Aruba ClearPass Policy Manager
Самая продвинутая платформа для управления политиками.

Обзор:

Aruba ClearPass Policy Manager обеспечивает управление доступом к сети на основе ролей и устройств для сотрудников, подрядчиков и гостей в любой проводной, беспроводной и VPN-инфраструктуре от различных поставщиков. Благодаря встроенному контекстному механизму политик, поддержке протокола RADIUS, TACACS +, профилированию устройств и всесторонней оценке состояния, возможности адаптации и гостевого доступа ClearPass не имеет себе равных в качестве основы для сетевой безопасности в любой организации.

Для более широкого охвата безопасности, используя брандмауэры, EMM и другие существующие решения, ClearPass Exchange обеспечивает автоматическую защиту от угроз и рабочие процессы для сторонних систем безопасности и ИТ, которые ранее требовали ручного вмешательства ИТ.

Кроме того, ClearPass поддерживает безопасные возможности самообслуживания для удобства конечных пользователей. Пользователи могут безопасно настраивать свои собственные устройства для корпоративного использования или доступа в Интернет. Клиенты беспроводной связи Aruba могут обеспечить регистрацию устройств с поддержкой AirPlay, AirPrint, DLNA и UPnP для совместного использования.

Результатом является комплексная и масштабируемая платформа управления политиками, которая выходит за рамки традиционных решений AAA и предоставляет широкие возможности обеспечения соблюдения требований безопасности, принадлежащих ИТ-специалистам, и требований к обеспечению безопасности собственных устройств (BYOD).

Ключевая особенность

• Обеспечение ролевого доступа к сети для мультивендорных сетей Wi-Fi, проводных и VPN.
• Лучшая в отрасли производительность, масштабируемость, высокая доступность и балансировка нагрузки.
• Интуитивно понятные шаблоны конфигурации политик и средства устранения неполадок видимости.
• Поддерживает несколько источников аутентификации / авторизации (AD, LDAP, SQL dB) в рамках одной службы.
• Подключение устройства самообслуживания со встроенным центром сертификации (ЦС) для BYOD
• Гостевой доступ с обширной настройкой, брендингом и одобрениями спонсоров.
• Поддерживает интеграцию NAC и EMM / MDM для оценки мобильных устройств.
• Всесторонняя интеграция со сторонними системами, такими как SIEM, Интернет-безопасность и EMM / MDM.
• Поддержка единого входа (SSO) и автоматического входа Aruba через SAML v2.0.
• Расширенная отчетность обо всех действительных аутентификациях и сбоях пользователей.
• Встроенное профилирование с использованием DHCP и TCP отпечатков пальцев.
• Аппаратная и виртуальная поддержка устройств ESXi и Hyper-V.
• Автоматическое обновление кластера.

Отличия ClearPass

ClearPass Policy Manager - единственное решение для политик, которое централизованно обеспечивает выполнение всех аспектов мобильности корпоративного уровня и NAC для любой отрасли. Детализированное обеспечение доступа к сети зависит от роли пользователя, типа и роли устройства, метода аутентификации, атрибутов EMM / MDM, состояния устройства, местоположения и времени суток. ClearPass предлагает обширную поддержку беспроводной, проводной и VPN-инфраструктуры от различных поставщиков, что позволяет ИТ-специалистам легко развертывать политики безопасной мобильности в любой среде. Масштабируемость развертывания поддерживает десятки тысяч устройств и аутентификации, что превосходит возможности, предлагаемые унаследованными решениями AAA. Существуют варианты для малых и крупных организаций, от локальных до распределенных сред.

Расширенная отчетность и оповещения с помощью Insight

Policy Manager включает расширенные возможности отчетности, которые включают настраиваемые информационные панели для аутентификации, профилирования конечных точек, отраслевые стандарты и другую информацию для гостя, подключения и работоспособности устройства - и все это на обзорной панели. InSight также включает возможности детального оповещения.

Умные политики с учетом мобильности и Интернета вещей

ClearPass решает современные проблемы безопасности цифрового рабочего места в любой проводной или беспроводной сети от разных производителей, заменяя устаревшие устаревшие AAA политиками с учетом контекста. Оно обеспечивает прозрачность, контроль политик и автоматизацию рабочих процессов в одном едином решении. 

Лучшая в отрасли встроенная видимость и профилирование устройств

Профилирование ClearPass классифицирует все мобильные устройства и устройства Интернета вещей для определения интеллектуальных политик, определяющих доступ к проводным и беспроводным сетям. Вы можете автоматически предоставлять или отклонять права доступа пользователей в зависимости от типа устройства, статуса владения или операционной системы.

Обеспечьте безопасность существующей сетевой инфраструктуры в будущем

Используйте существующие решения безопасности сторонних производителей - брандмауэр периметра, SIEM и MDM - для интеграции контекстной информации о пользователях с ClearPass. А с OnConnect используйте существующие протоколы коммутации для видимости, контроля доступа и принудительного применения компьютеров и устройств IoT. 

