PAM vs NAC ต่างกันอย่างไร

PAM vs NAC ต่างกันอย่างไร

.

.

Privileged Access Management (PAM)

.

เทคโนโลยีที่จะช่วยเราในการ Manage, Control และ Monitor การเข้าถึง Assets ที่มีความสำคัญโดย Account ที่มีสิทธิ์ระดับสูง อย่าง Administrator หรือ เทียบเท่า หาก Account เหล่านี้ถูกนำไปใช้ในทางมิชอบก็จะสร้างความเสียหายให้กับองค์กรได้อย่างใหญ่หลวง โดย PAM จะเก็บ Account สำคัญเหล่านี้ไว้ในที่เก็บที่มีความปลอดภัยที่เรียกว่า Vault การใช้ Account เหล่านี้ในการ Login เข้าระบบใดๆ ก็ตามจะถูกบังคับให้ต้องทำผ่านระบบ PAM เท่านั้นและเมื่อใช้งานเสร็จ Session ของ Account นั้นก็จะถูกเคลียทิ้งไปไม่สามารถที่จะเอา Session ของการ Login นั้นมาใช้งานได้อีก กิจกรรมที่เกิดขึ้นภายใต้ Account จะถูกเก็บบันทึกใน Log ที่สามารถตรวจสอบย้อนหลังได้และสามารถหยุดยั้งกิจกรรมที่น่าสงสัยได้ในแบบ Real-Time

.

5 ขั้นตอนเรียกคืนความมั่นใจให้กับ PAM ของคุณ

.

Network Access Control (NAC)

.

เทคโนโลยีที่จะช่วยควบคุมการเข้าถึงระบบเครือข่ายจากบรรดา Endpoints ที่มีหลากหลาย Platform ไม่ว่าจะเป็น PC, Notebook, Tablet หรือ Smartphone ซึ่งอุปกรณ์เหล่านี้มีทั้งที่เป็นทรัพย์สินขององค์กรและทรัพย์สินส่วนตัว หลายองค์กรยอมให้บุคลากรใช้อุปกรณ์ส่วนตัวในการเข้าถึงและใช้งาน Applications ขององค์กรได้ ทั้งนี้เพื่ออำนวยความสะดวกในการทำงานให้กับบุคลากรที่ไม่ต้องพกพาอุปกรณ์หลายชิ้นโดยไม่จำเป็น แต่สิ่งที่ตามมาคือความเสี่ยงที่อุปกรณ์ส่วนตัวเหล่านั้นจะนำภัยคุกคามเข้ามาสู่ระบบไซเบอร์ขององค์กรได้ ดังนั้นองค์กรจำเป็นต้องมีเครื่องมือที่จะคอยตรวจสอบการเข้าถึงระบบเครือข่ายจากอุปกรณ์ต่างๆ ซึ่ง Network Access Control ช่วยให้องค์กรสามารถกำหนด Policies ในการเข้าถึงระบบเครือข่ายสำหรับอุปกรณ์ต่างๆ ว่ามีคุณสมบัติครบถ้วนตามที่กำหนดหรือไม่ถ้าใช่ก็เข้ามาได้แต่ถ้าไม่ใช่ก็บร็อกหรือกักกันไว้ในเครือข่าย Quarantine ตัวอย่างของการกำหนด Policy เช่น กำหนดให้บุคลากรที่ใช้ Notebook ขององค์กรสามารถเข้าถึงระบบงานที่ตัวเองรับผิดชอบอยู่ได้ แต่ขณะเดียวกันสำหรับอุปกรณ์ส่วนตัวของเขาอย่าง Smartphone หรือ Tablet ก็สามารถเข้าถึงระบบเครือข่ายขององค์กรได้แต่จะใช้งานได้เฉพาะ Email เท่านั้น นอกจากนี้ยังสามารถกำหนด Policy ให้ผู้ใช้ที่เป็น Guest หรือ Contractor สามารถลงทะเบียนเพื่อใช้ระบบเครือข่ายได้ด้วยตัวเองและกำหนดให้ใช้ Service เท่าที่องค์กรเห็นว่าจำเป็นสำหรับเค้าได้ เป็นต้น

.

