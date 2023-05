Juniper Networks bringt mit Mist Access Assurance einen neuen nativen Cloud-basierenden Ansatz zur Netzwerkzugangskontrolle (Network Access Control, NAC) mit KI-Funktionen. Der Hersteller möchte damit den diversifizierten Nutzungsszenarien wie BYOD (Bring Your Own Device), Gastzugängen sowie der zunehmenden Anzahl an IoT-Geräten und Identity Providern (IdP) aus der Cloud Rechnung tragen.

Netzwerk-Software aus der Cloud nicht neu, Zugangskontrolle aber schon

Viele Hersteller, etwa Cisco mit der Meraki-Plattform, die HPE-Tochter Aruba, Extreme Networks, aber auch Juniper mit der Mist-Plattform selbst bieten bereits seit einiger Zeit Cloud-gemanagte Software für Netzwerke an. Je nach Umfang lassen sich darüber beispielsweise Switche, Router (SD-WAN) oder WLAN Access Points überwachen und steuern. Angebote zur Netzwerkzugangskontrolle wie Aruba Clear Pass oder Ciscos Identity Services Engine blieben hingegen entweder lokal oder mussten selbst in einer Cloud-Plattform aufgesetzt und gemanagt werden. Die Architektur und die Konfiguration solcher Umsetzungen wird durch die zunehmenden quantitativen, als auch qualitativen Herausforderungen im Access-Umfeld immer komplexer. Mit Mist Access Assurance bringt Juniper nun ein NAC-as-a-Service auf den Markt und will so die Einstiegshürde für NAC-Deployments senken und die Wartungsaufwände verringern. Die Basis dafür legte Juniper 2022 mit der Übernahme von WiteSand.

Die Mist Cloud schwebt über allem – und regelt Netzwerkzugriffe. (Bild: Juniper Networks)

RadSec-kompatible Switche, WLAN Access Points oder Controller lassen sich gemäß Darstellung des Herstellers direkt mit Transportverschlüsselung an die Cloud-NAC anbinden. Klassischen RADIUS-Clients kann ein NAC-Proxy (Mist Edge) behilflich sein, um den unsicheren Transportweg in die Cloud abzusichern. Wie auch bei anderen NAC-Produkten können Admins auf Basis von Nutzer- und Geräteidentitäten eigene oder gruppen-basierende Richtlinien zur Segmentierung hinterlegen.

Die eingesetzte KI-Engine, Marvis, liefert eine Anomalieerkennung, auf deren Basis Entscheidungen getroffen werden können. Loggt sich beispielsweise ein User mehrfach gleichzeitig an mehreren Standorten ein, so erhält er keinen Zugang.

Schritt gut überlegen

Es bleibt abzuwarten, ob und wann Kunden ihre Netzwerkzugangskontrolle in die Cloud auslagern. Für Cloud-gemanagte Netzwerke klingt das Konzept aber plausibel. Die NAC ist jedoch häufig eng verzahnt mit eigenen Ressourcen wie Public-Key-Infrastrukturen (PKIs), dem Verzeichnisdienst, aber auch dem Mobile-Device-Management. Zudem liefert sie die Richtlinien für den Schutz der eigenen Burg, dem Netzwerk. Wer also überlegt, diesen zentralen Infrastrukturdienst in die Cloud auszulagern, sollte beachten, wie er ihn in die eigene Netzwerkarchitektur integriert.

