10個你必須問的NAC問題

你應該問廠商

1. NAC方案是否支援現有的防毒軟體？
防毒軟體是企業內部終端電腦上，一個重要的防護機制，如果無法順利與之聯防，就像是失去了右手的NAC機制一樣。一般來說，NAC機制必須要能夠偵測到防毒軟體的更新日期、更新是否正常運作、防毒軟體本身有沒有打開等。例如目前正在導入NAC機制的南亞科技，該公司的需求就包括：必須能看到防毒軟體更新的日期、防毒軟體是否運作中等資訊。目前市場上主要的廠商都支援約200種以上的防毒軟體，但是以南亞科技的經驗來看，很多細節能否達到要求，還是必須實測才能確定。

2. NAC方案是否僅支援特定廠牌的設備與軟體？
由於目前NAC方案尚未擁有統一的設備與軟體間互通標準，這也使得很多廠商推出的NAC方案，並沒有辦法全面支援不同廠商的軟、硬體。例如TippingPoint推出的NAC方案，在交換器方面，目前就只能支援Foundry與3Com和思科（Cisco）的交換器；Juniper的UAC方案，在IPS產品類別上，就僅能支援自家的IPS。由於絕大多數的企業都不可能僅用單一廠商的產品構築自己的網路架構，所以企業在導入NAC之前，必然要詳細考量各家方案所支援的軟、硬體。

3. NAC方案與現有應用的相容度？
這是多數廠商都沒有談到的問題，但是部分NAC方案的導入，很有可能影響到現有應用的執行，甚至讓企業只好放棄NAC機制的使用。和泰汽車資訊部網路通訊室高級專員陳思銘就指出，過去該公司曾經測試過某廠商的產品，但不知道為什麼，做為政策執行據點（Enforcer）的設備，有時就是無法讓該公司點貨的應用程式通過，這雖然和NAC本身無關，但是該設備卻是NAC必備的元件之一。

NAC機制由於牽涉的網路架構範圍很廣，所以除了就NAC本身的功能做了解與測試之外，各項元件和企業原有環境中的應用相容度，也是應該考慮的一環，以免NAC機制在建立之後，才發現各種難以解決的問題。尤其NAC機制的政策執行據點，往往有將連網阻斷的功能，一旦它與其他應用和設備的相容度不足，將會影響到企業運作。

4. NAC方案與現有身分認證機制的支援度？
雖然市場上多數的NAC方案提供廠商，都會支援包括RADIUS、DHCP、微軟AD架構等多種不同後端身分認證方式，但是要注意是否還有附加的限制。例如是否要使用特定的認證伺服器軟體，如思科（Cisco）的ACS（Access Control Server）等。

此外，在實際測試時也必須注意該方案能不能與後端的身分資料庫正常驗證。南亞科技資訊處部經理劉誠先就指出，廠商的很多功能都在與企業不同的環境下測試，到了實際的企業環境時，安裝不同的軟體或是程序不同，往往就會發生問題。就該公司目前導入的經驗來看，當初光是要釐清AD伺服器上哪些元件是需要、哪些不需要，才能讓NAC和AD架構正常運作，這些測試就花了不少時間。

5. NAC方案支援何種作業系統與版本？
各家廠商的NAC方案支援的作業系統種類與版本都略有不同，以微軟現階段的NAP為例，需要Windows XP SP3以及Windows Server 2008一起搭配才能發揮效用，雖然還未正式推出，但若企業內部終端電腦的作業系統與後端伺服器，在未來推出產品時，沒有辦法跟上的話，這項機制可能就完全不適用。

此外，部分NAC機制的終端軟體或是防毒軟體，在更新時可能需要同步更新版本，才能確保NAC機制的正常運作。最明顯的例子就是在4年前導入思科NAC機制的和泰汽車，陳思銘表示，和泰汽車過去導入NAC機制時，不同終端電腦的防毒軟體版本就必須統一，並且同步更新，才能確保NAC機制的正常運作。

企業在導入NAC機制時，這個問題將會牽涉到終端電腦部署與管理NAC相關軟體時的複雜度，如果無法統一作業系統的環境，或是提供終端軟體同步更新的機制，可能就不適合採用在終端電腦部署NAC終端軟體的方案。

