Другие новости
Аналитика доходности ASIC-майнеров и динамики BTC за сентябрь 2025 года
Заявки на конкурс «Лидеры цифровой трансформации» в Москве поступили из 27 стран
Более пяти тысяч участников объединил Moscow Startup Summit
Москвичи высоко оценили проект для владельцев собак «Друг, спасатель, защитник»
Уже более 14 тысяч москвичей подали заявки на вступление в волонтерский корпус 80-летия Победы
Магический квадрант компании Гартнер: контроль доступа к сети
Аналитика
Тенденция BYOD (Bring Your Own Device) продолжает быть главным двигателем в процессе перехода на Network Access Conrol (NAC) . И у производителей NAC должны быть гибкие подходы (партнерские и / или собственной разработки) для применения политик к устройствам, находящимся в личной собственности.
Определение рынка / Описание
Поставщики технологии управления доступа к сети (NAC) делятся на три основные категории:
- Производители устройств для проводных и беспроводных сетей. Большинство крупных производителей коммутаторов для локальной сети предлагают решения NAC. Приобретение компанией Aruba Networks компании Avenda Systems означает, что два крупнейших производителя устройств для беспроводных локальных сетей (WLAN) — Cisco и Aruba, также имеют NAC-продукты.
- Производители устройств сетевой безопасности. Поскольку они уже продают продукты, которые служат узлами реализации политик сети, NAC-продукты дополняют их предложение.
- Вендоры, специализирующиеся исключительно в сфере NAC. NAC продолжает развиваться, и вендоры, фокусирующиеся на решениях NAC в качестве основного продукта, являются более узнаваемыми и быстро реагирующими на динамично развивающемся рынке.
Рис.1. Волшебный квадрант производителей устройств для контроля доступа сети (NAC)
Достоинства и недостатки вендоров
Gartner считает, что размер рынка NAC в 2012 году составил около $240 млн., увеличившись примерно на 17% по сравнению с 2011г. Тенденции мобильности и использования личных устройств (BYOD) увеличили спрос, а крупнейшие NAC-поставщики испытали заметный рост. Движимый этими тенденциями рынок ожидает рост, – примерно на 63% в 2013 году, с приблизительным доходом в размере $390 млн. Предприятия тратят средства на управление мобильными устройствами (MDM) — см. «Волшебный квадрант для программного обеспечения управления мобильными устройством». NAC – основное средство удовлетворения спроса на использование смартфонов и планшетов, находящихся в личной собственности, и подвергающих рискам сеть. Несмотря на то, что ожидается рост конечных устройств с NAC, в более долгосрочной перспективе функциональность NAC станет встроенной в беспроводные методы доступа, что обеспечит снижение цен.
Магический квадрант
Access Layers
Основанная в 2007 году, израильская компания Access Layers является чистой воды производителем NAC. Её решение – portnox, – обходится без дополнительных программ-агентов и основано на проверке конечной точки подключения. После подключения устройства к сети, portnox проверяет тип операционной системы и применяет соответствующие политики к точке доступа (LAN свитчу, WLAN контроллеру или VPN шлюзу). В 2012 году Access Layers расширила свою продуктовую линейку, добавив решения для использования BYOD и облачных NAC. На американском рынке компания занимает незначительный сектор. Организациям, способным справиться с определёнными рисками стартапа, и находящимся географически в зоне сервиса поддержки Access Layers, стоит присмотреться к portnox.
Достоинства
• Access Layers интегрировала portnox с производителями MDM Zenprise и Good Technology.
• Клиенты Access Layers единодушны в том, что решение portnox просто в развертывании и управлении. Оно закрепляется за любым портом коммутатора локальной сети и не требует «зеркала» или порта анализатора коммутируемых портов (SPAN).
• Access Layers может применять политики NAC в среде VMware. Например, она контролирует и графически представляет число используемых виртуальных машин (VM) и обеспечивает политики для этих виртуальных машин, путем блокирования или разрешения доступа к виртуальным коммутаторам.
Недостатки
— Стратегии Access Layers для BYOD ограничены из-за своей зависимости от Active Directory (AD), используемой для аутентификации. Устройства, которые есть в AD, получают доступ к сети. Устройства личного пользования и устройства не из AD должны регистрироваться через связанный портал. Продукт Airforcer компании Access Layers устанавливает связанный портал, но он не в состоянии контролировать гранулированные политики устройства (например, обеспечить соблюдение политик приложения на мобильных конечных точках).
• Возможности анализа конечной точки довольно слабы для устройств Windows. В консоли управления нелегко найти отсутствующие патчи для Windows.
• Access Layers имеет ограниченный географический охват. Клиенты за пределами Израиля и Великобритании могут столкнуться с трудностями получения предпродажной и послепродажной поддержки со стороны компании.
