Cos'è il NAC (Network Access Control)
perché è importante per la sicurezza della rete
Svolge un ruolo chiave nell'accesso alla rete Zero Trust, è un potente strumento per proteggere i dispositivi e i lavoratori mobili e remoti.
Il Network Access Control (NAC) è una tecnica di sicurezza informatica che impedisce a utenti e dispositivi non
Come funziona NAC
Gli strumenti NAC rilevano tutti i dispositivi sulla rete e forniscono visibilità su tali dispositivi. Il software NAC impedisce agli utenti non autorizzati di accedere alla rete e applica le policy sugli endpoint per garantire che i dispositivi siano conformi alle policy di sicurezza della rete. Le soluzioni NAC, ad esempio, assicureranno che l'endpoint disponga di protezioni antivirus e antimalware aggiornate. I dispositivi non conformi possono essere bloccati dalla rete, messi in quarantena o ottenere diritti di accesso limitati.
NAC funziona in due fasi. La prima fase, l'autenticazione, identifica gli utenti e verifica le loro credenziali. La maggior parte degli strumenti NAC supporta una varietà di metodi di autenticazione, tra cui password, PIN monouso e dati biometrici.
Nella seconda fase, NAC applica una serie di fattori di policy, tra cui l'integrità del dispositivo, la posizione e il ruolo dell'utente. La maggior parte dei dispositivi NAC ha anche la possibilità di limitare l'accesso in base al ruolo, garantendo agli utenti l'accesso solo alle risorse necessarie per svolgere il proprio lavoro.
Se un utente o un dispositivo fallisce in fase di autenticazione o autorizzazione, lo strumento NAC blocca o mette in quarantena il dispositivo e/o l'utente.
Quali sono i diversi tipi di approcci NAC?
Gli approcci NAC possono differire in vari modi, ma due differenze comuni riguardano il momento in cui i dispositivi vengono ispezionati e il modo in cui il sistema raccoglie le informazioni dalla rete.
Pre-ricovero e post-ricovero: ci sono due modi in cui NAC autorizza l'accesso ai dispositivi finali. Nei progetti di pre-ammissione, i dispositivi vengono ispezionati e le policy applicate prima che ai dispositivi venga concesso l'accesso alla rete. Questo approccio è più adatto ai casi d'uso in cui i dispositivi potrebbero non disporre di antivirus e antimalware aggiornati.
In alternativa, i progetti post-ricovero si concentrano meno sulle posture dei dispositivi e più sugli utenti, applicando policy basate sui comportamenti. Questo approccio ha senso per casi d'uso come l'accesso ospite, in cui le attività online tendono a essere limitate a cose come la navigazione sul Web e il controllo della posta elettronica.
Molte offerte NAC forniscono una combinazione di questi approcci, che possono variare in base alla posizione, al tipo di dispositivo o ai gruppi di utenti.
Design basato su agente e senza agente: un'altra differenza architettonica è la raccolta di informazioni basata su agente rispetto a quella senza agente. Alcuni fornitori NAC richiedono agli utenti di scaricare il software dell'agente sui propri dispositivi client. Gli agenti riportano quindi le caratteristiche del dispositivo al sistema NAC.
In alternativa, le soluzioni NAC senza agenti scansionano costantemente la rete e inventariano i dispositivi, basandosi sui comportamenti dei dispositivi e degli utenti per attivare le decisioni di applicazione.
Funzionalità principali di un sistema NAC
Protegge le reti attraverso diverse funzionalità di base, che includono:
- Autenticazione e autorizzazione: gestisce l'accesso alle risorse sia per gli utenti che per i dispositivi.
- Gestione centralizzata del ciclo di vita delle policy: applica le policy per tutti gli utenti e i dispositivi, gestendo al contempo le modifiche alle policy in tutta l'organizzazione.
- Scoperta, visibilità e profilazione: trova i dispositivi sulla rete, li identifica, li inserisce in gruppi con profili specifici, bloccando gli utenti non autorizzati e i dispositivi non conformi.
- Accesso alla rete degli ospiti: gestisce gli ospiti e fornisce a coloro che dispongono di dispositivi conformi un accesso temporaneo e spesso limitato tramite un portale self-service personalizzabile.
