Network Access Control (NAC) is a network security technology that prevents unauthorized users and devices from entering private networks and accessing sensitive resources. NAC, also known as Network Admission Control, first gained a foothold in enterprises in the mid-to-late 2000s as a way to manage endpoints through basic scanning and blocking techniques.
As knowledge workers become increasingly mobile and as BYOD initiatives spread across organizations, Network Access Control solutions evolve to not only authenticate users but also manage endpoints and enforce policies.
Working Principle
Network Access Control tools detect and provide visibility into all devices on the network. Network Access Control software prevents unauthorized users from entering the network and enforces policies on endpoints to ensure devices comply with network security policies.
Устройства, не соответствующие требованиям, могут быть заблокированы в сети, помещены в карантин или получить ограниченный доступ.
Network Access Control works in two phases. The first phase, authentication, identifies the user and verifies their credentials. Most tools support multiple authentication methods, including passwords, one-time passwords, and biometrics.
In the second phase, Network Access Control enforces a number of policy factors, including device health, location, and user roles. Most appliances also have the ability to limit access by role, allowing users to access only the resources they need to do their jobs.
If a user or device fails the authentication or authorization phase, Network Access Control tools block or quarantine the device and/or user.
What are the different types of Network Access Control methods?
Network Access Control methods can vary in many ways, but two common differences involve when a device is checked and how the system collects information from the network.
Pre-admission and post-admission: There are two ways to authorize access to terminal devices. In a pre-admission design, devices are inspected and policies are enforced before they are granted access to the network. This method is best suited for use cases where the device may not have the latest antivirus and anti-malware software.
В альтернативном варианте разработка после допуска в меньшей степени ориентирована на состояние устройства и в большей - на пользователя, применяя политики на основе поведения. Такой подход хорошо подходит для таких случаев использования, как гостевой доступ, когда онлайн-активность часто ограничивается просмотром веб-страниц и проверкой электронной почты.
Многие продукты NAC предлагают комбинацию этих методов, которые могут различаться в зависимости от местоположения, типа устройства или группы пользователей.
Agent-based vs. agentless design: Another architectural difference is agent-based vs. agentless information collection. Some Network Access Control vendors require users to download agent software on their client devices. The agent then reports the device characteristics back to the NAC system.
Alternatively, agentless Network Access Control solutions continuously scan the network and inventory of devices, relying on device and user behavior to trigger execution decisions.
Основные возможности системы NAC
Network Access Control protects the network through multiple core functions. These include:
Аутентификация и авторизация: Управление доступом пользователей и устройств к ресурсам.
Централизованное управление жизненным циклом политик: Обеспечьте соблюдение политик для всех пользователей и устройств, управляя изменениями политик в масштабах всей организации.
Обнаружение, видимость и профили: Находите устройства в сети, идентифицируйте их и объединяйте в группы с определенными профилями, блокируя неавторизованных пользователей и устройства, не соответствующие требованиям.
Гостевой доступ к сети: Управляйте гостями и предоставляйте им временный и часто ограниченный доступ с помощью настраиваемого портала самообслуживания.
Проверка уровня безопасности: Оценка соответствия политикам безопасности по типу пользователя, типу устройства, местоположению, версии операционной системы и другим критериям безопасности, определенным организацией.
Реагирование на инциденты: Автоматическое блокирование подозрительной активности, помещение в карантин устройств, не соответствующих требованиям, и обновление устройств для приведения их в соответствие с требованиями, если это возможно, - и все это без вмешательства ИТ-специалистов.
Bi-directional integration: Integrate NAC with other security tools and network solutions through open/RESTful APIs, enabling it to share contextual information (IP and MAC addresses, user IDs, user roles, location, etc.)
Network Access Control and Zero Trust
Хотя NAC - технология почти 20-летней давности, ее применение в основном ограничивалось предприятиями среднего и крупного размера. Однако по мере того как сетевые границы продолжают выходить за пределы физических границ предприятия, а пандемия COVID-19 ускоряет распространение домашних, мобильных и гибридных рабочих сред, NAC становится технологией, позволяющей реализовать подход к безопасности с нулевым доверием.
As networks become more distributed and complex, cybersecurity teams must find ways to maintain visibility into devices connected to the furthest reaches of an organization’s network. Network Access Control provides this capability through detection and visibility of all devices entering the network, centralized access control, and policy enforcement across all devices.
Main use cases
Increased employee mobility, an increase in the number of BYOD devices, and the need to support hybrid work environments due to the pandemic are driving the need for stronger network access controls. Common use cases for Network Access Control include:
Guest and Partner Access: Network Access Control solutions allow organizations to provide temporary, restricted access to guests, partners, and contractors. Network Access Control solutions probe guest devices to ensure they comply with the organization’s security policies.
BYOD and work from anywhere: As knowledge workers become increasingly mobile, Network Access Control is used to authenticate users who may be on unknown devices and in unknown locations, while also enforcing policies against those users and devices. If an employee takes a company device home, Network Access Control ensures that no external malware infiltrates the network when the device re-enters the organization’s network.
The work-from-home and anywhere-anywhere hybrid work environments that have emerged during the COVID-19 pandemic have followed a similar pattern, with Network Access Control solutions authenticating users, ensuring devices are compliant with policies, and restricting access to resources based on: location and user Role.
IoT: Network Access Control’s ability to provide visibility, device analytics, policy enforcement, and access management helps reduce the risks associated with IoT devices entering corporate networks. Network Access Control tools can inventory and tag each device as it enters the network, classify IoT devices into groups with limited permissions, and continuously monitor the behavior of IoT devices. Network Access Control will automatically enforce rules to ensure devices comply with business, security, and compliance-related policies.
Medical devices: For IoT devices in highly regulated healthcare environments, Network Access Control can not only detect and block unauthorized access to devices and medical records, but also enforce policies that ensure devices in the healthcare network comply with regulations such as HIPAA . Network Access Control can also enforce policies when medical professionals access the network remotely.
Реагирование на инциденты: После развертывания системы NAC организации могут использовать ее для обмена информацией, такой как идентификатор пользователя, тип устройства и контекстная информация, со сторонними продуктами точек безопасности. Это позволяет автоматизировать реагирование на инциденты, когда система NAC автоматически реагирует на предупреждения о сетевой безопасности, блокируя и/или помещая в карантин потенциально скомпрометированные устройства без вмешательства ИТ-специалистов.
Network Access Control and compliance
Regulatory compliance has become a driver of Network Access Control adoption as more and more industries regulate how businesses handle consumer data and protect privacy. NAC systems can help organizations maintain compliance with a range of regulations, including but not limited to HIPPA, PCI-DSS, GLBA, SOX, GDRP, and CCPA.
Эти требования к конфиденциальности обычно сосредоточены на понимании того, кто, что, когда и где использует пользователи и устройства в сети, а также на ограничении доступа к конфиденциальным данным только для тех, у кого есть законные потребности. Демонстрация того, что вы достигли всего этого с помощью повторяющихся и проверяемых процессов, также очень важна для соответствия требованиям.
Network Access Control can address a variety of regulatory requirements with access control, policy enforcement across users and devices, network visibility, and audit trails. Additionally, many Network Access Control vendors have built-in functionality to help organizations automate compliance with common regulations such as HIPPA, PCI-DSS, and SOX.