Network Access Control (NAC) به چه معناست؟

Network Access Control (NAC)  به چه معناست؟

واژه ی NAC که به آن Network Admission Control نیز گفته می شود، فرایندی است که طی آن دسترسی کاربران و دستگاه های غیر مجاز به شبکه های سازمانی کنترل و محدود می شود. و تضمین می کند تنها کاربرانِ احراز هویت شده و تجهیزات مجاز بر اساس پالیسی های امنیتی سازمان، امکان دسترسی خواهند داشت.

با توجه به گسترش endpointها در سطح شبکه به واسطه تکنیک bring-your-own-device (BYOD) و استفاده ی گسترده از تجهیزات IoT، کنترل و نظارت بیشتری مورد نیاز می باشد. حتی بزرگ ترین سازمان های فناوری اطلاعات نیز منابع لازم برای پیکربندی دستیِ تمام تجهیزات مورد استفاده را ندارند. اینجاست که ویژگی های خودکارِ NAC، نمایان شده و نقش موثر خود را در کاهش هزینه ها و زمان مورد نیاز برای احراز هویت و مجاز دانستن کاربران بر اساس پالیسی های امنیتی تعریف شده، ایفا می کنند.

مضاف بر این، مهاجمان سایبری با آگاهی از افزایش تعداد endpointها، هر روز تهدیدات پیچیده تری را طراحی و اجرا می کنند. طبیعتا با افزایش تعداد endpointها، سطح حملات گسترش می یابد؛ و این دقیقا معادلِ ایجاد فرصت های بیشتر برای هکرهاست.

این در حالی است که راهکار NAC به گونه ای قابل پیکربندی است که بتوان فعالیت های مشکوک شبکه را شناسایی نموده و با عکس العملی بسیار سریع، با آن ها مقابله کرد؛ مانند ایزوله سازی دستگاه ها از شبکه به منظور جلوگیری از گسترش حملات احتمالی.

البته که IoT و BYOD تا حدودی موجب تغییر در راهکارهای NAC شده اند، اما این راهکار همچنان از کاربران، دستگاه ها و همین طور سطح دسترسی آن ها، پشتیبانی می کند. و نکته جالب توجه اینجاست که مانند یک ابزار کشف کننده عمل نموده و تجهیزاتی که از قبل به شبکه دسترسی داشته اند را شناسایی نموده و به تیم امنیت امکان تعریف مجدد پالیسی های امنیتی را می دهد.

علاوه بر موارد فوق، سازمان ها با در اختیار داشتن راهکار NAC، بر روی نحوه احراز هویت کاربرانی که در تلاش برای دسترسی به شبکه هستند نیز حق انتخاب دارند. مدیران فناوری اطلاعات می توانند با برگزیدنِ احراز هویت چند مرحله ای (MFA)، لایه های امنیتی بیشتری تامین کنند.

از طرف دیگر محدود سازی دسترسی به شبکه به معنای کنترل اپلیکیشن ها و داده های موجود در شبکه نیز می باشد. مسلما با کنترل بیشتر بر روی شبکه، قدرت مهاجمان سایبری در نفوذ به آن بسیار دشوارتر خواهد شد.

راهکار Network Access Control (NAC) از چه مزایایی برخوردار است؟

• نظارت بر عملکرد کاربران
• کنترل بر روی اپلیکیشن ها و منابع مورد نیاز کاربران
• امکان دسترسی موقت به افراد به عنوان guest به شبکه با رعایت محدودیت های مورد نیاز
• امکان تقسیم بندی کاربران بر اساس عملکردهای شغلی شان و ایجاد پالیسی های مربوطه
• تامین امنیت سایبری با شناسایی فعالیت های مشکوک
• مقابله خودکار با تهدیدات
• امکان ارائه گزارش از لاگ های مختلف به شبکه های سازمانی

رایج ترین موارد استفاده از NAC

• Bring Your Own Device (BYOD)

با افزایش دورکاری و استفاده از تجهیزات شخصی در دسترسی به شبکه های سازمانی، بهره وری کارکنان افزایش یافته و هزینه های کلی سازمان کاهش می یابد. بنابراین با اتخاذ راهکار NAC و تعمیم آن به BYOD می توان از دسترسی کاربران و تجهیزات احراز هویت شده به شبکه، اطمینان حاصل کرد.

• تجهیزات Internet-of-Things (IoT)

دوربین های امنیتی، کیوسک های ثبت ورود و حسگرهای ساختمان، تنها چند نمونه از دستگاه های IoT هستند. همان طور که این دسته از تجهیزات، موجب گسترش شبکه شده، احتمال حملات سایبری را نیز افزایش می دهند. علاوه بر این ممکن است نظارت بر تجهیزات IoT برای مدتی، غیر فعال شود.

اما خوشبختانه راهکار NAC می تواند با اقدامات مناسب و اجرای پالیسی های امنیتی برای دستگاه های مختلف IoT،  احتمال تهدیدات را کاهش دهد.

• دسترسی به شبکه برای non-employeeها

NAC یک راهکار مناسب برای اعطا دسترسی به افراد غیر کارمند و افرادی که به صورت موقت نیاز به دسترسی به شبکه دارند، می باشد. در این صورت بدون ایجاد بار اضافه برای تیم امنیت، دسترسی موقت و ایمن برای آن ها ایجاد می شود. مسلما پالیسی های امنیتی تعریف شده برای افراد موقت، با کارمندان متفاوت خواهد بود.