- Controllo della posizione di sicurezza: valuta la conformità alle politiche di sicurezza in base al tipo di utente, al tipo di dispositivo, alla posizione, alla versione del sistema operativo e ad altri criteri di sicurezza definiti dall'organizzazione.
- Risposta all'incidenza: blocca automaticamente le attività sospette, mette in quarantena i dispositivi non conformi e, quando possibile, aggiorna i dispositivi per renderli conformi, il tutto senza l'intervento dell'IT.
- Integrazione bidirezionale: integra NAC con altri strumenti di sicurezza e soluzioni di rete attraverso le API aperte/RESTful che consentono a NAC di condividere informazioni contestuali (indirizzi IP e MAC, ID utente, ruolo utente, posizioni, ecc.)
NAC e Zero Trust
Anche se NAC è una tecnologia di quasi 20 anni, la sua adozione è stata per lo più limitata alle medie e grandi imprese. Tuttavia, poiché l'edge della rete continua a estendersi oltre i perimetri aziendali fisici e mentre la pandemia di COVID-19 ha accelerato l'accettazione di ambienti di lavoro domestici, mobili e ibridi, NAC è diventata una tecnologia abilitante per gli approcci di sicurezza Zero Trust.
Con le reti che diventano più distribuite e complesse, i team di sicurezza informatica devono trovare modi per mantenere la visibilità sui dispositivi che si connettono ai punti più remoti della rete dell'organizzazione. NAC fornisce questa funzionalità con il rilevamento e la visibilità di tutti i dispositivi che entrano nella rete, il controllo centralizzato degli accessi e l'applicazione delle policy su tutti i dispositivi.
Principali casi d'uso per NAC
La crescente mobilità dei dipendenti, un numero crescente di dispositivi BYOD e la necessità di supportare ambienti di lavoro ibridi a causa della
Accesso ospite e partner: le soluzioni NAC consentono alle organizzazioni di fornire un accesso temporaneo e limitato a ospiti, partner e appaltatori. Le soluzioni NAC esaminano i dispositivi degli ospiti per assicurarsi che siano conformi alle politiche di sicurezza dell'organizzazione.
BYOD e lavoro da qualsiasi luogo: man mano che i knowledge worker sono diventati sempre più mobili, NAC viene utilizzato per autenticare gli utenti che potrebbero trovarsi su dispositivi e luoghi sconosciuti, applicando al contempo policy su tali utenti e dispositivi. Se i dipendenti portano a casa i dispositivi aziendali, NAC garantisce che nessun malware esterno si infiltri nella rete quando i dispositivi rientrano nella rete dell'organizzazione.
Gli ambienti di lavoro da casa e ibridi da qualsiasi luogo emersi durante la pandemia di COVID-19 hanno seguito un modello simile, con le soluzioni NAC che autenticano gli utenti, garantiscono la conformità alle policy sui dispositivi e limitano l'accesso alle risorse in base a fattori come posizione e ruolo dell'utente.
IoT: la capacità di NAC di fornire visibilità, profilazione dei dispositivi, applicazione delle policy e gestione degli accessi aiuta a ridurre i rischi associati ai dispositivi IoT che entrano nelle reti aziendali. Gli strumenti NAC possono inventariare e contrassegnare ogni dispositivo non appena entra in rete, classificare i dispositivi IoT in un gruppo con autorizzazioni limitate e monitorare costantemente i comportamenti dei dispositivi IoT. NAC applicherà automaticamente le regole per garantire che i dispositivi siano conformi alle politiche aziendali, di sicurezza e relative alla conformità.
Dispositivi medici: per i dispositivi IoT in ambienti sanitari altamente regolamentati, NAC può non solo rilevare e bloccare l'accesso non autorizzato a dispositivi e cartelle cliniche, ma anche applicare le politiche che garantiscono che i dispositivi nelle reti sanitarie rimangano conformi alle normative, come HIPAA. NAC può anche applicare policy quando i professionisti medici accedono in remoto alla rete.
Risposta agli incidenti: una volta implementato un sistema NAC, le organizzazioni possono utilizzarlo per condividere informazioni, come ID utente, tipi di dispositivo e informazioni contestuali, con prodotti di sicurezza di terze parti. Ciò consente una risposta automatizzata agli incidenti, con i sistemi NAC che rispondono automaticamente agli avvisi di sicurezza informatica bloccando e/o mettendo in quarantena i dispositivi potenzialmente compromessi, senza l'intervento dell'IT.