Aruba Networks
Aruba, расположенная в Саннивейл, Калифорния, вышла на рынок благодаря приобретению NAC-решений у компаний Avenda Systems (2011) и Amigopod (2010). В 2012 году Aruba интегрировала два решения и выпустила NAC под брендом «ClearPass». Основой ClearPass является служба аутентификации удаленных пользователей по коммутируемым каналам связи (Remote Authentication Dial-In User Service — RADIUS) сервера, на базе политик от Avenda (доступна в аппаратных и виртуальных устройствах), и гостевой сетевой компонент, основанный на технологии Amigopod. Aruba также расширяет линейку своих решений за счёт разработки политик безопасности сети для приложений на мобильных устройствах. Клиенты Aruba и любое предприятие, которое нуждается в сервере политик, способном поддерживать гетерогенные конечные точки, должны подумать о ClearPass.
Достоинства
• Aruba интегрирована с несколькими производителями MDM, в том числе Fiberlink и MobileIron.
• Инновации Aruba’s 802.1X включают в себя встроенную сертификацию авторизации к ClearPass, что облегчает реализацию BYOD, не требуя внешнего центра сертификации. Модуль ClearPass OnBoard предоставляет возможность отзыва и удаления сертификатов (например, если устройство потеряно или украдено).
• Пользователи, перечисляя причины перехода на ClearPass, ссылаются на гибкий механизм политик, хорошую отчетность и общую простоту управления.
• Большое количество реализаций беспроводных решений Aruba дает ей плацдарм для продаж ClearPass в общественных структурах, активно использующих NAC, таких как образование, здравоохранение и финансовые услуги.
Недостатки
• Стратегический шаг Aruba в направлении управления и обеспечения соблюдения политик для мобильных приложений выводит компанию за пределы традиционной для компании сферы решений сетевой инфраструктуры. Стратегия распространения политик сетевой безопасности на мобильные приложения заставляет Aruba конкурировать с существующими производителями MDM и вендорами управления мобильными приложениями.
• Жёсткая фокусировка Aruba на беспроводных сетях усложняет продажи NAC в области проводных сетей и не-Aruba сетей.
Auconet
Auconet была основана в 1998 году в качестве системного интегратора и начала поставки решений NAC в 2005 году. Это частная компания, базирующаяся в Германии, с офисами в Австрии и Швейцарии. В 2012 году Auconet начала продажи в Северной Америке. Auconet развертывается чаще всего в качестве решения без агентов, поскольку ее основанный на RADIUS сервер политик поддерживает родной протокол 802.1X суппликантов (устройств, которые запрашивают доступ к сети). Сервер политик доступен в качестве аппаратного или в виде виртуального устройства. Auconet также предлагает постоянный агент (только для Windows). Организации, находящиеся в пределах географического охвата Auconet, и имеющие гетерогенную сетевую инфраструктуру, должны рассмотреть Auconet.
Достоинства
• У Auconet есть несколько крупных клиентов, в том числе с реализацией более чем 100 000 конечных точек.
• Пользователи положительно отзываются о безагентном подходе и простоте реализации.
• Решение обеспечивает видимость сетевого трафика, посредством захвата записей NetFlow и корреляции информации для отображения наиболее активных пользователей и топ-протоколов.
Недостатки
— Auconet имеет слабую стратегию BYOD. На момент написания этой статьи, она не интегрирована ни с одним решением MDM.
— Видимость конфигурации конечной точки ограничена. Например, в решении отсутствует возможность сообщить о недостающих патчах для Windows-ПК.
— Auconet имеет ограниченный географический охват. Клиенты за пределами Европы могут столкнуться с трудностями получения предпродажной и послепродажной поддержки со стороны компании.
Avaya
Avaya является частной компанией, которая предлагает решения для унифицированных коммуникаций, контакт-центров и сетей передачи голоса и данных. Она вышла на рынок NAC, когда приобрела разработку Identity Engines от Nortel Networks (Avaya приобрела сетевое подразделение Nortel в 2009 году). Ignition Server – это основанный на RADIUS сервер, поставляющийся в виде виртуального устройства (с поддержкой формата Open Virtualization). Ignition Server следует учитывать при использовании решений Avaya для сетей передачи данных, и когда предприятию нужны решения стандарта 802.1X.
Достоинства
• Поддержка стандартов Trusted Computing Group (TCG) и Internet Engineering Task Force (IETF) позволяет Identity Engines получать доступ к конечным точкам Microsoft Windows (XP SP3 и выше), не требуя дополнительного агента.
• Identity Engines интегрируются с широким спектром директорий благодаря поддержке XACML.
• Пользователи Avaya отмечают легкость использования, особенно в отношении создания политик.
Недостатки
• NAC-стратегия Avaya для BYOD отстает от конкурентов. На момент написания этой статьи она не интегрирована ни с одной MDM платформой, и у неё нет агента для Mac OS X.
• Возможности Endpoint ограничены. Например, консоль не имеет возможности сообщить об отсутствующих патчах для систем Windows.
