Os fornecedores de controle de acesso à rede estão expandindo as ofertas para mercados adjacentes; no entanto, a maioria dos clientes implementa o NAC para os casos de uso mais comuns. Os líderes de segurança e gerenciamento de riscos devem se concentrar nos conceitos básicos das implementações de NAC antes de passar para casos de uso adjacentes para obter sucesso.
Principais Vantagens do NAC
- A maioria das organizações interessadas no controle de acesso à rede (NAC) procura estabelecer a segurança dos dispositivos e usuários que acessam a rede, impulsionada principalmente pelos resultados da auditoria e, até certo ponto, por uma estratégia de segurança de rede de confiança zero (zero-trust).
- NAC é uma tecnologia madura, com soluções comerciais e de código aberto no mercado, fornecendo conjuntos de recursos que atendem à maioria das necessidades organizacionais.
- Os fornecedores de NAC se diferenciam expandindo soluções para mercados adjacentes, como descoberta e gerenciamento de ativos, segurança da Internet das Coisas (IoT), acesso à rede de confiança zero (ZTNA) e viabilizando a segmentação da rede.
- Os fornecedores menores de NAC tendem a ter uma presença regional, se concentrar em organizações de médio e pequeno porte ou atendem principalmente a certos setores, como educação ou hospitalidade.
Como escolher uma solução de NAC
Os líderes de segurança e gerenciamento de riscos responsáveis pela segurança da rede e dos terminais devem:
Implementar soluções NAC que se integram bem à infraestrutura de rede e soluções de segurança existentes para melhorar os tempos de resposta a incidentes de segurança e reduzir a sobrecarga operacional geral do próprio produto NAC.
Concentre os critérios primários de avaliação das soluções NAC na capacidade dos fornecedores de se alinharem aos objetivos de uma organização, como descoberta e visibilidade do dispositivo, autenticação pré-conexão ou pós-conexão e facilidade de uso, mais do que em comparações técnicas detalhadas entre soluções.
Planeje um esforço de implementação multifásico que exija o comprometimento de várias equipes, incluindo executivos, redes, terminais, service desk e equipes de segurança – mesmo para organizações moderadamente complexas.
Gartner – Definição de Controle de Acesso (NAC)
O Gartner define controle de acesso à rede como tecnologias que permitem que as organizações implementem políticas para controlar o acesso à infraestrutura corporativa por dispositivos orientados ao usuário e por dispositivos físicos cibernéticos, como IoT e dispositivos de tecnologia operacional (OT).
As políticas podem ser baseadas em autenticação, configuração de terminal (postura) ou função / identidade dos usuários.
O NAC também pode implementar políticas de pós-conexão com base na integração com outros produtos de segurança. Por exemplo, o NAC poderia impor uma política para conter o ponto de extremidade com base em um alerta de uma ferramenta de informações de segurança e gerenciamento de eventos.
No entanto, as organizações que buscam avaliar os méritos técnicos do NAC devem começar com os recursos detalhados no “Kit de ferramentas: amostra de RFP para controle de acesso à rede”. Em um alto nível, esses aspectos incluem:
- Servidor de política
- Visibilidade e relatórios
- Verificação da postura de segurança do dispositivo
- Gestão e identidade de hóspedes
- Integração com outras soluções
- Custo total de propriedade (TCO)Diferença entre as soluções de NAC
Os provedores NAC comerciais podem ser agrupados em duas categorias, fornecedores NAC puros e fornecedores de infraestrutura de rede.
Fornecedores NAC Pure-Play
Os fornecedores de NAC Pure-play têm uma solução dedicada que oferece suporte a dispositivos de rede heterogêneos.
Ambos de código aberto com suporte pago e produtos comerciais estão disponíveis.
Devido ao seu foco no suporte e integração de vários fornecedores, as soluções NAC pure-play se integram a uma ampla gama de produtos de segurança, como firewalls, plataformas de proteção de endpoint e outros.
No entanto, os fornecedores de NAC pure-play se destacam por sua facilidade de uso, oferecendo alternativas de autenticação para o protocolo 802.1X e autenticação Media Access Control (MAC).
Portanto, as principais vantagens desse tipo de provedor são a facilidade de implantação, facilidade de uso, capacidade de oferecer suporte a quase qualquer hardware e métodos flexíveis de aplicação de políticas na infraestrutura de rede.
Fornecedores de infraestrutura de rede
As soluções NAC dos provedores de infraestrutura de rede normalmente utilizam um método baseado em RADIUS (Remote Authentication Dial-In User Service) para controlar o acesso à rede por dispositivos em combinação com o controle de acesso do usuário baseado na identidade (autenticação) e autenticação MAC. 802.1X é o método preferido de implementação.