หน้าที่ของ NAC

.

หน้าที่ของ NAC นั้นก็ค่อนข้างจะตรงตัวกับชื่อของมัน คือการควบคุมสิทธิ์ในการเข้าถึงระบบเครือข่าย (Network Access Control) ซึงในการที่เราจะควบคุมสิทธิ์ในการควบคุมการเข้าถึงระบบเครือข่ายได้นั้น ในเบื้องต้นอุปกรณ์ NAC เองจะต้องแยกแยะและรู้จักอุปกรณ์อื่นๆ ในระบบเครือข่ายของเราให้หมดก่อน ว่าอุปกรณ์ไหนเป็น PC, Server, Printer, IP Phone, Switch, Router หรือ Access Point แล้วจึงค่อยทำการกำหนดสิทธิ์ต่างๆ ตามนโยบายความปลอดภัยของเรา เช่น การยืนยันตัวตน, สิทธิ์ในการเข้าถึง Server และ Printer, สิทธิ์ในการใช้งาน Protocol ต่างๆ หรือแม้แต่การบังคับลง Software และ Patch ต่างๆ กัน

.

ดังนั้นในภาพรวมแล้ว หน้าที่ของ NAC จะถูกจำแนกได้ดังต่อไปนี้

.

Automatic Discovery and Classification: ทันทีที่ติดตั้งอุปกรณ์ NAC เข้าไปในระบบเครือข่าย อย่างน้อยๆ อุปกรณ์ NAC จะต้องช่วยเราค้นหาอุปกรณ์อื่นๆ ทั้งหมดในระบบมาแสดงเป็นภาพรวมให้เราได้เห็นก่อน และค่อยๆ ทำการจัดแบ่งประเภทอุปกรณ์ออกจากกัน ว่าเป็น PC ที่ติดตั้ง OS ประเภทใด หรือเป็นอุปกรณ์ Network อื่นๆในบางกรณี ก็มีเช่นกันว่าผู้ดูแลระบบติดตั้งตัว NAC ไป เพื่อวัตถุประสงค์ทางด้าน Discovery เป็นหลัก อาจจะเนื่องจากความหลากหลายของอุปกรณ์ Network ภายในองค์กร หรือผู้ใช้งานที่มีอุปกรณ์ส่วนตัวเข้ามาใช้งานมาก หรือแม้แต่มีอุปกรณ์เก่าๆ ที่อยู่ในระบบตั้งแต่ผู้ดูแลระบบจะเข้ามาทำงาน ซึ่ง Solution ที่ทำให้ผู้ดูแลระบบเห็นภาพรวมของระบบเครือข่ายโดยไม่ยึดติดกับยี่ห้อของอุปกรณ์ใดๆ ก็ถือว่าเป็นอีกหนึ่งใน Solution ที่มีคนตามหามากที่สุดเช่นกัน

.
Identity-based Policy Enforcement: สามารถบังคับใช้นโยบายความปลอดภัยต่างๆ ในลักษณะของ Identity-based ได้ โดยนำข้อมูลจากการค้นหาและจำแนกในข้อที่แล้ว มาบังคับใช้ต่อว่าอุปกรณ์ประเภทไหนจะมีสิทธิ์เข้าถึงระบบเครือข่ายมากน้อยแค่ไหน และอุปกรณ์ประเภทไหนจะต้องทำการยืนยันตัวตนด้วยวิธีการแบบใดบ้าง ไม่ว่าจะเป็น Mac Authentication, 802.1X หรือ Web Authentication ก็ตาม และจะยืนยันกับฐานข้อมูลใด เช่น Microsoft AD, LDAP, RADIUS, Novell หรือ Local Databaseในบางองค์กร อาจมีการกำหนดนโยบายแยกตามผู้ใช้งานตามแผนก โดยมีการดึงข้อมูลจาก AD หรือ LDAP มาช่วยจำแนก หรือให้อุปกรณ์ NAC จำแนกให้เองก็ได้ โดยเฉพาะอย่างยิ่งภายในองค์กรที่พนักงานมีการย้ายสถานที่ทำงานบ่อยๆ จนไม่สามารถจะ Fix IP หรือ VLAN ให้ผู้ใช้งานแต่ละคนได้ เพื่อให้ผู้ใช้งานแต่ละแผนกมีสิทธิ์ในการเข้าถึงข้อมูลที่แตกต่างกันสำหรับกรณีของ Guest บางครั้งอาจมีความต้องการสำหรับ Guest Registration Page เพื่อให้แขกสามารถลงทะเบียนด้วยตนเอง และรอรับการยืนยันจาก Admin ก็ได้เช่นกัน

