Technologie-Entwurf. Stärkung der Endgeräte- Compliance. Überwachung verwalteter und nicht verwalteter Systeme mit Network Access Control (NAC)

Transkript

1 Technologie-Entwurf Stärkung der Endgeräte- Compliance Überwachung verwalteter und nicht verwalteter Systeme mit Network Access Control (NAC)

2 STUFE SECURITY CONNECTED- REFERENZARCHITEKTUR STUFE Security Connected Das Security Connected- Framework von McAfee ermöglicht die Integration verschiedener Produkte, SECURITY Services und Partnerschaften CONNECTED- REFERENZARCHITEKTUR zur zentralen, effizienten und effektiven STUFE Risikominimierung Der Security Connected- Ansatz greift auf mehr als zwei Jahrzehnte bewährter Sicherheitspraktiken zurück und unterstützt Unternehmen aller Größen und Bereiche weltweit bei der Verbesserung ihrer Sicherheitslage, Optimierung der Kosteneffizienz von SECURITY CONNECTED- Sicherheitsmaßnahmen REFERENZARCHITEKTUR sowie der strategischen Anpassung STUFE der Sicherheit an Unternehmensinitiativen. Die Referenzarchitektur für Security Connected bietet einen sicheren Pfad von der ursprünglichen Idee bis zur tatsächlichen Implementierung. Durch ihren Einsatz können Sie die Security Connected-Konzepte an Ihre speziellen Risiken sowie an die Infrastruktur und die Geschäftsziele anpassen. McAfee ist stets auf der Suche nach neuen Möglichkeiten, um seine Kunden umfassend zu schützen. Überwachung verwalteter und nicht verwalteter Systeme mit Network Access Control (NAC) Die Situation Was geschieht, wenn Angestellte ihre privaten Laptops, Tablets und Smartphones ins Büro mitbringen oder eine Unternehmensabteilung Auftragnehmer anstellt? In diesem Fall stehen Sie vor einer Situation, in der fest und vorübergehend angestellte Mitarbeiter in den Räumlichkeiten und Netzwerken Ihres Unternehmens mit nicht verwalteten Geräten unterwegs sind. Dabei ist das nur eine der zahlreichen Herausforderungen für IT-Mitarbeiter, die externe sowie mobile Endgeräte unterstützen und gleichzeitig die Einhaltung von Endgeräterichtlinien gewährleisten sollen. Vorherrschende Sorgen Vor weniger als zehn Jahren befand sich die gesamte IT-Technologie innerhalb der Unternehmensgrenzen unter direkter Aufsicht der IT-Fachleute. Da dem Unternehmen alle IT-Geräte gehörten, kam es zu keiner graduellen Richtlinienwanderung von PCs. In Netzwerken befinden sich inzwischen häufig mehr nicht verwaltete als herkömmliche verwaltete Endgeräte. Dafür gibt es verschiedene Gründe: Die Anzahl mobiler Laptops übersteigt die Anzahl stationärer Desktop-Computer. Die Zunahme von Smartphones und Tablets setzt neue Rekorde. Bei Unternehmensendgeräten handelt es sich immer häufiger um Mac-Computer. Die Desktop- und Server-Virtualisierung nimmt rasant zu. Die eingesetzten Clients sind dabei häufig weder autorisiert noch verwaltet. Private PCs werden für den Fernzugriff auf Unternehmensnetzwerke eingesetzt. Zudem versuchen Unternehmen durch die Förderung privater Mitarbeitergeräte am Arbeitsplatz Investitionskosten zu senken. Viele Unternehmen setzen Subunternehmer und externe Mitarbeiter ein, die ihre eigenen Laptops, Smartphones und Tablets nutzen. Unweigerlich dehnen Internetkriminelle ihre Bedrohungen und Malware-Programme auf all diese Geräte aus, sodass Bedrohungen wie Botnets und Würmer immer häufiger auf mobilen Plattformen zu finden sind. Zusammen erschweren diese Faktoren die Ermittlung der Wirksamkeit sowie die Durchsetzung von Richtlinien. Diese Richtlinien sind jedoch unabdingbar für den Schutz von geistigem Eigentum, die Verhinderung der Infektion