NAC là gì? Vì sao NAC lại quan trọng trong bảo mật mạng

2697

05-09-2024

NAC là gì? Vì sao NAC lại quan trọng trong bảo mật mạng

Trong bối cảnh mạng lưới doanh nghiệp ngày càng mở rộng và phức tạp, việc kiểm soát truy cập mạng (NAC) nổi lên như một giải pháp an ninh mạng không thể thiếu. NAC đóng vai trò quan trọng trong mô hình Zero Trust, giúp bảo vệ thiết bị IoT, nhân viên di động và làm việc từ xa một cách hiệu quả. Vậy NAC là gì thì hãy cùng Bizfly Cloud tìm hiểu ngay qua bài viết dưới đây.

Kiểm Soát Truy Cập Mạng (NAC) là gì?

Kiểm soát truy cập mạng (NAC) là một kỹ thuật an ninh mạng ngăn người dùng và thiết bị trái phép xâm nhập vào mạng riêng tư và truy cập tài nguyên nhạy cảm. Còn được gọi là Kiểm soát kết nối mạng, NAC lần đầu tiên được triển khai trong các doanh nghiệp vào giữa đến cuối những năm 2000 như một cách để quản lý điểm cuối thông qua các kỹ thuật quét và chặn cơ bản.

Khi nhân viên tri thức ngày càng di động và các sáng kiến "Mang thiết bị cá nhân đến công sở" (BYOD) lan rộng khắp các tổ chức, các giải pháp NAC đã phát triển để không chỉ xác thực người dùng mà còn quản lý điểm cuối và thực thi chính sách.

Cách thức hoạt động của NAC

Các công cụ NAC phát hiện tất cả thiết bị trên mạng và cung cấp khả năng hiển thị cho các thiết bị đó. Phần mềm NAC ngăn người dùng trái phép xâm nhập vào mạng và thực thi các chính sách trên điểm cuối để đảm bảo thiết bị tuân thủ các chính sách bảo mật mạng. Ví dụ: các giải pháp NAC sẽ đảm bảo rằng điểm cuối có khả năng bảo vệ chống vi-rút và phần mềm độc hại cập nhật.

Các thiết bị không tuân thủ có thể bị chặn khỏi mạng, bị cách ly hoặc bị cấp quyền truy cập hạn chế.

NAC hoạt động theo hai giai đoạn. Giai đoạn đầu tiên, xác thực, xác định người dùng và xác minh thông tin đăng nhập của họ. Hầu hết các công cụ NAC đều hỗ trợ nhiều phương thức xác thực, bao gồm mật khẩu, mã PIN dùng một lần và sinh trắc học.

Trong giai đoạn thứ hai, NAC thực thi một số yếu tố chính sách, bao gồm tình trạng thiết bị, vị trí và vai trò của người dùng. Hầu hết các thiết bị NAC cũng có khả năng giới hạn quyền truy cập theo vai trò, cấp cho người dùng quyền truy cập vào những tài nguyên cần thiết để thực hiện công việc của họ.

Nếu người dùng hoặc thiết bị không thành công ở giai đoạn xác thực hoặc ủy quyền, công cụ NAC sẽ chặn hoặc cách ly thiết bị và/hoặc người dùng.

Các loại NAC khác nhau

Các phương pháp tiếp cận NAC có thể khác nhau theo nhiều cách, nhưng hai điểm khác biệt phổ biến liên quan đến thời điểm thiết bị được kiểm tra và cách hệ thống thu thập thông tin từ mạng.

Tiền kết nối so với hậu kết nối: Có hai cách NAC ủy quyền truy cập cho các thiết bị đầu cuối. Trong thiết kế tiền kết nối, các thiết bị được kiểm tra và các chính sách được thực thi trước khi thiết bị được cấp quyền truy cập vào mạng. Cách tiếp cận này phù hợp nhất với các trường hợp sử dụng khi thiết bị có thể không có chương trình chống vi-rút và phần mềm độc hại cập nhật.

