什麼是網路存取控制？

網路存取控制可提供哪些優勢？

網路存取控制的其中一項優勢，在於可要求使用者透過多重要素驗證完成驗證；相較於 IP 位址或使用者名稱與密碼組合等使用者身分識別方式，此項機制的安全性更高。

安全的網路存取控制，也能在使用者獲得存取權限後，針對網路中的個別部分提供額外的防護措施，以確保應用程式安全性。有些網路存取控制解決方案可能會涵蓋一些相容的安全性控制，例如加密與更高的網路能見度。

網路存取控制有哪些常見使用情境？

如果組織的安全性原則允許下列任一情況，請務必斟酌如何使用網路存取控制來確保企業安全性：

• 用戶自攜裝置 (BYOD)：允許員工使用專屬裝置，或將企業配發裝置帶回家中的任何組織，在使用防火牆之餘，還應採用其他措施來確保網路安全性。每部裝置都有機會成為破口，導致網路罪犯有機可趁，並得以繞過傳統的安全性控制。
• 適用於外部人士的網路存取：有些組織需要提供存取權限給組織外部人士，而且這些人士並未受到相同的安全性控制所規範。舉凡廠商、訪客與承包商，都會偶爾存取企業網路，但既不會存取網路中的所有部分，也不會每天存取。
• 使用物聯網裝置：隨著物聯網崛起，許多裝置也連帶納入傳統安全性控制的範疇下；雖然這些裝置通常位於企業實體建築外，依舊會連接企業網路。如果缺乏適當的網路存取控制，網路罪犯就能輕易利用這些遭到忽略的裝置，長驅直入您的網路核心。正因如此，網路存取控制也是邊緣安全性解決方案的重要環節之一。

網路存取控制具有哪些功能？

網路存取控制的重要功能之一，在於僅限特定使用者存取網路，而且僅限存取網路的特定部分。因此，訪客或許能連接企業網路，卻無法存取任何內部資源。Target 公司便憑藉這類型的安全性控制，防堵了 2013 年的網路攻擊；當時，駭客取得協力廠商網路的存取權限，並在廠商連接 Target 公司網路時發動攻擊。

另外，網路存取控制也可防止員工存取未經授權的資料。如此一來，可存取企業內部網路的員工必須具備必要角色權限，並取得授權，才能存取敏感的客戶資料。

網路存取控制不只能限制使用者存取，也可封鎖不符合企業安全性原則的端點裝置。此舉可確保來自組織外部的病毒，無法透過裝置進入組織網路。用來處理公司業務的所有員工裝置，都必須符合企業安全性原則，才能存取企業網路。

網路存取控制的重要性為何？

網路存取控制不能一體適用於所有組織，也無法相容於現有的部分安全性控制。不過，如果組織能投入足夠的時間與人力來實作網路存取控制，就能為寶貴或敏感資產提供更健全與更全面的保護。

在資料中心內使用虛擬機的 IT 部門，可望受惠於網路存取控制；但前提是，他們必須對自身的其他安全性控制保持警覺。由於虛擬化伺服器可於資料中心內移動，而動態虛擬區域網路 (LAN) 能隨著伺服器的移動變更，因此，虛擬化會為網路存取控制帶來一些特殊的挑戰。虛擬機的網路存取控制不僅會造成意外的安全性漏洞，也有可能妨礙組織落實資料稽核控制標準。原因在於，傳統的安全性方法是透過 IP 位址鎖定端點；但虛擬機不僅會持續變動，位置也會不時改變，讓確保其安全性成為棘手問題。

再加上，建立虛擬機相當輕鬆快速，這表示，如果 IT 管理員經驗尚淺，即有可能在缺乏適當且完善的網路存取控制下，就啟動虛擬機。另一項弱點，則會出現在虛擬機自靜態 (Rest) 狀態還原時。在伺服器處於靜態期間，如果有新修補程式出現，在重新佈署虛擬機時，可能不會套用這些修補程式。有越來越多組織將應用程式安全性加入網路安全性控制中，以確保網路中的所有項目 (直到應用程式層級) 皆安全無虞。

網路存取控制包含哪些類型？

網路存取控制可劃分為兩大基本類型，兩者皆為網路安全性的重要層面：

• 存取前許可 (Pre-admission)：第一個網路存取控制類型為「存取前許可」，因為它會發生在授予網路存取權限之前，也就是使用者或端點裝置發出網路存取要求時。存取前許可網路控制措施會評估存取嘗試，而且提出要求的裝置或使用者需證明自身符合企業安全性原則，並有權存取網路，才能進入網路。
• 存取後許可 (Post-admission)：「存取後許可」網路存取權限會發生在網路內部，也就是使用者或裝置嘗試進入網路中的不同部分時。如果存取前許可網路存取控制發生故障，存取後許可網路存取控制就能限制網路中的橫向移動，並限制網路攻擊的破壞範圍。每當使用者或裝置為了移至網路中不同部分而提出要求時，都必須重新進行驗證。