Network Access Control (NAC) ist eine Netzwerksicherheitstechnologie, die unbefugte Benutzer und Geräte daran hindert, in private Netzwerke einzudringen und auf sensible Ressourcen zuzugreifen. NAC, auch bekannt als Network Admission Control, fasste erstmals Mitte bis Ende der 2000er Jahre in Unternehmen Fuß als eine Möglichkeit, Endpunkte durch grundlegende Scan- und Blockierungstechniken zu verwalten.
Da Wissensarbeiter immer mobiler werden und sich BYOD-Initiativen in Unternehmen ausbreiten, werden Lösungen für die Netzwerkzugriffskontrolle entwickelt, die nicht nur die Authentifizierung von Benutzern, sondern auch die Verwaltung von Endgeräten und die Durchsetzung von Richtlinien ermöglichen.
Arbeitsprinzip
Network Access Control-Tools erkennen alle Geräte im Netzwerk und sorgen für Transparenz. Die Network Access Control-Software verhindert, dass unbefugte Benutzer in das Netzwerk eindringen, und setzt Richtlinien auf den Endgeräten durch, um sicherzustellen, dass die Geräte die Sicherheitsrichtlinien des Netzwerks einhalten.
Nicht konforme Geräte können aus dem Netz ausgesperrt, unter Quarantäne gestellt oder nur eingeschränkt zugänglich gemacht werden.
Die Netzzugangskontrolle erfolgt in zwei Phasen. In der ersten Phase, der Authentifizierung, wird der Benutzer identifiziert und seine Anmeldedaten werden überprüft. Die meisten Tools unterstützen mehrere Authentifizierungsmethoden, darunter Passwörter, einmalige Passwörter und biometrische Verfahren.
In der zweiten Phase setzt die Netzwerkzugriffskontrolle eine Reihe von Richtlinienfaktoren durch, darunter Gerätezustand, Standort und Benutzerrollen. Die meisten Appliances bieten auch die Möglichkeit, den Zugriff nach Rollen einzuschränken, damit Benutzer nur auf die Ressourcen zugreifen können, die sie für ihre Arbeit benötigen.
Wenn ein Benutzer oder ein Gerät die Authentifizierungs- oder Autorisierungsphase nicht besteht, sperren oder isolieren Network Access Control-Tools das Gerät und/oder den Benutzer.
Was sind die verschiedenen Arten von Netzzugangskontrollmethoden?
Die Methoden der Netzwerkzugangskontrolle können in vielerlei Hinsicht variieren, aber zwei häufige Unterschiede bestehen darin, wann ein Gerät überprüft wird und wie das System Informationen aus dem Netzwerk sammelt.
Vor der Zulassung und nach der Zulassung: Es gibt zwei Möglichkeiten, den Zugriff auf Endgeräte zu genehmigen. Bei einem Pre-Admission-Design werden die Geräte überprüft und die Richtlinien durchgesetzt, bevor ihnen der Zugang zum Netzwerk gewährt wird. Diese Methode eignet sich am besten für Anwendungsfälle, bei denen das Gerät möglicherweise nicht über die neueste Antiviren- und Anti-Malware-Software verfügt.
Alternativ dazu konzentriert sich das Design nach der Zulassung weniger auf den Zustand des Geräts und mehr auf den Benutzer, wobei die Richtlinien auf der Grundlage des Verhaltens durchgesetzt werden. Dieser Ansatz eignet sich gut für Anwendungsfälle wie den Gastzugang, bei dem die Online-Aktivitäten oft auf Anwendungen wie das Surfen im Internet und das Abrufen von E-Mails beschränkt sind.
Viele NAC-Produkte bieten eine Kombination dieser Methoden, die je nach Standort, Gerätetyp oder Benutzergruppe variieren können.
Agentenbasiertes vs. agentenloses Design: Ein weiterer architektonischer Unterschied besteht in der agentenbasierten gegenüber der agentenlosen Informationssammlung. Bei einigen Anbietern von Network Access Control müssen die Benutzer eine Agentensoftware auf ihre Client-Geräte herunterladen. Der Agent meldet dann die Geräteeigenschaften an das NAC-System zurück.
