Cisco tenderá un puente entre sus dos esquemas NAC
Cisco planea desarrollar un enfoque híbrido de sus dos modelos NAC para eliminar las preocupaciones de sus clientes por la complejidad, el mantenimiento y la velocidad de las actuales opciones de la compañía. Los productos basados en este nuevo enfoque, bautizado por Cisco con el nombre de oneNAC, tardarán entre año y año y medio en estar disponibles.
El nuevo enfoque hará posible que los clientes compren una appliance NAC de Cisco –la opción NAC por la que optan la mayoría de las empresas en un primer momento- y después migrar a la arquitectura NAC Framework basada en red del fabricante sin tener que cambiar tantos elementos como en la actualidad.
Actualmente NAC Appliance y NAC Framework utilizan diferente software cliente para evaluar la situación de los puntos finales de la red desde el punto de vista de la seguridad como parte del proceso NAC. Además, NAC Framework se apoya sobre Access Control Server (ACS) para determinar cuál política de acceso aplicar, mientras que NAC Appliance utiliza un servidor de gestión separado para decidir si los puntos finales son conformes a las políticas corporativas.
Según Rob Whiteleley, analista de Forrester Research, uno de los problemas que afectan a todos los clientes NAC es que las appliances en general no escalan lo suficiente para acomodar despliegues corporativos a gran escala sin exigir la utilización de muchos dispositivos. La solución en este caso es recurrir a un sistema NAC basado en red, capaz de escalar hasta grandes despliegues evitando la proliferación de nuevos appliances en la red. En este contexto, una estrategia de migración entre NAC basada en appliance y basada en red, como propone Cisco, sin duda simplificará la transición de las empresas a despliegues de mayores dimensiones.
En este sentido, Cisco ha descrito su nueva iniciativa precisamente como un camino de migración para aquellos clientes que compren hoy su NAC Appliance y deseen más adelante evolucionar a su NAC Framework. “Nuestros clientes prefieren empezar con NAC Appliance porque representa un enfoque más sencillo y no les exige actualizar su equipamiento de infraestructura de una vez, pero también desean disfrutar de muchos aspectos del enfoque Framework”, ha explicado un portavoz de Cisco. “oneNAC garantizará que ambos tipos de soluciones son interoperativas entre sí y, por tanto, la protección de la inversión de los clientes. Éstos podrán ir actualizando su infraestructura como parte de su ciclo de renovación natural sin verse limitados en el terreno NAC”.
Elementos de ambos enfoques
Una de las opciones NAC Appliance de Cisco es un dispositivo que se ubica en línea con el tráfico para reforzar las políticas de acceso. Su rendimiento es de 1 Gbps, un factor que limita el disfrute de redes más rápidas. El dispositivo también puede ser desplegado fuera de la corriente de tráfico –fuera de banda- y utilizar los conmutadores de red Cisco para aplicar las políticas NAC.
Por su parte, Cisco Framework se apoya en el software desplegado en los puntos finales de la red en combinación con un servidor ACS/RADIUS del fabricante para la aplicación de políticas de admisión basándose en 802.1X. Un inconveniente de esta opción es que los usuarios encuentran complejo el añadir y actualizar políticas porque ello requiere actuar directamente sobre el servidor RADIUS y refrescar los directorios de políticas locales.
OneNAC tomará piezas de ambas arquitecturas. Utilizará el elemento servidor de gestión de la implementación NAC Appliance como el único lugar para que los clientes definan, añadan y cambien políticas NAC. Y, como Framework, será completamente compatible con el estándar de autenticación 802.1X.
Consolidará el software cliente NAC que reporta sobre la configuración de los puntos finales y supondrá la introducción de un cliente único que servirá a los productos NAC basados en red de Cisco y a sus appliances NAC, que, como se ha dicho, actualmente utilizan clientes diferentes.
