Технология Cisco Network Admission Control (NAC) решает одну из наиболее сложных проблем информационной безопасности — защищает от нарушения политик. Формально все необходимые компоненты данной технологии общедоступны, поскольку интегрированы в сетевые устройства от Cisco Systems. Поэтому для того, чтобы внедрить ее на предприятии, было достаточно правильно настроить сетевое оборудование.
На деле оказалось, что все не так просто. Полноценно внедрить Cisco NAC могут только те клиенты, у которых вся сеть построена на оборудовании корпорации. Кроме того, настройка всего сетевого оборудования предприятия и поддержка его актуального состояния — достаточно сложное дело, справиться с которым можно было только с помощью опытных консультантов, а их услуги недешевы. В результате количество информационных систем, где была внедрена технология Cisco NAC, оказалось небольшим. По данным Алексея Афанасьева, менеджера Cisco по продуктам безопасности, полноценных внедрений в России на сегодняшний день всего несколько десятков.
Cisco учла первый опыт внедрения NAC и предложила другое решение проблемы контроля за сетевыми конфигурациями предприятий. Теперь исходную технологию обозначают терминами «интегрированный подход» или NAC Framework; новый, небесплатный способ внедрения NAC, заключается в использовании специализированных сетевых устройств, которые упрощают развертывание этой технологии на предприятии. Соответствующее семейство устройств, NAC Appliance, состоит из Cisco Clean Access Server, который контролирует доступ пользователей к корпоративным ресурсам, Clean Access Manager, управляющего серверами Cisco CAS, и Clean Access Agent, устанавливающегося на клиентские машины и выполняющего все проверки. Отдельно продается NAC Guest Server, с помощью которого обеспечивается подключение к системе в режиме гостя.
Система выполняет процедуры аутентификации пользователей и устройств, сканирования и оценки опасности подключаемых устройств, переключения в карантинную сеть, которую организует Guest Server, и обновления потенциально опасных элементов. Агент может определить, установлены ли критические обновления Windows, антивирусных и антишпионских баз, выполнить другие проверки. Сейчас написаны агенты для операционных систем Windows и MacOS. Все остальные пользователи, в том числе и со смартфонов, подключаются к системе с помощью Web-регистрации. В последнем случае проверки проводит специальный Java-апплет.
NAC Appliance не требует настройки всего сетевого оборудования — его достаточно установить в точке доступа к корпоративным ресурсам, например на шлюзе доступа к Internet для контроля удаленных сотрудников либо на входе в защищаемый фрагмент сети. Новая концепция «точечного NAC» больше пришлась по душе клиентам, поскольку даже те немногие из них, которые первоначально внедрили NAC Framework, сейчас переходят на NAC Appliance. В то же время потребность в технологии Cisco NAC растет, поскольку она позволяет удовлетворить одно из наиболее сложно реализуемых требований различных стандартов по безопасности — контроль за соблюдением политик.