В теории управление сетевым доступом выглядит намного привлекательнее, чем на практике
Варианты решений NAC (Network Access Control — управление сетевым доступом) вызывают сейчас пристальный интерес, их активно продвигают и отраслевые тяжеловесы, и небольшие компании. Вот только при несомненной благости заявленных целей до сих пор остается неясным: а стоит ли корпорациям тратить время и деньги на поддержку подобных инициатив?
Другими словами, способна ли технология NAC выполнять стоящие перед ней задачи? Я, честно говоря, сомневаюсь... Особенно в том, что касается проверки конечных пользователей. На мой взгляд, полученного от клиента ответа о типе операционной системы, свежести заплат в ПО и антивирусной сигнатуре явно недостаточно, чтобы сделать вывод о том, что ему, клиенту, можно доверять.
В первую очередь меня, как давнего пользователя Linux и сторонника открытых опций клиентской платформы, тревожит то, что NAC грозит возвести новые барьеры на пути использования операционных систем, не имеющих отношения к Windows. Сегодня технический ландшафт буквально усеян множеством разнотипных клиентов, и если взаимодействие между ними не ограничивается простыми переговорами, а требует обязательной проверки состояния собеседника, связь в огромном количестве случаев станет просто невозможной.
Никто не спорит: администратор четко организованной корпоративной инфраструктуры имеет право и просто обязан управлять доступом своих пользователей и клиентов в сеть. Вот только в такой среде технология NAC выглядит, как мне кажется, явно избыточной.
При отлаженном управлении на компьютерах не может оказаться никаких посторонних программ, а прав для закрытия брешей безопасности и обновления антивирусных средств у администратора и без того достаточно.
Что же касается систем, которые невозможно поставить под строгий административный контроль (например, персональных компьютеров надомников или ноутбуков партнеров), то NAC просто не в состоянии гарантировать их надлежащее состояние. Что бы там ни сообщал установленный дома клиентский компьютер о своем состоянии, никакой уверенности в отсутствии на нем зловредных программ не будет, и быть не может. Да и ваши партнеры вовсе не обязательно управляют своими компьютерами по тем же правилам, что и вы. Может, скажем, случиться так, что в вашей компании надежной считается только система с полным комплектом установленных заплат, а партнер вынужден отказаться от некоторых из-за проблем совместимости с ключевыми приложениями.
В обоих случаях выход может быть только один: делать исключения из общих правил. А учитывая бесконечный поток все новых заплат для ОС и обновлений антивирусных сигнатур, не говоря уже о непредсказуемых конфликтах между ними, я предвижу настоящий кошмар бесконечного пересмотра политики и правил. И без того перегруженным подразделениям ИТ придется, мягко говоря, взвалить на себя дополнительную неподъемную ношу.
Вот и думается: кому нужны данные, которым не слишком-то доверяешь, о состоянии систем, которые полностью не контролируешь? Может, вместо того чтобы тратиться на разработку, развертывание и управление системой NAC со всеми ее правилами, программными и аппаратными компонентами, лучше пойти по другому пути? Обратить внимание на улучшение защищенности своих клиентов и серверов, чтобы те стали устойчивее к
