sandkuijl van Check Point erkent dat virtualisatie een probleem kan vormen. Toch wil hij een kanttekening plaatsen. "NAC draait voor 99 procent voor clients, dus servervirtualisatie wordt meestal door NAC ontzien", zegt hij. "Het is wel een uitdaging als je bijvoorbeeld een Citrix-omgeving hebt, waarbij desktops op centrale servers gevirtualiseerd worden. Maar dan heb je vaak geen NAC meer nodig omdat de controle over de desktops dan al geregeld is."

Consolidatie

Maar er lijkt een soort consolidatie op te treden, zo zegt Whiteley. "Dat wordt deels gedreven door het eerder genoemde virtualisatieprobleem, omdat je dan liever met agents werkt die niet een merken dat ze op een virtuele machine staan. Fabrikanten die dat niet op kunnen lossen zullen denk ik uiteindelijk uit de NAC-markt verdwijnen", aldus Whiteley. Hij verwacht dat NAC op appliances uiteindelijk de standaard gaat worden. "Het mist het probleem van de software-op-desktop-aaanpak met het moeten instellen van de end point access. En qua schaalbaarheid en prestaties ligt het voor op de appliance."

Cisco en Microsoft

Bovendien is dat het model van marktleider Cisco, en het is vooral de krachtenbundeling van Microsoft en Cisco gaat gewicht in de schaal leggen, zo zegt Whiteley. "Met Microsoft wisselen ze al druk softwarecode uit", stelt Whiteley. "Eigenlijk kunnen we uit die hoek een de-facto NAC-standaard verwachten." Cisco, Microsoft en andere leveranciers zijn sinds september 2006 bezig met het definiëren van een IETF- standaard voor NAC, wat volgens Cisco de interoperabiliteit ten goede komt. De eisen zijn onderhand gesteld in een requirements-document, maar een standaard wordt pas begin 2009 op zijn vroegst verwacht, aldus een woordvoerder van Cisco.

Ook Pijnenburg ziet Cisco als de partij die de lijnen uitzet. "Zij hebben de potentie om het uit te voeren. De kern is controle. Je kunt je alleen afvragen of je wilt dat het netwerk de security zelf doet, want er zijn omgevingen denkbaar dat je juist de beveiligingsverantwoordelijkheden voor een gedeelte bij de gebruiker neerlegt, bijvoorbeeld een universiteit." Hoe? "Je zegt tegen een gebruiker: 'wij beveiligen zelf onze backoffice- applicaties, maar koop zelf je laptop bij de Aldi maar.' En als er iets misgaat met de laptop, dan ga je in eerste instantie terug naar de Aldi." Bron: Techworld