Nile平台新增微分段和原生NAC功能

Nile公司成立的初衷是解决企业网络过于复杂和难以使用的问题。该公司基于订阅式网络即服务（NaaS）模式构建了Nile Access Service平台，提供有线和无线园区基础设施，具备零信任安全和自主运营能力。目前已在30个国家拥有超过150家客户。

现在，Nile正在通过多项新功能扩展其Nile Access Service。主要新增功能包括直接构建在网络结构中的基于身份的微分段，以及消除独立设备的原生网络访问控制（NAC）替代方案。微分段功能包括单独隔离每个设备的能力。此次发布还扩展了服务目录。

公司将这一扩展产品定位为其发展的第二阶段。

Nile首席营销官Shashi Kiran向Network World表示："Nile 1.0是在零信任结构上为基础设施带来根本性简化，而Nile 2.0真正关注扩展安全性，使用例更加具体可行。"

原生网络访问控制替代方案

网络访问控制（NAC）一直是企业网络安全堆栈的基石。在许多情况下，NAC仍然通过设备提供。这正是Nile希望通过新更新改变的现状。

Nile联合创始人兼首席产品官Suresh Katukam向Network World表示，目标是通过将功能直接构建到网络结构中，完全消除对独立NAC设备的需求，从而消除硬件成本和相关的管理开销。

身份认证层为NAC替代方案提供支撑。对于用户和员工，Nile从Active Directory获取身份信息，包括组和角色成员资格，直接映射到策略执行。企业设备可以通过使用证书的RADIUS进行认证，证书携带额外的设备元数据。对于有线连接，Nile支持802.1X，但也提供强制门户选项，允许二次身份验证而无需在每个端口完全部署802.1X。

基于身份的微分段

以前的Nile实现使用基于身份的访问，但仅支持宏分段。新版本增加了在身份层面而非IP地址或VLAN层面执行的细粒度微分段。

Katukam表示，这一转变意味着策略跟随用户或设备，无论物理位置、交换机端口或连接类型如何。"我们甚至不允许您在网络上进行发现。除非策略允许，否则我们不允许您在网络上通信，"他说。

对于无法使用基于证书认证的物联网设备，Nile使用设备指纹作为策略锚点。系统可以识别设备到特定型号。系统持续学习设备属性以完善分类。

"一对一分段"功能将隔离推向极致，将受损或行为异常的设备限制在单个端点的爆炸半径内。Kiran表示，这适用于恶意软件传播，也适用于影子AI，即在员工机器上运行但未经IT授权的AI智能体。

"如今，企业环境中使用的许多AI并不一定经过IT授权，他们在许多情况下甚至没有可见性，但如果他们确实检测到这一点，通过一对一分段功能，可以在不扩大爆炸半径的情况下将其隔离，"Kiran说。

扩展服务目录

除了安全更新外，Nile还在扩展其服务目录。

互联网边缘服务允许客户直接在Nile平台上终止互联网链路，具备应用感知性能路由。

安全访客服务确保访客流量永远不会到达企业网络。当访客连接时，Nile从自己的基础设施分配公共IP地址，并将流量直接路由到互联网。

另一项更新是集成DHCP服务。DHCP传统上作为数据中心的专用设备运行，或嵌入网络控制器、路由器和接入点中，需要在每个站点单独管理地址空间。Nile的实现是云交付的，使用代理模型，其中端点仍然接收本地IP地址，但请求通过Nile的云而不是本地硬件处理。结果是所有全球站点的DHCP单一管理平面，而不是每个站点的设备管理。

Nile为所有客户全球运营网络，这意味着在一个站点检测和解决的事件可以在整个客户群中自动修复，防止在其他地方再次发生。Kiran表示，这种可见性为AI模型提供了随时间递增的优势。

"任何一个位置的任何事件都会在其他任何地方发生之前自动修复，无论是网络还是安全事件，"他说。

AI智能体监控和控制

展望未来，Nile将继续扩展其功能，AI是重点关注领域之一。

Katukam表示，Nile已经能够识别连接到网络的机器上运行的AI智能体。下一步是将这些智能体分类为企业或个人，目标是对每个应用不同的策略和流量优先级。随着AI工作负载在园区和分支环境中增加，更广泛的AI智能体可见性和控制是Nile期望进一步发展的领域。

Nile的核心基础架构旨在简化网络，这将是帮助保护未来AI安全的关键。

"如果你想要分层AI，如果你想要分层安全，在底层基础设施复杂的情况下是无法做到的，"Kiran说。

Q&A

Q1：Nile Access Service平台的主要功能是什么？

A：Nile Access Service是基于订阅式网络即服务模式的平台，提供有线和无线园区基础设施，具备零信任安全和自主运营能力。新版本增加了基于身份的微分段和原生NAC替代方案，可以直接在网络结构中隔离设备，消除独立NAC设备的需求。

Q2：什么是"一对一分段"功能？

A："一对一分段"功能是Nile的最极致隔离能力，可以将受损或行为异常的设备限制在单个端点的爆炸半径内。这不仅适用于恶意软件传播防护，也适用于未经IT授权的影子AI智能体隔离，确保问题设备不会影响网络中的其他设备。

Q3：Nile如何处理物联网设备的安全认证？

A：对于无法使用基于证书认证的物联网设备，Nile采用设备指纹技术作为策略锚点。系统可以识别设备到特定型号级别，并持续学习设备属性来完善分类，确保即使是无法传统认证的设备也能得到proper的安全管控。