Ligipääsu kontroll on olnud turvalahendusena turul juba väga pikalt. Alates sellest kui 802.1x standard, IEEE poolt kivisse raiuti, on NAC ehk network access control pakkunud erinevaid võimalusi, kuidas rakendada kohandada kohtvõrgus juurdepääsupoliitikaid. NAC-i võlu ja valu seisneb selles, et ühelt poolt ühildub see erinevate võrguseadmetega, olenemata tootjast, aga teisalt tähendab see seda, et NAC lahendus tuleb effektiivseks toimimiseks ühildada kõigi vajalike kasutajate ja seadmete ligipääsu haldavate süsteemidega. Selles artiklis võrdleme nelja tuntud NAC lahendust: Aruba ClearPass, Fortinet FortiNAC, Cisco ISE ja avatud lähtekoodiga PacketFence.
Esimesena vaatame kõigi nelja lahenduse võimekust ja funktsionaalsust. Peamised alustalad, mida iga lahendus peaks võimaldama, on rollipõhine juurdepääsu kontroll, erinevate ligipääsu reguleerivate protokollide & standardite tugi (802.1X, RADIUS, LDAP jne.) ning kindlasti ka võimekust kõikvõimalike seadmete tuvastamiseks ehk profileerimiseks.
NAC lahenduste võrdlustabel
| Funktsioon | Aruba ClearPass | Fortinet FortiNAC | Cisco ISE | PacketFence |
| RBAC (Rollipõhine ligipääsukontroll) | Jah | Jah | Jah | Jah |
| 802.1X | Jah | Jah | Jah | Jah |
| RADIUS | Jah | Jah | Jah | Jah |
| LDAP | Jah | Jah | Jah | Jah |
| Sertifikaadi autoriteet (CA) | Jah | Jah* | Jah | Jah |
| Agent-põhised lahendused | Jah | Jah | Jah | Jah |
| Profileerimine | Jah | Jah | Jah | Jah |
| Onboarding | Jah | Jah | Jah | Jah |
| Külalisportaal | Jah | Jah | Jah | Jah |
| AI ja masinõpe | Jah | Jah | Jah | Ei |
Ühised funktsioonid ja peamised erinevused
Kõik neli lahendust pakuvad laia valikut funktsioone, mis hõlmavad rollipõhist ligipääsukontrolli, 802.1X autentimist, RADIUS, LDAP integratsiooni, sertifikaadipõhiseid autentimismeetmeid, agent-põhiseid lahendusi, profileerimist, onboardingut ja külalisportaale. Peamine erinevus tuleneb AI ja masinõppe võimalustest, mida pakkusid ainult Aruba ClearPass, Fortinet FortiNAC ja Cisco ISE, kuid mitte PacketFence.
Selle järgi võiks öelda, et võta üks ja viska teist ning kõik lahendused teevad täpselt samu asju? Kuid millist lahendust siis valida? Selle küsimuse vastamiseks tuleb vaadata natukene laiemat pilti. Tähtis on arvestada ka sellega, milline on praegune taristu, millise tootja seadmeid kasutatakse? Milline on teie IT meeskonna kompetents erinevate tootjate seadmete haldamisel?
Näiteks kui enamus võrgust koosneb HPE Aruba seadmetest, siis ilmselgelt on teie võrguinseneridel kogemus nende seadmete haldamisega ja võib-olla tasuks ka NAC lahenduse valimisel kalduda sama tootja poole. Eelneva tabeli järgi võib järeldada, et baasfunktsionaalsus on kõigil lahendustel kaetud, kuid erinevus tuleb välja just väiksematest tootjakesksetest integratsioonidest ja tehnilistest nüanssidest.
Tootjaspetsiifilised eelised
Aruba ClearPass: Pakub tugevat integratsiooni HPE Aruba võrguseadmetega. Uuemate Aruba seadmetega integreerimisel pakub võimalust lahendust rakendada ka tootjakeskse pilvelahendusena.
Fortinet FortiNAC: Tihedalt integreeritud Fortineti turvaökosüsteemi(Security Fabric), pakkudes terviklikku lahendust koos FortiGate tulemüüridega, FortiAnalyzeri ja teiste Fortineti seadmetega.
Cisco ISE: Üks juhtivaid lahendusi turul, tuntud oma skaleeritavuse ja sügava integratsiooni poolest Cisco võrguseadmetega. Cisco ISE on ka nende DNA SD-Access lahenduse keskne osa, mida antud arhitektuuris ei saa asendada mõne teise tootja NAC lahendusega.
PacketFence: Avatud lähtekoodiga lahendus, mis ei ole seotud ühegi konkreetse tootjaga.
NAC vs ZTNA ja SASE
NAC keskendub eelkõige võrgu juurdepääsu kontrollimisele seadme ja kasutaja autentimise kaudu kohapealsetes võrkudes. ZTNA (Zero Trust Network Access) ja SASE (Secure Access Service Edge) laiendavad seda kontseptsiooni, pakkudes turvalist juurdepääsu nii kohapealsetele kui ka pilveteenustele, rakendades zero-trust põhimõtteid kogu võrgu ulatuses. ZTNA ja SASE kasutavad tugevalt identiteedipõhist autentimist ja pidevat turvaoleku hindamist, et tagada pidev ja turvaline juurdepääs.
Kuidas rakendada NAC ilma 802.1X?
Kuigi 802.1X on NAC lahenduste võtmetehnoloogia, on olemas ka alternatiivseid meetodeid NAC rakendamiseks. Need meetodid hõlmavad DHCP snooping’ut, ARP kaitset ja MAC-aadressipõhist autentimist. Need alternatiivid võivad pakkuda lisaturvalisust ja -kontrolli keskkondades, kus 802.1X ei ole võimalik rakendada.
Lahenduste vormid
Aruba ClearPass: Füüsiline seade, virtuaalmasin, pilvepõhine.
Fortinet FortiNAC: Füüsiline seade, virtuaalmasin.
Cisco ISE: Füüsiline seade, virtuaalmasin.
PacketFence: Virtuaalmasin, pilvepõhine (avatud lähtekoodiga lahendus).
Kokkuvõte
NAC lahenduste valimisel tuleb arvestada nii organisatsiooni konkreetseid vajadusi kui ka olemasolevat infrastruktuuri. Aruba ClearPass, Fortinet FortiNAC, Cisco ISE ja PacketFence pakuvad kõiki põhifunktsioone, kuid erinevad täiendavate võimaluste, skaleeritavuse ja integreeritavuse poolest. Õige lahenduse valimine aitab tagada võrgu turvalisuse ja tõhusa ligipääsukontrolli.