.
Network-based Policy Enforcement: สามารถบังคับสิทธิ์ในการเข้าถึงระบบเครือข่ายของผู้ใช้งานรายบุคคลได้ เปรียบเสมือนการติดตั้ง Firewall ไว้ที่ด้านหน้าของเครื่อง PC และ Notebook แต่ละเครื่อง เพื่อให้สิทธิ์ในการเข้าถึงข้อมูลเป็นไปดังที่นโยบายกำหนดไว้ประเด็นหลักๆ ที่ผู้ดูแลระบบต้องดูก็คือ “วิธีการที่ใช้ในการควบคุมสิทธิ์ของ NAC แต่ละยี่ห้อ” ซึ่งแต่ละยี่ห้อเองก็มีวิธีการในการบังคับที่แตกต่างกันไป ไม่ว่าจะเป็นการใช้ Agent, SNMP, Switch Control, Firewall Control, 802.1X, Virtual Firewall หรือในกรณีที่เลวร้ายที่สุด คุณอาจอนุญาตให้ NAC ทำ ARP Spoofing โจมตีทั้งระบบเครือข่ายพร้อมๆ กันโดยไม่รู้ตัวก็เป็นได้
Application-based Policy Enforcement: สามารถบังคับสิทธิ์การใช้งาน Application ของผู้ใช้งานในระบบได้ โดยการติดตั้ง Agent Software หรือการ Remote ผ่านทาง Administrator Account ของ Microsoft AD เพื่อบังคับให้มีการติดตั้งและใช้งาน Software ต่างๆ ที่จำเป็น เช่น Antivirus, PC Management หรือ OS Patch และบังคับให้หยุดใช้งานโปรแกรมที่ผิดนโยบายขององค์กร เช่น การเล่น MSN ในเวลาทำงาน, โหลด Bittorrent เป็นต้น

.
IPS-based Policy Enforcement: สามารถทำหน้าที่เป็น IPS เพื่อตรวจจับการโจมตีระบบเครือข่ายจากผู้ใช้งานแต่ละคนได้ ไม่ว่าจะเป็นการโจมตีโดยตั้งใจ หรือการโจมตีโดยไม่รู้ตัวผ่านทางไวรัสและเวิร์คม แล้วนำข้อมูลตรงนี้มาบังคับสิทธิ์ในการเข้าถึงระบบเครือข่ายที่เข้มข้นยิ่งขึ้น เช่น ห้ามใช้ Protocol อื่นๆ นอกเหนือจาก HTTP หรือ ห้ามเข้าถึง Server ใดๆ ในขณะที่ต้องสงสัยว่าอาจจะติดไวรัสหรือโจมตีระบบเครือข่าย
Real Time Monitoring and Reporting: NAC ที่ดีจะต้องมีหน้าจอสำหรับทำการ Monitor แบบ Real Time เพื่อให้ผู้ดูแลระบบสามารถติดตามเหตุการณ์ที่เกิดขึ้นได้อย่างทันท่วงที รวมถึงสามารถสรุปเหตุการณ์ต่างๆ ที่เกิดขึ้นเพื่อนำไปวิเคราะห์ข้อมูลเพิ่มเติมได้

 

.

.

.

.

.

Reference:

https://www.bigfish.co.th/solutions/4-32-Network-Access-Control-(NAC)

shorturl.at/pDHM9