Objavte možnosti HPE Aruba ClearPass

Ako si mobilita zmenila náš prístup, nie len k sieti.

V posledných rokoch sme boli svedkami toho, ako jedno jediné slovo - „mobilita“ výrazne premenilo celý svet IT a išlo rozhodne o jednu z najzaujímavejších zmien. Nie je to tak dávno, čo nebolo možné svoje pracovné zariadenie len tak ľahko preniesť inam a práve tento fakt dával administrátorom siete istý pocit bezpečia. Sieť „minulej“ doby bola statická, nemenila sa. Nemusela, keďže ani zariadenie nijako a nikam nemigrovalo, nehovoriac o migrácii mimo nej. Tá doba je ale nenávratne preč … a to je dobre!
Mobilita, s ktorou dnes všetci spolucítime, chceme ju, pomáha nám so sebou logicky prináša značné riziká a zložitosti, s ktorými je nutné sa na strane siete vedieť vysporiadať. Sieť už viac nemožno spravovať ako nemenný celok. Dnešné siete majú mnoho segmentov špecificky určených pre zariadenie, užívateľov, aplikačné zázemie atď. Keď berieme do úvahy fakt, že už je celkom bežnou praxou si svoje pracovné zariadenie odnášať, či opačne do firemnej siete pripájať svoje osobné zariadenie (tzv. BYOD), je ľudskou silou nemožné takúto dynamiku ďalej obsluhovať a akonáhle k tejto dynamike pridáme požiadavky bezpečnosti a zachovania integrity siete, je náhle jasné, že to chce systém.

Chce to systém.

Systém, ktorý prevezme zodpovednosť za bezpečné riadenie prístupu zariadení k sieti i jej vlastnú ochranu pred nebezpečenstvom prichádzajúcim práve z pripojovaných alebo dokonca už pripojených zariadení. Systém, ktorý bude sám dynamicky určovať, kedy a kam to ktoré zariadenie zaradí, a to vždy s ohľadom na jeho momentálny „zdravotný stav“.
Systém, ktorý bude schopný rovnako dobre zaistiť bezpečný a oddelený prístup zamestnanca i hosťa. Musí byť teda schopný znázorniť, včasne notifikovať, ale hlavne celkom autonómne zablokovať akékoľvek nežiadúce snahy o prístup k sieťovým zdrojom pre pristupujúce i už pripojené zariadenie. Flexibilita i jednoduchosť u takéhoto nástroja musí ísť vždy ruka v ruke s bezpečnosťou.

Keď systém, tak HPE Aruba ClearPass!

Naviac sa platí len za HPE Aruba ClearPass Policy Manager je práve takým nástrojom, ktorý tzv. prináša politiku do prístupovej vrstvy. Politikou rozumieme schopnosť rozhodovať sa a riadiť kto/čo, kedy, kam a za akých okolností bude alebo obrátene nebude mať prístup. Práca s identitou je preto jednoducho kľúčová. Základom je proces tzv. autentizácie – zosobnenie pristupujúceho užívateľa alebo zariadenia (prípadne oboje viď ďalej OnGuard)

