USD 66.42 ЕВРО 75.22

Магический квадрант компании Гартнер: контроль доступа к сети

Аналитика

Тенденция BYOD (Bring Your Own Device) продолжает быть главным двигателем в процессе перехода на Network Access Conrol (NAC) . И у производителей NAC должны быть гибкие подходы (партнерские и / или собственной разработки) для применения политик к устройствам, находящимся в личной собственности.

 

Определение рынка / Описание

Поставщики технологии управления доступа к сети (NAC) делятся на три основные категории:

  • Производители устройств для проводных и беспроводных сетей. Большинство крупных производителей коммутаторов для локальной сети предлагают решения NAC. Приобретение компанией Aruba Networks компании Avenda Systems означает, что два крупнейших производителя устройств для беспроводных локальных сетей (WLAN) — Cisco и Aruba, также имеют NAC-продукты.
  • Производители устройств сетевой безопасности.  Поскольку они уже продают продукты, которые служат узлами реализации политик сети, NAC-продукты дополняют их предложение.
  • Вендоры, специализирующиеся исключительно в сфере NAC. NAC продолжает развиваться, и вендоры, фокусирующиеся на решениях NAC в качестве основного продукта, являются более узнаваемыми и быстро реагирующими на динамично развивающемся рынке.

 

Рис.1. Волшебный квадрант производителей устройств для контроля доступа сети (NAC)


 

Достоинства и недостатки вендоров

Gartner считает, что размер рынка NAC в 2012 году составил около $240 млн., увеличившись примерно на 17% по сравнению с  2011г. Тенденции мобильности и использования личных устройств (BYOD) увеличили спрос, а  крупнейшие NAC-поставщики испытали заметный рост. Движимый этими тенденциями рынок ожидает рост, – примерно на 63% в 2013 году, с приблизительным доходом в размере $390 млн. Предприятия тратят средства на управление мобильными устройствами (MDM) — см. «Волшебный квадрант для программного обеспечения управления мобильными устройством». NAC – основное средство удовлетворения спроса на использование смартфонов и планшетов, находящихся в личной собственности, и подвергающих рискам сеть. Несмотря на то, что ожидается рост конечных устройств с NAC, в более долгосрочной перспективе функциональность NAC станет встроенной в беспроводные методы доступа, что обеспечит снижение цен.

Магический квадрант

 

Access Layers

Основанная в 2007 году, израильская компания Access Layers является чистой воды производителем NAC. Её решение – portnox, – обходится без дополнительных программ-агентов и основано на проверке конечной точки подключения. После подключения устройства к сети, portnox проверяет тип операционной системы и применяет соответствующие политики к точке доступа (LAN свитчу, WLAN контроллеру или VPN шлюзу). В 2012 году Access Layers расширила свою продуктовую линейку, добавив решения для использования BYOD  и облачных NAC. На американском рынке компания занимает незначительный сектор. Организациям, способным справиться с определёнными рисками стартапа, и находящимся географически в зоне сервиса поддержки Access Layers, стоит присмотреться к portnox.

Достоинства

• Access Layers интегрировала portnox с производителями MDM Zenprise и Good Technology.
• Клиенты Access Layers единодушны в том, что решение portnox просто в развертывании и управлении. Оно закрепляется за любым портом коммутатора локальной сети и не требует «зеркала» или порта анализатора коммутируемых портов (SPAN).
• Access Layers может применять политики NAC в среде VMware. Например, она контролирует и графически представляет число используемых виртуальных машин (VM) и обеспечивает политики для этих виртуальных машин, путем блокирования или разрешения доступа к виртуальным коммутаторам.

Недостатки

— Стратегии Access Layers для BYOD ограничены из-за своей зависимости от Active Directory (AD), используемой для аутентификации. Устройства, которые есть в AD, получают доступ к сети.  Устройства личного пользования и устройства не из AD должны регистрироваться через связанный портал. Продукт Airforcer компании Access Layers устанавливает связанный портал, но он не в состоянии контролировать гранулированные политики устройства (например, обеспечить соблюдение политик приложения на мобильных конечных точках).
• Возможности анализа конечной точки довольно слабы для устройств Windows. В консоли управления нелегко найти отсутствующие патчи для Windows.
• Access Layers имеет ограниченный географический охват. Клиенты за пределами Израиля и Великобритании могут столкнуться с трудностями получения предпродажной и послепродажной поддержки со стороны компании.

 

Aruba Networks

Aruba, расположенная в Саннивейл, Калифорния, вышла на рынок благодаря приобретению NAC-решений у компаний Avenda Systems (2011) и Amigopod (2010). В 2012 году Aruba интегрировала два решения и выпустила NAC под брендом «ClearPass». Основой ClearPass является служба аутентификации удаленных пользователей по коммутируемым каналам связи (Remote Authentication Dial-In User Service — RADIUS) сервера, на базе политик от Avenda (доступна в аппаратных и виртуальных устройствах), и гостевой сетевой компонент, основанный на технологии Amigopod. Aruba также расширяет линейку своих решений за счёт разработки политик безопасности сети для приложений на мобильных устройствах. Клиенты Aruba и любое предприятие, которое нуждается в сервере политик, способном поддерживать гетерогенные конечные точки, должны подумать о ClearPass.