As principais vantagens de escolher este tipo de fornecedor são a consolidação do fornecedor e a forte integração com os produtos e componentes de rede do fornecedor existentes.
Tendência de Mercado
O mercado de NAC continua a fornecer principalmente visibilidade e controle para acesso à infraestrutura de TI local de uma organização. No entanto, os recursos de segurança do sistema ciber-físico para dispositivos IoT e OT continuam a melhorar, e várias alternativas para NAC existem no mercado hoje, dependendo dos recursos necessários.
Defesa de Sistema Físico Cibernético
Os fornecedores NAC continuam a adquirir ou fazer parceria com fornecedores focados na segurança física de sistemas e plataformas, especialmente em setores sensíveis aos riscos de segurança, como saúde, infraestrutura crítica e manufatura.
Os fornecedores de NAC descobrem dispositivos IoT examinando a infraestrutura de rede, independentemente de ser com ou sem fio, para fornecer aos líderes de segurança a visibilidade para definir qual política seria apropriada para cada caso de uso.
Um exemplo é separar os dispositivos OT da infraestrutura de TI aplicando segmentação aos dispositivos de rede por meio de atribuições de lista de controle de acesso (ACL) e LAN virtual (VLAN).
Dispositivos IoT (como DVRs, CCTV e câmeras da web), sistemas de iluminação inteligente, automação predial e sistemas de gerenciamento de instalações, todos podem estar parcial ou totalmente conectados a redes de dados corporativos na organização sem o conhecimento de TI.
O NAC atende com exclusividade a vários casos de uso de segurança para segurança de dispositivos na rede corporativa. No entanto, dependendo da necessidade da organização, uma combinação de diferentes soluções em mercados adjacentes pode fornecer os mesmos recursos e benefícios que um provedor NAC.
É importante que os líderes de SRM entendam o objetivo de sua implementação de NAC para determinar se um provedor de NAC é necessário ou se as soluções existentes satisfazem seus requisitos.
O acesso de rede de confiança zero (zero-trust) é uma nova categoria de soluções que também tem alguma sobreposição com a funcionalidade NAC e está relacionada a uma tendência de borda de serviço de acesso seguro (SASE) de longo prazo. No entanto, ele se concentra principalmente em casos de uso de acesso remoto para laptops e dispositivos móveis e não para segurança de dispositivos de rede local.
Gerenciamento de configuração e ativos de serviço
As soluções de gerenciamento de ativos de TI podem fornecer visibilidade e inventário de dispositivos. Muitas dessas soluções estão alinhadas ao espaço de gerenciamento de serviços de TI (ITSM) e implementadas como parte de um programa de gerenciamento de configuração e ativos de serviço (SACM) para descobrir e relatar ativos na rede.
No entanto, eles geralmente não têm os recursos de fiscalização de um NAC. Alguns fornecedores de NAC oferecem suporte à integração bidirecional com plataformas populares para manter uma lista mais precisa de dispositivos entre os dois sistemas.
O acesso sem fio é considerado mais vulnerável do que o acesso com fio devido à grande variedade de dispositivos que podem se conectar por meio da rede sem fio, especialmente fora dos limites de controle de segurança física.
As soluções de ponto de acesso sem fio (WAP) geralmente fornecem segurança, como autenticação de usuário e dispositivo, traga seu próprio dispositivo (BYOD) e gerenciamento de convidados, além de sistemas de prevenção de intrusão sem fio (WIPSs), para evitar o acesso não autorizado. Os fornecedores de infraestrutura de rede oferecem segurança WAP, bem como NAC, enquanto outros podem se concentrar apenas em soluções WAP.
Para empresas que buscam apenas segurança sem fio, essas soluções oferecem muitos dos mesmos benefícios de um NAC. No entanto, eles podem não fornecer um inventário completo do dispositivo, avaliações de postura do terminal ou segurança para redes com fio. Para obter mais detalhes e uma lista de opções de infraestrutura de acesso à LAN.
Os fornecedores de gerenciamento unificado de endpoint (UEM) podem frequentemente fornecer conexões VPN por aplicativo, bem como verificações de postura de segurança de endpoint. Muitos desses fornecedores podem controlar o acesso remoto, bem como o acesso local aos aplicativos, desde que os aplicativos sejam publicados, gerenciados e acessados exclusivamente por meio de sua solução.
Os produtos UEM podem ser usados em substituição aos casos de uso de propriedade da empresa ou BYOD para NAC, pois eles exigem o registro de endpoint para funcionar. Essas soluções não funcionam se houver necessidades de portal de dispositivo convidado ou a necessidade de gerenciar dispositivos sem periféricos, como impressoras ou câmeras na rede.