• В отличие от нескольких конкурирующих 802.1X/RADIUS-based решений, Avaya не хватает кросс-платформенного инструмента конфигурации суппликанта.
Bradford Networks
Bradford Networks является частной компанией, базирующейся в Кембридже, штат Массачусетс, и поставляет NAC-решения с 2001 года. Её продукт Network Sentry NAC доступен как в виде аппаратного, так и в виде виртуального устройства. В 2012 году компания выпустила Bradford Cloud, который представляет собой облачный вариант управления NAC. NAC-продукты Bradford Networks должны рассматриваться предприятиями с гетерогенными сетями и смешанным парком конечных устройств.
Достоинства
• Bradford имеет хорошие BYOD- и мобильную стратегии. В дополнение к интеграции с решением MDM AirWatch, компанией разработаны приложения для устройств на базе IOS и Android .
• Network Sentry интегрируется с рядом других решений в области безопасности, в том числе FireEye, Fortinet, Palo Alto Networks, Sourcefire и RSA NetWitness. Эти интеграции обеспечивают Network Sentry большую прозрачность сетевого трафика и угроз, а также возможность карантина или блокировки опасных конечных точек.
• Партнерство с HP укрепило глобальные дистрибуторские каналы Bradford. Bradford интегрировала технологию аутентификации с беспроводным контроллером HP.
Недостатки
• Некоторые отзывы клиентов Bradford нелестны в отношении сервиса компании и организации поддержки. Отмечается, что ей не хватает зрелости процессов.
• Bradford сталкивается с сильной конкуренцией со стороны Cisco и Aruba на основном рынке в сфере высшего образования, которая составляет примерно 50% их клиентской базы. Оба конкурента начали предлагать новые решения NAC в 2011 году, и с тех пор ведут более агрессивную политику в области продаж NAC колледжам и университетам.
Cisco
Флагманское NAC-предложение компании Cisco – Identity Services Engine (ISE), заменило более ранние NAC-решения Cisco. Сервер политик ISE на основе RADIUS позволяет Cisco поддерживать аутентификацию в гетерогенных средах сетевой инфраструктуры (хотя передовые функции NAC потребуют дополнительных компонентов Cisco). ISE доступна в аппаратных устройствах, а также в качестве виртуального сервера. Программное обеспечение ISE доступно в двух версиях. Базовый пакет поддерживает 802.1X, а расширенный пакет поддерживает оценку конечной точки (posture assessment), гранулированные политики идентичности и другие более сложные функции. Проводные и беспроводные клиенты Cisco должны рассмотреть ISE, особенно там, где конечная точка использует Cisco AnyConnect.
Достоинства
• Cisco имеет сильную BYOD стратегию и публично заявила об интеграции с четырьмя производителями MDM: AirWatch, Good Technology, MobileIron и Zenprise. Завершение интеграции запланировано на первую половину 2013 года.
• Возможность профилирования устройства встроена в коммутаторы Cisco и беспроводные контроллеры (через обновление прошивки), что исключает необходимость развертывания автономных датчиков (профилирование устройств через анализ трафика) в сети. Сервер ISE может идентифицировать и классифицировать конечные точки с помощью шаблонов, предоставляемых Cisco или определяемых администратором. ISE использует комбинацию активных и пассивных методов профилирования для достижения более точного профиля.
• Поддержка Cisco собственных тегов идентичности (которые она называет TrustSec SGA) в Ethernet (через стандарт 802.1AE) позволяет более продвинутым клиентам реализовать гранулированную идентичность на основе политик. Большинству организаций потребуется модернизация инфраструктуры, чтобы воспользоваться этой функцией.
• Большая клиентcкая база AnyConnect хорошо отзывается о расширении NAC-политик на мобильные устройства (путем внедрения большей NAC функциональности в AnyConnect), при условии, что у Cisco это в планах на 2013г.
Недостатки
• Некоторые клиенты Cisco возражают против модели лицензирования на основе подписки и общей стоимости решения ISE.
• Cisco не торопится интегрировать свои два NAC-агента конечной точки. Расширенный пакет ISE требует использования агента Cisco NAC для анализа конечной точки (posture analysis). Хотя компания и планирует интегрировать агент NAC с клиентом AnyConnect в 2013 году, Cisco нужно выпустить несколько обновлений безопасности продукта в течение того же периода времени.
• ISE не включает в себя некоторые возможности, которые могут быть важны для клиентов более ранего RADIUS-сервера Cisco, известного как ACS. Например, пользователям TACACS + (используется для аутентификации пользователей в маршрутизаторах Cisco и другом оборудовании Cisco) все равно нужен ACS. Таким образом, многие организации обнаружат, что им потребуется два отдельных продукта RADIUS от Cisco. В планах Cisco – интеграция ключевых функций ACS в ISE в 2013 году
Enterasys Networks
Enterasys Networks — вендор услуг сетевой инфраструктуры, подразделение Siemens Enterprise Communications. В дополнение к NAC, компания предлагает продукты в сфере безопасности в системе предотвращения вторжений (IPS), а также информационной безопасности и управлении событиями (SIEM). Предложение NAC включает в себя устройства внеполосного NAC шлюза и линейного контроллера NAC (также доступны в виде виртуальных устройств). Используется в основном для Enterasys NAC в свитчах Enterasys и WLAN-клиентами, хотя решение может поддерживаться и в не-Enterasys средах.
