NAC: медленно, но верно

Управление доступом в сеть набирает обороты, но до широкого распространения ему пока далеко

Рынок систем NAC (Network Access Control — управление доступом в сеть), зародившийся где-то в 2000 г., прошел долгий путь, но до массового спроса на них еще далеко. Чтобы эта технология получила всеобщее признание, должны произойти два важных события. Во-первых, необходимо, чтобы появился единый для всей отрасли набор стандартов, а во-вторых — нужны такие решения “под ключ”, для работы с которыми не потребуется опыт фирм-посредников.

Пока этого не произойдет, реселлеры могут смело рассчитывать на большую маржу при продаже, развертывании и сопровождении решений по управлению доступом в сеть, а также на постоянный доход от предпродажных консультаций и послепродажного обслуживания. “Эта область весьма прибыльна для нас”, — сказал Тим Хиберт, президент и исполнительный директор фирмы Atrion Networking, которая предлагает своим клиентам решения на основе NAC-систем Cisco Systems и Bradford Networks. При этом, по его словам, на каждый доллар, полученный от продажи продукции, Atrion зарабатывает еще 60 центов на консультациях и сопровождении. “Мы делаем деньги не только на развертывании и обслуживании решений NAC, но и помогая клиентам разрабатывать политику в области безопасности, — пояснил он. — Ведь они часто даже не представляют себе, что такое управление доступом к сети и как его налаживать, но необходимость защищать свои ресурсы ощущают очень остро”.

Быстрорастущей и прибыльной считает технологию NAC и Марк Миллер, президент фирмы M&S Technologies — партнера по сбыту продукции ConSentry Networks и Juniper. По его словам, потребители с готовностью признают ее ценность. “Продукция, с которой мы имеем дело, легка в освоении и обслуживании, допускает большие торговые наценки, открывает широкие возможности для получения дополнительного дохода от консультаций”, — констатирует Миллер.

Что такое NAC?

Система управления доступом в сеть контролирует точку входа в нее, работая по правилам, которые определяются политикой безопасности. Как только какое-то устройство предпринимает попытку подключиться к сети, NAC первым делом проводит его “допрос”. Если оно не соответствует предварительно заданной политике, которая в числе прочего может предусматривать определенную конфигурацию и наличие самых свежих антивирусных обновлений, запрос не удовлетворяется. Таким образом в сеть допускается только оборудование, отвечающее определенным требованиям. Более того: некоторые решения NAC даже умеют сами автоматически закрывать выявленные бреши безопасности, после чего “вылеченное” устройство допускается в сеть.

Управлять системой NAC можно из нескольких точек. Установленные на конечных устройствах программные агенты, скажем, способны производить самопроверку при каждом подключении к сети. Нетрудно обеспечить администрирование системы управления доступом и с сетевого оборудования, причем не только с серверов, но даже с коммутаторов и маршрутизаторов.

Существует три разновидности решений NAC: аппаратные (наподобие NAC Appliance фирмы Cisco), с применением агентов (примером чему может служить Symantec Network Access Control) и на основе интеллектуальных коммутаторов вроде LANShield Switch фирмы ConSentry. Само собой разумеется, что каждой из этих категорий присущи собственные достоинства и недостатки.

Быстро растущий рынок

Решения по управлению доступом к сети — отличный источник доходов для VAR-фирм. Главным образом из-за той паранойи, которую вызывает у корпораций непрерывно растущий наплыв конечных сетевых устройств и сложности борьбы со взломами. Такое состояние провоцирует заметный рост корпоративных расходов. Проведенное компанией IDC исследование показало, что инвестиции в NAC выведут к 2010 г. рынок таких систем на уровень 3,2 млрд. долл., т. е. за 5 лет он вырастет в 6 раз (в 2005 г. стоимость этого сегмента составляла 526 млн. долл.). А по прогнозам Infonetics Research, в нынешнем году на решения NAC будет потрачено 3,9 млрд. долл., тогда как в 2003-м эта сумма не превышала 323 млн.

Несмотря на разнобой в цифрах совершенно ясно одно: рост ожидается бурный. Главная роль в этом процессе принадлежит вертикальным рынкам, где есть мощный стимул для развертывания решений NAС — необходимость обеспечивать строжайшее соответствие все более жесткому законодательству. Так, по крайней мере, считает Дин Хикмен-Смит, вице-президент ConSentry Networks по сбыту во всем мире. Его фирма известна своими коммутаторами LANShield Switch и контроллерами LANShield Controller, в которые уже встроены средства контроля за доступом в сеть пользователей и устройств, расположенных на пограничье ЛВС. “Самым большим спросом эта продукция пользуется у финансовых учреждений, в секторах здравоохранения и фармацевтики, у нефтяных и газовых компаний”, — сказал Хикмен-Смит.

Еще один стимул широкого распространения NAC в корпоративной Америке называет аналитик из исследовательской компании IDC Джерри Пинтал: “ Сегодня бизнес все чаще рассматривает управление доступом в сеть как составную часть общекорпоративной стратегии безопасности. Раньше решения NAC вызывали у многих замешательство, но это уже позади”.

Прошлогоднее исследование Infonetics Research показало, что корпорации развертывают решения NAC по разным причинам. Чаще всего это делается для борьбы с вирусами (86%), перехвата внешних атак (80%), блокирования шпионского и вредоносного ПО (73%) и отражения атак по электронной почте (70%).

