盈高专题报道--2011年中NAC行业分析盘点

infogo

 

　　2011上半年，干旱和暴雨成为人们讨论气候最热门的话题，国家统计局每月发布的cpi指数不断刷新着人们的眼球，而央行存贷款基准利率则牵动了无数买房卖房者的神经。2011上半年的国内NAC市场也是风云变换，从政府到企业、金融证券，各行业的信息管理者们都在以自己的理解树立具有中国特色的NAC体系框架。虽然我们离国际前沿的NAC发展水平还有一定差距，但从各厂商、各种技术，各种功能点，各种解决方案的群雄逐鹿上，我们发现这里确实是国内网络安全界一个充满了智者和强者的舞台。

　　Forrester和Gartner都对2011年前2季度北美NAC市场进行了半年的盘点，其中的一些评判标准很值得我们思考，同时国内的NAC市场发展了近4年，涌现出了许多独立于国际市场的个性化需求，这也是业界和用户都不可回避的话题。

　　1.2011NAC年中盘点之——NAC标准：

　　在Forrester对NAC厂商的排名中，我们看到顶尖的NAC产品关键词中赫然列出了以下5条标准：

　　·Unified management （整合管理）
　　·Integration （集成度，或兼容性）
　　·Clientless (agentless) mode （无客户端模式）
　　·Hardware (appliance) （硬件应用）
　　·Heavy focus on IT consumerization, mobile device control and data center virtualization （关注前端、移动端和虚拟化）

　　国内的准入控制标准因为多方利益的博弈迟迟未能出台，甚至在各国家级评测机构的产品类别中都难以找到。NAC（中国）只能躲在阴暗潮湿的角落里看着同为“访问控制类”产品的防火墙们穿着西装革履满大街都是，看看自己周围，却是“桌面管理”或“上网行为管理”等一干人等在沿街叫卖。皇帝的新衣都是一样，却没有一颗NAC的心。

　　其实国内早有厂商在NAC的标准化或评优参数上做出了积极有效的工作，硬件化、无客户端化、兼容度这些标准并不是Forrester第一个想出的，整合管理也是很适应国内内网安全架构的折中解决办法，至于前端和移动端，国内的桌面管理产品已经给NAC好好上过一课了。

　　2.2011NAC年中盘点之——NAC扩展 ：云计算

　　“云”又来了。在《中国云计算产业发展白皮书》2011版中，我们遗憾的看到国内的大部分“云”都高高在上的漂着，供人瞻仰。椰子也总有掉下来的时候，可是我们的“人云亦云”什么时候能够真正落地让管理者和用户摸着它纯洁柔软的外衣？

　　然而不可否认的是，“云”确实是计算发展的一个美好归宿。Forrester预言Standalone型NAC产品需要慢慢融合扩展到其他各类安全应用或框架中，我们不妨理解为：NAC也需要有向“云”靠拢的气度，如何在虚拟化的基础上发挥NAC认证和控制的优势？或者，为什么不也建立一个“NAC云”？“云”的诱惑很大，NAC的蛋糕也不小。

　　3.2011NAC年中盘点之——802.1x过时了吗？

　　谈到802.1x，前沿的NAC人员恐怕都有些嗤之以鼻，而那些体验过802.1x威力的企业雇员们也是谈虎色变，2011是 agentless应用大跳草裙舞的年份，而这确实和802.1x沾不到边。

　　与潮流相反，我们看到在某运营商的NAC案例中，管理者们力挺802.1x的异军突起之势。其实，抛开802.1x对于接入用户的友好性和管理者的工作量不谈，这种前辈级（在IT界，10年弹指一挥，可以算是一辈了）的安全技术在控制力度、out-of-band典型性、管理流程、跨厂商兼容性以及边界定义能力上确实可以做为NAC技术后起之秀们的表率。在国内众多新兴NAC技术如雨后春笋般冒出的时候，大部分却都存在一个致命的弱点——在路由边界上，管理被终结。而802.1x却能够穿越层层路由，向冰岛的radius认证站传输来自火地岛的接入信息，这在运营商的复杂网络中不啻是一股福音。而我们惊喜的看见了运营商对老技术新用的创新敏感度，提出在802.1x认证流中结合短信验证码来识别用户身份，毕竟短信网关在运营商网络中实在是白菜一般了。这也给众多的802.1x fans们提供了旧瓶新酒的灵感。如果你不讨厌客户端，那么好吧，这个组合还是有点陈年佳酿的厚重味感的。

　　4.2011NAC年中盘点之——NAC还是终端安全？这是个问题

　　不得不承认，NAC侧重的是入网这一段短途旅行，入网后的计算机管理与审计往往被划归到终端安全层面。在许多用户的基础网络架构还是hub+hub+hub的情况下，我们不能奢求管理者厘清“网”的概念，对于他们能意识到有工具能够帮助管理好终端就足够了，但正如有人说的，没有终端，网就没有了价值，信息也没有了终结点，这正好能解释国内大多数的NAC厂商是从桌面终端管理起家的，他们更了解网络的使用者，他们也不会把NAC做成像防火墙一样让终端用户到达管理必须穿越层层部门最后到达机房最热辐射最高的地方。但青出于蓝，能否胜于蓝？这是个问题。

　　夏威夷群岛上的活火山每隔若干年就喷发一次，因为地底需要积蓄能量。NAC也是一样，当它能够足够适应用户需求的时候，当它的评价标准形成的时候，我们会看到整个行业的力量喷发。让我们对NAC的未来说：“Aloha！”。