Достоинства
• Enterasys имеет хорошую BYOD стратегию. Она интегрировала решение NAC с несколькими решениями MDM, в том числе AirWatch, McAfee и MobileIron.
• Тесная интеграция решения Enterasys NAC с его семейством продуктов LAN свитчей позволяет применение гранулированных политик. Политики могут разрешать, запрещать, ограничивать скорость и применять другие средства управления трафиком на основе идентификации пользователя, времени, места, конечной системы и пользовательских групп.
• Клиенты Enterasys подчёркивают, что сервис и поддержка являются сильными сторонами компании.
Недостатки
• Enterasys пока не самый известный вендор на рынке NAC. Клиенты компании Gartner не часто включают Enterasys в список поставщиков NAC, оценивая рынок.
• Компании не хватает партнёрских компаний реселлеров как в США, так и в Европе.
ForeScout Technologies
ForeScout Technologies – частная калифорнийская компания, предлагающая противодействующую (CounterACT) линейку аппаратных и виртуальных устройств. Хотя ForeScout предлагает опциональные агенты, его бесклиентский подход облегчает поддержку Windows, Mac OS X и Linux конечными точками. В 2012 году ForeScout объявила о начале партнерских отношений с McAfee и Fiberlink, и добавила встроенный RADIUS-сервер в CounterACT устройства для повышения функциональности 802.1X. ForeScout можно рассматривать для средних и крупных развертываний NAC.
Достоинства
• ForeScout имеет сильную BYOD стратегию. Она стала первым производителем NAC в интеграции с MDM-поставщиком Fiberlink, а также с MobileIron. Она продает решения MDM под брендом ForeScout (ОЕМ Fiberlink MaaS360), а также предлагает мобильный продукт ForeScout, который включает в себя агенты для Apple IOS и Android устройств. Эти агенты могут применять политики устройств, а также сообщать о состоянии и статусе конфигурации в устройство CounterACT.
• канал продаж ForeScout будет усилен за счёт партнерства с McAfee (объявлено в октябре 2012 года). McAfee представит ForeScout в качестве предпочтительного решения NAC.
• Пользователи продолжают ссылаться на простоту развертывания, гибкие методы обеспечения и сетевую видимость, как на основные критерии выбора.
• ForeScout имеет одно из крупнейших активных развертываний среди всех поставщиков.
Недостатки
• Для обеспечения защиты от допущенной угрозы в распределенных средах требуются CounterACT устройства на каждом удаленном месте, что приводит к росту затрат на развертывание. ForeScout клиенты имеют возможность внедрения CounterACT устройств при централизованном подходе, который является менее дорогостоящим, но также и уменьшает функциональность защиты от угроз ForeScout.
• Поскольку, производители проводных и беспроводных устройств продолжают интегрировать NAC функциональность в свои инфраструктурные решения, архитектурная модель ForeScout устройств специального назначения NAC может иметь ограниченную привлекательность для массового рынка.
Impulse Point
Базирующаяся в Тампе, штат Флорида, основанная в 2007 году, Impulse Point акцентирует свое внимание на рынках высшего и среднего образования. Impulse Point поставляет своё решение SafeConnect как управляемую услугу, которая включает в себя системы мониторинга, определения проблем и решения, обновления по профилям типов устройств, антивирусам и ОС, и удаленное резервное копирование данных настроек политик. SafeConnect могут быть реализованы в виде аппаратных средств или виртуальных устройств. В 2012 году Impulse Point добавила возможность определения личности-устройства и отслеживания сессии путем введения Identity Correlation Manager, устройства, которое интегрируется с сервером политик SafeConnect. Образовательным учреждениям будет интересно рассмотреть Impulse Point.
Достоинства
• Обратная связь с клиентами Impulse Point показывает, что SafeConnect может быть быстро реализована. Его подход к исполнению Layer 3 избавляет от необходимости проверять совместимость на Layer 2 (на уровне коммутатор локальной сети).
• Impulse Point продолжает демонстрировать четкое понимание вертикали образования, о чем свидетельствуют его технологические партнерства. В 2012 году она интегрировалась с платформой Procera Network’s Smart Campus — решением управления полосой пропускания для целей образовательной среды. Интегрированное решение позволяет школам назначать квоты пропускной способности для нескольких устройств (например, ноутбуков, IPADов и игровых устройств) на одного студента.
• клиенты Impulse Point постоянно выделяют сервис и поддержку компании как её сильные стороны.
