Компания Cisco Systems намерена создать гибрид из своих схем контроля сетевого доступа (Network Attached Control, NAC), что, как предполагается, позволит удовлетворить требования пользователей в части широты возможностей, поддержки и скорости.
Благодаря такой стратегии, пользователи получат возможность приобрести у Cisco устройство NAC Appliance, а позже перейти на сетевую архитектуру компании NAC Framework, не отказываясь от ранее установленного оборудования.
Сейчас в NAC Appliance и NAC Framework используется различное клиентское программное обеспечение для оценки уровня безопасности конечных точек сети в рамках процесса контроля сетевого доступа. А именно, NAC Framework опирается на Access Control Server, чтобы определить, какую политику управления доступом применять, в то время как NAC Appliance использует собственный сервер контроля доступа, проверяя, отвечают ли установленным требованиям конечные точки.
По некоторым сведениям, в Cisco планируют предложить более унифицированное представление стратегий контроля доступа, получившее название oneNAC.
Как заметил Роб Уайтли, аналитик компании Forrester Research, одна из проблем, с которой сталкиваются пользователи, заключается в том, что устройства NAC, как правило, недостаточно масштабируются для применения в крупных организациях, если не задействовать множество таких устройств.
В качестве решения предлагается возможность использовать сетевую NAC-среду, которая способна поддерживать масштабные реализации, не требуя установки новых устройств в сети. Стратегия перехода к подобной архитектуре NAC упростит ее масштабирование.
Согласно планам Cisco, пользователи смогут сначала приобрести NAC Appliance, а со временем перейти на NAC Framework.
Клиенты компании предпочитают начинать с NAC Appliance, поскольку это проще и не требует модернизации всех их инфраструктурных механизмов сразу, но им также нравятся многие аспекты подхода NAC Framework, подчеркивают в Cisco. Поэтому в интерпретации oneNAC гарантируется, что оба решения совместимы друг с другом, пользователи получают защиту своих инвестиций и т. д. Таким образом пользователи могут модернизировать инфраструктуру в рамках естественного цикла обновления, при этом не откладывая внедрение NAC.
NAC Appliance можно размещать в основном потоке данных (inline), непосредственно реализуя установленные политики доступа. Полоса пропускания составляет 1 Гбит/с, что становится ограничивающим фактором для более быстрых сетей. Поэтому устройство можно установить и вне потока (out-of-band), и тогда для реализации политик доступа потребуется воспользоваться сетевыми коммутаторами.
Cisco Framework базируется на программном обеспечении, устанавливаемом в конечных точках сети в сочетании с сервером Cisco ACS/RADIUS. Один из недостатков такого подхода, обнаруженный пользователями, заключается в том, что добавление и обновление политик выполнять сложно, поскольку это предполагает прямое обращение к серверу RADIUS и обновление локальных каталогов с политиками. Таким образом, базовая технология существует, но для ее реализации требуется приложить серьезные усилия.
В состав oneNAC входят фрагменты обеих архитектур. Эта технология будет использовать возможности управления серверами из реализации NAC Appliance, что даст пользователям возможность централизованно создавать, добавлять и менять политики NAC. И она будет полностью соответствовать стандарту на аутентификацию 802.1x.
Новый вариант Cisco NAC также консолидирует клиентское программное обеспечение контроля сетевого доступа, которое сообщает о конфигурации конечных точек. В NAC Appliance и сетевых продуктах NAC используются различные клиенты, а oneNAC предусматривает создание одного клиента, который обслуживает оба сценария.
По некоторым сведениям, реализация oneNAC будет предложена Cisco через год-полтора.