von Unternehmensressourcen und die Einhaltung von Branchenvorgaben sowie gesetzlichen Vorschriften. Die Einhaltung von Richtlinien als Bedingung für den Netzwerkzugriff ist kein neues Konzept, erforderte bisher jedoch komplexe, arbeitsintensive manuelle Prozesse, die den Zugang ohne jede Abstufung gewährten oder verweigerten. Seit einigen Jahren setzen IT-Abteilungen Mechanismen zur Netzwerkzugriffssteuerung (Network Access Control, NAC) ein, um diese Prozesse zu automatisieren. Mithilfe von Endgeräte-Agenten wird die Richtlinien-Compliance in Echtzeit gewährleistet. Zudem wird die Problembehebung erzwungen, bevor der Zugriff gewährt wird. Diese schon im Normalfall schwierige Aufgabe wird durch verschwimmende Netzwerkgrenzen, den beständigen Wechsel der Endgeräte sowie die neuen Anforderungen der Endbenutzer weiter erschwert. Unregelmäßig genutzte und vom Netzwerk getrennte Laptops sowie unautorisierte oder veraltete virtuelle Maschinen verstärken das Problem zusätzlich. Damit die IT-Abteilung die Kontrolle über diese Endgeräteumgebung wieder zurückerlangen kann, muss die Netzwerkzugriffsarchitektur folgende Aufgaben erfüllen können: Nicht verwaltete Clients. Gewährung von beschränktem Zugriff auf das interne Netzwerk für nicht verwaltete Clients, also die verschiedenen mitarbeitereigenen IT-Geräte wie Smartphones, Tablets sowie private Laptops und PCs. Zur Verhinderung von Infektionen nach der Zugriffsgewährung sowie Verstößen gegen Compliance-Vorgaben (z. B. die Deaktivierung des Virenschutzes) müssen die Systeme überwacht werden. Verwaltete Clients. Durchsetzung und Dokumentation der Richtlinien-Compliance herkömmlicher verwalteter Endgeräte sowie virtueller Maschinen. Zur Verhinderung der Infektion von Systemen, die bereits Zugriff erhalten haben, müssen die verwalteten Clients überwacht werden. 2 Stärkung der Endgeräte-Compliance

3 Berechtigungen. Unterschiedliche Geräte besitzen unterschiedliche Sicherheitsstufen, ebenso wie unterschiedliche Benutzer unterschiedliche Freiräume wünschen. Die Architektur sollte unterschiedliche Zugriffsrichtlinien für unterschiedliche Geräte (z. B. Smartphones gegenüber PCs) und Benutzergruppen (Führungskräfte gegenüber Auftragnehmern) durchsetzen. Der Zugriff auf zulässige Netzwerkressourcen wie das Internet, Drucker oder die Auftragnehmerdatenbank sollte auf sichere Weise erfolgen. Nicht autorisierte Geräte. Viele Unternehmen haben keine Übersicht darüber, welche Geräte mit ihren Netzwerken verbunden sind. Private Laptops, Spielekonsolen, virtuelle Maschinen, medizinische Geräte, Computer mit Linux oder Macintosh sowie nicht autorisierte Drucker und WLAN-Zugriffspunkte können innerhalb der Umgebung verbunden sein und eine Gefahr darstellen. Außerdem stellt die Leichtigkeit, mit der nicht autorisierte oder veraltete virtuellen Maschinen erstellt und übertragen werden können, ein weiteres potenzielles Risiko durch nicht autorisierte Software oder veraltete Sicherheitseinstellungen dar. Lösungsbeschreibung In der heutigen Zeit teilen viele Unternehmen diese Anforderungen abhängig vom Geschäftsproblem in drei Implementierungen auf. Mitarbeitereigene Smartphones und Tablet-PCs erfordern eine angepasste mobile Lösung. Private PCs oder Computer zu Hause erfordern bei Netzwerkzugriffskontrollen einen anderen Ansatz als verwaltete Clients. Und schließlich hoffen viele Unternehmen darauf, dass virtualisierte Desktop-Infrastrukturen (VDI) ihre Probleme auf neue und innovative Weise lösen können, indem sie einen verwalteten Client ermöglichen, der