InfoExpress
Основанная в 1993 году, InfoExpress является частной компанией, базирующейся в Калифорнии. Она в значительной степени ориентирована на рынок NAC. В 2012 году компания изменила архитектуру NAC продукта, что позволяет ему легче интегрироваться с каталогами, MDM, IPS и другими решениями для обеспечения безопасности сети. InfoExpress назвала это новое решение CGX, и оно доступно в качестве аппаратного устройства и в виде виртуального устройства. Предприятиям с гетерогенной инфраструктурой следует рассмотреть InfoExpress.
Достоинства
• InfoExpress имеет хорошую BYOD стратегию. Они были одними из первых производителей, обнаруживающих взломанные iPhone (через агента InfoExpress), а также имеют приложение для устройств Android. InfoExpress интегрировали новое решение CGX с MobileIron.
• В дополнение к MDM интеграции, CGX интегрируется с другими источниками данных (например, Snort и несколькими каталогами), и сопоставляя эту информацию, позволяет иметь более детальные NAC политики.
• Динамический NAC (решение на основе агентов ARP) и несколько других опций вариантов принуждения, делают CGX легко реализуемой в сложных сетях.
Недостатки
• отсутствие внимания InfoExpress к маркетингу, затрудняет его способность дифференцировать свои продукты и способствует низкой видимости компании клиентами Gartner.
• В предыдущих версиях продукта, клиенты InfoExpress отмечалил, что отчетные возможности нуждаются в улучшении. InfoExpress утверждает, что эти вопросы были решены с новым предложением CGX. Клиентам Gartner рекомендуется проверить эти усовершенствования.
Juniper Networks
NAC решение Juniper Networks, Unified Access Control (UAC ), является RADIUS-решеним, которое доступно в семействе аппаратных и виртуальных устройств. Клиенты имеют возможность приобретения основного сервера RADIUS (подходит для среды 802.1X) или полного предложения UAC. В 2012 году компания расширила решение Juniper Junos Pulse для поддержки Apple iOS и Android устройств. Тем не менее, Juniper не хватает интеграции с решениями сторонних производителей MDM. Оно также зависит от OEM технологий для ключевых функций NAC. Эти ограничения и уменьшения видимости для клиентов Gartner являются ключевыми факторами, которые перевели Juniper из квадранта лидеров в квадрант претендентов. Juniper UAC следует рассматривать там, где присутствует Juniper IPS, SSL VPN шлюз, межсетевой экран и свитчи, и где предприятия стремятся использовать основанное на 802.1X стандартах решение.
Достоинства
• UAC тесно интегрирована с ключевыми продуктами безопасности Juniper (firewall, IPS и SSL VPN), сетевой инфраструктурой (коммутаторами ЛВС) и SIEM решениями. В дополнение к обычным политикам NAC, сетевые компоненты безопасности компании Juniper легко могут использовать политики на основе идентичности (политики на основе ролей).
• Агент Juniper Pulse работает под Apple IOS и Android-устройствами, а также поддерживает проверку актуальности обновлений для этих платформ. UAC также тесно интегрирована с Junos Pulse Mobile Security Suite, которая поддерживает некоторые функции MDM.
• Фокус компании Juniper на открытых стандартах, позволяет ей поддерживать гетерогенные сетевые среды. Компоненты UAC общаются друг с другом через открытые протоколы, которые были установлены TCG / Trusted Network Connect (TNC), которая облегчает интегроцию для других производителей, поддерживающих эти протоколы.
Недостатки
• UAC не хватает интеграции с решениями сторонних производителей MDM, а Junos Pulse Mobile Security Suite не является полным решением MDM, как это определено в волшебном квадранте Gartner 2012 Mobile Device Management. Juniper имеет сильную зависимость от OEM технологий для своих NAC. Её технология профилирования является OEM решением Great Bay Software, а его NAC и консоль основана на OEM от Q1 Labs Qradar (компании IBM). Great Bay Software является очень маленькой компанией, и изменение её независимого статуса может негативно сказаться на Juniper.
• UAC не хватает сильных оперативных инструментов поддержки, которые важны для RADIUS-решений. Например, она не предлагает кросс-платформенноый инструмент на основе 802.1X конфигурации доя подключения ОС-основанных суппликантов, а подробности о невозможности аутентификации зарыты глубоко в логах.
StillSecure
Основанная в 2000 году в Колорадо, StillSecure это частная компания, которая продает управляемые сервисы безопасности и NAC, а также продукты по защите от уязвимостей. Компания сосредоточена на вертикали обороны. Gartner подсчитала, что более 50% выручки StillSecure получает от клиентов министерства обороны США. Решения NAC компании Safe Access поддерживает широкий спектр методов подключения конечной точки. Решения доступны в качестве аппаратных устройств и в виде виртуальных устройств. Рассматривать Safe Access стоит при наличии разнородных сетей и в местах, где требуется гибкость и подключения без агентов.