Интегрируйте и делитесь со сторонними ИТ-системами

ClearPass Exchange - это центральный концентратор, который обменивается контекстными данными с широким спектром сторонних ИТ-систем - межсетевыми экранами, MDM / EMM и SIEM - для обеспечения сквозного применения политик и прозрачности. ClearPass поддерживает обмен данными через API, сообщения системного журнала и наши новые расширения ClearPass.

 

Аналитика в реальном времени

Узнайте, как ClearPass Insight предоставляет аналитику и отчеты в реальном времени, чтобы лучше понять, кто и что находится в вашей сети, чтобы вы могли быстро решать проблемы.

Безопасный BYOD

Сотрудники приносят на работу все больше и больше личных устройств. В свою очередь, ИТ-отдел полагается на ClearPass Onboard для простого и автоматического способа настройки процесса и обеспечения безопасности всех устройств.

Расширенное управление политиками

Обеспечение соблюдения и видимость для проводных и беспроводных сетей
С ClearPass организации могут развертывать беспроводную сеть с применением стандартов 802.1X для строгой аутентификации. ClearPass также предлагает способ создания политик, отличных от .1X, в проводных сетях с помощью OnConnect - для тех организаций, которые не готовы полностью перейти на 802.1X и AAA в своей проводной инфраструктуре. ClearPass позволяет использовать гибридный подход, позволяющий ИТ-специалистам получать информацию обо всех устройствах - компьютерах, смартфонах и IoT, - имеющих доступ к сети. Методы одновременной аутентификации могут использоваться для поддержки множества сценариев использования. Он также включает поддержку многофакторной аутентификации на основе времени входа в систему, проверки положения и другого контекста, такого как новый пользователь, новое устройство и т. Д. Атрибуты из нескольких хранилищ удостоверений, таких как Microsoft Active Directory, LDAP-совместимый каталог, ODBC-совместимая база данных SQL, токен-серверы и внутренние базы данных в разных доменах могут использоваться в рамках единой политики для точного управления. Контекстные данные от этих профилированных устройств позволяют ИТ-специалистам определять, какие устройства могут получить доступ к проводной, VPN или беспроводной сети. Изменения профиля устройства динамически используются для изменения полномочий авторизации. Например, если портативный компьютер Windows отображается как принтер, политики ClearPass могут автоматически отменять или запрещать доступ.

Безопасная конфигурация личных устройств
ClearPass Onboard обеспечивает автоматическую инициализацию любых устройств Windows, Mac OS X, iOS, Android, Chromebook и Ubuntu через управляемый пользователем портал с самостоятельным управлением. Необходимые SSID, настройки 802.1X и сертификаты безопасности автоматически настраиваются на авторизованных устройствах.

Настраиваемое управление посетителями
ClearPass Guest упрощает рабочие процессы, так что администраторы, сотрудники и другой персонал, не связанный с ИТ, могут создавать временные гостевые учетные записи для безопасного Wi-Fi и проводного доступа в Интернет. Самостоятельная регистрация, спонсорство и массовое создание учетных данных поддерживает любой гостевой доступ - корпоративный, розничный, образовательный, крупный общественный объект.

Проверки
работоспособности устройства ClearPass OnGuard, используя постоянные и растворяемые агенты OnGuard, выполняет расширенную оценку состояния конечных точек по беспроводным, проводным и VPN-соединениям. Возможности проверки работоспособности OnGuard обеспечивают соответствие и сетевые меры безопасности перед подключением устройств.

Дополнительные возможности управления политиками

Интеграция с системами безопасности и рабочих процессов.
Совместимость ClearPass Exchange включает API-интерфейсы на основе REST и пересылку потоков данных системного журнала в и из ClearPass по требованию; которые можно использовать для облегчения рабочих процессов с MDM, SIEM, межсетевыми экранами PMS, центрами обработки вызовов, системами допуска и т. д. Для более быстрого и гибкого взаимодействия ClearPass может позволить конечным пользователям интегрировать расширения на основе контейнеров в реальном времени для чрезвычайно быстрого взаимодействия с новыми партнерами или новыми функциями по запросу. Контекст распределяется между каждым компонентом для сквозного применения политик и видимости.

Подключайтесь и работайте с приложениями, которые можно использовать.
Возможности ClearPass Auto Sign-On позволяют бесконечно легко получать доступ к рабочим приложениям на мобильных устройствах. Действительная сетевая аутентификация автоматически подключает пользователей к корпоративным мобильным приложениям, чтобы они могли сразу приступить к работе. Поддержка единого входа (SSO) работает с Ping, Okta и другими инструментами управления идентификацией, чтобы улучшить работу пользователей с приложениями на основе SAML 2.0.

Контроль доступа и видимость для любой проводной или беспроводной сети

Помните, когда ИТ были привратником и управляли с помощью комбинации строгих политик и полностью автономной экосистемы? Эти времена давно прошли. Сегодня миллиарды смартфонов, планшетов и устройств Интернета вещей (IoT) с поддержкой Wi-Fi приходят на рабочие места. Пользователи вооружены более чем тремя устройствами на каждом, и на каждом устройстве может быть установлено более 40 деловых и личных приложений.

