Działy IT w firmach stanęły przed wyzwaniem zarządzania ogromnym asortymentem smartfonów, tabletów oraz innych urządzeń mobilnych w swoich sieciach, a sytuacja ta jest dodatkowo potęgowana przez nieustannie rosnącą popularność trendu BYOD. Bardzo szybko również narodziła się konieczność weryfikacji jakie urządzenia są podłączane do sieci i z jakim poziomem dostępu w niej funkcjonują, a także którzy użytkownicy i z jakimi prawami w niej działają. Tylko znajomość szczegółowych odpowiedzi na te pytania daje pewność, że firmowe zasoby są relatywnie bezpieczne.

Jednak rosnąca liczba urządzeń w sieci korporacyjnej nie jest jedynym powodem do niepokoju. Pracownicy za pomocą prywatnego sprzętu łączą się z siecią Wi-Fi gdziekolwiek się znajdują i pobierają aplikacje oraz dane zarówno z powodów zawodowych, jak i osobistych. A jako że duża część oprogramowania i usług nie ma zabezpieczeń niezbędnych do ochrony sieci biznesowych, osoby wracające ze świata „zewnętrznego” ze swoimi urządzeniami i ponownie łączące się z siecią firmową, mogą bezpośrednio zagrażać bezpieczeństwu całej firmy.

Istnieje jednak możliwość zmniejszenia lub całkowitego zdjęcia z działu IT ciężaru wdrażania i obsługi tak wielu nowych urządzeń bez konieczności kompromisów w zakresie bezpieczeństwa lub zmian w regułach polityki firmy. Platforma Aruba ClearPass zapewnia zarządzanie regułami polityki dostępowej, łatwe wdrażanie nowych urządzeń oraz przyznawanie odpowiednich praw do korzystania z zasobów, przez co zapewnia oczekiwany poziom bezpieczeństwa w sieci firmowej.

ClearPass umożliwia administratorom bezpieczne podłączanie urządzeń biznesowych i osobistych do sieci, zgodnie z regułami polityki bezpieczeństwa. Pozwala również na przyznawanie pełnego lub ograniczonego dostępu do urządzeń na podstawie informacji o roli użytkowników (RBAC), typie wykorzystywanych przez nich urządzeń oraz poziomu ich zabezpieczenia. Działanie tego rozwiązania bazuje na trzech filarach: identyfikacji sprzętu, egzekwowaniu zasad oraz ochronie całego środowiska IT.

Identyfikacja sprzętu

Wraz z rosnącym zapotrzebowaniem na dostęp do sieci korporacyjnej, obciążenie działów IT wzrasta wykładniczo. Tymczasem nie tylko laptopy i smartfony powinny być na celowniku działów bezpieczeństwa IT. Nie należy zapominać o ciągle rosnącej liczbie urządzeń IoT, takich jak: drukarki, kamery CCTV, panele wideokonferencyjne czy wszelkiego typu sensory, terminale lub kolektory danych łączące się z siecią bezprzewodową.

Nie jest tajemnicą, że w urządzeniach IoT mechanizmy bezpieczeństwa sieciowego nie istnieją wcale lub są na poziomie pozostawiającym wiele do życzenia. ClearPass pomaga administratorom zidentyfikować, które urządzenia są aktualnie używane, ile z nich jest na dany moment podłączonych do sieci, skąd się łączą i na jakich systemach operacyjnych pracują. Jednocześnie zapewnia ciągły wgląd w zmiany w samej sieci oraz dostarcza informacji, które urządzenia się łączą i rozłączają.

Równie łatwo można zidentyfikować urządzenia po takich parametrach jak: typ, model, wersja systemu operacyjnego, adresy MAC czy IP. Proces ten – potocznie nazywany profilowaniem – może być częścią budowy bardziej zaawansowanych reguł polityki dostępowej, w których określone jest nie tylko kto może się łączyć z siecią i na jakich zasadach, ale również z jakiego typu urządzenia może to robić. Prawa dostępu mogą być przydzielane w ramach mechanizmu A-RBAC (Attribute-Enabled Role Based Access Control) zapewniającego, że ten sam użytkownik, łączący się z tą samą siecią za pomocą tych samych poświadczeń, ale z różnych urządzeń końcowych, dostaje różne poziomy dostępu do jej zasobów.

Możliwość korzystania z wielu magazynów tożsamości jednocześnie w ramach jednej usługi, w tym Microsoft Active Directory, katalogów zgodnych z LDAP, baz danych SQL zgodnych z ODBC, serwerów tokenów i wewnętrznych baz danych, wyróżniają znacząco ClearPass od starszych rozwiązań tego typu.

Egzekwowanie zasad

Ustanowienie i egzekwowanie zasad dostępu do firmowej sieci może stanowić ogromne wyzwanie dla działów IT. Pracownik chcący podłączyć nowe urządzenie do sieci, często musi stosować się do rozbudowanych procedur, a czasami wręcz konieczna jest bezpośrednia asysta kogoś z działu IT. ClearPass umożliwia egzekwowanie tych zasad podczas wdrażania nowych urządzeń bez udziału zasobów ludzkich – niezależnie od tego, czy jest to laptop, smartfon czy kamera CCTV. Wbudowany w platformę mechanizm certyfikacji umożliwia szybszą obsługę urządzeń bez potrzeby angażowania dodatkowych zasobów IT, wymaganych natomiast przy utrzymaniu własnej struktury PKI (Public Key Infrastructure).