auf nicht verwalteten Systemen ausgeführt werden kann. Die ideale Lösung sollte den parallelen Einsatz dieser drei spezialisierten Implementierungen zulassen, um die Verwaltung, Audits sowie Compliance-Berichte effizient durchzuführen. Folgende grundlegende Anforderungen werden gestellt: Nicht verwaltete Clients. Automatisierung des Netzwerkzugriffs durch unbekannte oder mitarbeitereigene Geräte mithilfe eines Netzwerk-basierten NAC-Sensors. Die Lösung sollte den ersten Verbindungsversuch erkennen und den Sicherheits- und Compliance- Status des privaten PCs mithilfe eines temporären Agenten erkennen und analysieren, bevor eine Verbindung zum Netzwerk zugelassen wird. Damit die Compliance des Fernzugriffs per VPN über ein unbekanntes und nicht verwaltetes Gerät (z. B. einen heimischen PC mit der VPN-Software des Unternehmens) gewährleistet ist, sollten mit einem unternehmenseigenen VPN-Konzentrator ausgebrachte Netzwerk-basierte NAC-Sensoren Netzwerkzugriffe erkennen, authentifizieren, bewerten und anhand des Systemzustands zulassen. Beim Zulassungsprozess sollten die gleichen IT-Richtlinienüberprüfungen verwendet werden, die auch bei verwalteten Computern zum Tragen kommen. Dadurch werden arbeitsintensive Prozesse zum Verschieben, Hinzufügen und Ändern reduziert. Die Lösung sollte Richtlinien auch nach der Zulassung durchsetzen und regelmäßig überprüfen, ob die Compliance-Vorgaben eingehalten werden. Verwaltete Clients. Überprüfung und Aufrechterhaltung des Systemzustands erfasster Unternehmensressourcen. Damit unterschiedlichste Unternehmensendgeräte wie Desktop-Computer, Laptops und virtuelle Maschinen die IT-Richtlinien und gesetzlichen Vorschriften einhalten, muss die Software auf dem Endgerät von einem Agenten ermittelt sowie das Vorhandensein erforderlicher Patches und DAT-Versionen überprüft werden. Wenn Probleme erkannt werden, sollten diese behoben oder die gefährdeten Systeme blockiert werden. Der Agent muss den Zugriff für bestätigte und richtlinienkonforme Geräte gewähren. Dieses häufige Szenario wird als statusbasiertes NAC bezeichnet. Zur Durchsetzung der Compliance-Vorgaben für virtuelle Desktops muss die Lösung für virtuelle Maschinen die gleichen Zulassungskontrollen nutzen wie für physische PCs sowie die Linux- und Mac-Computer. Zur dauerhaften Compliance-Gewährleistung sollte die Lösung Richtlinien auch nach der Zulassung durchsetzen und Patches, Konfigurationen sowie Sicherheits-Software in regelmäßigen Abständen oder bei Netzwerkänderungen überprüfen. Dadurch wird sichergestellt, dass sich die Geräte sowohl bei der ersten Verbindung als auch nach der Freigabe in ordnungsgemäßem Zustand befinden. Zum besseren Verständnis hilft die Analogie zum Kino: Ein Jugendlicher kauft eine Kinokarte und wird in den Kinosaal eingelassen. Er wird also vor der Zulassung überprüft. Nach Ende des Films (also nach der Zulassung) schleicht sich der Jugendliche in einen anderen Kinosaal und sieht sich einen anderen Film an, ohne dafür zu bezahlen. Eine NAC-Lösung, die Überprüfungen lediglich vor der Zulassung durchführt, erhöht also für das Unternehmen das Risiko von Regelverstößen oder Zustandsänderungen nach der Zulassung. Entscheidungsfaktoren Die für Ihr Unternehmen beste Lösung hängt von Ihren speziellen Zielen sowie dem Umfang der verwalteten, nicht verwalteten und nicht verwaltbaren Clients ab, die Sie verwalten müssen. Folgende interne und externe Faktoren können sich auf Ihre Architektur auswirken: Muss Ihr Unternehmen bzw. die IT-Abteilung Richtlinien zur zulässigen