Использование устройств Интернета вещей в проводных и беспроводных сетях также бросило вызов модели чистого ИТ-управления. Многие из этих устройств являются новыми технологиями и потребуют доступа из внешних административных ресурсов.

Ожидается, что все будет просто работать и безопасно - в офисе, в филиале или дома. Поскольку ИТ-отделы изо всех сил пытаются сохранить контроль, им нужен правильный набор инструментов для быстрого программирования базовой инфраструктуры и управления доступом к сети для любого неизвестного IoT и мобильного устройства, не тратя бесчисленные часы и ненужные ресурсы. В связи с растущим разнообразием и масштабом приложений, работающих в сети, им нужна общая структура политик, чтобы выйти за рамки безопасности на основе периметра, которые были в прошлом.

Мобильность и Интернет вещей меняют современный периметр безопасности

Границы области ИТ теперь выходят за пределы четырех стен предприятия. А цель организаций - обеспечить подключение в любое время и в любом месте без ущерба для безопасности. Как ИТ-отдел поддерживает видимость и контроль, не влияя на взаимодействие с пользователем?

Понимание того, какие устройства используются, сколько, где и какие операционные системы поддерживаются, обеспечивает основу. Ключевым моментом является решение, что происходит, когда пользователи и устройства подключаются, а когда они не соответствуют требованиям.

Организации должны планировать существующие и непредвиденные проблемы. Нереально полагаться на ИТ и персонал службы поддержки, чтобы вручную вмешиваться, когда пользователь решает работать удаленно или купить новый смартфон. Организациям необходимо адаптироваться к современным развивающимся устройствам и способам их использования - будь то смартфон или камера наблюдения.

Единое место для управления всем

Aruba ClearPass использует новый подход к решению проблемы безопасности - тот, который дает ИТ-специалистам простой способ создать основу для корпоративных политик, строгого соблюдения и улучшенного взаимодействия с пользователем. Благодаря этой единой политике ClearPass и платформе AAA контекстные данные используются по всей сети, чтобы гарантировать, что пользователям и устройствам предоставлены соответствующие права доступа - независимо от метода доступа или владения устройством. Политики включают роли пользователей, типы устройств, доступные данные MDM и статус сертификата, местоположение, день недели и время суток.

Это обеспечивает согласованное применение политик для сквозного подхода, который не могут обеспечить разрозненные решения AAA, NAC и гостевые решения.

Преимущества ClearPass

• Политики и службы AAA, которые поддерживают любую беспроводную, проводную и VPN-среду от разных производителей.
• Сетевые привилегии на основе контекстных данных в реальном времени - ролей пользователей, типов устройств, местоположения и времени суток.
• Встроенное профилирование устройств, которое определяет типы и атрибуты устройств для всего, что подключается.
• Инструменты для устранения неполадок в реальном времени, которые помогают быстро решать проблемы с подключением и пользователей.
• Встроенная интеграция, которая позволяет создать скоординированную защиту, в которой все - сторонние решения безопасности, такие как MDM / EMM, брандмауэры и инструменты SIEM - работают как единое решение.
• Последние улучшения позволяют создавать настраиваемые профили для идентификации и защиты устройств Интернета вещей в режиме реального времени с минимальным практическим взаимодействием с ИТ-специалистами.
• Интеграция с популярными платформами многофакторной аутентификации для любого доступа к сети или приложениям.

Создание прочной основы

Решение проблемы мобильности начинается с управления способом подключения пользователей и их устройств - проводным, беспроводным или VPN - для доступа к корпоративным ресурсам. Роли пользователей, профили рисков устройств и другие контекстные данные обеспечивают детализированные политики, которые действительно позволяют предлагать дифференцированный доступ.

ClearPass предоставляет важные функции, упрощающие мобильность:

• Управление политиками на основе ролей для пользователей и устройств (под управлением ИТ, BYOD и IoT).
• AAA корпоративного уровня, включая RADIUS / TACACS + и 802.1X.
• Полный набор настраиваемых параметров адаптивного портала для гостевого доступа, BYOD и совместного использования ресурсов с помощью служб Bonjour и DLNA.
• Полные функции видимости - информационные панели в реальном времени и отчеты об аутентификации после публикации.

ClearPass позволяет использовать роли пользователей и устройств, правила и службы динамического VLAN и списков контроля доступа (ACL), которые затрагивают все, от хранилищ идентификационных данных до сетевой инфраструктуры Aruba и мультивендоров, используя стандартные протоколы.

Возможность использовать несколько хранилищ удостоверений в рамках одной службы, включая Microsoft Active Directory, LDAP-совместимые каталоги, ODBC-совместимые базы данных SQL, серверы токенов и внутренние базы данных, отличает ClearPass от унаследованных решений.

Подготовка устройства без участия ИТ-специалистов

Управление подключением персональных устройств для развертываний BYOD может создать нагрузку на ИТ-отдел и ресурсы службы поддержки, а также может создать проблемы с безопасностью. ClearPass Onboard позволяет пользователям самостоятельно настраивать устройства для использования в защищенных сетях. Уникальные сертификаты устройств даже избавляют пользователей от необходимости многократно вводить учетные данные для входа в систему в течение дня. Одно только это удобство - победа. Дополнительная безопасность, полученная с помощью сертификатов, является бонусом.

