Aruba ClearPass bezpečné řízení přístupu do sítě a integrační možnosti Daniel Fertšák Aruba Systems Engineer
Bezpečnostní realita dnešních sítí Návštěvník Napadené známé či neznámé zařízení Kontraktor Lidská chyba DOBŘÍ LIDÉ ZLOSYNI Legitimní osoba s nekalým úmyslem Mobilita znamená, že hrozby přicházejí zevnitř Tradiční bezpečnost na bázi perimetru sítě je minulost
Pro bezpečnost hraje KONTEXT významnou roli Bezpečnostní politiky se musí adaptovat na podmínky USERS DEVICES WIRED WIRELESS WAN DATE/TIME LOCATION PLATFORM IDENTITY 3RD PARTY
Základní funkce ClearPass Network Access Management Device Provisioning Device Visibility Visitor Management Compliance ClearPass Mějte pod kontrolou přístup uživatelů, hostů/byod a IoT
Centrální definice přístupových politik Multivendor ClearPass 3rd party User: Bob User: <None> User: Bob User: <None> User: Host Corporate Surveillance BYOD Quarantine Guest Role 1. Zařízení se připojí k jakémukoliv portu či SSID. 2. Switch nebo AP ověří identitu zařízení/uživatele v Clearpass. 3. ClearPass povolí/zamezí přístup a automaticky nastaví port/ssid do správné bezpečnostní role
1.příklad nasazení interní zaměstnanci/zařízení Corporate Devices Multi-vendor switching Certificate based 802.1x Aruba ClearPass Multi-vendor WLANs Integrace s Active Directory User, Machine autenizace Integrace firewally a IPS systémy, service deskem 6
Adaptivní bezpečnostní politika podle vlastnictví zařízení Enterprise Laptop BYOD Phone Authentication EAP-TLS Authentication EAP-TLS SSID CORP-SECURE SSID CORP-SECURE Internet and Intranet Internet Only 7
2.příklad nasazení hloupá zařízení/iot Corporate Devices Integrované profilování připojených zařízení Pasivní i aktivní metody Internet of Things (IoT) Multi-vendor switching Printer VLAN Infusion Pump VLAN No 802.1X Aruba ClearPass MAC authentication with profile based Authorization Multi-vendor WLANs 8
3.příklad nasazení Guest/BYOD Corporate Devices Možnost úprav designu pro propagaci všeho loga a stylu Bohaté možnosti způsobů přihlášení (kliknutí, formulář, SMS, recepce, vouchery...) Login ze sociálních sítí Zapamatování pro časté návštěvníky Internet of Things (IoT) Guest and BYOD Multi-vendor switching Multi-vendor WLANs Aruba ClearPass Self-Service workflows for Guest and BYOD devices save on IT / Security time 9
BYOD: Zaměstanec si sám zaregistruje své zařízení Jednoduché pro uživatele i IT: Uživatel se zaregistruje bez pomoci IT, přitom má IT vše plně pod kontrolou Bezpečnost: Jednoduše nasadíte certifikátové ověřování se zabudovanou CA Kontext: Data pro adaptivní politiky z různých zdrojů, třeba IPS či SIEM
ClearPass Exchange: možnosti integrace REST API, Syslog Security monitoring and threat prevention Internet of Things (IoT) Multi-vendor switching Device management and multi-factor authentication BYOD and corporate owned Multi-vendor WLANs Aruba ClearPass with Exchange Ecosystem Helpdesk and voice/sms service in the cloud
Proč nasadit ClearPass? Pro síťového administrátora Síťový správce už nikdy nebude muset nastavovat porty switche ručně, zjednodušení operativy a úspora času Vše bude automatické dle politik v AD či ClearPass Pro hlubší bezpečnostní přínosy Visibilita koncových zařízení v síti Bezpečné řízení přístupu interních zaměstanců, hostů, BYOD Hloupá IoT zařízení už nebudou taková hrozba Inteligence vašeho firewallu/ips/mdm se dostane na celou síť Chytřejší politiky ve vašem firewallu Clearpass is Common Criteria Certified! 12
14
Co všechno je uvnitř Clearpass? Visibility Policy Engine RADIUS/CoA TACACS+ Profiling+ +100 RADIUS dictionaries OnConnect Advanced reporting Automation Policy simulation Access Tracking Template-based policy creation Basic Guest (Social Login) LDAP browser Per session logs Protect Exchange API Syslog Extensions AirGroup Bonjour/DLNA Device registration Certificate revocation 15
Nasazení, licencování a cluster Flexible Licensing Perpetual licenses Subscription licenses Physical or Virtual Appliances Sized for variety of customer needs Virtual Appliance relies upon VMWare Scale with Clustering Supports 1 million endpoints per cluster Centralized or distributed architecture 16