Ngoài ra, thiết kế hậu kết nối ít tập trung vào trạng thái thiết bị hơn mà tập trung nhiều hơn vào người dùng, thực thi chính sách dựa trên hành vi. Cách tiếp cận này phù hợp với các trường hợp sử dụng như quyền truy cập của khách, trong đó các hoạt động trực tuyến có xu hướng bị giới hạn trong những việc như duyệt web và kiểm tra email.

Nhiều dịch vụ NAC cung cấp sự kết hợp của các phương pháp tiếp cận này, có thể khác nhau tùy theo vị trí, loại thiết bị hoặc nhóm người dùng.

Thiết kế dựa trên tác nhân so với không có tác nhân: Một khác biệt kiến trúc khác là thu thập thông tin dựa trên tác nhân so với không có tác nhân. Một số nhà cung cấp NAC yêu cầu người dùng tải xuống phần mềm tác nhân trên thiết bị khách của họ. Sau đó, các tác nhân sẽ báo cáo các đặc điểm của thiết bị trở lại hệ thống NAC.

Ngoài ra, các giải pháp NAC không có tác nhân liên tục quét mạng và lập danh mục thiết bị, dựa trên hành vi của thiết bị và người dùng để kích hoạt các quyết định thực thi.

Các khả năng cốt lõi của hệ thống NAC

NAC bảo mật mạng thông qua một số khả năng cốt lõi. Bao gồm các tính năng sau:

Xác thực và ủy quyền: Quản lý quyền truy cập vào tài nguyên cho cả người dùng và thiết bị.
Quản lý vòng đời chính sách tập trung: Thực thi chính sách cho tất cả người dùng và thiết bị, đồng thời quản lý các thay đổi chính sách trong toàn tổ chức.
Khám phá, hiển thị và lập hồ sơ: Tìm thiết bị trên mạng, xác định chúng, đặt chúng vào các nhóm có hồ sơ cụ thể, đồng thời chặn người dùng trái phép và thiết bị không tuân thủ.
Quyền truy cập mạng của khách: Quản lý khách và cung cấp cho những người có thiết bị tuân thủ quyền truy cập tạm thời và thường bị hạn chế thông qua cổng thông tin tự phục vụ, có thể tùy chỉnh.
Kiểm tra trạng thái bảo mật: Đánh giá sự tuân thủ các chính sách bảo mật theo loại người dùng, loại thiết bị, vị trí, phiên bản hệ điều hành và các tiêu chí bảo mật khác do tổ chức xác định.
Phản ứng sự cố: Tự động chặn hoạt động đáng ngờ, cách ly các thiết bị không tuân thủ và, nếu có thể, cập nhật thiết bị để đưa chúng vào tuân thủ - tất cả mà không cần sự can thiệp của CNTT.
Tích hợp hai chiều: Tích hợp NAC với các công cụ bảo mật và giải pháp mạng khác thông qua API mở/RESTful cho phép NAC chia sẻ thông tin theo ngữ cảnh (địa chỉ IP và MAC, ID người dùng, vai trò người dùng, vị trí, v.v.)

NAC và Zero Trust

Mặc dù NAC là công nghệ gần 20 năm tuổi, nhưng việc áp dụng nó chủ yếu chỉ giới hạn ở các doanh nghiệp vừa và lớn. Tuy nhiên, khi rìa mạng tiếp tục lan rộng ra ngoài chu vi doanh nghiệp vật lý và khi đại dịch COVID-19 thúc đẩy sự chấp nhận của môi trường làm việc tại nhà, di động và kết hợp, NAC đã trở thành công nghệ hỗ trợ cho các phương pháp tiếp cận bảo mật Zero Trust.

Với việc mạng trở nên phân tán và phức tạp hơn, các nhóm an ninh mạng phải tìm cách duy trì khả năng hiển thị vào các thiết bị kết nối với những nơi xa nhất của mạng lưới tổ chức. NAC cung cấp khả năng này với việc phát hiện và hiển thị tất cả các thiết bị tham gia mạng, kiểm soát truy cập tập trung và thực thi chính sách trên tất cả các thiết bị.

