Kiểm soát truy cập mạng (NAC) là một kỹ thuật an ninh mạng ngăn người dùng và thiết bị trái phép xâm nhập vào mạng riêng và truy cập vào các tài nguyên nhạy cảm. Còn được gọi là Network Admission Control, NAC lần đầu tiên đạt được chỗ đứng trong doanh nghiệp vào giữa đến cuối những năm 2000 như một cách để quản lý các điểm cuối thông qua các kỹ thuật quét và khối cơ bản.

 

Khi nhân viên tri thức ngày càng trở nên di động và khi các sáng kiến ​​cá nhân lan rộng khắp các tổ chức, các giải pháp NAC đã phát triển để không chỉ xác thực người dùng mà còn để quản lý các điểm cuối và thực thi các chính sách.

NAC hoạt động như thế nào?

Các công cụ NAC phát hiện tất cả các thiết bị trên mạng và cung cấp khả năng hiển thị vào các thiết bị đó. Phần mềm NAC ngăn người dùng trái phép xâm nhập vào mạng và thực thi các chính sách trên các thiết bị đầu cuối để đảm bảo các thiết bị tuân thủ các chính sách an ninh mạng. Ví dụ: các giải pháp NAC sẽ đảm bảo rằng điểm cuối có các biện pháp bảo vệ chống vi-rút và chống phần mềm độc hại cập nhật.

Các thiết bị không tuân thủ có thể bị chặn khỏi mạng, bị đặt trong vùng cách ly hoặc được cấp quyền truy cập hạn chế.

 

NAC hoạt động theo hai giai đoạn. Giai đoạn đầu tiên, xác thực, xác định người dùng và xác minh thông tin đăng nhập của họ. Hầu hết các công cụ NAC hỗ trợ nhiều phương pháp xác thực, bao gồm mật khẩu, ghim một lần và sinh trắc học.

Trong giai đoạn thứ hai, NAC thực thi một số yếu tố chính sách, bao gồm tình trạng thiết bị, vị trí và vai trò của người dùng. Hầu hết các thiết bị NAC cũng có khả năng giới hạn quyền truy cập theo vai trò, chỉ cấp cho người dùng quyền truy cập vào các tài nguyên cần thiết để giúp thực hiện công việc của họ.

Nếu người dùng hoặc thiết bị không thành công ở giai đoạn xác thực hoặc ủy quyền, công cụ NAC sẽ chặn hoặc cách ly thiết bị và / hoặc người dùng.

Các loại phương pháp tiếp cận NAC khác nhau là gì?

Các phương pháp tiếp cận NAC có thể khác nhau theo một số cách, nhưng có hai điểm khác biệt phổ biến liên quan đến thời điểm các thiết bị được kiểm tra và cách hệ thống thu thập thông tin từ mạng.

Trước khi nhập học so với sau khi nhập học: Có hai cách NAC cho phép quyền truy cập vào các thiết bị đầu cuối. Trong các thiết kế trước khi nhập học, các thiết bị được kiểm tra và thực thi các chính sách trước khi thiết bị được cấp quyền truy cập vào mạng. Cách tiếp cận này phù hợp nhất để sử dụng trong các trường hợp thiết bị có thể không có phần mềm chống vi-rút và phần mềm chống phần mềm độc hại cập nhật.

 

Ngoài ra, các thiết kế sau khi nhập học tập trung ít hơn vào tư thế thiết bị và nhiều hơn vào người dùng, thực thi chính sách dựa trên hành vi. Cách tiếp cận này có ý nghĩa đối với các trường hợp sử dụng như truy cập với tư cách khách, nơi các hoạt động trực tuyến có xu hướng bị giới hạn ở những thứ như duyệt web và kiểm tra email.

Nhiều dịch vụ NAC cung cấp sự kết hợp của các phương pháp tiếp cận này, có thể khác nhau dựa trên vị trí, loại thiết bị hoặc nhóm người dùng.

Thiết kế dựa trên tác nhân so với thiết kế không tác nhân: Một sự khác biệt về kiến ​​trúc khác là thu thập thông tin dựa trên tác nhân so với không có tác nhân. Một số nhà cung cấp NAC yêu cầu người dùng tải xuống phần mềm đại lý trên thiết bị khách của họ. Sau đó, các đại lý báo cáo lại các đặc tính của thiết bị cho hệ thống NAC.

Ngoài ra, các giải pháp NAC không có tác nhân liên tục quét mạng và thiết bị kiểm kê, dựa vào hành vi của thiết bị và người dùng để kích hoạt các quyết định thực thi.

Khả năng cốt lõi của hệ thống NAC

NAC bảo mật mạng thông qua một số khả năng cốt lõi. Bao gồm các:

Xác thực và ủy quyền: Quản lý quyền truy cập vào tài nguyên cho cả người dùng và thiết bị.

Quản lý vòng đời chính sách tập trung: Thực thi các chính sách cho tất cả người dùng và thiết bị, đồng thời quản lý các thay đổi chính sách trong toàn bộ tổ chức.

Khám phá, hiển thị và lập hồ sơ: Tìm thiết bị trên mạng, xác định chúng, xếp chúng vào các nhóm có cấu hình cụ thể, đồng thời chặn người dùng trái phép và thiết bị không tuân thủ.