Alternativ dazu scannen agentenlose Network Access Control-Lösungen kontinuierlich das Netzwerk und den Gerätebestand und stützen sich auf das Geräte- und Benutzerverhalten, um Ausführungsentscheidungen zu treffen.
Kernfunktionen des NAC-Systems
Die Netzzugangskontrolle schützt das Netz durch mehrere Kernfunktionen. Dazu gehören:
Authentifizierung und Autorisierung: Verwalten Sie den Benutzer- und Gerätezugriff auf Ressourcen.
Zentralisierte Verwaltung des Lebenszyklus von Richtlinien: Durchsetzung von Richtlinien für alle Benutzer und Geräte bei gleichzeitiger Verwaltung von Richtlinienänderungen im gesamten Unternehmen.
Erkennung, Sichtbarkeit und Profile: Finden Sie Geräte in Ihrem Netzwerk, identifizieren Sie sie und ordnen Sie sie in Gruppen mit spezifischen Profilen ein, während Sie nicht autorisierte Benutzer und nicht konforme Geräte blockieren.
Netzwerkzugang für Gäste: Verwalten Sie Gäste und gewähren Sie ihnen über ein anpassbares Self-Service-Portal einen zeitlich begrenzten und oft eingeschränkten Zugang.
Überprüfung der Sicherheitslage: Bewerten Sie die Einhaltung von Sicherheitsrichtlinien nach Benutzertyp, Gerätetyp, Standort, Betriebssystemversion und anderen vom Unternehmen definierten Sicherheitskriterien.
Reaktion auf Vorfälle: Blockieren Sie verdächtige Aktivitäten automatisch, stellen Sie nicht konforme Geräte unter Quarantäne und aktualisieren Sie Geräte, um sie konform zu machen, wenn möglich - alles ohne Eingreifen der IT-Abteilung.
Bi-direktionale Integration: Integration von NAC mit anderen Sicherheitstools und Netzwerklösungen über offene/RESTful-APIs, die den Austausch von Kontextinformationen (IP- und MAC-Adressen, Benutzer-IDs, Benutzerrollen, Standort usw.) ermöglichen.
Netzwerkzugangskontrolle und Zero Trust
Obwohl es sich bei NAC um eine fast 20 Jahre alte Technologie handelt, wurde sie bisher nur in mittleren bis großen Unternehmen eingesetzt. Da sich der Netzwerkrand jedoch immer weiter über die physischen Unternehmensgrenzen hinaus ausbreitet und die COVID-19-Pandemie die Akzeptanz von privaten, mobilen und hybriden Arbeitsumgebungen beschleunigt, hat sich NAC zu einer grundlegenden Technologie für einen Zero-Trust-Sicherheitsansatz entwickelt.
Da die Netzwerke immer verteilter und komplexer werden, müssen Cybersicherheitsteams Wege finden, um den Überblick zu behalten Geräte, die mit den entferntesten Bereichen des Netzwerks einer Organisation verbunden sind. Network Access Control bietet diese Fähigkeit durch die Erkennung und Sichtbarkeit aller Geräte, die in das Netzwerk eindringen, eine zentrale Zugriffskontrolle und die Durchsetzung von Richtlinien für alle Geräte.
Wichtigste Anwendungsfälle
Die zunehmende Mobilität der Mitarbeiter, die steigende Anzahl von BYOD-Geräten und die Notwendigkeit, hybride Arbeitsumgebungen aufgrund der Pandemie zu unterstützen, führen dazu, dass der Bedarf an stärkeren Netzwerkzugangskontrollen. Zu den üblichen Anwendungsfällen für die Netzzugangskontrolle gehören:
Zugang für Gäste und Partner: Lösungen für die Netzwerkzugangskontrolle ermöglichen es Unternehmen, Gästen, Partnern und Auftragnehmern einen zeitlich begrenzten, eingeschränkten Zugang zu gewähren. Network Access Control-Lösungen prüfen Gastgeräte, um sicherzustellen, dass sie den Sicherheitsrichtlinien des Unternehmens entsprechen.
