搜尋此網誌

2009年5月23日 星期六

[Gartner MQ] Network Access Control 市場報告

在去年底的這篇文章中,我稍微提到 Network Access Control – NAC 這類產品。嚴格來說,NAC 並不一定指的是某種產品,反而比較像是一種概念。而這樣的概念在許多不同類型的產品中都可以發現。比較常見的包含網路設備、端點安全產品等。在今年 3 月的時候, Gartner 發表了第一份有關 NAC 的 MQ 報告。去年 Gartner 也曾發表一份有關 NAC 的報告,不過今年的報告才是屬於 MQ 系列。在今年的這篇報告中也特別指出,因為 NAC 的導入通常是漸進式的,所以長期的計劃更顯得重要,當然這包含了產品與廠商的選擇。

市場定義

NAC 的市場在2008年呈現穩定與成熟的狀態,這也是 Gartner 將報告改為 MQ 系列的主因。Gartner 預估 2008 年 NAC 市場的產值為 2.2 億 ($221 millions) 美元,與前一年度相較其成長率達到51%。雖然 Garnter 原先預估新年度的成長率可達到 100%,不過在景氣低迷與微軟 NAP 布署不如預期的影響下,成長率必須下修。除了市場產值的增加,NAC 廠商也獲得了相當資金的挹注。

提供 NAC 方案的廠商可分為四類,包含網路架構廠商(如 Cisco)、端點安全廠商(如 Symantec)、安全設備廠商(如 Mirage),以及以 NAC 為主要訴求的廠商(如 ForeScout),而其中以 NAC 為主要訴求的廠商面對的挑戰最為艱巨。雖然前兩年收益的成長還是很高,但是已經呈現快速下滑的現象。而Gartner 預計此一下滑的現象將會持續,而且整合在其他產品 (如網路設備) 的 NAC 成為主流,排擠單純 NAC 產品的生存空間。

產品功能評估項目

Gartner 將 NAC 的功能分為三大主要區塊,分別是:

  • 政策 (Policy)
  • 基準值 (Baseline) - 包含軟體與應用程式的管理、系統更新狀態、惡意程式的偵測。基準值的取得包含三種方式:無代理程式 (Agentless)、一次性代理程式 (Dissolvable agent)、永久性代理程式 (Permanent agent)。
  • 存取控制 (Access Control) - 限制網路的使用當然是 NAC 的重頭戲。這部分可能是透過網路架構加以達成,也可能使用額外的機制 (如 ARP spoofing、DHCP)。

重點整理

  • 針對已導入 NAC 的客戶對於 NAC 大多呈現滿意的態度,而且也將持續投注在更為全面的佈署與新功能的導入。
  • NAC 已經由原先限制不合乎規範的設備連結到網路,進化到包含其他面向的功能(依需求程度排列):
    • 訪客網路服務 (Guest network services) - 也就是將訪客與公司原有網路做一個隔離,並僅提供必要的網路服務(例如連上網際網路)。有高達 80% 的使用者是因為此一需求而導入 NAC 。
    • 端點基準值 (Endpoint baseline)。
    • 以身分為依據的網路連結 (Identity-aware networking) - 除了可以依據身分做存取限制外,也可以用來記錄使用者的使用行為。
    • 監測 (Monitoring/containment) - 可從設備或使用者的角度加以監測其行為是否將/已造成危害。
  • NAC 預期將會持續有新的應用需求。
  • 基準值可以透過與其他廠商/產品同盟或合作的方式加以取得,而不需要自行開發。
  • 單純以代理程式做為管理與限制的手段並不能稱之為 NAC 產品。

結果摘要

Gartner MQ 系列的報告會將廠商分為4種類型 (所以稱之為 Magic Quadrant – MQ),其中領導者 (Leaders) 表示在執行力與願景等都有突出的表現,講得簡單一點就是綜合分數比較高的廠商。分析結果顯示領導者包含 Cisco、Juniper Network 與 Symantec 三家,其中兩家是網路架構的廠商,另外一家則是從事端點安全。而以 NAC 為主要訴求的廠商,則處於願景者 (Visionaries)或特殊市場(Niche players)這些族群。因為新興廠商在執行能力上面本來就相對薄弱,所以也沒有太大的意外。對於處在 Visionaries 族群的廠商,如能好好把握市場的機會,機會倒也是不小。

相關連結:

About