Verwendung oder Vorschriften wie PCI, SOX, HIPAA oder FDCC einhalten? Welche Geräte müssen Sie bereitstellen und überwachen sowie deren Compliance gewährleisten, um die oben genannten Vorschriften einzuhalten? Wie häufig soll Netzwerkzugriff von privaten PCs und Laptops beziehungsweise Smartphones und Tablets sowie virtualisierter Infrastruktur erfolgen? Sind in Ihrem Unternehmen derzeit Lösungen wie Netzwerk-IDS/IPS im Einsatz, die Sie bei der integrierten Erkennung und Verwaltung unbekannter oder unerwünschter Geräte (veraltete oder nicht autorisierte Abbilder oder Hosts virtueller Maschinen) in Ihrem Netzwerk unterstützen? Stärkung der Endgeräte-Compliance

4 Berechtigungen. Die Lösung muss die Erstellung und Durchsetzung unterschiedlicher Richtlinien für unterschiedliche Gerätetypen basierend auf den Gerätefunktionen und Benutzern ermöglichen. Außerdem sollten verschiedene Zugangsarten, Tageszeiten sowie weitere Variablen berücksichtigt werden, die sich auf Compliance und Risiko auswirken können. Mithilfe von Netzwerksegmentierung und einem Gästeportal können unbekannte Nutzer bei Bedarf stark eingeschränkten Zugriff auf das Internet sowie weitere Netzwerkressourcen erhalten. Nicht autorisierte Geräte. Die Lösung muss das Netzwerk permanent nach nicht verwalteten oder nicht verwaltbaren IP-basierten Geräten absuchen und die IT-Abteilung darüber informieren. In McAfee-Lösungen verwendete Technologien McAfee bietet eine integrierte Produkt-Suite an, die sämtliche Anforderungen rund um Netzwerkzugriffe erfüllt. Die Lösung verbindet Host-basierte Software auf verwalteten Endgeräten mit Netzwerk- Appliances, die nicht verwaltete Geräte kontrollieren und überwachen. Für Smartphones und Tablets verwendet McAfee eine dedizierte Mobilitätsverwaltungs-Software, die den Zugriff speziell für diese Geräte kontrolliert und entsprechende Richtlinien durchsetzt. Eine zentrale Verwaltungsplattform verbindet diese Komponenten mit Ihrer übrigen Sicherheits- und Compliance-Infrastruktur. Agent/vom Host gehosteter Dienst Netzwerk Netzwerk/Host 1 McAfee NAC-Client- Software Datenbank 2 epolicy Orchestrator Gast NAC-Appliance NAC- Appliance - Server 1 Externe Mitarbeiter und WAN 2 1 NAC- Appliance Appliance Niederlassung Appliance Desktop Laptop Gast Gast Firewall Router Server Gast Unternehmenszentrale 1 Typische NAC-Unternehmensausbringung Die Übersicht der Architektur zeigt eine vollständig konfigurierte Lösung, die alle oben genannten Anforderungen erfüllt. Die für Sie richtige McAfee -Lösung ergibt sich aus Ihrer vorhandenen Umgebung und Ihren Sicherheitszielen. Die Grundlage sollten identitäts- und zustandsbasierte Zugriffskontrollen zu bestimmten Subnetzen oder Anwendungen bilden, die im Netzwerk mithilfe einer McAfee NAC-Appliance oder der McAfee Network Security Platform (NSP) mit NAC-Modul implementiert werden. Diese Kontrollen beziehen sämtliche Clients ein: verwaltete, unverwaltete und nicht verwaltbare Geräte (z. B. Drucker und Kameras). 4 Stärkung der Endgeräte-Compliance

