HPE Aruba ClearPass Policy Manager

HPE Aruba ClearPass Policy Manager obsahuje řadu konektorů na nejčastější úložiště identit počínaje MS. ActiveDirectory přes obecný LDAP, SQL databáze nebo i čistě soubor. Identita nemusí být jen jméno/heslo účtu, může být ověřena i za pomoci infrastruktury veřejného klíče (PKI), kdy ověřuje certifikát uložený v zařízení - typicky, uživatelský je též možný.

Provázat HPE Aruba ClearPass Policy Manager (dále jen CPPM) lze i s jinými dalšími systémy nebo databázemi identit, jejichž výčet by byl dlouhý. Na jedné straně tedy CPPM komunikuje s uživatelem/zařízením, od kterého si umí identitu vyžádat přes standardní protokoly pod 802.1x (PEAP, EAP-TLS …) a na straně druhé tyto údaje ověřuje v úložištích identit. Pokud již systém CPPM identitu získal a ověřil, dokáže k ní okamžitě přiřadit roli, kterou by uživatel/zařízení v sítí má mít. Role je dopředně určena a může být přidělena např. podle skupiny, ve které bylo zařízení/uživatel nalezeno v úložišti identit. Role je tedy určující a CPPM v závislosti na ni přiřazuje konkrétní oprávnění – kam a za jakých okolností je uživatel/zařízení v síti vpuštěn. Okolnostmi se pak rozumí místo, čas (a momentální zdraví viz OnGuard) a až celková sumarizace všech těchto vstupů umožňuje CPPM výběr výsledné přístupové politiky pro daného uživatele anebo zařízení.

Politika je předem připravena administrátorem a CPPM s ní jen pracuje. Zní to jako další práce pro administrátora, ale opak je pravdou. Administrátor sice musí sestavit politiku, ale to je poměrně jednoduchá záležitost, navíc se celá odehrává v prostředí webového prohlížeče a nevyžaduje tedy žádnou extra znalost. Obráceně pak CPPM síťovým administrátorům významně ulehčuje život a šetří čas právě na straně přístupových prvků sítě. Již není více třeba nastavovat individuálně přístupové porty – jejich konfiguraci si dynamicky řídí CPPM v závislosti na politice, je tak dokonce možné síťové prvky v úrovni infrastruktury migrovat z místa na místo bez nutnosti rekonfigurace přístupových portů, a to bez nebezpečných dopadů na uživatele/zařízení. Vše funguje dynamicky a co víc, automaticky.

To platí ve shodě pro drátovou i bezdrátovou infrastrukturu. CPPM lze ale stejně efektivně využít např. pro autorizaci přístupu do VPN. Administrátor má nejen klidnější spaní, více času se věnovat bezpečnosti a rozvoji sítě samotné. Administrátor prostřednictvím CPPM má o mnoho lepší přehled o veškerém přístupovém dění ve formě reportů a včasně podávaných bezpečnostních notifikací. CPPM striktně nevyžaduje Aruba infrastrukturu, stejně dobře bude pracovat i se síťovými prvky jiných výrobců, jde o multiplatformní nástroj. Dokonce je možné jeho efektivitu ještě dále posunout například vzájemnou integrací s dalšími bezpečnostními prvky.

Vezměme si např. next-gen. firewall, který obsahuje řadu filtračních metod, mimo jiné antivirus. Co kdyby firewall z komunikace zjistil projev virové infekce vnitřního počítače, nebo jeho zapojení do bot-net sítě a sám by takto kompromitovaný počítač dokázal odstavit od sítě? Sám to nesvede, ale s CPPM je to možné (CoA – okamžitá změna autorizace)! Dokonce až do té míry, že v momentě odpojení počítače od sítě (nebo k jeho přeřazení do karantény) dojde k informování uživatele i správce bezpečnosti zároveň. CPPM může pro firewall sloužit jako zdroj informací o uživatelích a zařízeních momentálně připojených v síti. Dokáže mu předávat jména aktuálně pracujících uživatelů, jejich adresy a vše, co next-gen firewall potřebuje. Obráceně i CPPM může poskytovat své nálezy a zjištění dalším systémům, např. pro analýzu a archivaci logů, SIEMs apod.