Достоинства
Safe Access поддерживает широкую базу вариантов политик, в том числе поддержку DHCP, VLAN, ACL и RADIUS на базе 802.1X аутентификации. Safe Access предоставляет детальный анализ состояния конечных точек. Сертификации StillSecure FIPS 140-2 и Common Criteria обеспечивают преимущество в государственном секторе, так как большинство других производителей NAC еще не получили эти сертификаты.
Недостатки
• StillSecure имеет слабую BYOD стратегию. На момент написания этой статьи, она не интегрирована ни с одним MDM.
• Вне клиентов оборонного комплекса, канал поддержки StillSecure и видимость для клиентов Gartner низкие.
Trustwave
Базирующаяся в Чикаго, Trustwave быстро растет как квалифицированный эксперт по безопасности (Qualified Security Assessor (QSA)) в индустрии платежных карт (PCI) и поставщик сервисов безопасности. В апреле 2011 года компания подала форму S1, с намерением стать общественной корпорацией, но еще не достигла этой цели. Её основанное на ARP решение NAC отличается своей направленностью на функции postconnect (см. Сильные стороны). В 2012 году Trustwave приобрела M86 Security — провайдера безопасной электронной почты и защищённых Web-шлюзов. NAC от Trustwave должен рассматриваться клиентами Trustwave, а также там, где требуется низкая или средняя стоимости решения.
Достоинства
Trustwave имеет серьёзные возможности обнаружения вредоносных программ и изоляции конечных точек, не соответствующих корпоративной политике (например, использование BitTorrent). Безагентный подход для обнаружения и настройки, наряду с ARP для усиления, упрощают развертывание в смешанных средах сетевой инфраструктуры. Trustwave предлагает три варианта решения NAC. Клиенты могут купить устройство NAC, контракт на сервис управляением NAC или приобрести дополнительное программное обеспечение — NAC модуль для управляемых услуг UTM от Trustwave.
Недостатки
Trustwave имеет слабую BYOD-стратегию. На момент написания этой статьи, она не интегрирована ни содним решением MDM. В Северной Америке недостаточная поддержка NAC-канала за пределами PCI и сектора обработки платежей. Приобретение M86 помогает разнообразить и укрепить канал, хотя новые партнеры сосредоточены, главным образом на безопасности электронной почты и защищённых веб-шлюзах, и, возможно, не достаточно квалифицированы в NAC.
Добавление или уход производителей
Мы рассматриваем и корректируем наши критерием включения в Волшебный квадрант и MarketScopes по мере изменения рынков. В результате этих корректировок, сочетание производителей в любом Магическом квадранте или MarketScope может меняться с течением времени. Производитель, входящий в Волшебный Квадрант Quadrant или MarketScope в один год и не попавший на следующий не обязательно означает, что мы изменили наше отношение к производителю. Это может быть отражением изменений на рынке и, следовательно, изменились критерии оценки или изменился фокус работы производителя.
Добавленные производители
Avaya соответствовала критериям включения по доходам и продемонстрировала способность продавать свои NAC решения организациям, у которых нет сетевой инфраструктуры Avaya.
Ушедшие
McAfee теперь перепродает ForeScout в качестве основного решения NAC и больше не будет продвигать свои NAC.
Критерии включения и исключения
Чтобы быть включенным в этот магический квадрант, решение производителя должно иметь возможность реализовать политику NAC в гетерогенной среде. Кроме того, решения поставщиков должны включать в себя политики, базовое управление доступом NAC, как определено следующимии критериям:
Политики:
Решение NAC должно включать в себя выделенный сервер управления политиками с интерфейсом управления для определения требований безопасности и конфигурации для указания действия контроля доступа (например — разрешить или на карантин) для совместимых и несовместимых конечных точек. Из-за того, что политики администрации и отчетность являются ключевыми областями NAC, поставщики должны обладать ключевыми функциями политик, чтобы быть включёнными в эту Волшебный Квадрант.
Выравнивание (Baseline): выравнивание определяет состояние безопасности конечной точки, которая пытается подключиться к сети, в результате может быть принято решение об уровне доступа, который будет разрешен. Выравнивание должно работать в гетерогенных средах конечной точки (например, Windows, Mac OS X, Apple IOS и Android). Оно должно включать в себя возможность оценки соответствия политикам (например, наличие MDM агента для мобильных устройств или шифрование диска для Windows ПК). Различные технологии могут быть использованы для базовых функций, в том числе безагентые решения (такие как сканирование уязвимостей), “растворимые” агенты и стойкие агенты. Решения NAC должны включать в себя базовые функции, но «изобретение велосипеда» не является необходимым. Базовые функциональные возможности могут быть получены через OEM или лицензированные партнерства.