Достоинства

• Aruba интегрирована с несколькими производителями MDM, в том числе Fiberlink и MobileIron.
• Инновации Aruba’s 802.1X включают в себя встроенную сертификацию авторизации к ClearPass, что облегчает реализацию BYOD, не требуя внешнего центра сертификации. Модуль ClearPass OnBoard предоставляет возможность отзыва и удаления сертификатов (например, если устройство потеряно или украдено).
• Пользователи, перечисляя причины перехода на ClearPass, ссылаются на гибкий механизм политик, хорошую отчетность и общую простоту управления.
• Большое количество реализаций  беспроводных решений Aruba дает ей плацдарм для продаж ClearPass в общественных структурах, активно использующих NAC, таких как  образование, здравоохранение и финансовые услуги.

Недостатки

• Стратегический шаг Aruba в направлении управления и обеспечения соблюдения политик для мобильных приложений выводит компанию за пределы традиционной для компании сферы решений сетевой инфраструктуры. Стратегия распространения политик сетевой безопасности на мобильные приложения заставляет Aruba конкурировать с существующими производителями MDM и вендорами управления мобильными приложениями.
• Жёсткая фокусировка Aruba на беспроводных сетях усложняет продажи NAC в области проводных сетей и не-Aruba сетей.

 

Auconet

Auconet была основана в 1998 году в качестве системного интегратора и начала поставки решений NAC в 2005 году. Это частная компания, базирующаяся в Германии, с офисами в Австрии и Швейцарии. В 2012 году Auconet начала продажи в Северной Америке. Auconet развертывается чаще всего в качестве решения без агентов, поскольку ее основанный на RADIUS сервер политик поддерживает родной  протокол 802.1X суппликантов (устройств, которые запрашивают доступ к сети). Сервер политик доступен в качестве аппаратного или в виде виртуального устройства. Auconet также предлагает постоянный агент (только для Windows). Организации, находящиеся в пределах географического охвата Auconet, и имеющие гетерогенную сетевую инфраструктуру, должны рассмотреть Auconet.

Достоинства

• У Auconet есть несколько крупных клиентов, в том числе с реализацией более чем 100 000 конечных точек.
• Пользователи положительно отзываются о безагентном подходе и простоте реализации.
• Решение обеспечивает видимость сетевого трафика, посредством захвата записей NetFlow и корреляции информации для отображения наиболее активных пользователей и топ-протоколов.

Недостатки

— Auconet имеет слабую стратегию BYOD. На момент написания этой статьи, она не интегрирована ни с одним решением MDM.
— Видимость конфигурации конечной точки ограничена. Например, в решении отсутствует возможность сообщить о недостающих патчах для Windows-ПК.
— Auconet имеет ограниченный географический охват. Клиенты за пределами Европы могут столкнуться с трудностями получения предпродажной и послепродажной поддержки со стороны компании.

 

Avaya

Avaya является частной компанией, которая предлагает решения для унифицированных коммуникаций, контакт-центров и сетей передачи голоса и данных. Она вышла на рынок NAC, когда приобрела разработку Identity Engines от Nortel Networks  (Avaya приобрела сетевое подразделение Nortel в 2009 году). Ignition Server – это основанный на RADIUS сервер, поставляющийся в виде виртуального устройства (с поддержкой формата Open Virtualization). Ignition Server следует учитывать при использовании решений Avaya для сетей передачи данных, и когда предприятию нужны решения стандарта 802.1X.

Достоинства

• Поддержка стандартов Trusted Computing Group (TCG) и Internet Engineering Task Force (IETF)  позволяет Identity Engines получать доступ к конечным точкам Microsoft Windows  (XP SP3 и выше), не требуя дополнительного агента.
• Identity Engines интегрируются с широким спектром директорий благодаря поддержке XACML.
• Пользователи Avaya отмечают легкость использования, особенно в отношении создания политик.

Недостатки

• NAC-стратегия Avaya для BYOD отстает от конкурентов. На момент написания этой статьи она не интегрирована ни с одной MDM платформой, и у неё нет агента для Mac OS X.
• Возможности Endpoint  ограничены. Например, консоль не имеет возможности сообщить об отсутствующих  патчах для систем Windows.
• В отличие от нескольких конкурирующих 802.1X/RADIUS-based решений, Avaya не хватает кросс-платформенного инструмента конфигурации суппликанта.