HPE Aruba ClearPass Policy Manager

HPE Aruba ClearPass Policy Manager obsahuje množstvo konektorov na najčastejšie úložisko identít počnúc MS. ActiveDirectory cez obecný LDAP, SQL databázu alebo i čisto súbor. Identita nemusí byť len meno/heslo účtu, môže byť overená i za pomocou infraštruktúry verejného kľúča (PKI), kedy overuje certifikát uložený v zariadení - typicky, užívateľsky je tiež možný.
Prevádzkovať HPE Aruba ClearPass Policy Manager (ďalej len CPPM) možno i s inými ďalšími systémami alebo databázami identít, ktorých výpočet by bol dlhý. Na jednej strane teda CPPM komunikuje s užívateľom/zariadením, od ktorého si vie identitu vyžiadať cez štandardné protokoly pod 802.1x (PEAP, EAP-TLS …) a na strane druhej tieto údaje overuje v úložiskách identít. Pokiaľ už systém CPPM identitu získal a overil, dokáže k nej okamžite priradiť rolu, ktorú by užívateľ/zariadenie v sieti mal mať. Rola je dopredu určená a môže byť pridelená napr. podľa skupiny, v ktorej bolo zariadenie/užívateľ nájdený v úložisku identít. Rola je teda určujúca a CPPM v závislosti na nej priraďuje konkrétne oprávnenie – kam a za akých okolností je užívateľ/zariadenie v sieti vpustený. Okolnosťami sa potom rozumie miesto, čas (a momentálne zdravie viď OnGuard) a až celková sumarizácia všetkých týchto vstupov umožňuje CPPM výber, výslednej prístupovej politiky pre daného užívateľa alebo zariadenie.
Politika je vopred pripravená administrátorom a CPPM s ňou len pracuje. Znie to ako ďalšia práca pre administrátora, ale opak je pravdou. Administrátor síce musí zostaviť politiku, ale to je pomerne jednoduchá záležitosť, naviac sa celá odohráva v prostredí webového prehliadača a nevyžaduje teda žiadnu extra znalosť. Obrátene potom CPPM sieťovým administrátorom významne uľahčuje život a šetrí čas práve na strane prístupových prvkov siete. Už nie je viac treba nastavovať individuálne prístupové porty – ktorých konfiguráciu si dynamicky riadi CPPM v závislosti na politike, je tak dokonca možné sieťové prvky na úrovni infraštruktúry migrovať z miesta na miesto bez nutnosti rekonfigurácie prístupových portov, a to bez nebezpečných dopadov na užívateľa/zariadenie. Všetko funguje dynamicky a čo viac, automaticky.
 
To platí v zhode pre drôtovú i bezdrôtovú infraštruktúru. CPPM možno ale rovnako efektívne využiť napr. pre autorizáciu prístupu do VPN. Administrátor má nielen kľudnejšie spanie, viac času sa venovať bezpečnosti a rozvoju siete samotnej. Administrátor prostredníctvom CPPM má omnoho lepší prehľad o celom prístupovom dianí vo forme reportov a včasne podávaných bezpečnostných notifikácií. CPPM striktne nevyžaduje Aruba infraštruktúru, rovnako dobre bude pracovať i so sieťovými prvkami iných výrobcov, ide o multiplatformový nástroj. Dokonca je možné jeho efektivitu ešte ďalej posunúť napríklad vzájomnou integráciou s ďalšími bezpečnostnými prvkami.
 
Vezmime si napr. next-gen. firewall, ktorý obsahuje množstvo filtračných metód, mimo iného antivírus. Čo keby firewall z komunikácie zistil prejav vírovej infekcie vnútorného počítača, alebo jeho zapojenia do bot-net siete a sám by takto kompromitovaný počítač dokázal odstaviť od siete? Sám to nedokáže, ale s CPPM je to možné (CoA – okamžitá zmena autorizácie)! Dokonca až do tej miery, že v momente odpojenia počítača od siete (alebo k jeho preradeniu do karantény) dôjde k informovaniu užívateľa i správcu bezpečnosti zároveň. CPPM môže pre firewall slúžiť ako zdroj informácií o užívateľoch a zariadeniach momentálne pripojených v sieti. Dokáže mu odovzdávať mená aktuálne pracujúcich užívateľov, ktorých adresy a všetko, čo next-gen firewall potrebuje. Obrátene i CPPM môže poskytovať svoje nálezy a zistenia ďalším systémom, napr. pre analýzu a archiváciu logov, SIEMs apod.

Doporučené produkty Aruba

Aruba AP-300

Kvalitný výkon a vynikajúci užívateľský komfort pre stredne husté Wi-Fi prostredie za výborné ceny.

Aruba 2930F

Pre zákazníkov, vytvárajúcich digitálne pracovisko optimalizované pre mobilných užívateľov s bezdrôtovým prístupom.

Aruba AP-340

Podpora 802.11 ac Wave 2, duálny 5GHz rádio a porty HPE SmartRate pre vysokorýchlostné pripojenie. Viac info