¿Qué es un dispositivo de control de acceso a la red, Network Access Control o simplemente NAC?
Las soluciones de control de acceso a la red (NAC) permiten a las organizaciones implementar políticas para el control de dispositivos y acceso de usuarios a redes corporativas. Las políticas pueden estar basadas en la autenticación de dispositivos y/o la configuración de función/identidad del usuario. NAC también incluye directivas (políticas) de post-conexión para supervisar el estado de seguridad de end point y para la implementación de la remediación si esta se requiere.
¿Por qué tomar la decisión por un NAC?
Puntos principales:
→Supervisar/hacer cumplir la operación BYOD: muchas organizaciones reconocen que BYOD es una fuerza imparable impulsada por el usuario y deben expandir rápidamente su soporte para tales programas. Para apoyar un programa BYOD, es necesario automatizar la aplicación de políticas basadas en la autenticación, el descubrimiento, configuración de Endpoint o rol/identidad de los usuarios.
→Mejorar la visibilidad de la red: NAC puede aumentar la visibilidad de la red para reducir los riesgos asociados con dispositivos no conformes y al acceso abierto a las instalaciones de la red empresarial. (como lo sucedido con el WannaCry)
Puntos secundarios:
→Integración bidireccional: la integración se produce con otros componentes de seguridad como firewalls de siguiente generación, defensa avanzada de amenazas (ATD) y soluciones de información y eventos de seguridad (SIEM), todos los cuales pueden mejorar el monitoreo continuo. Los proveedores de NAC han posicionado sus soluciones como «almacenes de contexto» para compartir información contextual (por ejemplo, ID de usuario o tipo de dispositivo) con componentes de seguridad de terceros. Además, NAC debe responder a las alertas de ATD por aplicación automática de políticas de seguridad para aislar los endpoint comprometidos.
→Administrar el acceso de invitados/contratistas: en la prisa de proporcionar conectividad a los huéspedes y contratistas, muchas organizaciones quedan abrumadas por el número de dispositivos que acceden a sus redes. Éstas deben prepararse para varios niveles de acceso, dependiendo de si el usuario es un consultor, contratista, empleado, vendedor o invitado, y por horarios y ubicaciones que debería estar disponible.
→Reglamentación y auditoría: las empresas pueden necesitar demostrar el control de sus redes y acceso a recursos sensibles. Aunque no hay regulaciones que exijan explícitamente NAC, algunos auditores hacen observaciones sobre los puertos abiertos en salas de conferencias y áreas comunes que permiten a cualquier dispositivo obtener acceso a la red. NAC puede utilizarse como prueba de que la empresa está controlando y monitoreando su red y administrando la introducción de dispositivos no fiables.
→Control Independiente del Endpoint: Hay un beneficio clave en controlar el acceso a la infraestructura de la empresa a través de los componentes de la red: el control es independiente del end-point. El NAC puede utilizarse para aislar dispositivos IoT y otros endpoints no estándares en los switches o en la infraestructura Wireless.
Indicios sobre cuándo invertir en un NAC
→Cuando se requiere una administración centralizada para tener visibilidad y control de todos los dispositivos conectados a la infraestructura de red.
→Para identificar los dispositivos IoT a través de perfiles NAC y para aplicar directivas para estos dispositivos.
→Cuando la proliferación de dispositivos BYOD en un entorno crea desafíos operacionales.
→Cuando la empresa debe reducir el alcance de la evaluación de PCI mediante la segmentación de sistemas de pago de otros dispositivos. (PCI es el estándar para transmitir información de tarjetas de crédito)
→Cuando la empresa opere una instalación donde los controles físicos son insuficientes para limitar el acceso a la red.
Forescout: CounterACT
CounterACT de ForeScout es un control de acceso de siguiente generación, el cual bajo su estrategia innovadora de “seguridad a través de visibilidad” te permitirá descubrir, clasificar, evaluar y controlar todos los dispositivos que se conectan a la red.
Un componente clave de la filosofía de ForeScout, es que a diferencia de otras soluciones de control de acceso a la red, éste no requiere que realices cambios drásticos en tu infraestructura, sino todo lo contrario, éste busca adaptarse a la misma. Para ello, el equipo de desarrollo de ForeScout trabaja día a día en la creación de módulos que permitan darle una funcionalidad extra al CounterACT y poder orquestar con otros componentes de la infraestructura. Como resultado de este esfuerzo, están soportados más de 60 marcas de antivirus, los principales fabricantes de dispositivos de red, tecnologías para gestión de vulnerabilidades, SIEM, antimalware, firewalls entre otros.
CounterACT es más que un control de acceso a la red, también te ayuda a mantener en cumplimiento los equipos de tu organización al identificar procesos de sistema operativo que son pieza clave para la seguridad, aplicaciones no permitidas, equipos que son un posible riesgo debido a que están desactualizados o no se apegan a los lineamientos de la organización entre muchos otros escenarios. La solución es muy fácil de implementar y de administrar, mediante su asistente guiado se pueden crear políticas tan granulares que apliquen para ciertos usuarios o equipos de la red.
→Disponible como dispositivo hardware, virtual
→Incluye un servidor RADIUS para soportar dispositivos conformes y no conformes con 802.1X.
→Viene en varios tamaños que permiten grandes despliegues
→Su oferta es sin agentes aunque tiene opciones, lo que facilita enormemente las implementaciones
→Windows, Linux y MAC OS
→Ofrece módulos que comparten alertas e información contextual a firewalls de siguiente generación, ATP, ATD
→Puede configurarse para ejecutar políticas en forma automática y dar instrucciones a otros dispositivos en la red como respuesta a alertas
→Su integración con VMWare mejora la capacidad del NAC sobre los switches virtuales.
Te invito a acercarte a un ejecutivo de Alternativas en Computación para platicar un poco más de ForeScout CounterACT, conocer casos de éxito y ver la forma en la que éste puede beneficiar a tu organización.
Si deseas más información, concierta tu cita con Altcomp y con mucho gusto te atendemos.