 

Bradford Networks

Bradford Networks является частной компанией, базирующейся в Кембридже, штат Массачусетс, и поставляет NAC-решения с 2001 года. Её продукт Network Sentry NAC доступен как в виде аппаратного, так и в виде виртуального устройства. В 2012 году компания выпустила Bradford Cloud, который представляет собой облачный вариант  управления NAC. NAC-продукты Bradford Networks должны рассматриваться предприятиями с гетерогенными сетями и смешанным парком конечных устройств.

Достоинства

• Bradford имеет хорошие BYOD- и мобильную стратегии. В дополнение к интеграции с решением MDM AirWatch, компанией разработаны приложения для устройств на базе IOS и Android .
• Network Sentry интегрируется с рядом других решений в области безопасности, в том числе FireEye, Fortinet, Palo Alto Networks, Sourcefire и RSA NetWitness. Эти интеграции обеспечивают Network Sentry большую прозрачность сетевого трафика и угроз, а также возможность карантина или блокировки опасных конечных точек.
• Партнерство с HP укрепило глобальные дистрибуторские каналы Bradford. Bradford интегрировала технологию аутентификации с беспроводным контроллером HP.

Недостатки

• Некоторые отзывы клиентов Bradford нелестны в отношении сервиса компании и организации поддержки. Отмечается, что ей не хватает зрелости процессов.
• Bradford сталкивается с сильной конкуренцией со стороны Cisco и Aruba на основном рынке в сфере высшего образования, которая  составляет примерно 50% их клиентской базы. Оба конкурента начали предлагать новые решения NAC в 2011 году, и с тех пор ведут более агрессивную политику в области продаж NAC колледжам и университетам.

 

Cisco

Флагманское NAC-предложение компании Cisco – Identity Services Engine (ISE), заменило более ранние  NAC-решения Cisco. Сервер политик ISE на основе RADIUS позволяет Cisco поддерживать аутентификацию в гетерогенных средах сетевой инфраструктуры (хотя передовые функции NAC потребуют дополнительных компонентов Cisco). ISE доступна в аппаратных устройствах, а также в качестве виртуального сервера. Программное обеспечение ISE доступно в двух версиях. Базовый пакет поддерживает 802.1X, а расширенный пакет поддерживает оценку конечной точки (posture assessment), гранулированные политики идентичности и другие более сложные функции. Проводные и беспроводные клиенты Cisco должны рассмотреть ISE, особенно там, где конечная точка использует Cisco AnyConnect.

Достоинства

• Cisco имеет сильную BYOD стратегию и публично заявила об интеграции с четырьмя производителями MDM: AirWatch, Good Technology, MobileIron и Zenprise. Завершение интеграции запланировано на первую половину 2013 года.
• Возможность профилирования устройства встроена в коммутаторы Cisco и беспроводные контроллеры (через обновление прошивки), что исключает необходимость развертывания автономных датчиков (профилирование устройств через анализ трафика) в сети. Сервер ISE может идентифицировать и классифицировать конечные точки с помощью шаблонов, предоставляемых Cisco или определяемых администратором. ISE использует комбинацию активных и пассивных методов профилирования для достижения более точного профиля.
• Поддержка Cisco собственных тегов идентичности (которые она называет TrustSec SGA) в  Ethernet (через стандарт 802.1AE) позволяет более продвинутым клиентам реализовать гранулированную идентичность на основе политик. Большинству организаций потребуется модернизация инфраструктуры, чтобы воспользоваться этой функцией.
• Большая клиентcкая база AnyConnect хорошо отзывается  о расширении NAC-политик на мобильные устройства (путем внедрения большей NAC функциональности в AnyConnect), при условии, что у Cisco это в планах на 2013г.

Недостатки

• Некоторые клиенты Cisco возражают против модели лицензирования на основе подписки и общей стоимости решения ISE.
• Cisco не торопится интегрировать свои два NAC-агента конечной точки. Расширенный пакет ISE требует использования агента Cisco NAC для анализа конечной точки (posture analysis). Хотя компания и планирует интегрировать агент NAC с клиентом AnyConnect в 2013 году, Cisco нужно выпустить несколько обновлений безопасности продукта в течение того же периода времени.
• ISE не включает в себя некоторые возможности, которые могут быть важны для клиентов более ранего RADIUS-сервера Cisco, известного как ACS. Например, пользователям TACACS +  (используется для аутентификации пользователей в маршрутизаторах Cisco и другом оборудовании Cisco) все равно нужен ACS. Таким образом, многие организации обнаружат, что им потребуется два отдельных продукта RADIUS от Cisco. В планах Cisco – интеграция ключевых функций ACS в ISE в 2013 году

 

Enterasys Networks

Enterasys Networks — вендор услуг сетевой инфраструктуры, подразделение Siemens Enterprise Communications. В дополнение к NAC, компания предлагает продукты в сфере безопасности в системе предотвращения вторжений (IPS), а также информационной безопасности и управлении событиями (SIEM). Предложение NAC включает в себя устройства внеполосного NAC шлюза и линейного контроллера NAC (также доступны в виде виртуальных устройств). Используется в основном для Enterasys NAC в свитчах Enterasys и WLAN-клиентами, хотя решение может поддерживаться и в не-Enterasys средах.