Nem protegem o núcleo da LAN com fio de acesso não autorizado de terceiros. O cenário mais comum é que os fornecedores NAC se integrem aos fornecedores UEM para uma verificação simples de inscrição e conformidade antes de permitir o acesso à rede. Para obter mais detalhes sobre os fornecedores de UEM, consulte “Magic Quadrant for Unified Endpoint Management Tools”.
Principais fabricantes de NAC – Top 4
Há poucos fabricantes novos e alguma consolidação por meio de aquisições observada no mercado nos últimos anos. Os principais recursos que devem ser considerados pelos clientes ao implementar uma solução NAC são:
- Abordagem de autenticação pré-conexão ou pós-conexão. A autenticação pré-conectada pode ser considerada um modelo de “culpado até que se prove o contrário” (“negação padrão”); enquanto a autenticação pós-conexão pode ser considerada como um modelo “inocente até que se prove o contrário” (“permissão padrão”).
- Visibilidade dos dispositivos conectados à infraestrutura local com o objetivo de implementar políticas de acesso. Isso inclui dispositivos comumente usados (como uma estação de trabalho, laptop, impressora, telefone IP, câmera IP, pontos de acesso e dispositivos IoT como dispositivos OT, dispositivos médicos e automação predial). Frequentemente, isso é motivado por descobertas de auditoria ou uma estratégia geral de segurança para exigir autenticação de todos os dispositivos na rede.
- Gerenciamento do acesso à rede corporativa para diferentes tipos de usuários e dispositivos, como funcionários, contratados, consultores e convidados, usando terminais de propriedade da empresa ou fornecidos pelo usuário.
- Capacidade de analisar a conformidade com uma postura mínima de segurança no endpoint e fornecer uma rede de quarentena para dispositivos que não estejam em conformidade. Por exemplo, verifique se o endpoint tem uma plataforma de proteção de endpoint (EPP) instalada e se os patches de segurança mais críticos estão instalados. Caso contrário, esse dispositivo só terá acesso a uma VLAN de quarentena até que esses itens sejam corrigidos.
- Interoperabilidade com outras soluções de segurança. A integração com outras soluções pode acontecer de duas maneiras: customização por meio de APIs abertas ou o uso de integração embutida. As soluções NAC estão cada vez mais adicionando uma capacidade de detecção de anomalias para detectar endpoints infectados e tentativas de spoofing de MAC na rede. A integração com outras ferramentas de segurança permite um melhor contexto geral de segurança para uma organização, que pode ser usado para responder automaticamente a endpoints infectados para colocá-los em quarentena e prevenir a propagação de malware.
O NAC continua sendo principalmente uma implantação local que requer hardware ou dispositivos virtuais, mas cada vez mais os fornecedores estenderam o gerenciamento para a nuvem ou forneceram serviços RADIUS baseados na nuvem.
Essas ofertas fornecem uma maneira de consolidar o gerenciamento de implementações NAC distribuídas por meio da nuvem, em vez de redes privadas. Algumas soluções se integram com produtos adicionais ou fornecem corretores implantados para ajudar a conectar redes locais e funções de gerenciamento de nuvem.
Top 4 | Solução |
Cisco | Cisco Identity Services Engine (ISE) |
Forescout Technologies | Forescout Platform |
Fortinet | FortiNAC |
Hewlett Packard Enterprise (HPE)-Aruba | Aruba ClearPass |
Cisco Identity Services Engine (ISE)
O ISE da Cisco é baseado no padrão IEEE 802.1X. O ISE está disponível em dispositivos de hardware e como servidor virtual. O ISE é uma das soluções NAC mais populares do mercado. Por meio de sua estrutura pxGrid, a Cisco se integra com seus próprios produtos de segurança e com soluções de terceiros.
O pxGrid permite que o ISE compartilhe alertas e informações contextuais entre esses outros produtos de segurança para aumentar a visibilidade e permitir decisões políticas informadas. A Cisco empacota seu agente NAC com seu pacote de endpoint AnyConnect.
O ISE pode funcionar como um NAC autônomo ou como parte da solução de acesso definido por software (SDA) por meio de sua integração com o Cisco DNA Center para aplicação automatizada e unificada de políticas. Em 2019, a Cisco fez várias melhorias no ISE.
Ele aumentou sua escalabilidade (introduzindo novos dispositivos) para oferecer suporte a até dois milhões de terminais. Ele melhorou alguns recursos de usabilidade, incluindo a simplificação da experiência do usuário convidado e facilitando a administração de algumas configurações do ISE.
