Objevte možnosti HPE Aruba ClearPass

 Jak si mobilita změnila náš přístup, nejen k síti.

V posledních letech jsme byli svědky toho, jak jedno jediné slovo - „mobilita“ výrazně proměnilo celý svět IT a šlo rozhodně o jednu z nejzajímavějších změn. Však to není ještě tak dávno, co nebylo možné, své pracovní zařízení jen tak snadno přenést jinam a právě tento fakt dával administrátorům sítě jistý pocit bezpečí. Síť té doby byla statická, neměnila se. Nemusela, jelikož ani zařízení nijak a nikam nemigrovala, natož mimo ni. Ta doba je ale nenávratně pryč … a je to dobře!
Mobilita, se kterou dnes všichni souzníme, chceme ji, pomáhá nám, s sebou logicky přináší značná rizika a složitosti, se kterými je nutné se na straně sítě umět vypořádat. Síť už víc nelze spravovat jako neměnný celek. Dnešní sítě mají mnoho segmentů specificky určených pro zařízení, uživatele, aplikační zázemí atd. Když do toho přidáme fakt, že je již zcela běžnou praxí, si své pracovní zařízení odnášet či obráceně do firemní sítě připojovat svá osobní zařízení (tzv. BYOD), je lidskou silou nemožné takovou dynamiku dál obsluhovat a jakmile k této dynamice přidáme požadavky bezpečnosti a zachování integrity sítě, je náhle jasné, že to chce systém.

Chce to systém.

Systém, který převezme odpovědnost za bezpečné řízení přístupu zařízení k síti i její vlastní ochranu před nebezpečím přicházejícím právě z připojovaných nebo dokonce již připojených zařízení. Systém, který bude sám dynamicky určovat, kdy a kam to které zařízení zařadí, a to vždy s ohledem na jeho momentální „zdravotní stav“.
Systém, který bude schopen stejně dobře zajistit bezpečný a oddělený přístup zaměstnance i hosta. Musí být tedy schopen znázornit, včasně notifikovat, ale hlavně zcela autonomně zablokovat, jakékoli nežádoucí snahy o přístup k síťovým zdrojům pro přistupující i již připojená zařízení. Flexibilita i jednoduchost u takového nástroje musí vždy jít ruku v ruce s bezpečností.

 

Když systém, tak HPE Aruba ClearPass!


HPE Aruba ClearPass Policy Manager je právě takovým nástrojem, který tzv. přináší politiku do přístupové vrstvy. Politikou rozumíme schopnost rozhodovat se a řídit, kdo/co, kdy, kam a za jakých okolností bude nebo obráceně nebude mít přístup. Práce s identitou je proto naprosto klíčová. Základem je proces tzv. autentizace – zosobnění přistupujícího uživatele anebo zařízení (případně obojího viz dále OnGuard)

HPE Aruba ClearPass Policy Manager

HPE Aruba ClearPass Policy Manager obsahuje řadu konektorů na nejčastější úložiště identit počínaje MS. ActiveDirectory přes obecný LDAP, SQL databáze nebo i čistě soubor. Identita nemusí být jen jméno/heslo účtu, může být ověřena i za pomoci infrastruktury veřejného klíče (PKI), kdy ověřuje certifikát uložený v zařízení - typicky, uživatelský je též možný.
Provázat HPE Aruba ClearPass Policy Manager (dále jen CPPM) lze i s jinými dalšími systémy nebo databázemi identit, jejichž výčet by byl dlouhý. Na jedné straně tedy CPPM komunikuje s uživatelem/zařízením, od kterého si umí identitu vyžádat přes standardní protokoly pod 802.1x (PEAP, EAP-TLS …) a na straně druhé tyto údaje ověřuje v úložištích identit. Pokud již systém CPPM identitu získal a ověřil, dokáže k ní okamžitě přiřadit roli, kterou by uživatel/zařízení v sítí má mít. Role je dopředně určena a může být přidělena např. podle skupiny, ve které bylo zařízení/uživatel nalezeno v úložišti identit. Role je tedy určující a CPPM v závislosti na ni přiřazuje konkrétní oprávnění – kam a za jakých okolností je uživatel/zařízení v síti vpuštěn. Okolnostmi se pak rozumí místo, čas (a momentální zdraví viz OnGuard) a až celková sumarizace všech těchto vstupů umožňuje CPPM výběr výsledné přístupové politiky pro daného uživatele anebo zařízení.

Politika je předem připravena administrátorem a CPPM s ní jen pracuje. Zní to jako další práce pro administrátora, ale opak je pravdou. Administrátor sice musí sestavit politiku, ale to je poměrně jednoduchá záležitost, navíc se celá odehrává v prostředí webového prohlížeče a nevyžaduje tedy žádnou extra znalost. Obráceně pak CPPM síťovým administrátorům významně ulehčuje život a šetří čas právě na straně přístupových prvků sítě. Již není více třeba nastavovat individuálně přístupové porty – jejich konfiguraci si dynamicky řídí CPPM v závislosti na politice, je tak dokonce možné síťové prvky v úrovni infrastruktury migrovat z místa na místo bez nutnosti rekonfigurace přístupových portů, a to bez nebezpečných dopadů na uživatele/zařízení. Vše funguje dynamicky a co víc, automaticky.

To platí ve shodě pro drátovou i bezdrátovou infrastrukturu. CPPM lze ale stejně efektivně využít např. pro autorizaci přístupu do VPN. Administrátor má nejen klidnější spaní, více času se věnovat bezpečnosti a rozvoji sítě samotné. Administrátor prostřednictvím CPPM má o mnoho lepší přehled o veškerém přístupovém dění ve formě reportů a včasně podávaných bezpečnostních notifikací. CPPM striktně nevyžaduje Aruba infrastrukturu, stejně dobře bude pracovat i se síťovými prvky jiných výrobců, jde o multiplatformní nástroj. Dokonce je možné jeho efektivitu ještě dále posunout například vzájemnou integrací s dalšími bezpečnostními prvky.

Vezměme si např. next-gen. firewall, který obsahuje řadu filtračních metod, mimo jiné antivirus. Co kdyby firewall z komunikace zjistil projev virové infekce vnitřního počítače, nebo jeho zapojení do bot-net sítě a sám by takto kompromitovaný počítač dokázal odstavit od sítě? Sám to nesvede, ale s CPPM je to možné (CoA – okamžitá změna autorizace)! Dokonce až do té míry, že v momentě odpojení počítače od sítě (nebo k jeho přeřazení do karantény) dojde k informování uživatele i správce bezpečnosti zároveň. CPPM může pro firewall sloužit jako zdroj informací o uživatelích a zařízeních momentálně připojených v síti. Dokáže mu předávat jména aktuálně pracujících uživatelů, jejich adresy a vše, co next-gen firewall potřebuje. Obráceně i CPPM může poskytovat své nálezy a zjištění dalším systémům, např. pro analýzu a archivaci logů, SIEMs apod.

Doporučené produkty Aruba

Aruba AP-300

Kvalitní výkon a vynikající uživatelský komfort pro středně husté Wi-Fi prostředí za výborné ceny.

Aruba 2930F

Pro zákazníky, vytvářející digitální pracoviště optimalizovaná pro mobilní uživatele s bezdrátovým přístupem.

Aruba AP-340

Podpora 802.11 ac Wave 2, duální 5GHz rádio a porty HPE SmartRate pro vysokorychlostní připojení. Více info