En enkel guide som visar på skillnaderna mellan inline- och portbaserad nätverksåtkomstkontroll

Skillnad mellan inline- och portbaserad nätverksåtkomstkontroll

This post is also available in: Danska

En viss dag förekommer många knackningar på din IT-nätverksdörr. Hittills har vi, i andra bloggar, pratat om trycket som IT-chefer utsätts för när de ska säkra nätverket med dagens BYOD-policyer, IoT-enheter och flexibla anställningsförhållanden.

Vi har tittat på utmaningarna som dessa trender utsätter gammeldags IT-säkerhet för, såsom att endast lita på virusgenomsökningar och brandväggar.

Vi har även tittat på hur du som IT-chef kan säkra ditt nätverk med nätverksåtkomstkontroll, genom att först fokusera på vem som kan ta sig in.

I denna blogg tittar vi på de två huvudsakliga NAC-metoderna som säkrar ditt nätverk. Hur fungerar de, vilka är deras fördelar och vilken passar bäst för din verksamhet? Fortsätt läsa för att ta reda på det.

Inline, out-of-band eller portbaserad nätverksåtkomstkontroll?

Hellre än att säkra ett nätverk genom att detektera hot såsom skadlig programvara, styr nätverksåtkomstkontrollen (NAC) istället i första hand vem som släpps in på nätverket. Den fungerar som en virtuell tulltjänsteman som ”godkänner” användare, enheter och anslutningar för särskilda delområden i nätverket.

Det innebär att den kontrollerar en begäran, beslutar om en roll och tillämpar den baserat på en fördefinierad företagspolicy. Det finns olika sätt som en NAC-lösning kan göra det, där inline- och den portbaserade metoden är de vanligast förekommande.

Portbaserad kallas ofta out-of-band, men vi anser portbaserad vara en mer exakt term, eftersom metoden styr åtkomst från en specifik ingångspunkt.

Detta är viktigt eftersom den huvudsakliga skillnaden mellan de två NAC-metoderna är hur de beslutar om och tillämpar åtkomsten.

Inline-NAC: för- och nackdelar

Så, hur fungerar de båda NAC-lösningarna? Låt oss börja med inline. En inline-NAC-lösning befinner sig i mitten av ditt nätverks trafikflöde. Från inflödespositionen beslutar den om en begäran ska godkännas eller nekas, det vill säga att den samtidigt beslutar och tillämpar NAC-policyer för varje begäran.

Detta är ett tungt arbete eftersom all nätverkstrafik knuffas igenom NAC-lösningen för att kontrollera att varje meddelande följer policyn.

Detta ger hundraprocentig kontroll av meddelandeutbytet, vilket ofta låter attraktivt för personer som ansvarar för datornätverk. Men, som du nog kan föreställa dig så kräver inline-NAC stor bandbredd. Du kan förstås utöka bandbredden, men det är dyrt och gör inte din säkerhetslösning mindre komplex.

För det andra, om infrastrukturen inte klarar trafiken, skapas en flaskhals som kan paralysera hela nätverket.

För det tredje så utgör inline-NAC-lösningar en enda felkritisk systemdel (SPOF) som innebär att om den fallerar så slutar hela systemet att fungera.

Till sist, med alla tidigare nämnda orsaker, blir inline-NAC-lösningar svåra att skala.

Portbaserad NAC: för- och nackdelar

Portbaserad NAC skiljer på funktionen för beslut om åtkomst från den att tillämpa åtkomsten. Det gör den genom att samarbeta med ingångspunkten till nätverket, dvs. en switch, en wifi-åtkomstpunkt eller en VPN-anslutning för att vakta nätverksdörrarna.

Portbaserade NAC-lösningar fungerar med en RADIUS-server som är uppdaterad för användarbehörigheter och skydd av enheter, så att den kan tala om för switchar, wifi-ingångspunkter och VPN-anslutningar vilken policy som ska tillämpas.

När en användare och dennes enhet godkänts och tilldelats en roll, tillämpar en ingångspunkt (som en switch) den korrekta policyn så att användaren får åtkomst till nätverket, men endast till ett delområde omfattande de delar personen har behörighet till.

I motsats till inline-NAC, övervakas inte användarens aktivitet hela tiden. Separata funktioner gör denna metod lättrörlig på nätverket. Ingen extra bandbredd krävs, den är mindre komplex och med tilldelning av åtkomst baserat på roller garanteras nätverkets säkerhet.

Och eftersom denna metod inte kontrollerar varje enskilt meddelande, har den mindre påverkan på nätverkskapaciteten och är lättare att skala.

Du kan till och med installera så kallade ”slavenheter” på satellitkontor, så att varje kontor är optimalt skyddat. Till sist, med portbaserad NAC blir du av med problemet med en enda felkritisk systemdel.

Samtidigt kräver portbaserad NAC mer nätverkskonfiguration. Du måste göra en del ändringar i dina inställningar innan du sätter igång.

För de flesta företag är inline-NAC som att cykla till arbetet utrustad med benskydd, cricketskydd, skjutvapen, en schweizisk armékniv och hjälm.

Hur väljer man?

Valet mellan inline- och portbaserad NAC beror helt på verksamhetens behov. Först måste du bedöma hur stor risk för skada av ekonomisk eller och anseendeart du skulle klara vid en säkerhetsöverträdelse och hur troligt det är att det kommer att ske?

Om du till exempel har en internationell verksamhet med mycket känsliga data som ger dig stora konkurrensfördelar och medlen finns där, så låter en NAC-lösning som något du behöver. För de flesta företag är inline-NAC dock som att cykla till arbetet utrustad med benskydd, cricketskydd, skjutvapen, en schweizisk armékniv och hjälm.

Alltså: överutrustad och din flexibilitet äventyras.

Så även om inline skyddar dig fullt ut ur ett tekniskt perspektiv så är en portbaserad mer praktisk, med lägre underhåll och en mer skalbar metod. Och medan inline ofta säljs som en fullständig säkerhetslösning, ger portbaserad NAC dig en fast grund med användaråtkomst i delområden.

Du kan enkelt bygga till denna säkerhetslösning genom att lägga till virusskanning och brandväggar eller till och med inline-NAC för dina känsliga data.

För att få en mer fullständig guide till nätverksåtkomstkontroll, ladda ner vår vitbok nedan utan kostnad!