برجسته ترین قابلیت های NAC

• Policy Life-cycle Management (مدیریت پالیسی های امنیتی)

راهکار NAC قادر به اجرای پالیسی های امنیتی برای تمام کاربران و تجهیزاتِ سازمان بوده، ضمن اینکه می تواند این پالیسی ها را بر اساس جایگزینیِ افراد، endpointها و همین طور روال کسب و کار، مجددا تعریف کرد.

• Profiling and Visibility (نظارت و اعطا دسترسی)

راهکار NAC می تواند کاربران و تجهیزات شبکه را احراز هویت نموده و به آن ها دسترسی دهد و همچنین دسترسی کاربران و تجهیزاتِ غیر مجاز را مسدود کند.

• Guest Networking Access (مدیریت دسترسی های موقت)

راهکار NAC امکان مدیریت و احراز هویت کاربران و دستگاه هایی که به دسترسی موقت نیاز دارند را از طریق پرتال self-service فراهم می کند.

• Security Posture Check (بررسی وضعیت امنیت)

پالیسی های امنیتی را بر اساس کاربران، تجهیزات، موقعیت جغرافیایی، سیستم عامل و سایر معیارهای مختلف، ارزیابی و طبقه بندی می کند.

• Incidence Response (مقابله با تهدیدات)

راهکار NAC از طریق ایجاد و اجرای پالیسی های امنیتی در صورت مشاهده فعالیت های مشکوک، آن ها را مسدود نموده و تجهیزات را بدون دخالت منابع IT، ایزوله می نماید. به این ترتیب نقش موثر خود را در کاهش تهدیدات ایفا خواهد کرد.

• Bi-directional integration (امان یکپارچه سازی)

NAC را می توان از طریق open/RESTful application programming interface (API) با سایر محصولات امنیتی و شبکه یکپارچه نمود.

Network Access Control (NAC) از چه نظر می تواند اهمیت داشته باشد؟

• بهینه سازی امنیت: با توجه به برخورداریِ NAC از قابلیت نظارت بر کلیه ی تجهیزات مورد استفاده در سازمان، می تواند وضعیت کلی امنیت را بهبود بخشد؛ این در حالی است که کاربران را بلافاصله در لحظه ورود به شبکه احراز هویت می کند. بدیهی است قابلیت نظارت برفعالیت های شبکه و همین طور عکس العمل های فوری در برابر رفتارهای غیر عادی و غیر مجاز به معنای کاهش تهدیدات بدافزاری و سایر حملات می باشد.
• صرفه جویی در هزینه ها: قابلیت محافظت خودکار موجب صرفه جویی در هزینه ها می گردد، زیرا سازمان ها به منابع IT کمتری نیاز خواهند داشت. مضاف بر این، مسدودسازی دسترسی های غیر مجاز و حملات بدافزاری مانع از خسارت های مالی سازمان می گردد.
• اتوماسیون: با توجه به افزایش تعداد و تنوع دستگاه های مورد استفاده توسط سازمان ها، اجرای پالیسی های امنیتی و احراز هویت کاربران و endpointها به صورت دستی و غیرخودکار، بسیار دشوار خواهد بود. بنابراین قابلیت خودکارِ NAC، کارایی چشمگیری را در فرایند مربوطه ارائه می دهد.
• مطلوب سازی عملکرد IT: با ایجاد دسترسی یکپارچه به شبکه، تیم IT نیز تجربیات مطلوبی خواهد داشت.
• سهولت کنترل و نظارت: قابلیت های نظارتی NAC به صورت ۲۴ ساعته قابل اجرا هستند. بنابراین تیم فناوری اطلاعات می تواند به سادگی تعیین کند به کدام endpoint و یا کاربر، دسترسی دهد. علاوه بر این در مدیریت تجهیزات، هنگامی که باید دستگاه ها به تدریج حذف و یا جایگزین شوند، به سادگی این کار را انجام می دهند.

انواع Network Access Control (NAC)

• Pre-admission

این نوع NAC قبل از اعطا دسترسی انجام می شود. زمانی که یک کاربر در تلاش برای ورود به شبکه بوده و درخواست مربوطه را ارسال می کند، pre-admission NAC اقدام به بررسی نموده و در صورت احراز هویت، دسترسی می دهد.

• Post-admission

فرایند Post-admission NAC مربوط به اعطا دسترسی به کاربر و یا دستگاه احراز هویت شده است که قصد وارد شدن به بخش جدیدی از شبکه را دارد. بنابراین فرایند احراز هویت می بایست مجددا انجام شود.

نقش فورتی نت در Network Access Control (NAC)

امروزه با توجه به استفاده از راهکارهایی مانند BYOD، تعداد endpointهای سازمانی رو به گسترش بوده که این امر موجب افزایش آمار حملات سایبری می گردد.

FortiNAC که راهکارِ Network Access Control فورتی نت است، قابلیت هایی مانند آگاهی و شناخت، کنترل و مقابله ی خودکار با تهدیدات را برای کلیه سخت افزارهای متصل به شبکه های سازمانی مانند دستگاه ها، سرورها، روترها و همین طور تجهیزات IoT فراهم می کند. FortiNAC به صورت فعالانه به جستجوی endpointهای مختلف در شبکه می پردازد.

قابلیت های FortiNAC می توانند نیاز به نظارت، کنترل و اتوماسیون سازمانی را پاسخ داده تا این اطمینان حاصل شود که همه ی دستگاه ها، تحت شناسایی و محافظت هستند.

جالب است بدانید بر اساس مطالعات انجام شده، از بین راهکارهای NAC، FortiNAC یکی از سریع ترین راهکارهای ارائه شده در بازار تجهیزات شبکه می باشد.