Dynamická segmentace s HPE Aruba ClearPass pro bezpečné přístupy v podnikové síti

Jak mobilita mění naše přístupy, nejen k síti.

V posledních letech jsme byli svědky toho, jak jedno jediné slovo - mobilita, proměnilo celý svět IT. Šlo rozhodně o jednu z nejzajímavějších změn. Doba, kdy nebylo možné své pracovní zařízení jen tak snadno přenést jinam, dávala správcům podnikových sítí jistý pocit bezpečí. Síť té doby byla statická, neměnila se. Nemusela, jelikož ani zařízení nijak a nikam nemigrovala, natož mimo ni. Ta doba je ale nenávratně pryč. A to je dobře!

Mobilita, kterou si dnes všichni užíváme, chceme ji a pomáhá nám, s sebou logicky přináší značná rizika a složitosti, se kterými je nutné se na straně sítě umět vypořádat. Síť už víc nelze spravovat jako neměnný celek. Dnešní sítě mají mnoho segmentů specificky určených pro zařízení, uživatele, aplikační zázemí atd. Když do toho přidáme fakt, že do podnikových sítí se dnes připojuje mnoho dalších zařízení, tiskáren, kamer, čidel a dalších bezdrátových prvků, je lidskou silou nemožné takovou dynamiku dál obsluhovat a jakmile k této dynamice připojíme požadavky na bezpečnost a zachování integrity sítě, je náhle jasné, že bez kvalitního nástroje to nemá řešení.

Chce to systém.

Systém, který převezme odpovědnost za bezpečné řízení přístupu zařízení k síti i její vlastní ochranu před nebezpečím přicházejícím právě z připojovaných, nebo dokonce již připojených zařízení. Systém, který bude sám dynamicky určovat, kdy a kam to které zařízení zařadí, a to vždy s ohledem na jeho momentální „zdravotní stav“.

Systém, který bude schopen stejně dobře zajistit bezpečný a oddělený přístup zaměstnance i hosta. Musí být tedy schopen znázornit, včasně notifikovat, ale hlavně zcela autonomně zablokovat jakékoli nežádoucí snahy o přístup k síťovým zdrojům pro přistupující i již připojená zařízení. Flexibilita i jednoduchost u takového nástroje musí vždy jít ruku v ruce s bezpečností.

Systém pro dynamickou segmentaci sítě

HPE Aruba ClearPass je právě takovým nástrojem, který přináší politiku do přístupové vrstvy. Politikou rozumíme schopnost rozhodovat se a řídit - kdo, co, kdy, kam a za jakých okolností bude nebo obráceně nebude mít přístup. Práce s identitou je proto naprosto klíčová. Základem je proces autentizace, tedy zosobnění přistupujícího uživatele anebo zařízení, případně obojího. Nástroj obsahuje řadu konektorů na nejčastější úložiště identit počínaje Microsoft ActiveDirectory přes obecný LDAP, SQL databáze nebo i čistě soubor. Identita nemusí být jen jméno/heslo účtu, může být ověřena i za pomoci infrastruktury veřejného klíče (PKI), kdy ověřuje certifikát uložený v zařízení.

Provázat HPE Aruba ClearPass lze i s jinými dalšími systémy nebo databázemi identit, jejichž výčet by byl dlouhý. Na jedné straně tedy systém komunikuje s uživatelem či zařízením, od kterého si umí identitu vyžádat přes standardní protokoly pod 802.1x a na straně druhé tyto údaje ověřuje v úložištích identit. Pokud již identita byla získána a ověřena, dokáže k ní systém okamžitě přiřadit roli, kterou uživatel či zařízení v sítí má mít. Role je dopředně určena a může být přidělena podle skupiny nebo jiných atributů z úložiště identit. Role je tedy určující a v závislosti na ni je přiřazováno konkrétní oprávnění, kam a za jakých okolností je uživatel či zařízení v síti vpuštěno. Okolnostmi se pak rozumí místo, čas a momentální zdraví. A až celková sumarizace všech těchto vstupů umožňuje systému výběr výsledné přístupové politiky pro daného uživatele anebo zařízení.

HPE Aruba ClearPass a jeho moduly

Z množství modulů, kterými HPE ClearPass disponuje, bychom chtěli upozornit na dva. ClearPass OnGuard je end-point agent s dvěmi hlavními funkcemi, neustálým sledováním zdraví systému, v němž je instalován a prácí s identitou zařízení a uživatele zároveň, díky které vzniká sloučená identita a je jí možné přiřazovat správnou politiku. Bez modulu OnGuard lze jen těžko realizovat ochranu před připojením zařízení nesplňujících základní požadavky elementární úrovně bezpečnosti vyžadované směrnicí dané organizace. Jen si představme situaci, kdy zaměstnanec přichází s nakaženým zařízením. S OnGuard agentem bude zařízení automaticky zařazeno do karantény nezávisle na rozhodnutí uživatele, bez zásahu administrátora, a to právě v závislosti na zjištěném problému. Stejně aktivně bude systém ClearPass ve spolupráci s tímto agentem reagovat i v okamžiku, kdy zařízení již bude v síti přihlášené a teprve pak dojde k projevu hrozby.

Modul HPE Aruba ClearPass OnBoard usnaďnuje správcům IT připojení soukromých zařízení do firemní sítě. Tento nástroj provede uživatele celým procesem připojení zařízení, bez zásahu IT. OnBoard je v podstatě další portál systému Aruba ClearPass. Na tento portál je uživatel se svým zařízením automaticky přesměrován při prvním připojení a je zde provedeno ověření identity uživatele. To jediné, co v takových případech zpravidla IT musí udělat, je uživatele zařadit do skupiny ve firemním úložišti identit. Na OnBoard portále je pak uživatel proveden instalací agenta, který sám zabezpečí generování a instalaci individuálního certifikátu pro dané zařízení, spolu s importem nastavení cílové wifi sítě, do níž je zařízení automaticky přesměrováno po dokončení procesu. Nemusí jít vždy jen o soukromá zařízení kmenových zaměstnanců, stejným způsobem lze řešit přístup kontraktorů.

Bezpečnostní principy zero-trust a naše zkušenosti

Jako všechno i přístupová bezpečnost se v poslední době dynamicky rozvíjí a neustále přizpůsobuje aktuálnímu vývoji bezpečnostních hrozeb. Posledním posunem v této oblasti je právě zavedení principů zero-trust, to znamená nulová důvěra vůči komukoliv a čemukoliv, co má být či již je v podnikové síti připojeno. Zavedení pojmu zero-trust v ochraně vnitřní sítě nebo sítě pobočky znamená především individuální práci s identitou uživatele a zařízení, ne jednou, ale neustále dokola ověřovanou i v kombinaci s typem a momentálním stavem zařízení. Jde o plnou micro-segmentaci či chcete-li dynamickou segmentaci sítě.

S řešením této problematiky máme již mnoho zákaznických zkušeností a technologie HPE Aruba ClearPass se v nich silně osvědčila.

Kontakt na AC specialisty a poptávka

Pokud vás informace k této oblasti naší nabídky zaujaly, máte specifické dotazy či zájem o upřesnění k vaší konkrétní situaci, kontaktujte AC specialisty Jaroslava Vazače či Petra Ježka.

S obchodní poptávkou se obraťte na svého AUTOCONT obchodníka. Pokud ještě nepatříte k našim zákazníkům, vyhledejte kontaktní údaje našeho nejbližšího regionálního centra. Jsme nablízku v každém kraji a rádi vám pomůžeme s jakoukoliv IT potřebou vaší organizace.

Chcete více informací?