5 McAfee NAC-Appliance Diese Appliance kontrolliert den Netzwerkzugriff für verwaltete und nicht verwaltete Endgeräte. Sie kann zur Inline- oder Out-of-Band-Verwaltung eingesetzt werden, wobei der Zugriff im letzteren Fall per 802.1x oder SNMP auf Switch-Port-Ebene verwaltet wird. Zugangsrichtlinien können so konfiguriert werden, dass sie die Benutzeridentität (basierend auf dem Active Directory-Status), den Systemzustand des NAC-Clients sowie weitere Daten erfassen. Nicht verwaltete Geräte können temporären Zugriff zu bestimmten Netzwerksegmenten erhalten oder einen auflösbaren Client zugewiesen bekommen, der den Zustand des Systems auf Grundlage einer Richtlinie überprüft. Hosts können anschließend zu einem Problembehebungsportal für Gastzugänge oder weitere Netzwerkressourcen zur selbst durchgeführten oder automatisierten Behebung bestehender Probleme weitergeleitet werden. McAfee Network Security Platform (NSP) mit NAC-Modul Optional kann der NAC-Sensor zum IPS-System einer McAfee Network Security Platform hinzugefügt werden. Mit dieser Funktion wird das Netzwerk nach der Zulassung überwacht, d. h. der Zustand verwalteter und nicht verwalteter Clients, die Netzwerkzugriff erhalten haben, wird überprüft. Diese Inline-Überwachung erfasst Systeme, die mit Malware wie Bots oder Würmern infiziert wurden, und erlaubt die Behebung von Bedrohungen sowie die Isolierung von Hosts. Kunden mit der Network Security Platform können Inline-NAC einfach hinzufügen. Im nächsten Schritt werden zusätzliche Kontrollmaßnahmen für verwaltete Clients implementiert. Dazu müssen Sie auf Ihren verwalteten Endgeräten NAC-Clients ausbringen. McAfee NAC-Client-Software. Dieser Agent ist als Teil von McAfee Endpoint Protection Advanced Suite oder McAfee Total Protection for Endpoint Enterprise Edition sowie eigenständige Lösung erhältlich. Der Agent ist vollständig konfigurierbar und gewährleistet, dass die Sicherheitsmaßnahmen von Endgeräten richtig konfiguriert sind und diese über alle Betriebssystem-Patches und andere erforderliche Anwendungen verfügen. Mit der konsolidierten McAfee NAC-Richtlinienbibliothek können Unternehmen einen einzelnen, gemeinsamen Richtliniensatz verwenden, um Richtlinienanforderungen über unterschiedliche Hosts hinweg zu definieren. Zusätzlich zu den.000 in unserer Richtlinienbibliothek integrierten Überprüfungen können Sie beliebige XCCDF- oder OVAL-Inhalte direkt importieren. Diese McAfee-Komponenten sind über die Verwaltungsplattform McAfee epolicy Orchestrator (McAfee epo ) miteinander verbunden. Durch die Integration in McAfee epo wird die Anzahl erforderlicher Verwaltungskonsolen verringert und die Berichterstellung für alle Netzwerkgeräte vereinfacht. Mithilfe dieser zentralen Verwaltungskonsole kann der Administrator eine Systemzustandsrichtlinie definieren, die Benchmarks umfasst, deren Regeln auf Überprüfungen basieren. Hier können Sie auch zusätzliche Überprüfungen definieren, die die aus der McAfee-Richtlinienbibliothek oder externen Quellen importierten Regeln ergänzen. McAfee epo verteilt die Richtlinie an verwaltete Clients. Die Clients führen mithilfe des Agenten anhand der Richtlinie eine Selbstanalyse durch und erhalten abhängig von ihrem Systemzustand entsprechenden Netzwerkzugriff. Der Systemzustand wird in McAfee epo überwacht und in Berichten erfasst. Zur Umsetzung differenzierter Berechtigungen für unterschiedliche Gruppen können Richtlinien für verschiedene Benutzerklassen anhand der Benutzergruppen in Ihrem Active Directory- oder LDAP- Verzeichnis erstellt werden. Diese Flexibilität ersetzt den starren, ohne Abstufungen erfolgenden Zugriff durch detaillierten, automatisierten und richtlinienbasierten Netzwerkzugriff, der im Gegensatz zu einer universellen Lösung die bessere Einhaltung der Unternehmensziele erlaubt. Smartphones und Tablets einschließlich Apple iphones, Apple ipads und Android-Geräten erfordern eine Ergänzung Ihrer Bereitstellung. Obwohl die NAC-Netzwerk-Appliance (oder das NAC-Modul der McAfee Network Security Platform) diese Geräte als nicht verwaltbare