ИТ-группа определяет, кто может подключать устройства, тип устройств, которые они могут использовать, и сколько устройств может установить каждый человек. Встроенный центр сертификации позволяет ИТ-специалистам быстрее поддерживать персональные устройства в качестве внутренней PKI, при этом дополнительные ИТ-ресурсы не требуются.

Простой и быстрый гостевой доступ
BYOD - это не только устройства сотрудников. Это касается любого посетителя, чьему устройству требуется доступ к сети - проводной или беспроводной. Для этого требуется простая модель, которая автоматизирует и упрощает предоставление доступа к сети для гостей, но также предоставляет расширенные функции безопасности, которые отделяют корпоративный трафик от гостевого трафика.

ClearPass Guest позволяет легко и эффективно создавать временные учетные записи доступа к сети для любого количества гостей в день для сотрудников, администраторов, координаторов мероприятий и других сотрудников, не связанных с ИТ. Кэширование MAC также гарантирует, что гости могут легко подключаться в течение дня без повторного ввода учетных данных на гостевом портале.

Самостоятельная регистрация снимает задачу с сотрудников и позволяет гостям создавать свои собственные учетные данные. Учетные данные для входа доставляются в виде распечатанных бейджей, текста SMS или электронной почты. Учетные данные могут храниться в ClearPass в течение определенного периода времени и могут быть настроены на автоматическое истечение срока действия через определенное количество часов или дней. ClearPass также улучшает гостевой опыт, позволяя организациям создавать фирменные гостевые порталы, рассчитанные на ноутбуки и небольшие мобильные устройства.

Когда работоспособность устройства определяет доступ
Во время процесса авторизации может потребоваться выполнить оценку работоспособности на определенных устройствах, чтобы убедиться, что они соответствуют корпоративным политикам защиты от вирусов, шпионского ПО и брандмауэра. Автоматизация мотивирует пользователей выполнять антивирусное сканирование перед подключением к корпоративной сети.

ClearPass OnGuard имеет встроенные возможности, которые выполняют проверки работоспособности на основе осанки для устранения уязвимостей в широком диапазоне компьютерных операционных систем и версий.

ClearPass также предоставляет расширенные проверки работоспособности, которые обеспечивают дополнительную безопасность:

• Обработка одноранговых приложений, служб и ключей реестра.
• Определение того, разрешены ли устройства хранения USB или экземпляры виртуальных машин.
• Управление использованием мостовых сетевых интерфейсов и шифрования дисков.

Независимо от того, используются ли постоянные или растворяемые клиенты, ClearPass может централизованно определять совместимые конечные точки в беспроводной, проводной инфраструктуре и инфраструктуре VPN.

Получение большего от сторонних решений
ClearPass Exchange позволяет автоматизировать мобильную безопасность с помощью популярных сторонних решений безопасности, таких как межсетевые экраны, MDM / EMM и инструменты SIEM. Использование контекстного интеллекта, который содержит ClearPass, позволяет организациям гарантировать, что безопасность и видимость обеспечиваются на уровне устройства, доступа к сети, а также проверки трафика и защиты от угроз.

Использование API-интерфейса языка общения (REST), обмена сообщениями системного журнала и встроенного репозитория под названием Extensions, автоматизированные рабочие процессы и решения помогают упростить задачи и обезопасить предприятие - больше никаких сложных языков сценариев и утомительной ручной настройки. А для более быстрой интеграции ClearPass container Extensions обеспечивает гибкую интеграцию в реальном времени с новыми сторонними функциями и партнерами.

ClearPass поддерживает интеграцию с популярными платформами многофакторной аутентификации (MFA) для любого доступа к сети или приложениям. ClearPass предлагает мобильным устройствам задачу MFA, поскольку они впервые подключаются к существующей сетевой инфраструктуре и / или возвращаются для новых подключений. Эта задача MFA может быть представлена ​​конечному пользователю на основе различных критериев, чтобы лучше удовлетворить требования корпоративной политики: из определенных мест, только для определенных типов мобильных устройств или выбранной группы пользователей.

Благодаря ClearPass Exchange сети могут автоматически предпринимать корректирующие действия:

• Данные MDM / EMM, такие как статус взлома устройства, могут определить, может ли оно подключиться к сети.
• Брандмауэры могут точно применять политики на основе атрибутов пользователя, группы и конкретных устройств.
• Инструменты SIEM могут быть настроены для сбора всех данных аутентификации для видимости единой информационной панели.

Сетевые события также могут побуждать ClearPass Exchange к действию на устройстве, инициируя действия в двунаправленном порядке. Например, если пользователь не проходит проверку подлинности сети несколько раз, ClearPass может инициировать уведомление непосредственно на устройство.