Слияние стандартов

По оценке Пинтала, последние соглашения между производителями средств управления доступом в сеть и группой стандартизации Trusted Computing Group устранили многие из прежних препятствий на пути распространения подобных решений. Кроме того, эти шаги позволили сблизить по меньшей мере две из трех предлагаемых сегодня инфраструктур NAC: NAP (Network Access Protection — защита доступа в сеть) корпорации Microsoft и TCG/TNC (Trusted Computing Group/Trusted Network Connect — доверительная вычислительная группа/доверительное сетевое подключение) организации Trusted Computing Group. В стороне пока остается Cisco Network Admission Control, способная работать исключительно на оборудовании этой же фирмы, но в следующем году ситуация может измениться.

Trusted Computing Group представляет собой некоммерческую организацию, которая занимается разработкой, описанием и продвижением открытых стандартов для аппаратных доверительных вычислений и технологий безопасности. А ведь открытые стандарты выгодны как поставщикам решений, так и потребителям, поскольку не дают попасть в полную зависимость от конкретного производителя с его заказной системой управления сетевым доступом, высокими ценами и т. д. При поддержке открытых стандартов средства NAC одной фирмы могут взаимодействовать с коммутаторной и серверной продукцией других, что позволяет потребителям продолжать пользоваться уже имеющимися ресурсами.

По мере формирования стандартов растет интерес компаний к решениям NAC, отметил Уильям Кетренос, вице-президент фирмы Structured Communications Systems, которая предлагает системы управления сетевым доступом на базе продукции Cisco, ConSentry и Juniper. Это происходит, потому что расширяется выбор таких систем для клиентов, упрощается их эксплуатация, а реселлерам становится все легче осваивать и реализовывать подобные решения, управлять ими.

Фактор Cisco

“Cisco легализовала это пространство и вложила уйму денег в данную продукцию”, — сказал Хиберт из Atrion, который напрямую связывает быстрый рост рынка NAC с четырехлетним присутствием на нем этой компании. Отраслевой тяжеловес с налаженными каналами сбыта вышел на рынок NAC после приобретения фирмы Perfigo и ее технологии CleanMachine. С тех пор, по словам директора Cisco по развитию каналов сбыта Сьюзен Дон, фирма активно совершенствует технологию управления сетевым доступом в соответствии с пожеланиями потребителей. В качестве примера она приводит Cisco NAC Network Module для маршрутизаторов Integrated Services Routers, а также Cisco NAC Profiler. Первая разработка представляет собой модульное решение, встраиваемое в сетевую инфраструктуру, а вторая реализует технологию распознавания конечных потребителей, которая предусматривает полную инвентаризацию сетевых устройств с целью сравнения их состояния перед подключением в сеть и в процессе такого подключения.

Вот только, даже несмотря на все достижения Cisco, ее продукция не слишком-то совместима с системами других производителей средств NAC, что чревато проблемами в смешанных сетях на их основе.

“Cisco отточила свои средства управления сетевым доступом под инфраструктуру на базе собственной продукции, и они здесь работают прямо-таки отлично, — заметил Хиберт. — А вот в средах других производителей ведут себя намного хуже”.

Текущие проблемы

Средства управления сетевым доступом сегодня предлагает три с лишним десятка производителей, так что поставщикам решений жаловаться на отсутствие разнообразия не приходится. Вот только кому отдать предпочтение — вопрос далеко не простой, требующий учета многих переменных.

Atrion, скажем, сотрудничает как с Bradford, так и с Cisco, но по разным причинам. Как пояснил Хиберт, продукция Cisco хороша для тех, у кого уже развернуто сетевое оборудование этой фирмы. К тому же ее имя имеет солидный вес в глазах многих клиентов, в том числе и потенциальных. “Эта фирма производит все, что только может понадобиться для сетевого решения, что позволяет ограничиться исключительно ее продукцией, а это очень нравится многим компаниям, — рассказал Хиберт. — К тому же благодаря партнерству с Cisco мы можем зарабатывать на техническом обслуживании и поддержке решений”.

Но при всем этом он признает, что предпочел бы продавать изделия Bradford Networks — NAC Director и Campus Manager. Здесь и технология получше, чем у Cisco, и маржа повыше, не говоря уж о несравненном уровне технической поддержки. “Продукция Bradford приносит нам вдвое больший доход, чем системы управления доступом к сети от Cisco”, — признается Хиберт. Он по собственному опыту знает, что специалисты технической поддержки Bradford всегда готовы дать Atrion квалифицированный совет. “Девять из десяти сотрудников этой фирмы, с которыми мне приходилось иметь дело, работают здесь около восьми лет”, — отметил Хиберт.

Фирме M&S Technologies, как рассказал нам Миллер, также выгоднее всего торговать продукцией конкурентов Cisco, она отдает предпочтение ConSentry и Juniper. Такой выбор был сделан из-за предельной простоты технологии этих производителей, а также с учётом качества маркетинговой и технической поддержки.

Будущее NAC

Сети постоянно пополняются все новыми и новыми устройствами, как компьютерными, так и другими. А это значит, считает Дон из Cisco, что перспективные направления развития NAC наверняка будут определяться уровнем интеллекта подобных решений. “Рынку нужны эффективные средства обнаружения и инициализации не только компьютеров, но и многого другого, что даже не имеет операционных систем”, — сказала она, приводя в пример современные системы обогрева, кондиционирования и вентиляции.

С такой оценкой полностью согласен и Пинтал из IDC, который также считает необходимым повышать уровень интеллектуальности подобных решений: “Компании-пользователи хотят, чтобы управление доступом в сеть приносило максимальную пользу и открывало дополнительные возможности. Простого обнаружения сетевых компонентов им недостаточно. Нужно, чтобы система NAC помогала узнавать, что делает каждое устройство, когда и как”. И добавляет, что особое внимание компании обращают на способность решений NAC управлять идентификацией, производить авторизацию на уровне приложений, следить за своевременной установкой программных заплат и готовить отчеты по выполнению законодательных требований.