Các trường hợp sử dụng hàng đầu cho NAC

Tính di động ngày càng tăng của nhân viên, số lượng thiết bị BYOD ngày càng tăng và nhu cầu hỗ trợ môi trường làm việc kết hợp do đại dịch đã thúc đẩy nhu cầu về kiểm soát truy cập mạng mạnh mẽ hơn. Các trường hợp sử dụng phổ biến cho NAC bao gồm:

Truy cập của khách và đối tác: Các giải pháp NAC cho phép các tổ chức cung cấp quyền truy cập tạm thời, hạn chế cho khách, đối tác và nhà thầu. Các giải pháp NAC thăm dò các thiết bị của khách để đảm bảo rằng chúng tuân thủ các chính sách bảo mật của tổ chức.

BYOD và làm việc từ bất kỳ đâu: Khi nhân viên tri thức ngày càng trở nên di động, NAC được sử dụng để xác thực người dùng có thể đang sử dụng các thiết bị không xác định và ở những vị trí không xác định, đồng thời cũng thực thi các chính sách đối với những người dùng và thiết bị đó. Nếu nhân viên mang thiết bị của công ty về nhà, NAC sẽ đảm bảo rằng không có phần mềm độc hại nào từ bên ngoài xâm nhập vào mạng khi thiết bị quay lại mạng của tổ chức.

Môi trường làm việc tại nhà và làm việc kết hợp từ bất kỳ đâu phát sinh trong đại dịch COVID-19 đã tuân theo một mô hình tương tự, với các giải pháp NAC xác thực người dùng, đảm bảo tuân thủ chính sách trên thiết bị và hạn chế quyền truy cập vào tài nguyên dựa trên các yếu tố như vị trí và vai trò của người dùng.

IoT: Khả năng cung cấp khả năng hiển thị, lập hồ sơ thiết bị, thực thi chính sách và quản lý truy cập của NAC giúp giảm thiểu rủi ro liên quan đến việc thiết bị IoT xâm nhập vào mạng công ty. Các công cụ NAC có thể lập danh mục và gắn thẻ từng thiết bị khi nó xuất hiện trên mạng, phân loại các thiết bị IoT vào một nhóm có quyền hạn chế và liên tục giám sát hành vi của thiết bị IoT. NAC sẽ tự động thực thi các quy tắc để đảm bảo rằng các thiết bị tuân thủ các chính sách liên quan đến kinh doanh, bảo mật và tuân thủ.

Thiết bị y tế: Đối với các thiết bị IoT trong môi trường chăm sóc sức khỏe được quản lý chặt chẽ, NAC không chỉ có thể phát hiện và chặn truy cập trái phép vào thiết bị và hồ sơ y tế mà còn thực thi các chính sách đảm bảo rằng các thiết bị trong mạng lưới chăm sóc sức khỏe vẫn tuân thủ các quy định, chẳng hạn như HIPAA. NAC cũng có thể thực thi các chính sách khi các chuyên gia y tế truy cập mạng từ xa.

Phản ứng sự cố: Sau khi hệ thống NAC được triển khai, các tổ chức có thể sử dụng nó để chia sẻ thông tin, chẳng hạn như ID người dùng, loại thiết bị và thông tin theo ngữ cảnh, với các sản phẩm điểm bảo mật của bên thứ ba. Điều này cho phép phản ứng sự cố tự động, với các hệ thống NAC tự động phản hồi các cảnh báo bảo mật mạng bằng cách chặn và/hoặc cách ly các thiết bị có khả năng bị xâm phạm, mà không cần sự can thiệp của CNTT.

NAC và tuân thủ quy định

Khi ngày càng có nhiều ngành công nghiệp điều chỉnh cách thức các doanh nghiệp xử lý dữ liệu người tiêu dùng và bảo vệ quyền riêng tư, việc tuân thủ quy định đã trở thành động lực cho việc áp dụng NAC. Các hệ thống NAC có thể giúp các tổ chức duy trì sự tuân thủ với một loạt các quy định, bao gồm nhưng không giới hạn ở HIPPA, PCI-DSS, GLBA, SOX, GDRP và CCPA.