Безопасный доступ к рабочим приложениям из любого места
Вход в рабочие приложения в течение дня должен быть быстрым и легким. Функция автоматического входа ClearPass делает именно это. Вместо единого входа, который требует, чтобы каждый вручную входил в приложения один раз, ClearPass Auto Sign-On использует действительный вход в сеть, чтобы автоматически предоставлять пользователям доступ к корпоративным мобильным приложениям.

Вместо того, чтобы запоминать и вручную вводить пароли для каждого рабочего приложения, пользователям требуется только их сетевой логин или действующий сертификат на своих устройствах. ClearPass также можно использовать в качестве поставщика удостоверений (IdP) или поставщика услуг (SP), где используется система единого входа.

Службы Bonjour, DLNA и UPnP
Проекторы, телевизоры, принтеры и другие мультимедийные устройства, использующие DLNA / UPnP или Apple AirPlay и AirPrint, можно использовать совместно между пользователями в вашей инфраструктуре Wi-Fi Aruba. ClearPass упрощает поиск этих устройств и обмен ими.

Например, учитель, который хочет показать презентацию с планшета, увидит только доступный дисплей в своем классе. Они не увидят устройства на другой стороне кампуса. Они также могут использовать портал, чтобы выбрать, кто еще может использовать дисплей - это не позволяет учащимся занять дисплей.

Другой пример - в секторе здравоохранения: врачи могут легко проецировать цифровые изображения PACS со своих iPad на большой экран в любом месте больницы. Сотрудничество с пациентами стало еще проще.

Основа безопасности

Обеспечение бесперебойной работы для сегодняшнего #GenMobile и быстрое внедрение технологий Интернета вещей на предприятии создали множество новых ИТ-задач. Это требует планирования, правильных инструментов и прочной основы для обеспечения безопасного доступа в любое время и в любом месте для мобильных устройств и устройств Интернета вещей.

ClearPass решает эти проблемы, предоставляя платформу, которая обеспечивает контроль политик, автоматизацию рабочих процессов и прозрачность из единого связного решения. Путем сбора и сопоставления контекстных данных в реальном времени ClearPass позволяет определять политики, которые работают в любой среде - беспроводной, проводной или VPN.

Последние усовершенствования Aruba ClearPass также решают возникающие проблемы сетевой безопасности, связанные с внедрением IoT, усиленной аутентификацией мобильных устройств и приложений, а также более глубоким отслеживанием инцидентов безопасности. Автоматическая защита от угроз и интеллектуальные сервисные функции гарантируют, что каждому устройству точно предоставлены права доступа к сети с минимальным практическим взаимодействием с ИТ-специалистами.

 

Варианты контроля доступа для проводных сетей:

Когда обсуждается политика и контроль доступа, обычно возникает немедленная связь с беспроводными и неуправляемыми устройствами, такими как смартфоны и устройства IoT. Поскольку эти устройства часто используются вне рабочего места и обычно подключаются по беспроводной сети, средства управления политиками и профилирование устройств были сосредоточены исключительно на беспроводном доступе. Это привело к тому, что проводные средства управления доступом были затенены или вообще не настроены, что привело к пробелам в безопасности во многих организациях. И, как хорошо известно экспертам по ИТ-безопасности, прочность сетей определяется их самым слабым звеном.

Поскольку современное рабочее место заполнено внешним персоналом, таким как временные работники, подрядчики и гости, которые могут использовать свои личные устройства на рабочем месте, идентификация и видимость устройств стали ценными компонентами на этапе аутентификации и авторизации. Эти данные затем используются для обеспечения соблюдения политик в беспроводных и проводных сетях. Но рост количества устройств IoT, которые не связаны с конкретным пользователем или группой, теперь вызывает проблемы с безопасностью в проводной сети.

Без согласованности в проводной сети злоумышленники могут легко подключаться и получать доступ к корпоративным ресурсам. Например, в зависимости от конфигурации коммутатора доступа пользователи могут иметь доступ к проводной сети через аутентифицированное устройство, такое как встроенный порт коммутатора IP-телефона. Несмотря на то, что существует какая-то форма аутентификации, она не обязательно применима к устройствам, подключенным через IP-телефон.

В этом документе обсуждаются варианты, которые приближают проводные сети к тому же уровню контроля, который был в беспроводных сетях, независимо от метода контроля доступа, либо с помощью безопасных средств, либо без применения AAA.

Вариант 1: принудительное исполнение без AAA

При применении не-AAA цель проводной сети состоит в том, чтобы свести к минимуму усилия, необходимые для развертывания службы применения политик. Конечным точкам не требуется соискатель или агент, что делает его удобным для ноутбуков, принтеров и устройств IoT, многие из которых не поддерживают соискатель 802.1X. Кроме того, фактические коммутаторы требуют минимальной настройки.

Когда устройство подключается к проводному порту, механизм политики может быть уведомлен о новом устройстве, а методы профилирования, такие как DHCP Fingerprinting или Windows Management Instrumentation (WMI), могут использоваться для определения типа устройства и пользователя. С помощью этой информации мы можем проверить это устройство и пользователя по Active Directory или базе данных устройства, чтобы соответствующие политики можно было применить к порту коммутатора. Это означает, что каждое устройство, подключенное к проводной сети, профилируется и оценивается, обеспечивая столь необходимую видимость.