 

Quyền truy cập mạng của khách: Quản lý khách và cung cấp cho những khách đó các thiết bị tuân thủ quyền truy cập tạm thời và thường bị hạn chế thông qua cổng tự phục vụ có thể tùy chỉnh.

Kiểm tra tư thế bảo mật: Đánh giá việc tuân thủ các chính sách bảo mật theo loại người dùng, loại thiết bị, vị trí, phiên bản hệ điều hành và các tiêu chí bảo mật khác do tổ chức xác định.

Phản hồi theo tỷ lệ: Tự động chặn hoạt động đáng ngờ, cách ly các thiết bị không tuân thủ và khi có thể, cập nhật các thiết bị để làm cho chúng tuân thủ – tất cả đều không có sự can thiệp của CNTT.

Tích hợp hai hướng: Tích hợp NAC với các công cụ bảo mật và giải pháp mạng khác thông qua API mở / RESTful cho phép NAC chia sẻ thông tin theo ngữ cảnh (địa chỉ IP và MAC, ID người dùng, vai trò người dùng, vị trí, v.v.)

NAC và Zero Trust

Mặc dù NAC là một công nghệ gần 20 năm tuổi, việc áp dụng nó chủ yếu chỉ giới hạn ở các doanh nghiệp vừa và lớn. Tuy nhiên, khi ranh giới mạng tiếp tục mở rộng ra ngoài các chu vi doanh nghiệp vật lý và khi đại dịch COVID-19 đẩy nhanh việc chấp nhận các môi trường làm việc tại nhà, di động và kết hợp, NAC đã trở thành một công nghệ cho phép các phương pháp tiếp cận bảo mật Zero Trust.

 

Với việc các mạng trở nên phân tán và phức tạp hơn, các nhóm an ninh mạng phải tìm cách duy trì khả năng hiển thị đối với các thiết bị kết nối với phạm vi tiếp cận xa nhất trong mạng của tổ chức. NAC cung cấp khả năng này với việc phát hiện và hiển thị tất cả các thiết bị tham gia mạng, kiểm soát truy cập tập trung và thực thi chính sách trên tất cả các thiết bị.

Các trường hợp sử dụng hàng đầu cho NAC

Sự di chuyển của nhân viên ngày càng tăng, số lượng thiết bị BYOD ngày càng tăng và nhu cầu hỗ trợ môi trường làm việc kết hợp do đại dịch đã thúc đẩy nhu cầu kiểm soát truy cập mạng mạnh mẽ hơn. Các trường hợp sử dụng phổ biến cho NAC bao gồm:

Quyền truy cập của khách và đối tác: Các giải pháp NAC cho phép các tổ chức cung cấp quyền truy cập tạm thời, hạn chế cho khách, đối tác và nhà thầu. Các giải pháp NAC thăm dò các thiết bị của khách để đảm bảo chúng tuân thủ các chính sách bảo mật của tổ chức.

BYOD và làm việc từ mọi nơi: Khi nhân viên tri thức ngày càng trở nên di động, NAC được sử dụng để xác thực những người dùng có thể đang sử dụng các thiết bị không xác định và ở các vị trí không xác định, đồng thời thực thi các chính sách trên những người dùng và thiết bị đó. Nếu nhân viên mang các thiết bị của công ty về nhà, NAC đảm bảo rằng không có phần mềm độc hại bên ngoài nào xâm nhập vào mạng khi các thiết bị đó truy cập vào mạng của tổ chức.

Môi trường làm việc tại nhà và làm việc kết hợp từ mọi nơi phát sinh trong đại dịch COVID-19 cũng theo mô hình tương tự, với các giải pháp NAC xác thực người dùng, đảm bảo tuân thủ chính sách trên thiết bị và hạn chế quyền truy cập vào tài nguyên dựa trên các yếu tố như vị trí và vai trò người dùng.

IoT: Khả năng cung cấp khả năng hiển thị, lập hồ sơ thiết bị, thực thi chính sách và quản lý quyền truy cập của NAC giúp giảm thiểu rủi ro liên quan đến việc thiết bị IoT xâm nhập vào mạng công ty. Các công cụ NAC có thể kiểm kê và gắn thẻ từng thiết bị khi nó được đưa vào mạng, phân loại các thiết bị IoT thành một nhóm có quyền hạn chế và liên tục theo dõi các hành vi của thiết bị IoT. NAC sẽ tự động thực thi các quy tắc để đảm bảo rằng các thiết bị tuân thủ các chính sách liên quan đến kinh doanh, bảo mật và tuân thủ.

 

Công ty TNHH iVIM tự hào là đối tác tin cậy hàng đầu cho các doanh nghiệp. Với năng lực cung cấp dịch vụ CNTT & Dịch vụ tư vấn, cung cấp các giải pháp về công nghệ tốt nhất. Giúp Doanh nghiệp của bạn làm việc từ xa trên nền tảng Private Cloud hay Public Cloud (VDI, Remote App, Office 365), VMware, Hyper-V… còn có khả năng phục hồi hệ thống dữ liệu một cách nhanh chóng, an toàn, tiện lợi, đảm bảo RTO và RPO ở mức thấp nhất.