Finalnie rola samego zespołu IT zostaje sprowadzona do stworzenia podstaw bezpieczeństwa oraz napisania reguł dotyczących tego, kto może przeprowadzić proces onboardingu urządzenia, jakie są typy dozwolonych urządzeń lub ich systemy operacyjne, ile urządzeń może mieć każdy użytkownik itp.

Następnie można wymusić dostęp do sieci na kilka sposobów, na przykład skorzystać z captive portalu lub z bezpieczniejszej i preferowanej metody wykorzystującej szyfrowanie w procesie uwierzytelniania w celu przeprowadzenia procesu onboardingu. Polega on w znacznej mierze na zainstalowaniu w danym sprzęcie certyfikatów uwierzytelniających dla urządzenia, użytkownika oraz certyfikatu ClearPass CA, który je podpisał.

Po przyznaniu dostępu urządzeniom, ClearPass używa aktywnych i pasywnych metod profilowania w celu monitorowania sieci i zapewnienia jej bezpieczeństwa, a autentykacja odbywa się za pomocą protokołów uwierzytelniających z pakietu 802.1X, jak chociażby EAP-TLS.

Ochrona środowiska IT

Stan „zdrowia” poszczególnych urządzeń końcowych podłączonych do sieci w firmie jest istotnym elementem bezpieczeństwa jej samej, ale też całego przedsiębiorstwa. Zwłaszcza jeżeli takich podłączeń są setki czy tysiące dziennie lub pracownicy mają zgodę na korzystanie z prywatnych urządzeń do wykonywania obowiązków służbowych.

Dzięki ClearPass OnGuard zespół IT może zdefiniować „poziom stanu zdrowia”, jaki musi zostać osiągnięty przez dane urządzenie, aby uzyskać dostęp do sieci. Następnie moduł OnGuard automatycznie przeprowadza kontrole stanu urządzeń końcowych, aby upewnić się, że jest zgodny z wymaganiami polityki bezpieczeństwa. Takie rozwiązanie sprawdza się na dużą skalę w sieciach przewodowych i bezprzewodowych. ClearPass zapewnia także możliwość integracji z produktami innych firm (Aruba ClearPass Exchange).

Taka integracja umożliwia wdrażanie dynamicznej kontroli polityki bezpieczeństwa i przeciwdziałania zagrożeniom. W konsekwencji daje wgląd w aktywności w sieci w czasie rzeczywistym, co umożliwia identyfikację i przeciwdziałanie wszelkim zagrożeniom, które mogą się w niej pojawić.

Ostatecznie pozwala to działowi IT z wyprzedzeniem podejmować decyzje w przypadku wykrycia niepożądanego lub nietypowego zachowania w sieci. Wymaga to jednak ustanowienia ujednoliconego podejścia, które może blokować ruch oraz odłączać urządzenia od sieci w razie potrzeby, używając na przykład takich mechanizmów jak Radius CoA (Change of Authorization) lub Bouncing Port.

ClearPass można też zintegrować z popularnymi platformami uwierzytelniania wieloskładnikowego (MFA) w celu uzyskania dostępu do dowolnej sieci lub aplikacji. Przy okazji warto też wspomnieć o funkcji związanej z obsługą połączeń typu Guest Access. Ten moduł zapewnia pełną automatyzację procesu tworzenia kont dla osób spoza firmy, ale również na proste, lecz kompleksowe zarządzanie nimi. Kolejną jego zaletą jest możliwość kreowania dowolnych rodzajów portali dla gości lub hotspotów oraz ich integrowanie z zewnętrznymi bramkami SMS lub systemami płatności online.

Miłosz Jaworski, Cyber Security & Network Consultant, AB  

Konieczność zapewnienia bezproblemowej pracy osobom z dzisiejszego mobilnego pokolenia oraz szybkie wdrażanie urządzeń IoT w firmach niewątpliwie postawiło przed działami IT wiele nowych wyzwań. Aruba ClearPass radzi sobie z nimi doskonale dzięki platformie, która zapewnia kontrolę polityki dostępowej, automatyzację przepływu pracy i wgląd w stan urządzeń za pomocą jednego spójnego rozwiązania. Umiejętność przechwytywania i korelowania danych kontekstowych w czasie rzeczywistym umożliwia definiowanie zasad, które działają w każdym środowisku – bezprzewodowym, przewodowym lub VPN. Najnowsze ulepszenia Aruba ClearPass radzą sobie również z pojawiającymi się wyzwaniami w zakresie bezpieczeństwa sieci, związanymi z obecnością dużej liczby urządzeń IoT, silniejszym uwierzytelnianiem sprzętu mobilnego i aplikacji oraz głębszym wglądem w incydenty bezpieczeństwa.

  

Dodatkowe informacje: Miłosz Jaworski, Cyber Security & Network Consultant, AB, milosz.jaworski@ab.pl