BYOD und Arbeiten von überall: Da Wissensarbeiter immer mobiler werden, wird Network Access Control eingesetzt, um Benutzer zu authentifizieren, die sich auf unbekannten Geräten und an unbekannten Orten aufhalten, und gleichzeitig Richtlinien für diese Benutzer und Geräte durchzusetzen. Wenn ein Mitarbeiter ein Firmengerät mit nach Hause nimmt, stellt Network Access Control sicher, dass keine externe Malware in das Netzwerk eindringt, wenn das Gerät wieder in das Unternehmensnetzwerk gelangt.
Die hybriden Arbeitsumgebungen, die während der COVID-19-Pandemie entstanden sind, folgen einem ähnlichen Muster: Lösungen für die Netzwerkzugangskontrolle authentifizieren die Benutzer, stellen sicher, dass die Geräte mit den Richtlinien übereinstimmen, und beschränken den Zugang zu Ressourcen auf der Grundlage von Standort und Benutzerrolle.
IoT: Die Fähigkeit von Network Access Control, Transparenz, Geräteanalyse, Richtliniendurchsetzung und Zugriffsverwaltung zu bieten, hilft, die Risiken zu reduzieren, die mit IoT-Geräten verbunden sind, die in Unternehmensnetzwerke eindringen. Network Access Control-Tools können jedes Gerät beim Eintritt in das Netzwerk inventarisieren und kennzeichnen, IoT-Geräte in Gruppen mit begrenzten Berechtigungen einteilen und das Verhalten von IoT-Geräten kontinuierlich überwachen. Network Access Control setzt automatisch Regeln durch, um sicherzustellen, dass die Geräte mit den Geschäfts-, Sicherheits- und Compliance-Richtlinien übereinstimmen.
Medizinische Geräte: Für IoT-Geräte in stark regulierten Umgebungen des Gesundheitswesens kann Network Access Control nicht nur den unbefugten Zugriff auf Geräte und medizinische Daten erkennen und blockieren, sondern auch Richtlinien durchsetzen, die sicherstellen, dass die Geräte im Netzwerk des Gesundheitswesens den Vorschriften wie HIPAA entsprechen. Network Access Control kann auch Richtlinien durchsetzen, wenn medizinisches Fachpersonal aus der Ferne auf das Netzwerk zugreift.
Reaktion auf Vorfälle: Nach dem Einsatz eines NAC-Systems können Unternehmen Informationen wie Benutzer-ID, Gerätetyp und Kontextinformationen mit Sicherheitsprodukten von Drittanbietern austauschen. Dies ermöglicht eine automatische Reaktion auf Vorfälle, bei der das NAC-System automatisch auf Netzwerksicherheitswarnungen reagiert, indem es potenziell gefährdete Geräte blockiert und/oder unter Quarantäne stellt, ohne dass die IT-Abteilung eingreifen muss.
Netzzugangskontrolle und Konformität
Die Einhaltung gesetzlicher Vorschriften ist zu einem der wichtigsten Faktoren für die Einführung von Network Access Control geworden, da immer mehr Branchen den Umgang mit Kundendaten und den Schutz der Privatsphäre regeln. NAC-Systeme können Unternehmen dabei helfen, eine Reihe von Vorschriften einzuhalten, einschließlich, aber nicht beschränkt auf HIPPA, PCI-DSS, GLBA, SOX, GDRP und CCPA.
Bei diesen Datenschutzanforderungen geht es in der Regel darum, das "Wer", "Was", "Wann" und "Wo" der Benutzer und Geräte im Netzwerk zu verstehen und gleichzeitig den Zugriff auf sensible Daten auf diejenigen zu beschränken, die einen legitimen Bedarf haben. Der Nachweis, dass Sie all dies durch wiederholbare und überprüfbare Prozesse erreicht haben, ist ebenfalls entscheidend für die Einhaltung der Vorschriften.
Die Netzwerkzugangskontrolle kann eine Vielzahl von gesetzlichen Anforderungen erfüllen, wie z. B. Zugangskontrolle, Durchsetzung von Richtlinien für alle Benutzer und Geräte, Netzwerkeinsicht und Prüfprotokolle. Darüber hinaus verfügen viele Anbieter von Network Access Control über integrierte Funktionen, mit denen Unternehmen die Einhaltung gängiger Vorschriften wie HIPPA, PCI-DSS und SOX automatisieren können.