Clients erfasst, ermöglicht McAfee Enterprise Mobility Management richtlinienbasierte Kontrollen. McAfee Enterprise Mobility Management (McAfee EMM). McAfee EMM ist eine komplette Verwaltungslösung für Mobilgeräte, die sich in McAfee epolicy Orchestrator integriert und Mobilgeräten sicheren Zugriff auf die Unternehmensinfrastruktur ermöglicht. McAfee EMM verbindet sicheren Zugriff auf Mobilgeräte-Anwendungen, Malware-Schutz, starke Authentifizierung, hohe Verfügbarkeit, eine skalierbare Architektur sowie Compliance-Berichterstellung in einem nahtlosen Gesamtsystem. Die Lösung konfiguriert Mobilgeräte für die Einhaltung der Sicherheitsrichtlinien des Unternehmens und erzwingt die Umsetzung von Compliance-Vorgaben, bevor der Netzwerkzugriff gewährt wird. Die Geräterichtlinien (wie die Möglichkeit zur Installation von Apps) werden mit EMM verwaltet, um die unterschiedlichen Funktionen unterschiedlicher Smartphones zu berücksichtigen. Stärkung der Endgeräte-Compliance 5

6 Diese grundlegenden Funktionen werden von der NAC-Lösung bereitgestellt. Sie kann für die speziellen bereits erwähnten Unternehmensanforderungen konfiguriert werden: Zugriff für Gäste und Auftragnehmer. Wenn ein nicht verwaltetes Gastgerät Netzwerkzugriff anfordert (über eine WLAN-, VPN- oder LAN-Verbindung), analysiert die McAfee NAC-Appliance oder das NAC-Add-On der McAfee Network Security Platform, ob es sich bei dem Endgerät um einen verwalteten Client oder ein nicht identifiziertes Gerät handelt. Anschließend wird der Benutzer in das Netzwerksegment für Geräte vor der Zulassung verschoben. Die angemessenen Zugriffsberechtigungen werden anhand des Systemzustands oder von Benutzeranmeldeinformationen festgelegt und der Benutzer in das entsprechende Netzwerksegment verschoben, das mithilfe von Richtlinien festgelegt ist. Nicht autorisierte Geräte. McAfee unterstützt Sie bei der Erkennung nicht autorisierter IP-fähiger Geräte, die eine Verbindung zu Ihrem Netzwerk aufbauen, seien es Smartphones, Drucker und Spielekonsolen bis hin zu medizinischen Geräten und Kameras. Diese Aufgabe übernimmt das in McAfee epo integrierte Rogue System Detection. Diese Lösung sucht das Netzwerk permanent nach nicht verwalteten oder nicht verwaltbaren IP-basierten Geräten ab und benachrichtigt die IT-Abteilung bei Verstößen. Vorteile der Lösung Der Einsatz einer umfassenden McAfee NAC-Lösung bietet folgende Vorteile: Umsetzung von Compliance-Vorschriften. Durch die richtlinienbasierte und in Echtzeit erfolgende Compliance-Durchsetzung während der Host-An- und Abmeldung am Netzwerk verringert sich die Zahl der Helpdesk-Anrufe. Optimierung von IT-Abläufen. Sie können die zuvor manuell erfolgten Prozesse zum Verschieben, Hinzufügen und Ändern auf ein Minimum beschränken oder vollständig automatisieren, wodurch die Benutzerfreundlichkeit verbessert sowie die Zahl der Helpdesk-Anrufe verringert wird und die IT Mitarbeiter für wichtigere Aufgaben frei werden. Geringere Sicherheitsausgaben. Durch die einheitliche Verwaltung verringert sich die Anzahl der Konsolen, die für die Verwaltung einer NAC-Bereitstellung notwendig sind, die den Bereich von der Netzwerkgrenze bis zum Endknoten erfasst. Dadurch werden die Gesamtbetriebskosten erheblich gesenkt. Nutzung vorhandener Investitionen. Snap-In-NAC-Agenten, Add-On-Netzwerk-IPS-Module und die Integration in McAfee epo ermöglichen Unternehmen die Nutzung früherer Investitionen in McAfee- Software und -Hardware sowie eine erhebliche Verringerung der Implementierungszeit. 6 Stärkung der Endgeräte-Compliance

