“裸露的端点”指的是受附于网络,没有类似NAC代理等管理代理的系统。这样的系统曾以访问控制决定获取信息。在你的网络中,可能存在大量端点都缺乏此功能,如打印机,VoIP电话,开启IP的门锁,HVAC系统等。这些无客户端设备的共同点在于他们都不属于某个单独用户,而且具备不适应第三方代理的以设备为核心的操作系统。常见的做法是对这些设备实施管理,将其网络端口设置为开放式连接,而这样就回避了NAC部署提供的安全。
如果你已经部署了一个基于TCG TNC标准的NAC方案,那么你可以在所管理的系统中安装代理,而不是在裸露的系统上安装代理。你虽能从客户的安装中受益,但是可能最多会为裸露的端点提供静态访问控制。许多终端用户一直在寻求一种能为无客户系统提供动态准备访问控制的机制,但是供应商却没有为他们提供相应的方法,通常他们只是通过不同的产品线提供部署。由于缺乏配置标准,所以很难保证你所完成的安全配置就是你希望的部署。幸好,TCG TNC 还提供了一种新的标准,用来协助我们完成这样一项任务——TCG/TNC 无客户终端配置支持。
TNC无客户终端的配置支持,简称CESP,它提供了一个标准化架构用于协助缺少兼容ECG/TNC网络访问控制方案的端点认可,如打印机。虽然你可能实施的是静态管理次访问,但是管理这种访问的成本是多少?客户需要为这样的访问等待多久呢?正如前面提到的,缺乏一个基于标准的方法增大了管理客户端的工作,而且也增加了安全风险。通过实施标准的方法对无客户端系统进行认可可控制,就等于在跨厂商的产品间建立起了通用配置。这样在使网络接受无客户终端控制的同时还可以减少管理成本。
这里说的不仅仅是成本,还涉及到管理的安全态势。有了静态部署,如为打印机VLAN配置打印机端口,任何插入该端口的色还不都可以访问打印机VLAN。听起来似乎很好——这是一台打印机。到底有多少把戏藏在访问之后呢?不妨考虑一下:其他无客户设备,如IP安全摄像头,VoIP电话和IP功能门锁。无客户端设备的增长,被静态配置的网络端口的增长都会造成越来越多让设备不遭受访问质疑的安全域。其后果是威胁安全和行业法规。