Dynamická segmentace s HPE Aruba ClearPass pro bezpečné přístupy v podnikové síti

Systém, který převezme odpovědnost za bezpečné řízení přístupu zařízení k síti i její vlastní ochranu před nebezpečím přicházejícím právě z připojovaných, nebo dokonce již připojených zařízení. Systém, který bude sám dynamicky určovat, kdy a kam to které zařízení zařadí, a to vždy s ohledem na jeho momentální „zdravotní stav“.

Systém, který bude schopen stejně dobře zajistit bezpečný a oddělený přístup zaměstnance i hosta. Musí být tedy schopen znázornit, včasně notifikovat, ale hlavně zcela autonomně zablokovat jakékoli nežádoucí snahy o přístup k síťovým zdrojům pro přistupující i již připojená zařízení. Flexibilita i jednoduchost u takového nástroje musí vždy jít ruku v ruce s bezpečností.

HPE Aruba ClearPass je právě takovým nástrojem, který přináší politiku do přístupové vrstvy. Politikou rozumíme schopnost rozhodovat se a řídit - kdo, co, kdy, kam a za jakých okolností bude nebo obráceně nebude mít přístup. Práce s identitou je proto naprosto klíčová. Základem je proces autentizace, tedy zosobnění přistupujícího uživatele anebo zařízení, případně obojího. Nástroj obsahuje řadu konektorů na nejčastější úložiště identit počínaje Microsoft ActiveDirectory přes obecný LDAP, SQL databáze nebo i čistě soubor. Identita nemusí být jen jméno/heslo účtu, může být ověřena i za pomoci infrastruktury veřejného klíče (PKI), kdy ověřuje certifikát uložený v zařízení.

Provázat HPE Aruba ClearPass lze i s jinými dalšími systémy nebo databázemi identit, jejichž výčet by byl dlouhý. Na jedné straně tedy systém komunikuje s uživatelem či zařízením, od kterého si umí identitu vyžádat přes standardní protokoly pod 802.1x a na straně druhé tyto údaje ověřuje v úložištích identit. Pokud již identita byla získána a ověřena, dokáže k ní systém okamžitě přiřadit roli, kterou uživatel či zařízení v sítí má mít. Role je dopředně určena a může být přidělena podle skupiny nebo jiných atributů z úložiště identit. Role je tedy určující a v závislosti na ni je přiřazováno konkrétní oprávnění, kam a za jakých okolností je uživatel či zařízení v síti vpuštěno. Okolnostmi se pak rozumí místo, čas a momentální zdraví. A až celková sumarizace všech těchto vstupů umožňuje systému výběr výsledné přístupové politiky pro daného uživatele anebo zařízení.

Z množství modulů, kterými HPE ClearPass disponuje, bychom chtěli upozornit na dva. ClearPass OnGuard je end-point agent s dvěmi hlavními funkcemi, neustálým sledováním zdraví systému, v němž je instalován a prácí s identitou zařízení a uživatele zároveň, díky které vzniká sloučená identita a je jí možné přiřazovat správnou politiku. Bez modulu OnGuard lze jen těžko realizovat ochranu před připojením zařízení nesplňujících základní požadavky elementární úrovně bezpečnosti vyžadované směrnicí dané organizace. Jen si představme situaci, kdy zaměstnanec přichází s nakaženým zařízením. S OnGuard agentem bude zařízení automaticky zařazeno do karantény nezávisle na rozhodnutí uživatele, bez zásahu administrátora, a to právě v závislosti na zjištěném problému. Stejně aktivně bude systém ClearPass ve spolupráci s tímto agentem reagovat i v okamžiku, kdy zařízení již bude v síti přihlášené a teprve pak dojde k projevu hrozby.

Modul HPE Aruba ClearPass OnBoard usnaďnuje správcům IT připojení soukromých zařízení do firemní sítě. Tento nástroj provede uživatele celým procesem připojení zařízení, bez zásahu IT. OnBoard je v podstatě další portál systému Aruba ClearPass. Na tento portál je uživatel se svým zařízením automaticky přesměrován při prvním připojení a je zde provedeno ověření identity uživatele. To jediné, co v takových případech zpravidla IT musí udělat, je uživatele zařadit do skupiny ve firemním úložišti identit. Na OnBoard portále je pak uživatel proveden instalací agenta, který sám zabezpečí generování a instalaci individuálního certifikátu pro dané zařízení, spolu s importem nastavení cílové wifi sítě, do níž je zařízení automaticky přesměrováno po dokončení procesu. Nemusí jít vždy jen o soukromá zařízení kmenových zaměstnanců, stejným způsobem lze řešit přístup kontraktorů.

Jako všechno i přístupová bezpečnost se v poslední době dynamicky rozvíjí a neustále přizpůsobuje aktuálnímu vývoji bezpečnostních hrozeb. Posledním posunem v této oblasti je právě zavedení principů zero-trust, to znamená nulová důvěra vůči komukoliv a čemukoliv, co má být či již je v podnikové síti připojeno. Zavedení pojmu zero-trust v ochraně vnitřní sítě nebo sítě pobočky znamená především individuální práci s identitou uživatele a zařízení, ne jednou, ale neustále dokola ověřovanou i v kombinaci s typem a momentálním stavem zařízení. Jde o plnou micro-segmentaci či chcete-li dynamickou segmentaci sítě.

S řešením této problematiky máme již mnoho zákaznických zkušeností a technologie HPE Aruba ClearPass se v nich silně osvědčila.

Pokud vás informace k této oblasti naší nabídky zaujaly, máte specifické dotazy či zájem o upřesnění k vaší konkrétní situaci, kontaktujte AC specialisty Jaroslava Vazače či Petra Ježka.

S obchodní poptávkou se obraťte na svého AUTOCONT obchodníka. Pokud ještě nepatříte k našim zákazníkům, vyhledejte kontaktní údaje našeho nejbližšího regionálního centra. Jsme nablízku v každém kraji a rádi vám pomůžeme s jakoukoliv IT potřebou vaší organizace.