网络安全 频道

NAC与端点安全框架 向左转还是向右转

    可信计算组织的TNC

    TNC由支持一批开放标准的几十家业界重量级公司(思科除外)组成。好消息就是,标准或多或少符合之前提到的网络访问控制安全的五个要求:策略定义、检测、评估、执行及补救。坏消息是,不是所有标准都已经得到了定义;糟糕的是,也没有多少产品支持真正实施解决方案所需要的大部分标准。

    TNC的关键要素是支持RADIUS和802.1X验证服务器和协议的功能,另外还有端点上的可信硬件芯片和软件。

    TNC的联合主席、Juniper Networks公司的产品经理Steve Hanna说:“这可不是需要全面改动的叉车式升级(forklift upgrade)。”它与思科采用的方案有着尤其明显的区别,后者使用思科的ACS验证服务器。

    名为可信平台模块(TPM)的一种公钥基础设施(PKI)芯片增强了验证功能,有助于通过硬件实现方案来防止软件遭到潜在破坏,从而保护笔记本电脑的安全,远离未授权用户,比如窃贼或者仅仅捡到丢失笔记本电脑的人。

    Hanna说:“如今你根本没法信任软件,因为PC可能遭到了零日漏洞(zero-day vulnerability)或者用户通过互联网下载的东西的破坏。要发现这个问题,惟一的办法就是借助可信硬件。”许多笔记本电脑厂商已经把可信硬件模块添加到了各自的产品线当中,包括戴尔、富士通、惠普和联想。

    一旦验证检查获得通过,可信硬件里面的程序就会把控制权交给第三方软件代理,由代理检查设备遵从策略的情况,与负责处理网络验证和登录访问的TNC架构协同工作。作为一项开放标准,TNC有望使用任何一种执行机制。

    思科的竞争对手Juniper已经在提供符合TNC的产品,这不足为怪。Juniper之前收购了开发RADIUS服务器产品的Funk软件公司。

0
相关文章