En praktisk vejledning i forskellene mellem inline og portbaseret NAC

Skillnad mellan inline- och portbaserad nätverksåtkomstkontroll

This post is also available in: Swedish

På enhver given dag er der masser, der banker på din IT-netværksdør. Indtil nu har vi i andre blogindlæg talt om det pres, som IT-chefer er underlagt for at sikre deres netværk i disse tider med BYOD-politikker, IoT-enheder og tendenser angående fleksibel beskæftigelse.

Vi har kigget på de udfordringer, som disse tendenser frembyder for mere traditionelle former for IT-sikkerhed, f.eks. udelukkende at benytte antivirusprogrammer og firewalls.

Vi har også kigget på, hvordan du som IT-chef kan sikre dit netværk med Network Access Control (NAC) ved at fokusere på, hvem der kan få adgang i det hele taget.

I denne blog kigger vi nærmere på de to primære NAC-metoder til at sikre dit netværk. Hvordan virker de hver især, hvad er fordelene, og hvilken er bedst til din organisation? Læs videre for at finde svarene.

Inline, ”uden for bånd” eller portbaseret netværksadgangskontrol?

I stedet for at sikre et netværk ved at detektere trusler såsom malware tager Network Access Control (NAC) kontrol med, hvem der kommer ind på netværket i det hele taget. Det fungerer som en virtuel tolder, der “godkender” brugere, enheder og forbindelser til bestemte afsnit af netværket.

Det betyder, at det kontrollerer en anmodning, fastsætter en rolle og håndhæver den på grundlag af en foruddefineret virksomhedspolitik.

Det kan gøres på tre forskellige måder med en NAC-løsning, hvoraf inline- metoden og den portbaserede metode oftest bruges. Portbaseret omtales ofte som uden-for-bånd, men vi mener, at portbaseret er et mere nøjagtigt udtryk, fordi denne metode håndterer adgang fra et bestemt indgangspunkt.

Det er vigtigt, fordi den vigtigste forskel mellem de to NAC-metoder er, hvordan de bestemmer og håndhæver adgang.

Inline NAC: fordele, ulemper

Hvordan virker de to NAC-løsninger så? Lad og starte med inline. En inline NAC-løsning er placeret midt i dit netværks trafikstrøm.

Fra dens placering i strømmen bestemmer den, om anmodninger skal godkendes eller afvises, hvilket betyder, at den samtidig træffer beslutninger om og håndhæver NAC-politikker for hver anmodning.

Det gør den til en ekstremt robust løsning, fordi den skubber al trafik på netværket gennem NAC-løsningen for at kontrollere, om hver eneste meddelelse overholder politikken. Det giver 100 % kontrol over meddelelsesudvekslingen, hvilket ofte lyder attraktivt for medarbejdere med ansvar for computernetværk.

Men som du sikkert kan forestille dig, kræver inline NAC masser af båndbredde. Man kan selvfølgelig øge båndbredden, men det er dyrt og vil ikke gøre sikkerhedsløsningen mindre kompleks.

Hvis infrastrukturen ikke kan følge med, og trafikken udgør en flaskehals, kan det lamme hele netværket. Derudover gælder det, at inline NAC-løsninger betyder, at nedbrud sker på et enkelt punkt (SPOF – Single Point of Failure). Hvis der opstår fejl her, holder hele systemet op med at virke.

Alle de førnævnte årsager gør inline NAC-løsninger svære at skalere.

Portbaseret NAC: fordele, ulemper

Portbaseret NAC adskiller afgørelse om adgang fra selve håndhævelsen af den. Det udføres ved at fungere sammen med netværkets indgangspunkt, hvilket betyder en switch, et Wi-Fi-adgangspunkt eller en VPN-forbindelse, der bevogter netværkets indgangsdøre.

Portbaserede NAC-løsninger fungerer med en RADIUS-server, der er fuldt opdateret om brugerrettigheder og enhedssikkerhed, så den kan instruere switches, Wi-Fi-adgangspunkter og VPN-forbindelser om, hvilken politik, der skal håndhæves.

Når en bruger og dennes enhed er godkendt og tildelt en rolle, håndhæver et indgangspunkt (fx en switch) den korrekte politik, så vedkommende kan få adgang til netværket, men kun til et afsnit med de dele, som vedkommende har adgang til.

I modsætning til inline NAC overvåges brugerens aktivitet på netværket ikke konstant. Adskillelse af funktioner gør denne metode smidig på netværket. Der er intet behov for ekstra båndbredde, det er mindre komplekst, og tildeling af adgang på grundlag af roller er med til at gøre netværket sikkert.

Fordi denne metode ikke kontrollerer hver eneste meddelelse, vil den i mindre grad påvirke netværksfunktionerne og være lettere at skalere. Du kunne endda installere såkaldte “slaveenheder” på eksterne lokationer, så hver lokation er sikret optimalt. Til sidst kommer du med portbaseret NAC af med det problem, der er forbundet med SPOF.

Samtidig kræver portbaseret NAC dog yderligere netværkskonfiguration: Du skal foretage nogle ændringer i din opsætning, før du går i gang

For de fleste virksomheder vil valget af inline NAC være som at cykle på arbejde udstyret med skinnebensbeskyttere, benbeskyttere, pistol, schweizerkniv og hjelm.

Hvordan vælger du?

Valget mellem inline eller portbaseret NAC afhænger helt af din organisations behov.

Først skal du vurdere risikoen: Hvor stor økonomisk og omdømmemæssig skade vil et sikkerhedsbrud medføre, og hvor sandsynligt er det, at et brud vil ske?

Hvis du fx er en international virksomhed med masser af følsomme data, der giver dig en stor konkurrencemæssig fordel, og du har midlerne til det, vil en inline NAC-løsning nok være noget, du vil have.

Dog vil valget af inline NAC for de fleste virksomheder være som at cykle på arbejde udstyret med skinnebensbeskyttere, benbeskyttere, pistol, schweizerkniv og hjelm.

Med andre ord: overudstyret og hæmmet i dine bevægelser.

Så selvom du med inline er fuldt dækket ind fra et teknisk synspunkt, er portbaseret stadig en mere praktisk og mere skalerbar metode med lav vedligeholdelse.

Og hvor inline ofte sælges som en komplet sikkerhedsløsning, giver portbaseret NAC dig et solidt grundlag ved at inddele brugeradgangen i afsnit. Du kan let bygge videre på denne sikkerhedsløsning ved at tilføje antivirusprogrammer og firewalls eller endda inline NAC i forbindelse med dine følsomme data.

Du kan få en endnu mere fyldestgørende vejledning om netværksadgangskontrol ved at downloade vores gratis hvidbog nedenfor!