7 Fragen und Antworten Ich habe gehört, dass NAC schwer verständlich und die Bereitstellung umständlich ist. Ist die Handhabung des Produkts jetzt einfacher? Ja. NAC hat sich im Laufe der Jahre von einem Forschungsprojekt zu einer Produktivlösung entwickelt. Dank der zahlreichen Bereitstellungsmöglichkeiten (für Host und Netzwerk) können Unternehmen vorhandene McAfee epo-endgeräteverwaltungsumgebungen oder McAfee Netzwerk-IPS-Installationen zur schnellen und unternehmensweiten NAC-Bereitstellung nutzen. Mit der konsolidierten McAfee NAC- Richtlinienbibliothek können Unternehmen einen einzelnen, gemeinsamen Richtliniensatz verwenden, um Richtlinienanforderungen über unterschiedliche Hosts und Netzwerke hinweg zu definieren. Cisco hat in einem aktuellen Produkt, das wir gekauft haben, eine NAC-Lösung integriert. Warum sollte ich eine andere Lösung einsetzen? Cisco ist ein Netzwerkanbieter, der sich im Gegensatz zu McAfee nicht seit 20 Jahren ausschließlich auf Sicherheit konzentriert. McAfee unterhält ein bewährtes Sicherheitsforschungsteam, das hinter den Spitzenwertungen unserer NAC-Lösung steht. Allein die Richtlinienbibliothek von McAfee enthält über.000 integrierte Überprüfungen sowie die Möglichkeit zur Direktimport beliebiger XCCDF- oder OVAL-Inhalte. NAC wurde für Microsoft-Betriebssysteme entwickelt. Was ist aber mit meinen Mac-/ Linux-Computern? McAfee Network Access Control (MNAC) unterstützt die Installation auf zahlreichen Unternehmensbetriebssystemen, einschließlich Microsoft Windows, Mac OS X und Red Hat. Außerdem bietet McAfee Enterprise Mobility Manager umfassende Kontrollen für Smartphone- und Tablet-Plattformen wie iphone, ipad und Android. Stärkung der Endgeräte-Compliance 7

8 Weitere Ressourcen McAfee Network Access Control how does it work? (Wie funktioniert McAfee Network Access Control?) Weitere Informationen zur Security Connected-Referenzarchitektur finden Sie unter: Informationen zum Autor Michael Ward kann auf 15 Jahre Erfahrungen als Sicherheitsentwickler zurückblicken, einschließlich mehrerer Jahre im Bereich Netzwerkzugriffskontrollen und Netzwerkverzeichnisse. Er schloss sein Studium an der George Mason University mit dem Bachelor of Arts für Wirtschaftswissenschaften ab und ist zertifizierter Experte für die Sicherheit von Informationssystemen (Certified Information Systems Security Professional, CISSP) sowie zertifizierter ethischer Hacker (Certified Ethical Hacker, CEH). Die hier enthaltenen Informationen werden McAfee-Kunden ausschließlich für Fort- und Weiterbildungszwecke bereitgestellt. Die hier enthaltenen Informationen können ohne Vorankündigung geändert werden. Ihre Bereitstellung erfolgt in der vorliegenden Form ohne Übernahme einer Garantie oder Gewährleistung im Hinblick auf ihre Richtigkeit oder Anwendbarkeit für eine bestimmte Situation oder einen bestimmten Umstand. McAfee GmbH Ohmstr Unterschleißheim Deutschland +49 (0) McAfee, McAfee Enterprise Mobility Management, McAfee EMM, McAfee epolicy Orchestrator, McAfee epo, McAfee Network Access Control, McAfee Network Security Platform, und das McAfee-Logo sind Marken oder eingetragene Marken von McAfee, Inc. oder der Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. Die in diesem Dokument enthaltenen Produktpläne, Spezifikationen und Beschreibungen dienen lediglich Informationszwecken, können sich jederzeit ohne vorherige Ankündigung ändern und schließen alle ausdrücklichen oder stillschweigenden Garantien aus. Copyright 2011 McAfee, Inc. 705bp_endpt-compliance-L_1011