Контроль доступа:
Решение NAC должно включать в себя способность блокировать, отправлять на карантин, давать ограниченный или полный доступ конечной точке. Решение должно быть достаточно гибким, чтобы устанавливать контроль в сетевой инфраструктуре различных производителей, и он должен иметь возможность обеспечить доступ в проводной LAN, WLAN и среде удаленного доступа. Принуждения должны выполняться с помощью сетевой инфраструктуры (802.1X, VLAN, и ACL) или через решение NAC (например, пропуск / фильтрация пакетов или ARP спуфинг). Производители, которые полагаются исключительно на агентов в конечной точке, не квалифицируются как поставщики NAC решений.
Дополнительные критерии включают в себя:
Производители оборудования сетевой инфраструктуры должны были продемонстрировать свою способность в 2011 и 2012 продавать NAC решения клиентам вне их инфраструктуры. NAC производители должны были показать внедрения на предприятиях с более чем 5000 конечными точками. Волшебный Квадрант не анализирует решения, предназначенные для малого или среднего бизнеса. Производители должны иметь установленную базу как минимум у 100 клиентов или 500 000 совокупного количества конечных точек. Производитель должен иметь не менее $ 5млн продаж NAC в течение 12 месяцев до 1 ноября 2012 года. Решения, которые непосредственно не приносят прибыль производителям, в которые встроена базовая функциональность NAC, были исключены из анализа. NAC решение должно была быть общедоступно по состоянию на 1 ноября 2012 года.
Рассмотренные, но не включённые в Волшебный Квадрант 2012 производители
Microsoft встраивает функции NAC (Microsoft Network Access Protection [NAP]) в свои ОС. Microsoft больше активно не продает свои решения NAP, и мы получили несколько вопросов от клиентов Gartner об этом. Эра BYOD и быстрого роста не-Windows конечных точек делают сложным для Microsoft NAP конкуриренцию в гетерогенных средах.
Критерии оценки
Способность выполнять
Продукт/Услуга: оценка возможностей и функциональности NAC решений. Из-за растущего влияния BYOD на NAC, этот критерий сильно перевешивает возможность создания и применения политик в гетерогенных средах конечной точки (Windows, Mac OS X, Apple IOS и Android). Другие BYOD функции NAC — такие как интеграция с решениями MDM, профилирование конечных точек и способность обеспечить ограниченный доступ для устройств в личной собственности, были также учтены.
Общая жизнеспособность: Жизнеспособность включает оценку общего финансового состояние производителя, финансовые и практические успехи бизнес-единицы, и вероятность того, что отдельные бизнес-единицы будут продолжать инвестировать в решения NAC.
Продавцы / цены: Возможности производителей в предпродажной деятельности и структуре, которая их поддерживает. Способность производителей к успешности на своих целевых рынках очень важна. Производители должны продемонстрировать успех в завоевании NAC сделок на 5000 конечных точек или более.
Маркетинговые усилия: Этот критерий оценивает эффективность программ маркетинга производителя и его способность создавать осведомленность, а также делиться опытом на рынке NAC. Те продавцы, которые часто появляются в клиентских коротких списках, преуспели в маркетинговых усилиях.
Опыт клиентов: качество обслуживания на основе данных от клиентов Gartner. Данные собирают посредством звонков и онлайн-опроса.
Таблица 1. Соответствие критериям оценки
Критерий оценки |
оценка |
Общая жизнеспособность (Бизнес-единиц, финансовая, стратегии, организации) |
высокая |
Продукт/сервис |
высокая |
Продажи/ценообразование |
стандартная |
Реагирование на рынке и послужной список |
не оценивались |
Маркетинговые усилия |
стандартная |
Опыт клиентов |
высокая |
Операции |
не оценивались |
Источник: Gartner (декабрь 2012 года)
Полнота видения
Понимание рынка: способность предвидеть тенденции рынка, такие как влияние BYOD и быстро адаптироваться посредством сотрудничества, приобретения или внутреннего развития.
Маркетинговая стратегия: Этот критерий анализирует — способствует ли маркетинговая стратегия производителя дифференциации его решений NAC от конкурентов.
Стратегия продаж: стратегия производителя для продаж своей целевой аудитории, в том числе анализ оптимального сочетания прямых и косвенных каналов продаж.
Стратегия предложения (продукта): оценка стратегических продуктов поставщика и его планов для NAC. В стратегии продукта должны рассматриваться тенденции, которые нашли свое отражение в запросах клиентов Gartner.
Вертикальные / промышленные стратегии: стратегия поставщика для удовлетворения конкретных потребностей отдельных вертикальных рынков и сегментов рынка. Например, имеет ли производитель эффективную стратегию для захвата вертикальных рынков, которые активно применяют NAC, таких как высшее образование, здравоохранение и финансовые услуги?
Инновации: Этот критерий включает в себя нововведения продукта и способность предоставлять NAC возможности и функции, которые отличают поставщика от конкурентов.
Географические стратегии: стратегия производителя для проникновения в регионы за пределами его домашнего рынка.
