什麼是網路存取控制?

 

網路存取控制可防止未經授權的使用者與裝置存取私人網路。如果組織想要讓組織外部的特定裝置或使用者偶爾存取組織網路,可以使用網路存取控制,以確保這些裝置符合企業的安全性合規規定。

隨著越來越多企業允許使用非企業提供的裝置存取企業網路,企業需要特別著重網路安全性,以規範允取存取的對象或內容。網路安全性可保護網路功能,確保只有經授權的使用者與裝置能存取該網路、裝置安全無虞,而且使用者的身分正確無誤。

 

網路存取控制 (NAC) 為網路安全性的一部分。市面上有許多網路存取控制工具,通常是透過網路存取伺服器執行功能。有效的網路存取控制,只會允許經授權且符合安全性原則標準的裝置進行存取;這表示,這些裝置都應具備必要的安全性修補程式,以及防入侵軟體。網路業者所定義的安全性原則,會負責判斷哪些裝置或應用程式符合端點安全性需求,且獲准存取網路。

網路存取控制可提供哪些優勢?

網路存取控制的其中一項優勢,在於可要求使用者透過多重要素驗證完成驗證;相較於 IP 位址或使用者名稱與密碼組合等使用者身分識別方式,此項機制的安全性更高。

 

安全的網路存取控制,也能在使用者獲得存取權限後,針對網路中的個別部分提供額外的防護措施,以確保應用程式安全性。有些網路存取控制解決方案可能會涵蓋一些相容的安全性控制,例如加密與更高的網路能見度。

 

網路存取控制有哪些常見使用情境?

如果組織的安全性原則允許下列任一情況,請務必斟酌如何使用網路存取控制來確保企業安全性:

  • 用戶自攜裝置 (BYOD):允許員工使用專屬裝置,或將企業配發裝置帶回家中的任何組織,在使用防火牆之餘,還應採用其他措施來確保網路安全性。每部裝置都有機會成為破口,導致網路罪犯有機可趁,並得以繞過傳統的安全性控制。
  • 適用於外部人士的網路存取:有些組織需要提供存取權限給組織外部人士,而且這些人士並未受到相同的安全性控制所規範。舉凡廠商、訪客與承包商,都會偶爾存取企業網路,但既不會存取網路中的所有部分,也不會每天存取。
  • 使用物聯網裝置:隨著物聯網崛起,許多裝置也連帶納入傳統安全性控制的範疇下;雖然這些裝置通常位於企業實體建築外,依舊會連接企業網路。如果缺乏適當的網路存取控制,網路罪犯就能輕易利用這些遭到忽略的裝置,長驅直入您的網路核心。正因如此,網路存取控制也是邊緣安全性解決方案的重要環節之一。

 

網路存取控制具有哪些功能?

網路存取控制的重要功能之一,在於僅限特定使用者存取網路,而且僅限存取網路的特定部分。因此,訪客或許能連接企業網路,卻無法存取任何內部資源。Target 公司便憑藉這類型的安全性控制,防堵了 2013 年的網路攻擊;當時,駭客取得協力廠商網路的存取權限,並在廠商連接 Target 公司網路時發動攻擊。

 

另外,網路存取控制也可防止員工存取未經授權的資料。如此一來,可存取企業內部網路的員工必須具備必要角色權限,並取得授權,才能存取敏感的客戶資料。

 

網路存取控制不只能限制使用者存取,也可封鎖不符合企業安全性原則的端點裝置。此舉可確保來自組織外部的病毒,無法透過裝置進入組織網路。用來處理公司業務的所有員工裝置,都必須符合企業安全性原則,才能存取企業網路。

 

網路存取控制的重要性為何?

網路存取控制不能一體適用於所有組織,也無法相容於現有的部分安全性控制。不過,如果組織能投入足夠的時間與人力來實作網路存取控制,就能為寶貴或敏感資產提供更健全與更全面的保護。

 

在資料中心內使用虛擬機的 IT 部門,可望受惠於網路存取控制;但前提是,他們必須對自身的其他安全性控制保持警覺。由於虛擬化伺服器可於資料中心內移動,而動態虛擬區域網路 (LAN) 能隨著伺服器的移動變更,因此,虛擬化會為網路存取控制帶來一些特殊的挑戰。虛擬機的網路存取控制不僅會造成意外的安全性漏洞,也有可能妨礙組織落實資料稽核控制標準。原因在於,傳統的安全性方法是透過 IP 位址鎖定端點;但虛擬機不僅會持續變動,位置也會不時改變,讓確保其安全性成為棘手問題。

 

再加上,建立虛擬機相當輕鬆快速,這表示,如果 IT 管理員經驗尚淺,即有可能在缺乏適當且完善的網路存取控制下,就啟動虛擬機。另一項弱點,則會出現在虛擬機自靜態 (Rest) 狀態還原時。在伺服器處於靜態期間,如果有新修補程式出現,在重新佈署虛擬機時,可能不會套用這些修補程式。有越來越多組織將應用程式安全性加入網路安全性控制中,以確保網路中的所有項目 (直到應用程式層級) 皆安全無虞。

 

網路存取控制包含哪些類型?

網路存取控制可劃分為兩大基本類型,兩者皆為網路安全性的重要層面:

  • 存取前許可 (Pre-admission):第一個網路存取控制類型為「存取前許可」,因為它會發生在授予網路存取權限之前,也就是使用者或端點裝置發出網路存取要求時。存取前許可網路控制措施會評估存取嘗試,而且提出要求的裝置或使用者需證明自身符合企業安全性原則,並有權存取網路,才能進入網路。
  • 存取後許可 (Post-admission):「存取後許可」網路存取權限會發生在網路內部,也就是使用者或裝置嘗試進入網路中的不同部分時。如果存取前許可網路存取控制發生故障,存取後許可網路存取控制就能限制網路中的橫向移動,並限制網路攻擊的破壞範圍。每當使用者或裝置為了移至網路中不同部分而提出要求時,都必須重新進行驗證。

VMware 針對網路存取控制提供的相關產品、解決方案與資源

領先業界的企業網路與安全性虛擬化平台

VMware NSX Data Center 提供完整的網路與安全性虛擬化平台服務,一舉涵蓋第 2-7 層,讓您能透過單一介面來管理整個網路。

網路與資安轉型

邁出企業網路與安全性的下一步。透過可從資料中心延伸到雲端和邊緣的軟體層,連接分散式環境中的一切項目。

VMware 企業安全性解決方案

使用 VMware 解決方案,將安全性內建於基礎架構中,為您的網路和工作負載提供固有安全性。無論應用程式位於或移至何處,都可為其提供自調式保護功能,並順暢保護您的資料中心、雲端和端點...

VMware SD-WAN by VeloCloud

企業正藉由改用雲端提供的軟體定義模式,轉變其建構及利用網路與基礎架構的方式。這讓組織能透過廣域網路,將統一的軟體定義模式從資料中心和雲端延伸到網路邊緣。

採用 VMware AirWatch 技術的 Workspace ONE 統一端點管理 (UEM)

在包括桌面平台、行動裝置、耐用型裝置與物聯網在內的所有端點上,實施現代化的 OTA 技術管理,以降低成本並提升安全性,同時在每個層級實施採用 VMware AirWatch 技術的 Workspace ONE UEM,以確保企業安全性。