你應該問自己

6. 需要強制遵循的資安政策有哪些？
NAC機制的資安政策就像是一面雙面刃，和其他資安機制不同，如果制訂得太嚴或過於複雜，很有可能會造成企業內的使用者無法正常存取網路。TippingPoint香港／臺灣區技術總監石謂龍就指出，現在許多家廠商的NAC方案都開始試圖整合IPS等有能力透過掃描應用層而後阻斷連線的設備，這代表未來IPS產品的誤判可能不只是假警報而已，而是會完全阻斷使用者連網。這意味著資安政策的設定成為企業在導入NAC機制前必須注意的問題。

7. 現有交換器是否支援IEEE 802.1x標準？
現在幾乎全部的NAC方案提供廠商，都提供以IEEE 802.1x標準的交換器建置企業內部的NAC機制。但是新的交換器上通常才會支援802.1x標準。透過交換器做到網路層第二層的控管，確實是較理想的方案，但是企業內如果多數交換器皆未支援802.1x標準，如果想要採用以此種架構建立的NAC方案，可能就必須大規模更換交換器，或是在建置新廠房的時候，一次購買才比較可行。

當企業內部的交換器多數都不支援802.1x標準時，應該考量是不是真的需要以此種架構做為實行NAC機制的做法。此外，Juniper技術經理林佶駿表示，即便是使用802.1x標準的交換器，由於不同廠商設定的差異，在實際建置時，也很有可能會發生因為設定的錯誤，導致NAC機制無法遂行的情形發生。企業在導入NAC機制時，要審慎評估使用此一架構的可能性，以免對營運或原有架構造成過大的衝擊。

8. 那些終端電腦該納入NAC機制中？
正如先前談到，由於NAC機制牽涉範圍很廣，使得導入時往往需要企業大規模的投資，許多企業多採取分階段的方式建置，那麼首先要考量的就是哪些終端電腦應該最先納入NAC機制中。以免NAC機制防護了部分原本就較為安全的電腦，卻反而沒有管理到那些原本風險性就較高的電腦。從南亞科技導入的經驗來看，該公司就充分的考量了此一原則，先由較常使用無線網路存取的筆記型電腦開始，搭配後端的NAC機制，減少行動工作者因為沒有遵循資安政策而可能造成的風險。

9. 路由路徑是否會造成NAC機制的漏洞？
這也是NAC機制可能的問題。現在企業各個據點間的連線，往往會透過MPLS VPN等網路架構，進行串連。當企業在總部建置了NAC機制，分支機構間的資料傳輸，如果沒有經由總部再重新導入，就很有可能避開NAC機制的檢查，形成一種只保護總部，而沒照顧到分支機構的狀況。

為了解決此類的問題，現在也有廠商推出較小規模的NAC方案，提供給企業的分支機構使用，以便解決這樣的問題。例如思科就在ISR路由器2800與3800系列上，推出了NAC的模組，填補因為路由問題而造成分支機構間可能的NAC機制漏洞。

和泰汽車建置的NAC機制也是一個典型例子，由於是透過總部的路由器做為政策執行據點，經銷商間的流量，就沒有納入NAC機制中；且路由器僅能管理到80％的流量，這是該公司目前使用的NAC機制較為不足之處。

10. 網路架構變更對企業營運影響有多大？
NAC機制的導入，雖然能夠帶給企業管理終端電腦健康狀況與存取權限等的優勢，但是如果為了導入NAC機制，而需要大幅變更網路架構，對企業營運帶來的影響，是在企業導入NAC機制前，就必須評估的。

如果原本企業的資安政策貫徹以及管理就很嚴格，再花大錢建置NAC機制是否划算？企業能不能承受沒有NAC機制的可能風險？這些都是在導入前必須詢問自己的問題。舉例來說，如果公司多數的員工都是使用座位上的桌上型電腦工作，且防毒軟體更新、漏洞的修補都已經有一定的水準，業務的流程也很少需要讓外人進入內網，已經有了防火牆、IPS等機制，是否還需要導入NAC機制，彌補可能的終端電腦風險，這可能就是見仁見智的問題了。文⊙劉哲銘