Профилирование включает снятие отпечатков пальцев с каждого устройства, а также возможность выполнять оценку устройства, чтобы лучше понять положение устройства. Методы профилирования и оценки включают идентификацию DHCP, сканирование SNMP, сканирование NMAP, протокол обнаружения канального уровня (LLDP), протокол обнаружения Cisco (CDP), инструментарий управления Windows (WMI) и другие. Для ноутбуков с Windows вы можете выполнить базовую оценку, например увидеть, существуют ли необходимые службы и работают ли они на каждом устройстве.

Преимущество применения принудительного применения без AAA заключается в том, что существует минимальная конфигурация, и это позволяет ИТ-специалистам быстро выполнять требования внутреннего или внешнего аудита или соответствия требованиям. Вы также можете создать исчерпывающую базу данных всех устройств, подключенных к проводной сети, что становится все более важным по мере появления большего количества устройств IoT.

Вариант 2: аутентификация 802.1X на основе идентификационных данных

802.1X является наиболее безопасным вариантом и обеспечивает проверку подлинности на основе сертификата в реальном времени или на основе имени пользователя и пароля. Вы также получаете выгоду, выполняя аутентификацию до того, как устройство получит IP-адрес. В модели без AAA устройства получают ограниченный доступ к сети перед любой аутентификацией.

Использование 802.1X также предоставляет лучшие возможности для авторизации привилегий устройства. Вместо простого размещения VLAN для определения доступа при изменении статуса устройства можно использовать списки ACL, загружаемые списки ACL и роли. Возможность использовать детализированное принудительное применение на основе идентификационных данных также упрощает обмен информацией о пользователях с брандмауэрами и другими компонентами безопасности для улучшения нисходящих политик и предотвращения угроз. Но, как и во всем, что связано с безопасностью, существует обратная зависимость между удобством и уровнем усилий, необходимых ИТ-отделом для реализации модели с безопасным управлением политиками.

Для работы 802.1X необходимо наличие и настройка трех компонентов; соискатель, аутентификатор и сервер аутентификации. Соискатель находится на оконечном устройстве, аутентификатор - это коммутатор в проводной сети, а сервер аутентификации - это компонент AAA, который обычно использует протокол RADIUS. В современном мире сервер AAA находится в решении для управления политиками.

Для проводной среды 802.1X устраняет проблемы конфигурации порта VLAN, поскольку каждое подключаемое устройство может инициировать сеанс для этого конкретного подключения. Пользователь не может отключить принтер, подключить ноутбук и получить доступ к VLAN принтера. После подключения портативного компьютера рабочий процесс будет заключаться в установлении личности пользователя и устройства и выполнении принудительного применения на основе ролей для этого пользователя или устройства. Могут быть предоставлены дифференцированные привилегии в зависимости от роли пользователя и устройства, местоположения, положения устройства и т. Д. Для устройств, не поддерживающих 802.1X, вы также можете использовать аутентификацию на основе MAC-адреса, чтобы обеспечить возможность подключения к проводной сети.

Данные профилирования, которые могут быть собраны, аналогичны тем, которые могут быть собраны в модели, отличной от AAA, но возможности принудительного применения больше, поскольку собранные атрибуты затем могут использоваться для выполнения изменений авторизации во время выполнения на основе изменений статуса устройства.

Еще одно преимущество состоит в том, что 802.1X поддерживает логины и пароли или использование сертификатов устройств, что обеспечивает более высокий уровень безопасности. Сертификаты нельзя подделать. Сегодня службы адаптации могут автоматизировать настройку соискателей конечных точек и создать базу данных для использования при выполнении авторизации и принудительного применения. Это можно использовать в проводных, беспроводных и VPN-сетях, чтобы обеспечить единообразие взаимодействия с пользователем.

Другие преимущества включают возможность изменять привилегии подключенных устройств в зависимости от их поведения. Если несколько устройств подключены за портом коммутатора, изменение авторизации (CoA) для настройки политик безопасности не повлияет на все устройства, только на целевое устройство.

Рекомендации

Администраторы ИТ-безопасности потратили значительное количество времени на обеспечение безопасности беспроводной сети из-за того, что личные устройства, гости, посетители и подрядчики запрашивают доступ в Интернет. Однако проводная сеть часто игнорируется из-за нехватки ресурсов. Сегодня рост IoT и требований к соответствию требуют того, чтобы проводным сетям уделялось такое же внимание.

Учитывая, что все больше и больше нарушений безопасности нацелены на устройства Интернета вещей в проводных сетях, мы рекомендуем развернуть вариант, который имеет смысл как для проводных, так и для беспроводных сетей. По этой причине Aruba ClearPass поддерживает не-AAA и безопасное применение политик 802.1X для проводных и беспроводных сетей. ClearPass OnConnect позволяет применять проводное обеспечение, отличное от AAA, чтобы клиенты могли запустить политику и путь управления доступом. Все устройства могут быть профилированы с авторизацией на основе пользователей, все с минимальной конфигурацией инфраструктуры коммутации.