Достоинства

• Enterasys имеет хорошую BYOD стратегию. Она интегрировала решение NAC с несколькими решениями MDM, в том числе AirWatch, McAfee и MobileIron.
• Тесная интеграция решения Enterasys NAC с его семейством продуктов LAN свитчей позволяет применение гранулированных политик. Политики могут разрешать, запрещать, ограничивать скорость и применять другие средства управления трафиком на основе идентификации пользователя, времени, места, конечной системы и пользовательских групп.
• Клиенты Enterasys подчёркивают, что сервис и поддержка являются сильными сторонами компании.

Недостатки

• Enterasys пока не самый известный вендор на рынке NAC. Клиенты компании Gartner не часто включают Enterasys в список поставщиков NAC, оценивая рынок.
• Компании не хватает партнёрских компаний реселлеров как в США, так и в Европе.

 

ForeScout Technologies

ForeScout Technologies – частная калифорнийская компания, предлагающая противодействующую (CounterACT) линейку аппаратных и виртуальных устройств. Хотя ForeScout предлагает опциональные агенты, его бесклиентский подход облегчает поддержку Windows, Mac OS X и Linux конечными точками. В 2012 году ForeScout объявила о начале партнерских отношений с McAfee и Fiberlink, и добавила встроенный RADIUS-сервер в CounterACT устройства для повышения функциональности 802.1X. ForeScout можно рассматривать для средних и крупных развертываний NAC.

Достоинства

• ForeScout имеет сильную BYOD стратегию. Она стала первым производителем NAC в интеграции с MDM-поставщиком Fiberlink, а также с MobileIron. Она продает решения MDM под брендом ForeScout (ОЕМ Fiberlink MaaS360), а также предлагает мобильный продукт ForeScout, который включает в себя агенты для Apple IOS и Android устройств. Эти агенты могут применять политики устройств, а также сообщать о состоянии и статусе конфигурации в устройство CounterACT.
• канал продаж ForeScout будет усилен за счёт партнерства с McAfee (объявлено в октябре 2012 года). McAfee представит ForeScout в качестве предпочтительного решения NAC.
• Пользователи продолжают ссылаться на простоту развертывания, гибкие методы обеспечения и сетевую видимость, как на основные критерии выбора.
• ForeScout имеет одно из крупнейших активных развертываний среди всех поставщиков.

Недостатки

• Для обеспечения защиты от допущенной угрозы в распределенных средах требуются CounterACT устройства на каждом удаленном месте, что приводит к росту затрат на развертывание. ForeScout клиенты имеют возможность внедрения CounterACT устройств при централизованном подходе, который является менее дорогостоящим, но также и уменьшает функциональность защиты от угроз ForeScout.
• Поскольку, производители проводных и беспроводных устройств продолжают интегрировать NAC функциональность в свои инфраструктурные решения, архитектурная модель ForeScout устройств специального назначения NAC может иметь ограниченную привлекательность для массового рынка.

 

Impulse Point

Базирующаяся в Тампе, штат Флорида, основанная в 2007 году, Impulse Point акцентирует свое внимание на рынках высшего и среднего образования. Impulse Point поставляет своё решение SafeConnect  как управляемую услугу, которая включает в себя системы мониторинга, определения проблем и решения, обновления по профилям типов устройств, антивирусам и ОС, и удаленное резервное копирование данных настроек политик. SafeConnect могут быть реализованы в виде аппаратных средств или виртуальных устройств. В 2012 году Impulse Point добавила возможность определения личности-устройства и отслеживания сессии путем введения Identity Correlation Manager, устройства, которое интегрируется с сервером политик SafeConnect. Образовательным учреждениям будет интересно рассмотреть Impulse Point.

Достоинства

• Обратная связь с клиентами Impulse Point показывает, что SafeConnect может быть быстро реализована. Его подход к исполнению Layer 3 избавляет от необходимости проверять совместимость на Layer 2 (на уровне коммутатор локальной сети).
• Impulse Point продолжает демонстрировать четкое понимание вертикали образования, о чем свидетельствуют его технологические партнерства. В 2012 году она интегрировалась с платформой Procera Network’s Smart Campus — решением управления полосой пропускания для целей образовательной среды. Интегрированное решение позволяет школам назначать квоты пропускной способности для нескольких устройств (например, ноутбуков, IPADов и игровых устройств) на одного студента.
• клиенты Impulse Point постоянно выделяют сервис и поддержку компании как её сильные стороны.