NAC e conformità normativa
Man mano che sempre più settori regolano il modo in cui le aziende gestiscono i dati dei consumatori e proteggono la privacy, la conformità alle normative è diventata un fattore trainante per l'adozione di NAC. I sistemi NAC possono aiutare le organizzazioni a mantenere la conformità a una serie di normative, tra cui, a titolo esemplificativo ma non esaustivo, HIPPA, PCI-DSS, GLBA, SOX, GDRP e CCPA.
I requisiti di queste protezioni della privacy in genere si concentrano sulla comprensione di chi, cosa, quando e dove gli utenti e i dispositivi si trovano sulla rete, limitando l'accesso ai dati sensibili solo a coloro che ne hanno un'esigenza legittima. Anche dimostrare di aver fatto tutto questo tramite processi ripetibili e verificabili è essenziale per la conformità.
NAC è in grado di soddisfare vari requisiti normativi attraverso il controllo degli accessi, l'applicazione delle policy su utenti e dispositivi, la visibilità della rete e gli audit trail. Inoltre, molti provider NAC hanno funzionalità integrate per aiutare le organizzazioni a rispettare automaticamente le normative comuni, come HIPPA, PCI-DSS e SOX.
Chi sono i principali fornitori di NAC?
Sulla base della loro lunga esperienza e delle stime delle quote di mercato i seguenti fornitori sono oggi i principali fornitori di NAC sul mercato:
Aruba (HPE) – ClearPass Policy Manager di Aruba fornisce un controllo dell'accesso alla rete sicuro basato su ruoli e dispositivi per IoT, BYOD e dispositivi aziendali, nonché dipendenti, appaltatori e ospiti su infrastrutture cablate, wireless e VPN multivendor.
Cisco – Le funzionalità NAC di Cisco Identity Services Engine (ISE) consentono un approccio dinamico e automatizzato all'applicazione delle policy e al controllo sicuro dell'accesso alla rete. ISE consente l'accesso definito dal software e automatizza la segmentazione della rete all'interno degli ambienti IT.
Extreme Networks – fornisce un accesso dinamico in base ai ruoli degli utenti e alle informazioni contestuali sull'identità. Applica criteri granulari e mirati a utenti e dispositivi per semplificare la conformità.
Fortinet - FortiNAC fornisce visibilità, controllo e risposte automatizzate per tutto ciò che si connette a una rete aziendale. Protegge dalle minacce IoT, estende il controllo a dispositivi di terze parti e orchestra risposte automatiche a un'ampia gamma di eventi di rete e sicurezza.
Juniper - fornisce NAC cloud-native. La serie EX di switch Ethernet di Juniper offre funzionalità NAC che includono rilevamento, visibilità e gestione degli accessi.
Portnox – è una piattaforma NAC cloud-native che fornisce visibilità sui dispositivi e applicazione delle policy su reti eterogenee. Monitora continuamente i rischi per IoT, BYOD, uso remoto e altri casi d'uso NAC comuni.
Soluzioni NAC open source?
In alternativa a software e sistemi stand alone a pagamento, sulla rete sono disponibile, anche soluzioni open source, che hanno poco da invidiare a quelle a pagamento:
PacketFence: una soluzione di controllo dell'accesso alla rete (NAC) completamente supportata, affidabile e gratuita. Dotata di un impressionante set di funzionalità tra cui un captive portal per la registrazione e la correzione, gestione cablata e wireless centralizzata, supporto 802.1X, isolamento di livello 2 dei dispositivi problematici, integrazione con Snort IDS e lo scanner di vulnerabilità Nessus; PacketFence può essere utilizzato per proteggere efficacemente sia reti eterogenee piccole, sia quelle molto grandi.
OpenNAC: consente l'autenticazione, l'autorizzazione e tutti gli accessi alla rete basati su criteri di controllo. Supporta diversi fornitori di reti come Cisco, Alcatel, 3Com o Extreme Networks e diversi client come PC con Windows o Linux, Mac, dispositivi come smartphone e tablet. Si basa su standard di settore come FreeRadius, 802.1x, AD, ldap. É facilmente estensibile incorporando nuove funzionalità attraverso l’integrazione di plugin. Ultimo ma non meno importante, fornisce servizi a valore aggiunto come rilevamento, configurazione e monitoraggio della rete, configurazioni di backup.