Oprogramowanie ClearPass zapewnia ujednoliconą platformę do zarządzania regułami polityki bezpieczeństwa oraz uwierzytelniania, autoryzacji i kontroli dostępu (czyli procesów AAA – authentication, authorization, accounting). Dane kontekstowe (dotyczące m.in. ról użytkowników, typów urządzeń, praw do automatycznego logowania, lokalizacji, godziny i dnia tygodnia) mogą pochodzić z innych źródeł, a są gromadzone w ClearPassie. To gwarantuje, że użytkownikom korzystającym z określonego urządzenia zawsze przydzielane są właściwe prawa dostępu.

Dział IT może centralnie zarządzać regułami polityki dostępu do sieci, automatycznie akceptować dostęp do niej użytkowników-gości, a także konfigurować urządzenia i oceniać ich stan oraz dystrybuować certyfikaty bezpieczeństwa. Służy do tego jedna konsola, której można używać w sieci każdego typu, bez wprowadzania zmian w dotychczas wykorzystywanej  infrastrukturze. Zapewnia ona także użytkowanie zebranych informacji w rozwiązaniach innych firm. Kolejną znaczącą korzyścią ze stosowania rozwiązania ClearPass jest automatyzacja wielu czasochłonnych zadań, które dział IT musiał wcześniej wykonywać ręcznie.

Stworzony przez firmę Aruba system ma jeszcze jedną ważną zaletę – możliwość stopniowego wprowadzania potrzebnych firmie funkcji. Na początku, po stworzeniu bazy zarządzania regułami i procesami AAA, można go wykorzystać np. do wyeliminowania złożonych procesów związanych z integracją zróżnicowanych produktów. Następnie można go zintegrować z systemem MDM, zapewniającym bezpieczne korzystanie z prywatnych urządzeń do celów służbowych (BYOD) a także udostępnić gościom portal umożliwiający zalogowanie się do Internetu. Funkcje analizy i raportowania dają administratorom ciągły wgląd w działanie firmowej sieci – mogą zawsze sprawdzić, kto i z jakich urządzeń się z nią łączy. Zapewnia to stosowanie zabezpieczeń z uwzględnieniem zwyczajów użytkowników mobilnych.

Atuty rozwiązania ClearPass Policy Manager

• Reguły i usługi AAA działają w całym przedsiębiorstwie, w każdym środowisku złożonym z produktów różnych dostawców.

• Prawa dostępu do sieci i aplikacji są automatycznie przydzielane pracownikom na podstawie danych kontekstowych, takich jak role użytkowników, typy urządzeń, lokalizacja i pora dnia.

• Użytkownicy sami rejestrują swoje urządzenia, np. sprzęt mobilny, wypełniając formularz online, a następnie konfigurują je, wprowadzając właściwe ustawienia bezpieczeństwa i uwierzytelniania, bez wsparcia działu pomocy IT.

• Wbudowana funkcja profilowania urządzeń identyfikuje te z nich, które są podłączone do sieci, i kontroluje ich dostęp na podstawie typu sprzętu oraz danych właściciela.

• Narzędzia do rozwiązywania problemów w czasie rzeczywistym eliminują konieczność przeglądania obszernych dzienników baz danych.

 
Bezpieczeństwo urządzeń mobilnych

Aplikacja ClearPass Onboard umożliwia pracownikom samodzielne konfigurowanie dostępu urządzeń mobilnych do sieci i zabezpieczanie ich. Nieznane urządzenia są automatycznie przekierowywane do prostego narzędzia konfiguracyjnego, które z łatwością może obsłużyć nawet najmniej doświadczony użytkownik.

 

Trzy pytania do…

Michała Kołodzieja, architekta rozwiązań sieciowych, Hewlett Packard Enterprise

CRN Minęły już czasy, kiedy dział IT sprawował pełną kontrolę nad urządzeniami podłączanymi do sieci komputerowej. Czy sytuacja, w której środowisko informatyczne nie ma wyraźnie określonych granic, stanowi dla firm duże wyzwanie?

Michał Kołodziej Oczywiście, działy informatyczne przedsiębiorstw mają coraz większe trudności z utrzymaniem kontroli nad siecią. Obecnie na świecie z sieciami bezprzewodowymi przedsiębiorstw łączą się miliardy smartfonów i tabletów. Średnio na każdego użytkownika przypadają ponad trzy urządzenia, a na każdym z nich zainstalowanych jest wiele aplikacji firmowych i osobistych. Użytkownicy oczekują dziś, że w biurze będą mogli korzystać z prywatnych urządzeń mobilnych równie łatwo jak w domu.