Для более широких возможностей применения политик следует рассмотреть более безопасную модель применения 802.1X. Поскольку это потребует более тщательного планирования и настройки, если 802.1X уже используется для беспроводной службы, ClearPass предоставляет механизмы для унификации применения политик для разных типов сетевого транспорта, и все это из одного решения.

 

Характеристики
Устройства ClearPass Policy Manager	ClearPass Policy Manager доступен в виде оборудования или виртуального устройства, поддерживающего 500, 5 000 и 25 000 устройств аутентификации. Виртуальные устройства поддерживаются на VMware ESX / i и Microsoft Hyper-V. ESX 4.0, ESXi 4.1, до 6.0 Hyper-V 2012 R2 и Windows 2012 R2 Enterprise Виртуальные устройства, а также аппаратные устройства могут быть развернуты в активном кластере для повышения масштабируемости и избыточности.
Платформа	Встроенные службы AAA - RADIUS, TACACS + и Kerberos Интернет, 802.1X, не-802.1X, аутентификация и авторизация RADIUS Расширенные инструменты отчетности, аналитики и устранения неполадок Перенаправление внешнего адаптивного портала на оборудование разных производителей Утилиты интерактивного моделирования политик и режима мониторинга Несколько порталов регистрации устройств - гостевые, Aruba AirGroup, BYOD, неуправляемые устройства Шаблоны развертывания для любого типа сети, хранилища удостоверений и конечной точки Безопасность доступа администратора / оператора через сертификаты CAC и TLS Туннели IPSec
Фреймворк и поддержка протокола	RADIUS, RADIUS CoA, TACACS +, веб-аутентификация, SAML v2.0 EAP-FAST (EAP-MSCHAPv2, EAP-GTC, EAP-TLS) PEAP (EAP-MSCHAPv2, EAP-GTC, EAP-TLS, EAP-PEAP-Public, EAP-PWD) TTLS (EAP-MSCHAPv2, EAP-GTC, EAP-TLS, EAP-MD5, PAP, CHAP) EAP-TLS PAP, CHAP, MSCHAPv1 и 2, EAP-MD5 NAC, Microsoft NAP Машинная аутентификация Windows MAC аутентификация Аудит (правила на основе сканирования портов и уязвимостей) Протокол статуса онлайн-сертификата (OCSP) Базовая MIB SNMP, частная MIB SNMP Общий формат событий (CEF), расширенный формат журнала событий (LEEF) TLS 1.2
Поддерживаемые хранилища идентификационных данных	Microsoft Active Directory РАДИУС Любой LDAP-совместимый каталог Любой ODBC-совместимый SQL-сервер Токен-серверы Встроенное хранилище SQL, статический список хостов Kerberos
Стандарты RFC	2246, 2248, 2548, 2759, 2865, 2866, 2869, 2882, 3079, 3576, 3579, 3580, 3748, 4017, 4137, 4849, 4851, 5216, 528, 7030
Интернет-проекты	Защищенный EAP версий 0 и 1, расширения Microsoft CHAP, динамическое обеспечение с использованием EAP-FAST, TACACS +
Подтверждение достоверности информации	FIPS 140-2 - Сертификат № 2577
Методы профилирования	DHCP, TCP, MAC OUI, ClearPass Onboard, SNMP, датчик устройства Cisco

Технические характеристики устройства
	Менеджер политики ClearPass-500	Менеджер политики ClearPass-5K	Менеджер политик ClearPass-25K
ЦПУ	(1) восьмиядерный процессор Atom C2758 с тактовой частотой 2,4 ГГц	(1) Четырехъядерный процессор Xeon 3,4 ГГц E3-1231_V3	(2) Шестиядерный Xeon 2,4 ГГц E5-2620_V3
объем памяти	8 ГБ	8 ГБ	64 ГБ
Хранение на жестком диске	(1) Жесткий диск SATA (7,3 тыс. Об / мин) 1 ТБ	(2) жестких диска SATA (7,2 тыс. Об / мин) 1 ТБ, контроллер RAID-1	(6) жестких дисков SAS (10 000 об / мин) 600 ГБ с возможностью горячей замены, контроллер RAID-10
Масштабируемость устройства
Максимальное количество устройств	500	5 000	25 000
Фактор формы
Размеры (Ш x В x Г)	17,2 дюйма x 1,7 дюйма x 11,3 дюйма	17,09 дюйма x 1,67 дюйма x 15,5 дюйма	18,98 дюйма x 1,68 дюйма x 27,57 дюйма
Вес (макс. Конфигурация)	8,5 фунтов	16,97 фунтов	До 37 фунтов
Мощность
Источник питания	200 Вт макс.	250 Вт макс.	750 Вт макс.
Резервирование мощности	N / A	N / A	необязательный
Входное напряжение переменного тока	Автоматический выбор 110/220 В переменного тока	Автоматический выбор 110/220 В переменного тока	Автоматический выбор 100/240 В переменного тока
Входная частота переменного тока	Автоматический выбор 50/60 Гц	Автоматический выбор 50/60 Гц	Автоматический выбор 50/60 Гц
Относящийся к окружающей среде
Рабочая Температура	От 5 ° C до 35 ° C (от 41 ° F до 95 ° F)	От 10 ° C до 35 ° C (от 50 ° F до 95 ° F)	От 10 ° C до 35 ° C (от 50 ° F до 95 ° F)
Вибрация при работе	0,25 G при 5 Гц - 200 Гц в течение 15 минут	0,26 G при 5 Гц - 350 Гц в течение 15 минут	0,26 G при 5 Гц - 350 Гц в течение 15 минут
Рабочий шок	1 ударный импульс 20 G длительностью до 2,5 мс	1 ударный импульс 31 G длительностью до 2,6 мс	1 ударный импульс 40 G длительностью до 2,3 мс
Рабочая высота	От -16 до 3048 м (от -50 до 10000 футов)	От -16 до 3048 м (от -50 до 10000 футов)	От -16 до 3048 м (от -50 до 10000 футов)

