当网络接入控制 (NAC) 在 21 世纪初首次亮相时,其目的相对简单:通过对公司专用网络上的公司台式机和笔记本电脑进行身份验证和授权来保障安全访问。 多年来,随着自带设备、访客访问和 IoT 设备的增加,连接设备的数量呈指数级增长。为了应对这一增长,本地部署的 NAC 平台采用了新的特性和功能。而这些特性和功能需要有强大的硬件支撑,也需要更复杂的配置和监管。因此,网络世界最终出现了复杂的 NAC 解决方案。这些解决方案缺乏全局可扩展性和灵活性,无法安全地连接用户设备上的应用和数据。
现阶段的 NAC 解决方案带来了几个挑战:
- 20 年之久的平台既脆弱又复杂,采用单体式代码
- 很难排除故障
- 当初的设计没有融入用户体验见解
- 缺乏当今不断增长的网络所需的敏捷性和规模
- 维护、功能更新和安全性修补需要停机时间和专业技术
虽然 NAC 止步不前,仍部署在本地,但网络架构的其余部分已经转移到云端。瞻博网络的 Mist AI 架构采用更简单的网络运维方式,具有人工智能驱动的自动化和洞察力,结合微服务云的敏捷性和可靠性,可提供优化的用户体验。这使得 IT 团队能够简化运维,让用户和设备故障排除轻松快捷,同时使团队能够提供支持新业务目标的创新和战略解决方案。
而且,在网络运维转移到云端以后,身份提供商服务 (IDP) 也随之转移。IDP 转向集中身份管理有多种原因,包括云安全性、可扩展性和可靠性,实现远程身份处理,以及在无需购买和管理软件和硬件的情况下降低成本。
那么,NAC 接下来该如何发展呢?是时候摆脱旧式解决方案在软件和硬件方面的桎梏并利用真正基于微服务的云技术了。
NAC 进入云时代:Juniper Mist Access Assurance
瞻博网络自豪地宣布,随着瞻博网络 Mist 人工智能型驱动企业解决方案产品 Juniper Mist Access Assurance 的最新扩展,网络接入控制 (NAC) 模式发生了转变!Access Assurance 是我们基于云的 NAC 服务,使企业能够轻松实施安全的网络身份验证,而不会遇到本地部署 NAC 时会出现的挑战。
摆脱本地部署 NAC 的桎梏之后,我们可以提供精简的客户端到云端用户体验、本身就有的高可用性服务和更大的弹性,以及自动化的安全性、功能更新和错误修复。它简单、安全、可扩展,无需停机升级,可以根除旧式解决方案(例如 Aruba ClearPass 和 Cisco ISE)运作复杂、可扩展性差的痼疾。
Access Assurance 诞生于瞻博网络在 2022 年收购 WiteSand 及其云原生 NAC 技术之时。我们将 WiteSand 技术与人工智能驱动型瞻博网络 Mist 云服务相集成,为用户提供全套接入控制功能,并为访客设备、IoT 设备、自带设备和企业设备入网提供灵活、简单的授权策略框架。
全栈集成成就至简运维
从一开始,Access Assurance 就是为了在网络上实现安全可靠的用户连接体验而设计的。通过将 NAC 与网络连接可见性集成,我们可以不断验证最终用户体验,查明问题,无论这些问题是由客户端配置、网络服务,还是由 NAC 策略导致的。所有客户端事件都会被瞻博网络 Mist 云捕获,可简化日常运维并快速识别最终用户问题。
单一管理平台可以为由 Mist AI 驱动的网络的所有部分提供端到端的可见性。接入控制不是一个补强式功能;它专门内置在瞻博网络 Mist 云中,用于提供可扩展性和简单性,辅助企业 Wi-Fi 接入点、有线交换机和 SD-WAN 的全栈管理和日常运维。Marvis™ 人工智能引擎还利用接入数据进行异常检测,能够提供可执行指标。
云原生平台
基于瞻博网络 Mist 微服务的云架构使用最先进的技术保持 Access Assurance 处于最优状态。与瞻博网络的其他 Mist 云服务一样,新功能特性、安全性修补和更新会自动添加,不会中断或停机。此功能通过消除冗长的软件升级和服务停机时间,可极大地简化和改进网络 IT 管理员的服务运维。不用再担心软件升级出现故障、硬件/虚拟机问题或系统更新延迟。瞻博网络可以消除所有此类痼疾。
图 1. 提供 Access Assurance 服务的瞻博网络 Mist 云
有了 Access Assurance,各组织还可以获得可靠、安全、低延迟的 NAC,无论是需要覆盖一个地点,还是进行多站点部署。Access Assurance 云、现场交换机和接入点之间的安全通信通过 RadSec。瞻博网络还在多个区域位置部署了 Access Assurance 的云实例,将身份验证流量引导到最近的实例,可获得最佳响应时间和低延迟。
网络策略实施
Access Assurance 最重要的一个方面是其网络策略创建和实施的简单性。根据用户身份和设备标识,Access Assurance 指示网络为用户分配特定的角色,并使用 VLAN 或基于组的策略 (GBP) 技术按网段对角色进行分组。之后,该服务就可以实施与每个分段相关联的网络策略了。 使用 Access Assurance,创建和应用策略只需要几分钟的时间,而本地部署的解决方案可能需要数小时在各种配置程序中来回切换才能完成这一过程。
图 2. 灵活的策略创建界面可帮助管理员根据业务需求分配策略。
外部身份和目录服务支持
Access Assurance 通过集成外部目录服务(如 Google Workspace、Microsoft Azure Active Directory、Okta Workforce Identity 等)提供身份验证服务。它还集成了外部公钥基础架构 (PKI) 和 MDM 平台。
由于瞻博网络 Mist 是可以使用开放 API 进行 100% 编程的平台,因此可以轻松地与 IDP、安全信息和事件管理 (SIEM)、IT 服务管理以及其他平台集成,进行配置和策略分配。
这到底意味着什么呢?
由于其错综复杂的历史和目前的存续状态,NAC 多年来一直为人诟病,却又不可或缺。瞻博网络为顺应云时代的要求重新设计了 NAC,使其使用简单明了,同时仍然为接入网络的设备和用户提供最佳保护。现在,网络管理员可以通过通用的云和人工智能引擎轻松管理接入并提供更好的用户体验。
快来探索当今最强大的云原生人工智能驱动型 Access Assurance 服务吧。NAC 现已携瞻博网络的春风王者归来,更胜以往!
了解更多:
其他资源:
- 网络研讨会:简化网络并保障网络安全的 5 个步骤
- Juniper Mist IoT Assurance
- Juniper Mist Wi-Fi Assurance
- Juniper Mist Wired Assurance
- 实现人工智能驱动型企业
- Access Assurance 视频
产品方向陈述
瞻博网络可能会披露与未来产品、功能或增强功能的开发和计划相关的信息,即计划记录(简称“POR”)。 提供的相关细节基于瞻博网络目前的开发工作和计划。瞻博网络可自行决定是否更改这些开发工作和计划,恕不另行通知。 除非可能在有约束力的协议中已阐明,否则瞻博网络不会对本演示中描述的产品、功能或增强功能的介绍做出任何保证或是承担任何责任。 第三方的采购决策不应基于本 POR,任何采购也都不应依赖瞻博网络提供本演示所述的任何特性或功能。