Критерий оценки |
оценка |
Понимание рынка |
Высокая |
Маркетинговая стратегия |
стандартная |
Стратегия продаж |
стандартная |
Стратегия предложения (продукта) |
Высокая |
Бизнес модель |
не оценивались |
Вертикальные / промышленные стратегии |
низкая |
стандартная |
|
Географические стратегии |
низкая |
Квадрант лидеров
Лидеры успешно продают большие реализаций NAC (10000 узлов и более) на нескольких крупных предприятиях. Лидеры производителей только NAC или компани сетевой безопасности, которые были первыми на рынке с расширенными возможностями во время становления рынка. У лидеров есть ресурсы для поддержания своей приверженности NAC, есть сильные каналы и они имеют финансовые ресурсы. Они также продемонстрировали четкое понимание будущего направления NAC, в том числе влияния BYOD. Лидеры не должны приравниваются к выбору по умолчанию для каждого покупателя, и клиенты не должны считать, что они должны покупать только у производителей в квадранте лидеров.
Претенденты
Претенденты являются сетевыми или занимающимися безопасностью компаниями, которые были успешны в продаже NAC в их базе инсталляций, но, как правило, неудачными в продаже NAC на более широком рынке. Претенденты, как правило, не NAC новаторы, но достаточно большие и продолжают инвестировать достаточно диверсифицировано в свои стратегии NAC. Они способны выдерживать вызовы и переносить неудачи легче, чем Нишевые игроки.
Провидцы
Провидцы ведут рынок к инновационным продуктам и / или отображают раннее понимание рыночных сил и тенденций. Они меньше, чем производители только NAC и большие сетевые занимающиеся безопасностью компании. Общее у производителей-Провидцев то, что они не имеют значительных каналов на рынке NAC и им так и не удалось построить установленных баз такого размера, как у лидеров.
Нишевые игроки
Нишевые игроки, как правило, сильны в стратегических вертикалях NAC (например, образовании и здравоохранении) и некоторых регионах. Они не часто появляются в коротких списках клиентов Gartner, но они являются вариантом выбора для организаций в их ключевых регионах и отраслях.
Контекст
Если ваша организация сталкивается с проблемой BYOD, рассмотрите решения, которые могут легко профилировать личные мобильные устройства, а также применять элементы управления, которые согласуются с мобильными политиками организации. Есть несколько подходов для обеспечения NAC политик (например, виртуальные локальные сети, межсетевые экраны, списки контроля доступа и др.), ищите решения, которые наилучшим образом соответствует вашей сетевой инфраструктуре
Обзор рынка
Спрос на функциональность NAC увеличился в 2012 году. Это обусловлено необходимостью поддержки предприятиями использования личных смартфонов и планшетов. Даже там, где BYOD не допускается, ИТ-организации вынуждены развертывать и поддерживать разнообразные мобильные устройства с разной степенью управленческого контроля / видимости и реализации политик. NAC способность обнаруживать — какой тип устройства подключения к сети применять и ограничивать возможности доступа, когда это требуется. Это основной компонент ограничения риска когда есть спрос на «хочу использовать любое устройство.»
Поддержка гетерогенных устройств в целом, и допуск использования устройств сотрудников в частности, даёт традиционной платформе защиты конечной точки программного обеспечения (EPP) по сравнению с NAC меньше шансов на успех, потому что имеет меньше контроля над тем, какое программное обеспечение будет установлено на устройстве пользователя. Решение McAfee о перепродаже продукта ForeScout в качестве своего предпочтительного решения NAC свидетельствует о проблемах, с которыми сталкиваются производители EPP на рынке NAC. Решения, которые могут интегрироваться с широким спектром EPP и MDM, а также предлагают растворимые агенты или безагентные конечные точки, имеют большие преимущества на рынке NAC сегодня и будет иметь большие преимущества в будущем. Большинство производителей в Волшебном Квадранте планирует интегрировать свои продукты с большим количеством MDM решений в 2013 году (или планируют достичь своей первой интеграции MDM).
Есть также некоторые тенденции, которые окажут влияние на NAC в течение ближайших нескольких лет: рост рынка мобильных приложений будет смещаться от модели доступа устройства работника к корпоративной сети через Wi-Fi или VPN к модели подключения через 4G/LTE непосредственно к отдельным серверам приложений. Когда это произойдет, важность функциональности «мобильного облака» NAC увеличится (см. «Выбери правильный инструмент для безопасной поддержки смартфонов и планшетов пользователя»). Рост инфраструктуры виртуальных рабочих столов уменьшает важность доступа устройства к сети, так как приложения и данные находятся на сервере.
NAC стандарты были придуманы TCG и предложены IETF в 2010г. Однако, эти стандарты не спешат выйти на рынок, что приводит к проблемам с совместимостью — особенно когда конечные точки становится все более неоднородными. Поддержка протоколов TNC встроена в Windows, но не был поддерживается Apple в IOS или Google в Android.