 

CRN Jakie nowe zadania przynosi to działom IT?

Michał Kołodziej Dziś środowisko informatyczne przedsiębiorstw wykracza poza fizyczną infrastrukturę, a pracownikom trzeba zapewnić niezawodny dostęp do sieci, z zachowaniem odpowiedniego poziomu bezpieczeństwa i kontroli. Dlatego działy IT muszą przede wszystkim stawić czoła poważnym wyzwaniom dotyczącym konfigurowania sprzętu. Zarządy firm nie mogą już liczyć na to, że i tak przeciążone osoby na stanowiskach pomocy technicznej będą ręcznie konfigurować ustawienia bezpieczeństwa i dostępu na każdym urządzeniu mobilnym, które ma korzystać z firmowej sieci.

 

CRN Za pomocą jakiego typu narzędzi można rozwiązań ten problem?

Michał Kołodziej Działy IT potrzebują narzędzi zintegrowanych, dzięki którym skuteczniej można zabezpieczać urządzenia przenośne, a przede wszystkim proces ten powinien być w jak największym stopniu automatyczny. Do tej pory informatycy korzystali z wielu odrębnych rozwiązań, które nie wymieniały między sobą danych, odpowiedzialnych m.in. za kontrolę dostępu do sieci, agregowanie informacji ułatwiających zarządzanie sprzętem mobilnym i dostępem gości do sieci. Niestety, kombinacja luźno powiązanych rozwiązań punktowych prowadzi do wzrostu kosztów i stopnia złożoności procesów oraz utrudnia kontrolę bezpieczeństwa. Podejście takie uniemożliwia też uproszczenie i automatyzację czasochłonnych zadań związanych z konfiguracją i pomocą techniczną.

 

Wystarczy, że pracownik wprowadzi swoje dane uwierzytelniające, a wszystkie ustawienia zabezpieczeń i unikatowy certyfikat zostaną wysłane na jego urządzenie bez udziału administratora sieci. Od tej chwili autoryzacja bazuje na tym unikatowym certyfikacie, dzięki czemu nie trzeba ponownie wpisywać danych logowania na małym zazwyczaj wyświetlaczu urządzenia mobilnego. Dzięki modułowi Onboard dział informatyczny otrzymuje natomiast wartościowe dane, które pomagają w definiowaniu reguł bezpieczeństwa związanych z dostępem urządzeń mobilnych do sieci i usuwaniu wynikających z tego problemów.

Za pomocą ClearPass dział IT określa, kto ma prawo połączyć się z firmową siecią za pomocą określonego typu sprzętu oraz z ilu urządzeń może w tym celu korzystać dany pracownik. Dzięki wbudowanej funkcji uwierzytelniania za pomocą certyfikatu obsługa prywatnych urządzeń zajmuje administratorom mniej czasu i nie wymaga wewnętrznej infrastruktury klucza publicznego ani związanych z nią zasobów informatycznych.

Łatwe w obsłudze funkcje wyszukiwania urządzeń i konfiguracji dostępu umożliwiają szybkie odwołanie lub usunięcie certyfikatu w przypadku zagubienia lub kradzieży sprzętu bądź odejścia pracownika z firmy.

 

Więcej korzyści z rozwiązań innych firm

Dzięki mechanizmowi Exchange możliwa jest wymiana informacji pomiędzy różnymi systemami. Dane dotyczące użytkowników i urządzeń można agregować, aby uzyskać informacje o ich wzajemnych zależnościach (kontekst) i, tym samym, jeszcze bardziej zwiększyć poziom bezpieczeństwa infrastruktury.

Pozwala to administratorom na korzystanie z narzędzi do zarządzania zdarzeniami dotyczącymi bezpieczeństwa (SIEM), aby w przypadku ataku móc uzyskać dostęp do informacji o użytkownikach, urządzeniach i ich lokalizacji. Możliwa jest też integracja z narzędziami działu wsparcia technicznego, która zapewnia automatyczne tworzenie i wypełnianie zgłoszeń serwisowych zawierających informacje o użytkownikach, ich urządzeniach i lokalizacji w przypadku problemów z uwierzytelnianiem.

Dodatkowe informacje:

Michał Kołodziej,

architekt rozwiązań sieciowych,

Hewlett Packard Enterprise,

michal.kolodziej@hpe.com

Artykuł powstał we współpracy z firmami Hewlett Packard Enterprise i Veracomp.