 

InfoExpress

Основанная в 1993 году, InfoExpress является частной компанией, базирующейся в Калифорнии. Она в значительной степени ориентирована на рынок NAC. В 2012 году компания изменила архитектуру NAC продукта, что позволяет ему легче интегрироваться с каталогами, MDM, IPS и другими решениями для обеспечения безопасности сети. InfoExpress назвала это новое решение CGX, и оно доступно в качестве аппаратного устройства и в виде виртуального устройства. Предприятиям с гетерогенной инфраструктурой следует рассмотреть InfoExpress.

Достоинства

• InfoExpress имеет хорошую BYOD стратегию. Они были одними из первых производителей, обнаруживающих  взломанные iPhone  (через агента InfoExpress), а также имеют приложение для устройств Android. InfoExpress интегрировали новое решение CGX с MobileIron.
• В дополнение к MDM интеграции, CGX интегрируется с другими источниками данных (например, Snort и несколькими каталогами), и сопоставляя эту информацию, позволяет иметь более детальные NAC политики.
• Динамический NAC (решение на основе агентов ARP) и несколько других опций вариантов принуждения, делают CGX легко реализуемой в сложных сетях.

Недостатки

• отсутствие внимания InfoExpress к маркетингу, затрудняет его способность дифференцировать свои продукты и способствует низкой видимости компании клиентами Gartner.
• В предыдущих версиях продукта, клиенты InfoExpress отмечалил, что отчетные возможности нуждаются в улучшении. InfoExpress утверждает, что эти вопросы были решены с новым предложением CGX. Клиентам Gartner  рекомендуется проверить эти усовершенствования.

 

Juniper Networks

NAC решение Juniper Networks, Unified Access Control (UAC ), является RADIUS-решеним, которое доступно в семействе аппаратных и виртуальных устройств. Клиенты имеют возможность приобретения основного сервера RADIUS (подходит для среды 802.1X) или полного предложения UAC. В 2012 году компания расширила решение Juniper Junos Pulse  для поддержки Apple iOS и Android устройств. Тем не менее, Juniper не хватает интеграции с решениями сторонних производителей MDM. Оно также зависит от OEM технологий для ключевых функций NAC. Эти ограничения и уменьшения видимости для клиентов Gartner являются ключевыми факторами, которые перевели Juniper из квадранта лидеров в квадрант претендентов. Juniper UAC следует рассматривать там, где присутствует Juniper IPS, SSL VPN шлюз, межсетевой экран и свитчи, и где предприятия стремятся использовать основанное на 802.1X стандартах решение.

Достоинства

• UAC тесно интегрирована с ключевыми продуктами безопасности Juniper (firewall, IPS и SSL VPN),  сетевой инфраструктурой (коммутаторами ЛВС) и SIEM решениями. В дополнение к  обычным политикам NAC, сетевые компоненты безопасности компании Juniper легко могут использовать политики на основе идентичности  (политики на основе ролей).
• Агент Juniper Pulse работает под Apple IOS и Android-устройствами, а также поддерживает проверку актуальности обновлений для этих платформ. UAC также тесно интегрирована с Junos Pulse Mobile Security Suite, которая поддерживает некоторые функции MDM.
• Фокус компании Juniper на открытых стандартах, позволяет ей поддерживать гетерогенные сетевые среды. Компоненты UAC общаются друг с другом через открытые протоколы, которые были установлены TCG / Trusted Network Connect (TNC), которая облегчает интегроцию для других производителей, поддерживающих эти протоколы.

Недостатки

• UAC не хватает интеграции с решениями сторонних производителей MDM, а Junos Pulse Mobile Security Suite не является полным решением MDM, как это определено в волшебном квадранте Gartner 2012  Mobile Device Management. Juniper имеет сильную зависимость от OEM технологий для своих NAC. Её технология профилирования является OEM решением Great Bay Software, а его NAC и консоль основана на OEM от Q1 Labs Qradar (компании IBM). Great Bay Software  является очень маленькой компанией, и изменение её независимого статуса может негативно сказаться на Juniper.

• UAC не хватает сильных оперативных инструментов поддержки, которые важны для RADIUS-решений. Например, она не предлагает кросс-платформенноый инструмент на основе 802.1X  конфигурации доя подключения ОС-основанных суппликантов, а подробности о невозможности аутентификации  зарыты глубоко в логах.

 

StillSecure

Основанная в 2000 году в  Колорадо, StillSecure это частная компания, которая продает  управляемые сервисы безопасности и NAC, а также продукты по защите от уязвимостей. Компания сосредоточена на вертикали обороны. Gartner подсчитала, что более 50% выручки StillSecure получает от клиентов министерства обороны США. Решения NAC компании Safe Access поддерживает широкий спектр методов подключения конечной точки. Решения доступны в качестве аппаратных устройств и в виде виртуальных устройств. Рассматривать Safe Access стоит при наличии разнородных сетей и в местах, где требуется гибкость и подключения без агентов.