* Размер виртуального устройства должен соответствовать техническим характеристикам устройства.

Примечания к ценам:

• Цены и наличие продукта могут быть изменены без предварительного уведомления.

 

Менеджер политик Aruba ClearPass
Аппаратное обеспечение Aruba ClearPass Policy Manager 500
- сервер RADIUS / TACACS + с расширенным контролем политик для до 500 уникальных конечных точек. Включает лицензию Enterprise на 25 конечных точек.# JW770A
Прейскурантная цена:10 000,00 долл. США
Добавить в корзину по нашей цене
Виртуальное устройство Aruba ClearPass Policy Manager 500
- сервер RADIUS / TACACS + с расширенным контролем политик для до 500 уникальных конечных точек. Включает лицензию Enterprise на 25 конечных точек# JW335AAE
Прейскурантная цена:6 500,00 долл. США
Добавить в корзину по нашей цене
Виртуальное устройство Aruba ClearPass Policy Manager 5K
- сервер RADIUS / TACACS + с расширенным контролем политик для до 5000 уникальных конечных точек. Включает лицензию Enterprise на 25 конечных точек# JW336AAE
Прейскурантная цена:15 000,00 долл. США
Добавить в корзину по нашей цене
Виртуальное устройство Aruba ClearPass Policy Manager 25K -
сервер RADIUS / TACACS + с расширенным контролем политик для до 25 000 уникальных конечных точек. Включает лицензию Enterprise на 25 конечных точек# JW337AAE
Прейскурантная цена:55 000,00 долл. США
Добавить в корзину по нашей цене
Корпоративная лицензия для Aruba ClearPass Policy Manager, 1 год
* ClearPass Enterprise включает любую комбинацию устройств OnGuard, Onboard или Guest. Лицензируется по количеству конечных точек на функцию
Корпоративная лицензия для Aruba ClearPass Policy Manager - 100 конечных точек# JW595AAE Свяжитесь с нами, чтобы узнать
цены!
Корпоративная лицензия для Aruba ClearPass Policy Manager - 500 конечных точек# JW596AAE Свяжитесь с нами, чтобы узнать цену
!
Корпоративная лицензия для Aruba ClearPass Policy Manager - 1000 конечных точек# JW597AAE Свяжитесь с нами, чтобы узнать
цены!
Корпоративная лицензия для Aruba ClearPass Policy Manager - 2500 конечных точек# JW598AAE Свяжитесь с нами, чтобы узнать цену
!
Корпоративная лицензия для Aruba ClearPass Policy Manager - 5000 конечных точек# JW599AAE Свяжитесь с нами, чтобы узнать цену
!
Корпоративная лицензия для Aruba ClearPass Policy Manager - 10 000 конечных точек# JW600AAE Свяжитесь с нами, чтобы узнать цену
!
Для более чем 10 000 конечных точек используйте нашу  форму запроса предложения!
Услуги HPE Aruba
Aruba 1 год Foundation Care 24x7 для оконечных устройств ClearPass Enterprise 100# H2WK3E
Добавить в корзину по нашей цене
1 год базового обслуживания Aruba для оконечных устройств ClearPass Enterprise 500 24x7# H2WQ3E
Добавить в корзину по нашей цене
1 год базового обслуживания Aruba для оконечных устройств ClearPass Enterprise 1K 24x7# H2WM3E
Добавить в корзину по нашей цене
1 год базового обслуживания Aruba для оконечных устройств ClearPass Enterprise 2500 24x7# H2WN3E
Добавить в корзину по нашей цене
1 год базового обслуживания Aruba для оконечных устройств ClearPass Enterprise 5K 24x7# H2WS3E
Добавить в корзину по нашей цене
1 год базового обслуживания Aruba для оконечных устройств ClearPass Enterprise 10K 24x7# H2WL3E
Добавить в корзину по нашей цене
1 год базового обслуживания Aruba для оконечных устройств ClearPass Enterprise 25K 24x7# H2WP3E
Добавить в корзину по нашей цене
Aruba 1 год Foundation Care 24x7 для оконечных устройств ClearPass Enterprise 50K# H2WR3E
Добавить в корзину по нашей цене