Nile平臺新增微分段和原生NAC功能

Nile公司成立的初衷是解決企業(yè)網(wǎng)絡(luò)過于復(fù)雜和難以使用的問題。該公司基于訂閱式網(wǎng)絡(luò)即服務(wù)（NaaS）模式構(gòu)建了Nile Access Service平臺，提供有線和無線園區(qū)基礎(chǔ)設(shè)施，具備零信任安全和自主運營能力。目前已在30個國家擁有超過150家客戶。

現(xiàn)在，Nile正在通過多項新功能擴(kuò)展其Nile Access Service。主要新增功能包括直接構(gòu)建在網(wǎng)絡(luò)結(jié)構(gòu)中的基于身份的微分段，以及消除獨立設(shè)備的原生網(wǎng)絡(luò)訪問控制（NAC）替代方案。微分段功能包括單獨隔離每個設(shè)備的能力。此次發(fā)布還擴(kuò)展了服務(wù)目錄。

公司將這一擴(kuò)展產(chǎn)品定位為其發(fā)展的第二階段。

Nile首席營銷官Shashi Kiran向Network World表示："Nile 1.0是在零信任結(jié)構(gòu)上為基礎(chǔ)設(shè)施帶來根本性簡化，而Nile 2.0真正關(guān)注擴(kuò)展安全性，使用例更加具體可行。"

原生網(wǎng)絡(luò)訪問控制替代方案

網(wǎng)絡(luò)訪問控制（NAC）一直是企業(yè)網(wǎng)絡(luò)安全堆棧的基石。在許多情況下，NAC仍然通過設(shè)備提供。這正是Nile希望通過新更新改變的現(xiàn)狀。

Nile聯(lián)合創(chuàng)始人兼首席產(chǎn)品官Suresh Katukam向Network World表示，目標(biāo)是通過將功能直接構(gòu)建到網(wǎng)絡(luò)結(jié)構(gòu)中，完全消除對獨立NAC設(shè)備的需求，從而消除硬件成本和相關(guān)的管理開銷。

身份認(rèn)證層為NAC替代方案提供支撐。對于用戶和員工，Nile從Active Directory獲取身份信息，包括組和角色成員資格，直接映射到策略執(zhí)行。企業(yè)設(shè)備可以通過使用證書的RADIUS進(jìn)行認(rèn)證，證書攜帶額外的設(shè)備元數(shù)據(jù)。對于有線連接，Nile支持802.1X，但也提供強制門戶選項，允許二次身份驗證而無需在每個端口完全部署802.1X。

基于身份的微分段

以前的Nile實現(xiàn)使用基于身份的訪問，但僅支持宏分段。新版本增加了在身份層面而非IP地址或VLAN層面執(zhí)行的細(xì)粒度微分段。

Katukam表示，這一轉(zhuǎn)變意味著策略跟隨用戶或設(shè)備，無論物理位置、交換機端口或連接類型如何。"我們甚至不允許您在網(wǎng)絡(luò)上進(jìn)行發(fā)現(xiàn)。除非策略允許，否則我們不允許您在網(wǎng)絡(luò)上通信，"他說。

對于無法使用基于證書認(rèn)證的物聯(lián)網(wǎng)設(shè)備，Nile使用設(shè)備指紋作為策略錨點。系統(tǒng)可以識別設(shè)備到特定型號。系統(tǒng)持續(xù)學(xué)習(xí)設(shè)備屬性以完善分類。

"一對一分段"功能將隔離推向極致，將受損或行為異常的設(shè)備限制在單個端點的爆炸半徑內(nèi)。Kiran表示，這適用于惡意軟件傳播，也適用于影子AI，即在員工機器上運行但未經(jīng)IT授權(quán)的AI智能體。

"如今，企業(yè)環(huán)境中使用的許多AI并不一定經(jīng)過IT授權(quán)，他們在許多情況下甚至沒有可見性，但如果他們確實檢測到這一點，通過一對一分段功能，可以在不擴(kuò)大爆炸半徑的情況下將其隔離，"Kiran說。