Достоинства

Safe Access поддерживает широкую базу вариантов политик, в том числе поддержку DHCP, VLAN, ACL и RADIUS на базе 802.1X аутентификации. Safe Access предоставляет детальный анализ состояния конечных точек. Сертификации StillSecure FIPS 140-2 и Common Criteria обеспечивают преимущество в государственном секторе, так как большинство других производителей NAC еще не получили эти сертификаты.

Недостатки

• StillSecure имеет слабую BYOD стратегию. На момент написания этой статьи, она не интегрирована ни с одним MDM.

• Вне клиентов оборонного комплекса, канал поддержки StillSecure и видимость для клиентов Gartner низкие.

 

Trustwave

Базирующаяся в Чикаго, Trustwave быстро растет как квалифицированный эксперт по безопасности (Qualified Security Assessor (QSA)) в индустрии платежных карт (PCI) и поставщик сервисов безопасности. В апреле 2011 года компания подала форму S1, с намерением стать общественной корпорацией, но еще не достигла этой цели. Её основанное на ARP решение NAC отличается своей направленностью на функции postconnect (см. Сильные стороны). В 2012 году Trustwave приобрела M86 Security — провайдера безопасной электронной почты и защищённых Web-шлюзов. NAC от Trustwave должен рассматриваться клиентами Trustwave, а также там, где требуется низкая или средняя стоимости решения.

Достоинства

Trustwave имеет серьёзные возможности обнаружения вредоносных программ и изоляции конечных точек, не соответствующих корпоративной политике (например, использование BitTorrent). Безагентный подход для обнаружения и настройки, наряду с ARP для усиления, упрощают развертывание в смешанных средах сетевой инфраструктуры. Trustwave предлагает три варианта решения NAC. Клиенты могут купить устройство NAC, контракт на сервис управляением NAC  или приобрести дополнительное программное обеспечение — NAC модуль для управляемых услуг UTM от Trustwave.

Недостатки

Trustwave имеет слабую BYOD-стратегию. На момент написания этой статьи, она не интегрирована ни содним решением MDM. В Северной Америке недостаточная поддержка NAC-канала за пределами PCI и сектора обработки платежей. Приобретение M86 помогает разнообразить и укрепить канал, хотя новые партнеры сосредоточены, главным образом на безопасности электронной почты и защищённых веб-шлюзах, и, возможно, не достаточно квалифицированы в NAC.


 

Добавление или уход производителей

Мы рассматриваем и корректируем наши критерием включения в Волшебный квадрант и MarketScopes по мере изменения рынков. В результате этих корректировок, сочетание производителей в любом Магическом квадранте или MarketScope может меняться с течением времени. Производитель, входящий в Волшебный Квадрант Quadrant или MarketScope в один год и не попавший на следующий не обязательно означает, что мы изменили наше отношение к производителю. Это может быть отражением изменений на рынке и, следовательно, изменились критерии оценки или изменился фокус работы производителя.

Добавленные производители

Avaya соответствовала критериям включения по доходам и продемонстрировала способность продавать свои NAC решения организациям, у которых нет сетевой инфраструктуры  Avaya.

Ушедшие

McAfee теперь перепродает ForeScout в качестве основного решения NAC и больше не будет продвигать свои NAC.

 

Критерии включения и исключения

Чтобы быть включенным в этот магический квадрант, решение производителя должно иметь возможность реализовать политику NAC в гетерогенной среде. Кроме того, решения поставщиков должны включать в себя политики, базовое управление доступом NAC, как определено следующимии критериям:

Политики:

Решение NAC должно включать в себя выделенный сервер управления политиками с интерфейсом управления для определения требований безопасности и конфигурации для указания действия контроля доступа (например — разрешить или на карантин) для совместимых и несовместимых конечных точек. Из-за того, что политики администрации и отчетность являются ключевыми областями NAC, поставщики должны обладать ключевыми функциями политик, чтобы быть включёнными в эту Волшебный Квадрант.

Выравнивание (Baseline): выравнивание определяет состояние безопасности конечной точки, которая пытается подключиться к сети, в результате может быть принято решение об уровне доступа, который будет разрешен. Выравнивание должно работать в гетерогенных средах конечной точки (например, Windows, Mac OS X, Apple IOS и Android). Оно должно включать в себя возможность оценки соответствия политикам (например, наличие MDM агента для мобильных устройств или шифрование диска для Windows ПК). Различные технологии могут быть использованы для базовых функций, в том числе безагентые решения (такие как сканирование уязвимостей), “растворимые” агенты и стойкие агенты. Решения NAC должны включать в себя базовые функции, но «изобретение велосипеда» не является необходимым. Базовые функциональные возможности могут быть получены через OEM или лицензированные партнерства.

