博客

Post-Connect访问控制

伯克亚当斯 、解决方案架构师 | 2017年12月4日,

在我 上一篇博文,我讨论了802的概念.1X和访问控制不一定结合在一起. 今天,我们将讨论一个越来越常见的替代方法:连接后控制.

“连接后”被描述为在端点被证明有罪之前将其视为无辜. 他们可以连接到网络,在此期间和之后,他们将根据接受标准进行评估. 这些标准可以是任何东西, 但通常都需要进行检查,以确保端点是公司的资产, 以及一些安全遵从性的保证. 尽管这份清单是详尽的, 常见的合规示例包括运行最新的反病毒程序, 补丁的水平, 磁盘加密状态, 以及来自其他安全工具的功能软件/代理.

验收标准-企业资产:

当您的目标是防止恶意系统连接到您的网络时,这个接受阶段是最关键的, 如果网络上的端点不完全可见,这是不可能的. 具体来说,你需要知道连接的设备是什么,它们是否属于你. 如果他们这样做了,他们就通过了这些标准,可能会进入下一个. 不通过的设备对您试图保护的资产是一个潜在的威胁, 应该限制他们的访问. 通常,方法是完全拒绝对这些设备的网络访问. 我喜欢将其称为“块”.”

验收标准-符合性:

这个接受阶段假定端点是公司资产. 当设备被确定为不符合要求时, 您的安全工具可以在不需要用户干预的情况下使用设备现有的访问权限来解决问题. 如果自动修复不可能, 我们可能不希望像处理非企业系统那样阻塞设备, 但要像对待黑死病一样对待它, 把它放进我所谓的"隔离"里,,以防止它影响您网络上的其他端点. 在理想的情况下, 此隔离提供对修复特定遵从性问题所需的任何服务的访问, 但是没有其他的.

连接后的最大好处是积极的用户体验. 除非系统不符合要求而被隔离, 您公司的用户甚至不知道网络上发生了访问控制.  即使是在隔离的情况下, 因为这些系统是公司所有和可管理的, 你可以直接给用户发消息, 描述正在发生的事情以及他们可能需要采取的步骤. 这是一种非常软的部署访问控制的方式, 但是在有限的时间内允许您的网络上存在潜在的威胁,这确实有副作用. 然而, 使用正确的工具, 一些好的规划和设计, you should easily be able to get this time frame under two minutes; even well under in the right circumstances.

如果连接后的方法给您的组织带来太多风险,请关注我的下一篇博客. 我会讲到非802.1X pre-connect 用用户体验换取更高安全性的方法.

您正在寻找无代理的可见性和控制解决方案吗? 也许你已经使用了欧博allbet网址 抵消®? 不管怎样,看看 连接后的最佳实践指南 进一步了解技术细节.