Il network access control (NAC) riunisce quattro componenti: autenticazione, enforcement, sicurezza degli endpoint e gestione. Ogni network manager può decidere di usare tali componenti secondo la miscela che preferisce, ma “la killer application” del NAC è sicuramente la valutazione della sicurezza degli endpoint.
Quest'ultima impone di considerare l'intero ciclo di vita della sicurezza del client e della rete. Non è sufficiente dire “controlliamo il vostro pc e, se è tutto a posto, potete collegarvi in rete”. Tutta la strategia di sicurezza degli endpoint deve invece focalizzarsi nel mantenere le persone in rete, non nel tenerle al di fuori. Questo significa sviluppare un approccio di tipo “lifecycle”, cominciando dalla valutazione e dal monitoraggio, passando ai rimedi (se necessario), e quindi arrivando al rispetto delle regole, il tutto “condito” con una precisa policy e una struttura amministrativa globali.
La sicurezza degli endpoint comincia solitamente con la valutazione della posizione, l'aspetto più semplice da comprendere e da inserire nel proprio lifecycle. Ci sono diverse valutazioni da fare in termini di scelta di prodotto, quali i client installati, software scaricabile, strategie di valutazione basate su scanner esterni e analizzatori di vulnerabilità. Indipendentemente dalla scelta, l'obiettivo è di capire se a qualcuno che desidera collegarsi alla rete è permesso farlo.
Alcuni fornitori di NAC confondono la conformità alla policy (per esempio, questo sistema ha installato un antivirus?) con il computing sicuro (per esempio, questo sistema è infettato da un virus?). Non lasciare che questi punti di vista vi confondano, focalizzatevi invece sul ciclo di vita e siate coscienti del fatto che anche se una macchina ha avuto un comportamento anomalo, ci sono tool che vi possono aiutare. Questo è il momento di avviare il monitoring, la seconda parte del ciclo di vita della sicurezza degli endpoint.
Un ovvio tipo di controllo può essere fatto sul client in sé, presupponendo che un'applicazione attiva possa verificare lo stato del sistema. Alcuni fornitori chiamano questa metodologia “enforcement continuo”. Qualunque sia l'identificativo, questa parte del ciclo di vita stabilisce che il fatto che il collegamento sia avvenuto in modo indolore non significa che le cose andranno sempre bene.
Un problema che porta con sé l'esecuzione del software sul client di rete, o in sua prossimità, è che tale software può essere ingannato o può essere stato ingannato. In questo caso può essere utile il contributo di una terza parte. Potreste cominciare con gli IDS e i loro alert, oppure con l'analisi dei dati che proviene dai router o dai firewall.
Poiché una strategia di sicurezza degli endpoint può provocare in qualunque momento la proibizione dell'accesso in rete, il rimedio diventa una aspetto obbligato del ciclo di vita. Potreste ottenere tale risultato semplicemente spostando i client su una VLAN dove possono essere scaricate e applicate le patch e gli aggiornamenti dell'antivirus.
Ma per avere un risultato migliore, puntate su uno dei molteplici tool commerciali che possono contribuire a catturare l'attenzione degli utenti, per avvisarli di quanto sta accendendo. Questa è purtroppo un'area del NAC per la quale i metodi open source non offrono i tool necessari.
Per quanto possibile, le strategie di rimedio non dovrebbero essere basate esclusivamente sull'aggiornamento automatico da parte del client e sulla sua capacità di modificare le configurazioni al fine di raggiungere la conformità alla policy definita dal NAC. Questo auto-rimedio è generalmente possibilmente soltanto quando i sistemi sono centralmente controllati dall'IT aziendale.
L'integrazione dell'enforcement deve far sempre parte di una strategia di sicurezza degli endpoint. Mentre i primi tool di sicurezza degli endpoint si focalizzavano sul reporting, nei prodotti moderni l'integrazione fra i dispositivi di controllo di accesso della rete e la rilevazione di sicurezza degli endpoint è un marchio di garanzia. Un'altra parte essenziale del lifecycle sta nel fornire al meccanismo di enforcement del NAC informazioni sullo stato della sicurezza degli endpoint. Infatti, l'enforcement del NAC dovrebbe essere tenuto alto a partire da quando il sistema dell'utente si muove da sospetto, a “scanned”, a “da rimediare”, fino a compliant.
Per concludere, tutte questi "pezzi" devono essere collegati in un singolo sistema di amministrazione della policy. NAC può riunire molti componenti diversi disposti ovunque nella rete, ma se non c'è un sistema di amministrazione della policy costante e che consideri tutti i singoli componenti, il risultato sarà il caos. Questo è più difficile da realizzare di quanto non sembri, non solo per le questioni tecniche, ma anche a causa delle barriere organizzative.
Con un'adeguata strategia di sicurezza degli endpont e un appropriato NAC, gli utenti, a partire dai responsabili dei sistemi desktop ai progettisti dell'infrastruttura sino ai responsabili del firewall, dovrebbero trovare un accordo per acconsentire di condividere le informazioni e, in alcuni casi, per cedere un po' di controllo a un altro gruppo. Una volta che avete definito un ciclo di vita di sicurezza degli endponit e lo avete integrato nella vostra architettura di NAC, siete molto vicini a realizzare un'implementazione di successo di un NAC.