Контроль доступа:

Решение NAC должно включать в себя способность блокировать, отправлять на карантин,   давать ограниченный или полный доступ конечной точке. Решение должно быть достаточно гибким, чтобы устанавливать контроль в сетевой инфраструктуре различных производителей, и он должен иметь возможность обеспечить доступ в проводной LAN, WLAN и среде удаленного доступа. Принуждения должны выполняться с помощью сетевой инфраструктуры (802.1X, VLAN, и ACL) или через решение NAC (например, пропуск / фильтрация пакетов или ARP спуфинг). Производители, которые полагаются исключительно на агентов в конечной точке, не квалифицируются как поставщики NAC решений.

Дополнительные критерии включают в себя:

Производители оборудования сетевой инфраструктуры должны были продемонстрировать свою способность в 2011 и 2012 продавать NAC решения клиентам вне их инфраструктуры. NAC производители должны были показать внедрения на предприятиях с более чем 5000 конечными точками.  Волшебный Квадрант не анализирует решения, предназначенные для малого или среднего бизнеса. Производители должны иметь установленную базу как минимум у 100 клиентов или 500 000 совокупного количества конечных точек. Производитель должен иметь не менее $ 5млн продаж NAC в течение 12 месяцев до 1 ноября 2012 года. Решения, которые непосредственно не приносят прибыль производителям,  в которые встроена базовая функциональность NAC, были исключены из анализа. NAC решение должно была быть общедоступно по состоянию на 1 ноября 2012 года.

 

Рассмотренные, но не включённые в Волшебный Квадрант 2012 производители

Microsoft встраивает функции NAC (Microsoft Network Access Protection [NAP]) в свои ОС. Microsoft больше активно не продает свои решения NAP, и мы получили несколько вопросов от клиентов Gartner об этом. Эра BYOD и быстрого роста не-Windows конечных точек делают сложным для Microsoft NAP конкуриренцию в гетерогенных средах.

Критерии оценки

Способность выполнять

Продукт/Услуга: оценка возможностей и функциональности NAC решений. Из-за растущего влияния BYOD  на NAC, этот критерий сильно перевешивает возможность создания и применения политик в гетерогенных средах конечной точки (Windows, Mac OS X, Apple IOS и Android). Другие BYOD функции NAC — такие как интеграция с решениями MDM, профилирование конечных точек и способность обеспечить ограниченный доступ для устройств в личной собственности, были также учтены.

Общая жизнеспособность: Жизнеспособность включает оценку общего финансового состояние производителя, финансовые и практические успехи бизнес-единицы, и вероятность того, что отдельные бизнес-единицы будут продолжать инвестировать в решения NAC.

Продавцы / цены: Возможности производителей в предпродажной деятельности и структуре, которая их поддерживает. Способность производителей к успешности на своих целевых рынках очень важна. Производители должны продемонстрировать успех в завоевании NAC сделок на 5000 конечных точек или более.

Маркетинговые усилия: Этот критерий оценивает эффективность программ маркетинга производителя и его способность создавать осведомленность, а также делиться опытом на рынке NAC. Те продавцы, которые часто появляются в клиентских коротких списках, преуспели в маркетинговых усилиях.

Опыт клиентов: качество обслуживания  на основе данных от клиентов Gartner. Данные собирают посредством звонков и онлайн-опроса.

Таблица 1. Соответствие критериям оценки

 

Критерий оценки

оценка

Общая жизнеспособность (Бизнес-единиц, финансовая, стратегии, организации)

высокая

Продукт/сервис

высокая

Продажи/ценообразование

стандартная

Реагирование на рынке и послужной список

не оценивались

Маркетинговые усилия

стандартная

Опыт клиентов

высокая

Операции

не оценивались

 

Источник: Gartner (декабрь 2012 года)

Полнота видения

Понимание рынка: способность предвидеть тенденции рынка, такие как влияние BYOD и быстро адаптироваться посредством сотрудничества, приобретения или внутреннего развития.

Маркетинговая стратегия: Этот критерий анализирует — способствует ли маркетинговая стратегия производителя дифференциации его решений NAC от конкурентов.

Стратегия продаж: стратегия производителя для продаж своей целевой аудитории, в том числе анализ оптимального сочетания прямых и косвенных каналов продаж.

Стратегия предложения (продукта): оценка стратегических продуктов поставщика  и его планов для NAC. В стратегии продукта должны рассматриваться тенденции, которые нашли свое отражение в запросах клиентов Gartner.

Вертикальные / промышленные стратегии: стратегия поставщика для удовлетворения конкретных потребностей отдельных вертикальных рынков и сегментов рынка. Например, имеет ли производитель эффективную стратегию для захвата вертикальных рынков, которые активно применяют NAC, таких как высшее образование, здравоохранение и финансовые услуги?

Инновации: Этот критерий включает в себя нововведения продукта и способность предоставлять NAC возможности и функции, которые отличают поставщика от конкурентов.

Географические стратегии: стратегия производителя для проникновения в регионы за пределами его домашнего рынка.

