Dynamická segmentácia s HPE Aruba ClearPass pre bezpečný prístup v podnikovej sieti

Doba, keď nebolo ľahké presunúť svoje pracovné zariadenie inam, poskytla správcom podnikových sietí pocit bezpečia. Sieť tej doby bola statická, nezmenila sa. Nemusela, pretože nikam nemigrovala, nieto ešte mimo nej. Ale tá doba je nenávratne preč. A to je dobre!

Mobilita, ktorú dnes všetci užívame, chceme ju a pomáha nám, logicky so sebou prináša značné riziká a zložitosti, ktoré sa musia riešiť na strane siete. Sieť už nie je možné spravovať ako nemenný celok. Dnešné siete majú mnoho segmentov špeciálne navrhnutých pre rôzne zariadenia, používateľov, aplikačné zariadenia atď. Keď k tomu pridáme skutočnosť, že mnoho ďalších zariadení, tlačiarní, kamier, senzorov a ďalších bezdrôtových prvkov je teraz pripojených k podnikovým sieťam, je nad ľudskú silu pokračovať v prevádzke takejto dynamiky a akonáhle k tejto dynamike pridáme požiadavky na bezpečnosť a zachovanie integrity siete, je zrazu jasné, že bez kvalitného nástroja neexistuje žiadne riešenie.

Systém, ktorý preberá zodpovednosť za bezpečnú kontrolu prístupu zariadenia do siete a vlastnú ochranu pred nebezpečenstvami pochádzajúcimi zo zariadení, ktoré sú práve pripojované alebo dokonca už pripojené. Systém, ktorý bude sám dynamicky určovať, kedy a kam umiestniť zariadenie, vždy s ohľadom na jeho aktuálny "zdravotný stav".

Systém, ktorý bude schopný zabezpečiť bezpečný a oddelený prístup pre zamestnanca aj hosťa v rovnakej miere. Musí byť preto schopný vizualizovať, včas upozorniť, ale čo je najdôležitejšie, úplne autonómne blokovať akékoľvek nežiadúce pokusy o prístup k sieťovým zdrojom pre pristupované a už pripojené zariadenia. Flexibilita a jednoduchosť takéhoto nástroja musí vždy ísť ruka v ruke s bezpečnosťou.

HPE Aruba ClearPass je práve taký nástroj, ktorý prináša politiku do prístupovej vrstvy. Pod politikou rozumieme schopnosť rozhodovať sa a riadiť - kto, čo, kedy, kde a za akých okolností nebude mať prístup alebo naopak. Práca s identitou je preto absolútne kľúčová. Základom je proces autentizácie, t.j. zosobnenie pristupujúceho užívateľa alebo zariadenia, prípadne oboch. Tento nástroj obsahuje množstvo konektorov k najbežnejším úložiskám identít, počnúc Microsoft ActiveDirectory cez všeobecné LDAP, SQL databázy alebo dokonca súbor. Identita nemusí byť len názov účtu/heslo, je možné ju overiť aj pomocou infraštruktúry verejného kľúča (PKI) na overenie certifikátu uloženého v zariadení.

HPE Aruba ClearPass je možné prepojiť aj s inými systémami alebo databázami identít. Na jednej strane systém komunikuje s používateľom alebo zariadením, z ktorého môže požadovať identitu prostredníctvom štandardných protokolov pod 802.1x, a na druhej strane tieto údaje overuje v úložiskách s identitami. Ak už bola identita získaná a overená, systém jej môže okamžite priradiť rolu, ktorú by mal mať používateľ alebo zariadenie v sieti. Rola je vopred určená a môže byť priradená podľa skupiny alebo iných atribútov z úložiska identity. Táto úloha je teda rozhodujúca a v závislosti od nej sú priradené konkrétne povolenia, kde a za akých okolností je používateľ alebo zariadenie prijaté do siete. Okolnosti potom znamenajú miesto, čas a momentálne zdravie. A iba celkové zhrnutie všetkých týchto vstupov umožňuje systému vybrať výslednú politiku prístupu pre daného používateľa alebo zariadenie.

Z mnohých modulov, ktoré má HPE ClearPass, by sme chceli zdôrazniť dva. ClearPass OnGuard je end-point agent s dvoma hlavnými funkciami, neustálym monitorovaním stavu systému, v ktorom je nainštalovaný, a zároveň pracuje so zariadením a identitou používateľa, čo vytvára zlúčenú identitu a priraďuje k nej správnu politiku. Bez modulu OnGuard je ťažké vykonať ochranu pred pripojením zariadení, ktoré nespĺňajú základné požiadavky základnej úrovne bezpečnosti požadovanej smernicou organizácie. Len si predstavte situáciu, keď zamestnanec príde s infikovaným zariadením. S agentom OnGuard bude zariadenie automaticky umiestnené do karantény bez ohľadu na rozhodnutie používateľa, bez zásahu správcu, v závislosti od zisteného problému. ClearPass bude rovnako aktívne spolupracovať s agentom aby reagoval v okamžiku, keď je už zariadenie prihlásené do siete a len následne na to by prišlo k hrozbe.

HPE Aruba ClearPass OnBoard uľahčuje správcom IT pripojenie súkromných zariadení k podnikovej sieti. Tento nástroj prevedie používateľa celým procesom pripojenia zariadenia bez zásahu IT. OnBoard je v podstate ďalší portál Aruba ClearPass. Používateľ a jeho zariadenie sú automaticky presmerovaní na tento portál pri prvom pripojení a overení identity používateľa. V takýchto prípadoch všetko, čo IT zvyčajne musí urobiť, je zoskupiť používateľa do úložiska s firemnou identitou. Na portáli OnBoard je potom používateľ prevedený inštaláciou agenta, ktorý zabezpečuje generovanie a inštaláciu individuálneho certifikátu pre zariadenie, spolu s importom nastavení cieľovej wifi siete, na ktorú je zariadenie po dokončení procesu automaticky presmerované. Nemusia to byť vždy len súkromné zariadenia stálych zamestnancov, prístup dodávateľov sa dá riešiť rovnakým spôsobom.

Ako všetko, aj bezpečnosť prístupu sa v poslednej dobe dynamicky vyvíja a neustále sa prispôsobuje súčasnému vývoju bezpečnostných hrozieb. Najnovším posunom v tejto oblasti je zavedenie zásad zero-trust, čo znamená nulovú dôveru v kohokoľvek a čokoľvek, čo by malo byť alebo je už pripojené k podnikovej sieti. Zavedenie koncepcie zero-trust na ochranu internej alebo pobočkovej siete znamená predovšetkým individuálnu prácu s identitou používateľa a zariadenia, nie raz, ale neustále overenú v kombinácii s typom a aktuálnym stavom zariadenia. Ide o úplnú mikrosegmentáciu alebo dynamickú segmentáciu siete.

S riešením tohto problému už máme veľa zákazníckych skúseností a technológia HPE Aruba ClearPass sa v tejto oblasti osvedčila.

Ak máte záujem o informácie, máte konkrétne otázky alebo záujem o objasnenie vašej konkrétnej situácie, obráťte sa na nášho špecialistu: Igor Ftáček, igor.ftacek@aricoma.com

Ak ešte nie ste jedným z našich zákazníkov, vyhľadajte kontaktné údaje nášho najbližšieho regionálneho centra. Sme blízko v každom regióne a radi vám pomôžeme s akýmikoľvek IT potrebami vašej organizácie.