Jay Kelley, Rich Campagna, Denzil Wessels. «Network Access Control for Dummies»
В продуктах Juniper Unified Access Control (UAC) NAC используются разработки компании в области SSL VPN и IPS, а после приобретения Funk Software ее продуктовый портфель пополнился продуктами RADIUS и 802.1X. Теперь этот производитель предлагает широкий спектр решений безопасности для контроля доступа к сети на основе заданных правил и выступает за использование открытых стандартов в системах NAC, уже установленных во многих организациях, причем за последний год интерес
к ним возрос.
В написанной тремя специалистами Juniper Networks книге из серии «для чайников» рассказывается о том, как обеспечить контроль доступа к сети для сотрудников, партнеров и пользователей портативных и мобильных устройств, описываются особенности работы NAC, методы реализации системы контроля доступа, ее использование для решения реальных задач, а кроме того, даются рекомендации в отношении применения стандартов NAC и расширения NAC с целью укрепления безопасности сети.
Книга разделена на четыре части. В первой раскрывается суть NAC: что это такое и из каких компонентов состоит система контроля доступа. Во второй рассказывается о роли и месте NAC в сети. В третьей описываются стандарты, архитектуры и расширения NAC, а четвертая знакомит читателей с правильными подходами к реализации NAC, этапами планирования и развертывания системы контроля доступа.
Вводя читателей в суть дела, авторы на простых примерах и сравнениях стараются прояснить все «темные места» NAC. Иллюстрированные примеры помогают понять, какие типы решений NAC существуют, чем они отличаются и на каком уровне модели OSI работают. Далее даются советы по выбору оптимального решения NAC и приводится перечень обязательных требований к таким системам. Затем поясняется, какими мотивами следует руководствоваться при развертывании NAC и как системы контроля доступа способствуют решению вопроса обеспечения безопасности сети, какие риски порождает развертывание NAC, как NAC сочетается с беспроводными сетями и каким образом вписывается в нормативные требования по информационной безопасности. Попутно читатели знакомятся с возможностью аутсорсинга NAC, защитой от инсайдеров, использованием NAC в случае удаленной работы и с влиянием систем контроля доступа к сети на непрерывность бизнес-процессов.
В главе, посвященной «жизненному циклу» NAC, говорится об этапах внедрения и эксплуатации этих систем, являющихся ключевым компонентом корпоративной политики безопасности, при этом особое внимание уделяется планированию развертывания. А в главе о компонентах NAC объясняется, как выбрать решение, соответствующее потребностям бизнеса. Завершает первую часть рассказ о SSL VPN и об основах построения защищенных сетевых соединений. Здесь же NAC сравнивается с SSL VPN и обосновывается применение того или иного подхода в разных ситуациях.
Вторая часть начинается с главы, посвященной корпоративной политике безопасности. После рассмотрения элементов «правильной» политики безопасности и особенностей использования стандартов объясняется, как разработать собственную политику, включающую установку антивирусных продуктов, средств аутентификации, идентификации и контроля доступа, шифрования и аудита. Вопросам идентификации и проверки безопасности ПК посвящены отдельные главы.
Познакомив читателя с этими фундаментальными понятиями, авторы детально описывают механизмы, с помощью которых обеспечивается соблюдение заданных в NAC правил, раскрывают вопросы выбора различных политик доступа, поясняют, какое инфраструктурное сетевое оборудование обеспечивает соблюдение контроля доступа, делятся опытом применения VLAN, 802.1X, аутентификации по MAC-адресам, CLI и протоколов SNMP, DHCP, IPSec, ARP. Освоив все эти премудрости, можно переходить к развертыванию NAC с использованием лучших отраслевых методов и профессиональной помощи. Этапами такого развертывания становятся пилотный проект и его тестирование, обращение к услугам специалистов и консалтингу.
В третьей части подробно описываются различные архитектуры NAC (Cisco NAC, Microsoft NAP, TCG TNC), их функционирование и специфика отдельных реализаций. Тему продолжает рассказ о роли стандартов NAC, а в завершающих главах раскрываются вопросы распространения NAC на другие сети, элементы системы безопасности и конечные устройства, включая интеграцию с IDS/IPS, антивирусами и системами инвентаризации, а также классификацию сетевых устройств.
В четвертой части еще раз подчеркивается важность детального планирования при развертывании NAC и освещается ряд практических вопросов, в том числе способы использования имеющихся средств аутентификации, соблюдения правил доступа, реализации управления системой NAC. Не забыты вопросы ведения журнала, вывода отчетов и аудита системы, ее поддержки и обновления. В последних главах, по существу представляющих краткий справочник, перечислены десять шагов планирования NAC, десять важнейших источников информации о NAC
и десять ключевых определений, касающихся терминологии NAC.
Книга рассчитана на специалистов, занимающихся проектированием или эксплуатацией компьютерных сетей, руководителей подразделений ИТ, а также студентов соответствующих специальностей, которые хотели бы изучить возможности NAC, понять область применения систем контроля доступа к сети, разобраться в том, насколько необходимы эти системы для деятельности предприятия и как нужно изменить сетевую инфраструктуру для внедрения NAC. Книга поможет сэкономить время, деньги и усилия при развертывании решения NAC. Для понимания сути изложенного не требуется углубленных знаний английского языка или сетевой тематики — книга написана вполне доступно и понятно.
Книгу (Jay Kelley, Rich Campagna, Denzil Wessels. «Network Access Control for Dummies». — Изд-во Wiley Publishing, 2009 г.— 316 стр.) можно заказать через Internet, в том числе в электронном виде. Цена — 35 долларов.