Skip to main content
เลือก Network Access Control (NAC) อย่างไรให้เหมาะสมกับองค์กร

เลือก Network Access Control (NAC) อย่างไรให้เหมาะสมกับองค์กร

Throughwave Team9/3/2554
NACNetwork Access ControlForeScoutsecuritynetwork management

สำหรับเทคโนโลยี Network Access Control หรือที่เราเรียกกันสั้นๆ ว่า NAC นั้น เป็นเทคโนโลยีที่หลายๆ ท่านคงจะเคยได้ยินผ่านหูกันมาบ้างแล้ว หรือบางท่านอาจจะเคยนำเข้าไปทดสอบในระบบของตนเอง ปัญหาที่เกิดขึ้นในขณะนี้คือ NAC ใช้งานจริงไม่ได้ อันเนื่องมาจากความช้าที่เกิดขึ้น, ควบคุมระบบเครือข่ายได้บ้างไม่ได้บ้าง, PoC ผ่านแต่ใช้งานจริงแล้วมีปัญหา คราวนี้เรามาลองเจาะลึกกันดู ว่าทำไม NAC ถึงมีปัญหา และจะเลือก NAC ให้เข้ากับองค์กรของเราอย่างไรดี

หน้าที่ของ NAC

หน้าที่ของ NAC นั้นก็ค่อนข้างจะตรงตัวกับชื่อของมัน คือการควบคุมสิทธิ์ในการเข้าถึงระบบเครือข่าย (Network Access Control) ซึ่งในการที่เราจะควบคุมสิทธิ์ในการควบคุมการเข้าถึงระบบเครือข่ายได้นั้น ในเบื้องต้นอุปกรณ์ NAC เองจะต้องแยกแยะและรู้จักอุปกรณ์อื่นๆ ในระบบเครือข่ายของเราให้หมดก่อน ว่าอุปกรณ์ไหนเป็น PC, Server, Printer, IP Phone, Switch, Router หรือ Access Point แล้วจึงค่อยทำการกำหนดสิทธิ์ต่างๆ ตามนโยบายความปลอดภัยของเรา เช่น การยืนยันตัวตน, สิทธิ์ในการเข้าถึง Server และ Printer, สิทธิ์ในการใช้งาน Protocol ต่างๆ หรือแม้แต่การบังคับลง Software และ Patch ต่างๆ กัน

ดังนั้นในภาพรวมแล้ว หน้าที่ของ NAC จะถูกจำแนกได้ดังต่อไปนี้

Automatic Discovery and Classification: ทันทีที่ติดตั้งอุปกรณ์ NAC เข้าไปในระบบเครือข่าย อย่างน้อยๆ อุปกรณ์ NAC จะต้องช่วยเราค้นหาอุปกรณ์อื่นๆ ทั้งหมดในระบบมาแสดงเป็นภาพรวมให้เราได้เห็นก่อน และค่อยๆ ทำการจัดแบ่งประเภทอุปกรณ์ออกจากกัน

Identity-based Policy Enforcement: สามารถบังคับใช้นโยบายความปลอดภัยต่างๆ ในลักษณะของ Identity-based ได้ โดยนำข้อมูลจากการค้นหาและจำแนกในข้อที่แล้ว มาบังคับใช้ต่อว่าอุปกรณ์ประเภทไหนจะมีสิทธิ์เข้าถึงระบบเครือข่ายมากน้อยแค่ไหน

Network-based Policy Enforcement: สามารถบังคับสิทธิ์ในการเข้าถึงระบบเครือข่ายของผู้ใช้งานรายบุคคลได้ เปรียบเสมือนการติดตั้ง Firewall ไว้ที่ด้านหน้าของเครื่อง PC และ Notebook แต่ละเครื่อง

Application-based Policy Enforcement: สามารถบังคับสิทธิ์การใช้งาน Application ของผู้ใช้งานในระบบได้ โดยการติดตั้ง Agent Software หรือการ Remote ผ่านทาง Administrator Account

IPS-based Policy Enforcement: สามารถทำหน้าที่เป็น IPS เพื่อตรวจจับการโจมตีระบบเครือข่ายจากผู้ใช้งานแต่ละคนได้

Real Time Monitoring and Reporting: NAC ที่ดีจะต้องมีหน้าจอสำหรับทำการ Monitor แบบ Real Time เพื่อให้ผู้ดูแลระบบสามารถติดตามเหตุการณ์ที่เกิดขึ้นได้อย่างทันท่วงที

NAC Architecture: Inline vs. Out-of-Band

ในการติดตั้ง NAC นั้นมี Architecture ที่หลากหลาย กล่าวโดยกว้างๆ จะสามารถแบ่งได้เป็น 2 ประเภท ได้แก่

Inline NAC: เป็น NAC ที่มีการติดตั้งขวางเส้นทางการส่งข้อมูลในระบบเครือข่าย เช่นเดียวกับ Firewall และ IPS

Out-of-Band NAC: เป็น NAC ที่มีการติดตั้งในลักษณะที่ไม่ขวางเส้นทางการส่งข้อมูลในระบบเครือข่าย เพื่อให้ระบบเครือข่ายยังคงทำงานด้วยความเร็วปกติในขณะที่ทำการควบคุมสิทธิ์การเข้าถึงข้อมูล

ForeScout CounterACT: The Right NAC for You

ForeScout เป็นผู้ผลิต Out-of-Band NAC ที่มีความสามารถหลากหลาย โดยรองรับหลากหลายวิธีการในการควบคุมระบบเครือข่าย ไม่ว่าจะเป็น Virtual Firewall, 802.1X, Switch/Firewall Control, Agent Control รวมถึงมีความสามารถในการทำงานทั้งในลักษณะของ Identity-based, Network-based และ Application-based Access Control

สำหรับในประเทศไทย ForeScout CounterACT ได้ติดตั้งและใช้งานจริงในหน่วยงานที่มีผู้ใช้งานมากกว่า 9,000 คน หรือ 20,000 คนมาแล้ว

For more information

https://www.throughwave.co.th/products/forescout-technologies/

กลับไปหน้าบล็อก

ดูบทความทั้งหมด