Привет, Хабр! Продолжаем цикл статей о ситуации на рынке телекоммуникационных решений. В прошлый раз я рассказывал о Wi-Fi. А беспроводные сети – это всегда повышенные требования к безопасности. Поэтому предлагаю посмотреть, что сегодня доступно на рынке NAC-решений, которые обеспечивают контроль доступа к сети пользователей и конечных устройств.
Наша команда занимается внедрением NAC 18 лет. Мы работаем с разными вендорами, тестируем оборудование и ПО, следим за появлением новых производителей. Мы систематизировали наш опыт и сделали краткий обзор рынка, который вы найдете в этой статье. Под катом – сравнительная таблица по вендорам и наша оценка доступных решений.
Для чего нужен NAC
О том, что такое NAC и как обстояли дела на этом рынке вскоре после того, как его покинули западные вендоры, я подробно рассказывал в этой статье. Если совсем кратко, то Network Access Control (NAC) — класс решений, обеспечивающих контроль доступа к сети пользователей и конечных устройств, — важная часть защиты Enterprise-сетей. Развертывание почти любой БЛВС сопряжено с внедрением новой или интеграцией с существующей системой контроля доступа. С помощью NAC осуществляется аутентификация и авторизация беспроводных устройств и их пользователей, динамическое назначение параметров доступа к сети.
Ранее на российском рынке преобладали иностранные NAC-решения. В enterprise-сегменте наибольшей популярностью пользовался продукт Cisco ISE, реже — HPE Aruba ClearPass, Huawei iMaster NCE-Campus и Microsoft NPS.
Рынок NAC сегодня
Сегодня российские разработчики NAC активно заполняют освободившуюся нишу. Наиболее зрелые решения в этом сегменте — WNAM от Netams, Efros DefOps от «Газинформсервис» (GIS) и DECK.Auth от DECK, — внесены в Реестр российского ПО. На рынке также регулярно появляются новые решения, например AxelNAC и КИБ «САКУРА». Они обладают меньшей функциональностью по сравнению с тройкой лидеров и в нашем обзоре пока не участвуют.
Помимо отечественных NAC-продуктов, на рынке доступны и привычные иностранные решения, поставляемые по параллельному импорту, но они лишены вендорской поддержки и все реже рассматриваются российскими компаниями. Кроме того, есть бесплатные решения с открытым исходным кодом, такие как FreeRADIUS и PacketFence, но они слабо развиваются сообществом, плохо задокументированы и, по нашему опыту, требуют значительных затрат при внедрении и эксплуатации.
Сравнение решений
Ниже привел сравнительную таблицу с основными характеристиками наиболее зрелых российских вендоров, с которыми мы в основном работаем.
Как сравнивали: в качестве эталонного продукта для сравнения мы выбрали Cisco ISE. NAC-решения в таблице сравнивали по наиболее востребованным характеристикам.
Наша оценка и рекомендации
Надо сказать, что рынок точно не стоит на месте. Резкий рост спроса и конкуренции стимулируют российских производителей постоянно расширять функциональность своих NAC-решений. Заказчики привыкли к уровню западных решений и ожидают от отечественных продуктов того же качества, что таже заставляет производителей стремительно сокращать техническое отставание от популярных иностранных аналогов.
Выделить явного лидера трудно, но у каждого вендора есть свои сильные стороны. Например, гостевые порталы у WNAM и DECK.Auth или модули расширения у Efros DefOps, включая контроль конфигурации и ACL, контроль целостности хостов, анализ уязвимостей и сбор статистики по потокам данных. Если требуется корпоративная аутентификация через dot1x, то подойдут все три решения. Если вы используете Cisco ISE для микросегментирования с помощью TrustSec, автоматической настройки мобильных устройств, интеграции с MDM-системами или BYOD-порталами, то лучше остаться на Cisco ISE.
Пишите в комментариях что еще хотели бы узнать про вендоров NAC.
А в следующих статьях мои коллеги расскажут про решения для ЦОД и кампусных сетей.
Здесь мы публикуем «выжимки» из карты по телеком-решениям, которую сделали, чтобы помочь заказчикам сориентироваться на сегодняшнем рынке, выбрать оборудование и ПО под свои задачи. Это большое исследование рынка для построения телеком-инфраструктуры, куда вошел наш опыт тестирования, пилотирования и внедрения аппаратных и программных продуктов.
Карта выйдет в свет в декабре этого года. Сейчас можно оставить заявку на сайте, чтобы получить ее на почту.
Комментарии (7)
AirHead
22.10.2024 03:04Efros только недавно смог работать с большими AD. Что не давало возможности полностью его протестировать.
Не совсем понятно так же было с гостевым порталом. Правда сильно не разбирался, надо ещё попробовать.
V-Belyaev Автор
22.10.2024 03:04Про интеграцию с большими AD у нас проблем на реальных проектах не возникало. Гостевой портал есть, но интеграцию с sms шлюзом вендор добавил совсем недавно.
Bagatur
Хм... Недалее, как на прошлой неделе общался с представителями Axel, по их заверениям, наличествует весь вышеописанный функционал, за исключением прямой аутентификации по AD/LDAP (впрочем, это задача RADIUS-а, так-то). Но, однако, "на руках" этого продукта у меня нет, пощупать пока возможности не имеется.
И да, в перечне продуктов отсутствует Forti ZTNA (весьма развитое решение), впрочем, из РФ, кажется, они тоже свинтили.
А за обзор спасибо, пригодится.
V-Belyaev Автор
Про AxelNAC знаем, но как я писал, пока не добавляли их в обзор, так как вендор совсем недавно появился на рынке. Думаю, позже тоже протестируем и добавим в нашу карту решений.