擴(kuò)展服務(wù)目錄

除了安全更新外，Nile還在擴(kuò)展其服務(wù)目錄。

互聯(lián)網(wǎng)邊緣服務(wù)允許客戶直接在Nile平臺上終止互聯(lián)網(wǎng)鏈路，具備應(yīng)用感知性能路由。

安全訪客服務(wù)確保訪客流量永遠(yuǎn)不會到達(dá)企業(yè)網(wǎng)絡(luò)。當(dāng)訪客連接時，Nile從自己的基礎(chǔ)設(shè)施分配公共IP地址，并將流量直接路由到互聯(lián)網(wǎng)。

另一項更新是集成DHCP服務(wù)。DHCP傳統(tǒng)上作為數(shù)據(jù)中心的專用設(shè)備運行，或嵌入網(wǎng)絡(luò)控制器、路由器和接入點中，需要在每個站點單獨管理地址空間。Nile的實現(xiàn)是云交付的，使用代理模型，其中端點仍然接收本地IP地址，但請求通過Nile的云而不是本地硬件處理。結(jié)果是所有全球站點的DHCP單一管理平面，而不是每個站點的設(shè)備管理。

Nile為所有客戶全球運營網(wǎng)絡(luò)，這意味著在一個站點檢測和解決的事件可以在整個客戶群中自動修復(fù)，防止在其他地方再次發(fā)生。Kiran表示，這種可見性為AI模型提供了隨時間遞增的優(yōu)勢。

"任何一個位置的任何事件都會在其他任何地方發(fā)生之前自動修復(fù)，無論是網(wǎng)絡(luò)還是安全事件，"他說。

AI智能體監(jiān)控和控制

展望未來，Nile將繼續(xù)擴(kuò)展其功能，AI是重點關(guān)注領(lǐng)域之一。

Katukam表示，Nile已經(jīng)能夠識別連接到網(wǎng)絡(luò)的機器上運行的AI智能體。下一步是將這些智能體分類為企業(yè)或個人，目標(biāo)是對每個應(yīng)用不同的策略和流量優(yōu)先級。隨著AI工作負(fù)載在園區(qū)和分支環(huán)境中增加，更廣泛的AI智能體可見性和控制是Nile期望進(jìn)一步發(fā)展的領(lǐng)域。

Nile的核心基礎(chǔ)架構(gòu)旨在簡化網(wǎng)絡(luò)，這將是幫助保護(hù)未來AI安全的關(guān)鍵。

"如果你想要分層AI，如果你想要分層安全，在底層基礎(chǔ)設(shè)施復(fù)雜的情況下是無法做到的，"Kiran說。

Q&A

Q1：Nile Access Service平臺的主要功能是什么？

A：Nile Access Service是基于訂閱式網(wǎng)絡(luò)即服務(wù)模式的平臺，提供有線和無線園區(qū)基礎(chǔ)設(shè)施，具備零信任安全和自主運營能力。新版本增加了基于身份的微分段和原生NAC替代方案，可以直接在網(wǎng)絡(luò)結(jié)構(gòu)中隔離設(shè)備，消除獨立NAC設(shè)備的需求。

Q2：什么是"一對一分段"功能？

A："一對一分段"功能是Nile的最極致隔離能力，可以將受損或行為異常的設(shè)備限制在單個端點的爆炸半徑內(nèi)。這不僅適用于惡意軟件傳播防護(hù)，也適用于未經(jīng)IT授權(quán)的影子AI智能體隔離，確保問題設(shè)備不會影響網(wǎng)絡(luò)中的其他設(shè)備。

Q3：Nile如何處理物聯(lián)網(wǎng)設(shè)備的安全認(rèn)證？

A：對于無法使用基于證書認(rèn)證的物聯(lián)網(wǎng)設(shè)備，Nile采用設(shè)備指紋技術(shù)作為策略錨點。系統(tǒng)可以識別設(shè)備到特定型號級別，并持續(xù)學(xué)習(xí)設(shè)備屬性來完善分類，確保即使是無法傳統(tǒng)認(rèn)證的設(shè)備也能得到proper的安全管控。