Các yêu cầu của những biện pháp bảo vệ quyền riêng tư này thường tập trung vào việc tìm hiểu ai, cái gì, khi nào và ở đâu người dùng và thiết bị có trên mạng, đồng thời hạn chế quyền truy cập vào dữ liệu nhạy cảm chỉ cho những người có nhu cầu chính đáng. Chứng minh rằng bạn đã thực hiện tất cả những điều này thông qua các quy trình có thể lặp lại và có thể kiểm toán cũng rất cần thiết để tuân thủ.

NAC có thể đáp ứng các yêu cầu quy định khác nhau thông qua kiểm soát truy cập, thực thi chính sách trên người dùng và thiết bị, khả năng hiển thị mạng và theo dõi kiểm toán. Hơn nữa, nhiều nhà cung cấp NAC đã tích hợp sẵn các tính năng để giúp tổ chức tự động tuân thủ các quy định phổ biến, chẳng hạn như HIPPA, PCI-DSS và SOX.

Ai là nhà cung cấp NAC chính?

Dựa trên hồ sơ theo dõi lâu dài và ước tính thị phần từ các công ty nghiên cứu như Gartner, Research and Markets, và Global Market Insights, các nhà cung cấp sau đây là những nhà cung cấp NAC hàng đầu trên thị trường hiện nay:

Các nhà cung cấp NAC chính

Aruba (HPE) – Aruba ClearPass Policy Manager cung cấp kiểm soát truy cập mạng an toàn dựa trên vai trò và thiết bị cho IoT, BYOD và thiết bị của công ty, cũng như nhân viên, nhà thầu và khách trên cơ sở hạ tầng có dây, không dây và VPN của nhiều nhà cung cấp.
Cisco – Khả năng NAC của Cisco Identity Services Engine (ISE) cho phép một cách tiếp cận năng động và tự động để thực thi chính sách và kiểm soát truy cập mạng an toàn. ISE trao quyền truy cập được xác định bằng phần mềm và tự động phân đoạn mạng trong môi trường CNTT và OT.
Extreme Networks – ExtremeControl của Extreme Network cung cấp quyền truy cập động dựa trên vai trò của người dùng và thông tin nhận dạng theo ngữ cảnh. ExtremeControl áp dụng các chính sách chi tiết, được nhắm mục tiêu cho người dùng và thiết bị để hợp lý hóa việc tuân thủ.
Forescout – Forescout NAC triển khai kiểm soát truy cập trên các mạng không đồng nhất, xác định mọi thiết bị trên mạng, đánh giá tình trạng bảo mật của nó và kích hoạt quy trình làm việc khắc phục khi cần thiết. Nó liên tục giám sát tất cả các thiết bị được kết nối và tự động hóa phản hồi khi phát hiện thấy sự không tuân thủ hoặc hành vi bất thường.
Fortinet – FortiNAC của Fortinet cung cấp khả năng hiển thị, kiểm soát và phản hồi tự động cho mọi thứ kết nối với mạng doanh nghiệp. FortiNAC bảo vệ chống lại các mối đe dọa IoT, mở rộng quyền kiểm soát đối với các thiết bị của bên thứ ba và điều phối phản hồi tự động cho một loạt các sự kiện mạng và bảo mật.
Juniper – Juniper gần đây đã tăng cường dịch vụ NAC của mình thông qua việc mua lại công ty khởi nghiệp WiteSand, công ty cung cấp NAC dựa trên đám mây. Dòng EX Series thiết bị chuyển mạch Ethernet của Juniper cung cấp các khả năng NAC bao gồm khám phá, hiển thị và quản lý truy cập. Việc bổ sung WiteSand sẽ loại bỏ nhu cầu về các giải pháp NAC tại chỗ cho khách hàng của Juniper và sẽ tiếp tục cho phép tự động hóa thông qua các khả năng dựa trên AI.
Portnox – Portnox CLEAR là một nền tảng NAC dựa trên đám mây cung cấp khả năng hiển thị vào các thiết bị và thực thi chính sách trên các mạng không đồng nhất. CLEAR xác định vị trí của thiết bị và rủi ro liên quan đến vị trí và trạng thái của thiết bị. CLEAR liên tục giám sát rủi ro đối với IoT, BYOD, sử dụng từ xa và các trường hợp sử dụng NAC phổ biến khác.