Beschützer aller Netzwerke
Artikel erschienen in Swiss IT Magazine 2008/15
Network Access Control (NAC) gewinnt zunehmend an Bedeutung. Dies belegt eine aktuelle Erhebung des Dortmunder Sicherheitsspezialisten Comco unter 402 Sicherheitsverantwortlichen in mittelständischen und grossen Unternehmen. Die Untersuchung zeigt, dass in zwei Jahren die Hälfte aller Firmen eine NAC-Lösung zum Schutz ihrer Netzwerke im Einsatz haben will. Für 48 Prozent der Befragten sind Zugangskontrollen von sehr hoher Notwendigkeit, 30 Prozent schätzen die Bedeutung von NAC immerhin als hoch ein. Wichtige Bestandteile einer NAC-Lösung sind eine Quarantänefunktion sowie die automatische Wiederherstellung nichtkonformer Geräte. Ebenso gehören eine eindeutige Identifizierung und Rollenverteilung dazu, wie auch die Möglichkeit zur Erstellung individueller Richtlinien.
Zur Zugangskontrolle können bei jeder Software unserer Marktübersicht eigene Richtlinien definiert werden. Dasselbe Bild zeigt sich bei der gleichzeitigen Authentifizierung von mehreren Anwendern und der Quarantänefunktion. Allerdings werden die verschobenen Geräte nur bei Enterasys, McAfee, Nortel, Sophos und Symantec automatisch wieder hergestellt.
Alle Lösungen können ihre Anwender eindeutig identifizieren, und auch die Rollenverteilung beherrscht die Mehrzahl der NAC-Systeme. Einzig McAfee und United Security Providers müssen hier passen. Bei der Frage nach der maximalen Anzahl unterstützter Geräte fallen McAfee, Sophos und United Security Providers auf, die hierbei kein Limit angeben. Die Lösungen von Enterasys und Symantec können mit bis zu 50’000 Geräten umgehen.
Die meisten Hersteller betonen, dass der Einsatz einer NAC-Lösung alleine nicht genügt, um das Unternehmen vor Angriffen ausreichend zu schützen. Sophos rät den Firmen beispielsweise, zusätzlich Mail- und im Besonderen Web-Security-Produkte zu implementieren, da die Bedrohung durch gekaperte Webseiten momentan gross sei.
Ähnlich sieht dies Guido Sanchidrian, Produkt Marketing Manager EMEA von Symantec. Er rät den Unternehmen neben der NAC auch zu einer Virenschutz-Software. Vor allem integrierte Lösungen seien zu empfehlen, da man so Kosten sparen und die Komplexität reduzieren könne. In dieselbe Kerbe haut Rolf Haas, Lead Security Systems Engineer bei McAfee. Umfassend geschützt seien Unternehmen mit Lösungen gegen Viren, Spyware sowie Host-Intrusion-Prevention-Systemen. Zudem solle die Einhaltung von Sicherheitspolicies überwacht werden, ebenso wichtig seien Gateway-Schutzeinrichtungen. Auch bei Enterasys plädiert man für Intrusion-Prevention-Systeme.
Guido Sanchidrian von Symantec ist überzeugt, dass die Nachfrage nach NAC-Lösungen zunehmen wird, die neben den Endgeräten auch Datenbewegungen überprüfen. NAC-Embedded-Infrastrukturen werden sich nach Ansicht von Cisco weiterhin nur langsam verbreiten. Allerdings sei die Integration der NAC-Funktionalitäten in Endpoint-Protection-Suiten einer der Trends in diesem Bereich. United Security Providers prognostiziert das Zusammenwachsen von NAC- und Identity- und Access-Management-Lösungen (IAM). Denn NAC sei nichts anderes als IAM für Endgeräte.
Laut Nortel hat sich die NAC-Diskussion bisher auf sehr hohem technischem Niveau bewegt. Das ändere sich jetzt: Bei der Einführung von NAC liege der Fokus neu auf der Öffnung der Netzwerke und mehr Datensicherheit. Ausserdem wünschen die Kunden einen einfachen Betrieb der NAC-Lösungen, damit ein Grossteil der täglichen Aufgaben, wie die Einbindung neuer Endgeräte, vom Helpdesk gelöst werden können. McAfee bemängelt, dass viele Hersteller eigene Standards entwickelt haben, die untereinander nur teiloperabel seien. Ausserdem würden viele NAC-Lösungen vermehrt in Hardware-Appliances abgebildet. Der Trend gehe weg von Software- hin zu Hardware-Lösungen.