Forescout Technologies
A plataforma Forescout (anteriormente conhecida como CounterACT) para visibilidade de dispositivo e casos de uso de controle. É uma das mais completas soluções de NAC e a mais popular do mercado. A plataforma Forescout consiste em vários produtos: eyeSight, eyeControl, eyeSegment e eyeExtend. A plataforma do Forescout pode ser implantada em hardware, dispositivos virtuais e nuvem pública para implantações de médio a grande porte.
Embora o Forescout ofereça agentes opcionais, sua abordagem sem agente realiza uma avaliação da postura de segurança para dispositivos Windows, macOS, Linux e IoT. Forescout fornece uma série de módulos eyeExtend e aplicativos crowdsourced que compartilham informações contextuais e orquestram fluxos de trabalho com produtos de terceiros.
Por meio desses módulos, o eyeControl pode ser configurado para aplicar políticas automaticamente (por exemplo, remover um endpoint da rede) em resposta a alertas de detecção avançada de ameaças (ATD), VA, EDR, SIEM e outros produtos de terceiros.
Em 2018, a Forescout adquiriu a SecurityMatters e agora fornece sua solução SilentDefense integrada para melhorar a visibilidade geral, monitoramento de risco e recursos de resposta para a pilha OT.
Ela também anunciou uma parceria com a Medigate para visibilidade e controle de dispositivos médicos e lançou o produto eyeSegment para segmentação de rede em tecnologias de aplicação de vários fornecedores e domínios de rede.
FortiNAC
Em junho de 2018, a Fortinet adquiriu a Bradford Networks, um dos primeiros fornecedores de NAC. A Fortinet rebatizou a solução como FortiNAC, e ela está disponível como hardware, dispositivos virtuais ou na nuvem pública.
A Bradford Networks tinha um perfil relativamente baixo no mercado, mas desde a aquisição, os clientes do Gartner têm adicionado a solução às suas “listas de seleção” com mais frequência, especialmente se forem clientes Fortinet existentes.
O suporte API do FortiNAC permitiu que ele fizesse parceria com muitas outras soluções de terceiros para compartilhar informações contextuais e configurar dispositivos de rede.
O FortiNAC suporta o padrão Open Network Video Interface Forum (ONVIF) que foi criado para ajudar os produtos IP em vigilância por vídeo e outras áreas de segurança física a se comunicarem entre si. O FortiNAC suporta o padrão IEEE 802.1X, embora não dependa dele para descoberta ou aplicação.
Em 2019, o FortiNAC adicionou a capacidade de enviar informações do dispositivo de infraestrutura de rede e endpoint para o FortiAnalyzer para geração de relatórios.
A Fortinet também adicionou recursos de criação de perfil com Instrumentação de Gerenciamento do Windows (WMI) segura, Gerenciamento Remoto do Windows (WinRM) seguro.
Aruba ClearPass
A Hewlett Packard Enterprise (HPE) oferece o pacote Aruba ClearPass de soluções de acesso à rede, incluindo Aruba ClearPass Device Insight e Aruba ClearPass Policy Manager.
O ClearPass Device Insight fornece visibilidade aprimorada com base em recursos alimentados por AI para realizar a classificação automática de dispositivos desconhecidos com base na descoberta baseada em DPI e no perfil de dispositivos.
O Aruba ClearPass Policy Manager oferece reforço e controle de acesso baseado em funções com base em RADIUS e não RADIUS para opções de usuários, servidores e dispositivos OT / IoT, bem como TACACS + para autenticação de gerenciamento de dispositivos. As opções de implantação incluem hardware e dispositivos virtuais, incluindo suporte para Amazon Web Services (AWS).
Os recursos complementares do ClearPass incluem BYOD, integração do dispositivo (ClearPass Onboard) e avaliações da postura do terminal (ClearPass OnGuard) com opções para agentes sem agente, persistentes ou dissolvíveis.
Produtos de terceiros foram integrados e validados usando ClearPass Exchange, incluindo firewalls, UEM e SIEM – por meio de APIs baseadas em REST, mensagens syslog e funções de proxy RADIUS.
O conjunto ClearPass também inclui aplicação incorporada por meio da integração com o Aruba Policy Enforcement Firewall, permitindo a segmentação dinâmica para controlar o acesso de conexões com fio, sem fio e WAN aplicadas com a mesma função e política.
Conclusão
A Tripla possui profissionais especializados nas diversas soluções de segurança da informação e Infraestrutura, estamos a disposição para dúvidas e elaboração de novos projetos. Continue acompanhando nosso Blog.