 

Критерий оценки

оценка

Понимание рынка

Высокая

Маркетинговая стратегия

стандартная

Стратегия продаж

стандартная

Стратегия предложения (продукта)

Высокая

Бизнес модель

не оценивались

Вертикальные / промышленные стратегии

низкая

Инновации

стандартная

Географические стратегии

низкая

 

Квадрант лидеров

Лидеры успешно продают большие реализаций NAC (10000 узлов и более) на нескольких крупных предприятиях. Лидеры производителей только NAC или компани сетевой безопасности, которые были первыми на рынке с расширенными возможностями во время становления рынка. У лидеров есть ресурсы для поддержания своей приверженности NAC, есть сильные каналы и они имеют финансовые ресурсы. Они также продемонстрировали четкое понимание будущего направления NAC, в том числе влияния BYOD. Лидеры не должны приравниваются к выбору по умолчанию для каждого покупателя, и клиенты не должны считать, что они должны покупать только у производителей в квадранте лидеров.

Претенденты

Претенденты являются сетевыми или  занимающимися безопасностью компаниями, которые были успешны в продаже NAC в их базе инсталляций, но, как правило, неудачными в продаже NAC на более широком рынке. Претенденты, как правило, не NAC новаторы, но достаточно большие и продолжают инвестировать достаточно диверсифицировано в свои стратегии NAC. Они способны выдерживать вызовы и переносить неудачи легче, чем Нишевые игроки.

Провидцы

Провидцы ведут рынок к инновационным продуктам и / или отображают раннее понимание рыночных сил и тенденций. Они меньше, чем производители только NAC и большие сетевые  занимающиеся безопасностью компании. Общее у  производителей-Провидцев то, что они не имеют значительных каналов на рынке NAC и им так и не удалось построить установленных баз такого размера, как у лидеров.

Нишевые игроки

Нишевые игроки, как правило, сильны в стратегических вертикалях NAC (например, образовании и здравоохранении) и некоторых регионах. Они не часто появляются в коротких списках клиентов Gartner, но они являются вариантом выбора для организаций в их ключевых регионах и отраслях.

Контекст

Если ваша организация сталкивается с проблемой BYOD, рассмотрите решения, которые могут легко профилировать личные мобильные устройства, а также применять элементы управления, которые согласуются с мобильными политиками организации. Есть несколько подходов для обеспечения NAC политик (например, виртуальные локальные сети, межсетевые экраны, списки контроля доступа и др.), ищите решения, которые наилучшим образом соответствует вашей сетевой инфраструктуре

Обзор рынка

Спрос на функциональность NAC увеличился в 2012 году. Это обусловлено необходимостью поддержки  предприятиями использования личных смартфонов и планшетов. Даже там, где BYOD не допускается, ИТ-организации вынуждены развертывать и поддерживать разнообразные мобильные устройства с разной степенью управленческого контроля / видимости и реализации политик. NAC способность обнаруживать — какой тип устройства подключения к сети применять и ограничивать возможности доступа, когда это требуется. Это основной компонент ограничения риска когда есть спрос на «хочу использовать любое устройство.»

Поддержка гетерогенных устройств в целом, и допуск использования устройств сотрудников в частности, даёт традиционной платформе защиты конечной точки программного обеспечения (EPP) по сравнению с NAC меньше шансов на успех, потому что имеет меньше контроля над тем, какое программное обеспечение будет установлено на устройстве пользователя. Решение McAfee о перепродаже продукта ForeScout в качестве своего предпочтительного решения NAC свидетельствует о проблемах, с которыми сталкиваются производители EPP на рынке NAC. Решения, которые могут интегрироваться с широким спектром EPP и MDM, а также предлагают растворимые агенты или безагентные конечные точки, имеют большие преимущества на рынке NAC сегодня и будет иметь большие преимущества в будущем. Большинство производителей в Волшебном Квадранте планирует интегрировать свои продукты с большим количеством MDM решений в 2013 году (или планируют достичь своей первой интеграции MDM).

Есть также некоторые тенденции, которые окажут влияние на NAC в течение ближайших нескольких лет: рост рынка мобильных приложений будет смещаться от модели доступа устройства работника к корпоративной сети через Wi-Fi или VPN к модели подключения через 4G/LTE непосредственно к отдельным серверам приложений. Когда это произойдет, важность функциональности «мобильного облака» NAC увеличится (см. «Выбери правильный инструмент для безопасной поддержки смартфонов и планшетов пользователя»). Рост инфраструктуры виртуальных рабочих столов уменьшает важность  доступа устройства к сети, так как приложения и данные находятся на сервере.

NAC стандарты были придуманы TCG и предложены IETF в 2010г. Однако, эти стандарты не спешат выйти на рынок, что приводит к проблемам с совместимостью — особенно когда конечные точки становится все более неоднородными. Поддержка протоколов TNC встроена в Windows, но не был поддерживается Apple в IOS или Google в Android.