"ITIL hat sich inzwischen im IT Service Management durchgesetzt und ist dort zum etablierten Standard für die Prozessgestaltung geworden. Deshalb besteht auch eine Notwendigkeit, dass NAC-Lösungen dieses Framework verinnerlichen", begründet mikado-Geschäftsführer Wolfgang Dürr. Dies verlange jedoch offene Schnittstellen wie sie "macmon" in breitem Umfang biete, damit eine einfache Integration in andere IT Management-Systeme möglich ist. "Durch eine Unterstützung der ITIL-Prozesse trägt NAC zur Reduzierung der Betriebskosten und Optimierung der Serviceabläufe bei", verweist er auf den operativen wie wirtschaftlichen Nutzen.
Zusätzlich bietet das Network Access Control-System zum Schutz vor Datenmissbrauch für die IT-Organisation aber noch einen unschätzbaren Mehrwert, weil die Unternehmen darüber Klarheit bekommen, welche Komponenten an ihren Unternehmensnetzen überhaupt angeschlossen sind. Zu diesem Zweck greift "macmon" auf Asset Management- und Tracking-Funktionen zu, die zum mitgelieferten Produktumfang des Security-Systems gehören. "Die ITIL-konforme Prozessgestaltung erfolgt nicht unabhängig der Netzwerk- und damit Infrastruktursysteme, deshalb bewirkt die durchgängige Transparenz dieser Komponenten auch eine wertvolle Hilfestellung für die gesamten ITIL-Konzepte", verweist Dürr auf den ergänzenden Nutzen der NAC-Lösung von mikado.
"macmon" ist in wenigen Stunden installierbar und zielt darauf ab, dass zur Vermeidung von Datendiebstahl und -missbrauch im Unternehmen nur solche Geräte Zugriff auf Ressourcen haben, die dafür explizit zugelassen sind und einem definierten Sicherheitsstandard genügen. Dabei werden folgende drei elementare Funktionen genutzt:
- Authentisierung: Alle Geräte, die Zugang zum Netz erhalten wollen, müssen sich vorab authentisieren. Dies beinhaltet auch eine Klassifizierung der Endgeräte, um weitere Policy-Entscheidungen auf Basis des Gerätetyps vornehmen zu können.
- Sicherheitsstatus-Prüfung: Vor dem Zugang eines Gerätes zum Netzwerk wird geprüft, ob das System über Schwachstellen verfügt und ob notwendige Sicherheitssoftware entsprechend den Unternehmensrichtlinien installiert ist. Da sich der Sicherheitsstatus, auch durch Manipulationen eines Benutzers, jederzeit ändern kann, wird diese Überprüfung regelmäßig wiederholt, solange das Gerät aktiv im Netzwerk ist.
- Autorisierung: "macmon" kann die Zugriffsrechte des Gerätes im Netzwerk entsprechend seiner Klassifizierung steuern. So werden IP-Telefone speziellen VLANs zugeordnet, wo sie Zugang zur benötigten Infrastruktur haben und aus Sicherheitsgründen vom Datennetz separiert sind. Auch mobile Geräte können Netzwerksegmenten mit geringeren Zugriffsmöglichkeiten zugeordnet werden, da sie grundsätzlich als gefährdeter als stationäre PCs eingeschätzt werden.