אחת השאלות העיקריות שמעסיקה ארגונים רבים, היא האם הם יודעים מה מחובר לרשת שלהם בכל זמן נתון. התשובה לשאלה זו מרכזת כמה נקודות חשובות מאוד, החל מהיכולת לזהות כל חיבור (גם של ספקים חיצוניים) בזמן אמת, הגדרת החיבוריות ופרופיל האבטחה של החיבור ועד להחלטה על כמה זמן אנו נאפשר לו להתחבר לרשת.
כאשר ארגונים רוצים לקבל פתרון והגנה בפני איומים חיצוניים, הדגש צריך להיות על מערכת אשר יכולה לספק שירות הן לרשתות קוויות והן לרשתות אלחוטיות, וכזו שיכולה לטפל בחיבורים חיצוניים ולאפשר להם חיבוריות מבוקרת לרשת של הארגון. במאמר זה, נסקור את מאפייני פתרון ClearPass ונציג את יתרונותיו.
מדיניות אבטחה המותאמת לקריטריונים שמגדיר הארגון
מערכת ClearPass של ארובה מאפשרת לאבטח את הרשת תוך מתן שירותי גישת עובדים, אורחים ו-BYOD בכל מקום ובכל עת, בין אם החיבור מבוצע באמצעות Wi-Fi, גישה קווית או VPN.
המערכת מאפשרת לקבוע מדיניות אבטחה שונה בהתאם לשלל קריטריונים (סוג משתמש, סוג רכיב קצה, גישה קווית/אלחוטית, "בריאות" מכשיר קצה וכו'), יכולת מעקב אחר בקשות הגישה השונות ואופטימיזציה של משימות IT שגרתיות שנועדו לכלל סוגי המשתמשים כגון: עובדים, אורחים עובדים או קבלנים.
מערכת ה-ClearPass מאפשרת להקטין את מספר בקשות התמיכה מצוות ה-IT/ Help Desk בשל המספר ההולך וגדל של רכיבי קצה (מחשבים, טלפונים ניידים טאבלטים וכו') ע"י הקצאת חשבונות אורחים ורישום מכשירי BYOD בפורטל רישום עצמי תואם לכל משימה.
פתרונות NAC מסורתיים כבר אינם מספיקים
פתרונות NAC מסורתיים הותאמו לרשתות תקשורת סטטיות (אך ורק חיבורים קוויים) עם עמדות קצה מבוססות WINDOWS בלבד.
בעבר, ה-NAC המסורתי סיפק מענה נקודתי בבקרת הגישה לרשת הקווית, אולם כאשר ארגונים החלו לשנות את מבנה הרשת שלהם ע"י קבלת שירותים גם דרך רשת האלחוט וגם הרשת הקווית, ועבור מגוון גדול של יחידות קצה, נדרש פתרון אחר לגמרי לבקרת הגישה לרשת.
במה ClearPass שונה מפתרונות אחרים?
ל-ClearPass יש יתרונות משמעותיים מול פתרונות אחרים, מפני הוא נבנה בדיוק לאתגרים שפתרונות ה-NAC המסורתיים אינם יכולים לספק. בין היתרונות הבולטים:
- תמיכה בכל סוגי האימות העיקריים 802.1 x, MAC AUTH, WEB AUTH, SNMP Enforcement וכו').
- יכולת ניתוח של סוג וכמות עמדות הקצה בארגון ע"י בדיקת מגוונת של טביעות אצבע (SHCP, HTTP, LLDP/CDP, Nmap, MAC OUI וכו'), על-מנת לתת שקיפות מלאה על מי ומה מתחבר לרשת (יכולת קריטית ככל שכמות רכיב ה IOT ברשת גדלה).
- סנכרון מידע עם מערכות אבטחת מידע אחרות ברשת כגון FW, SIEM, MDM, Help Desk וכו'.
- מוצר עם יכולות גדילה מרשימות (500, 5000 ו 25000) כולל יכולות CLUSTERING מול אתרים מרוחקים גיאוגרפית.
- תמיכה ב-BYOD ע"י הפצת תעודות (כאשר ה-CLEARPASS מהווה ROOT CA או INTERMEDIATE CA) בתהליך רישום עצמי של מכשירים ע"י העובדים.
- תמיכה במגוון שיטות אימות לאורחים (Social login, Sponsored login וכו').
- יכולות עיצוב מגוונות של דפי Captive Portal.
- בדיקת "בריאות" עמדות קצה ארגוניות במגוון דרכים.
מהו Tunnel-Node (Campus Micro-Segmentation)?
Tunneled Node מייצר את אחד ההבדלים הבולטים בין מתגי ארובה למתגי יצרנים אחרים בשוק. באמצעות טכנולוגיה זו, ניתן לבצע בידוד לתעבורת הרשת של כל משתמש/רכיב קצה ממתג הגישה עד ל- FWהמובנה בבקרים וזאת ע"י פתיחת תעלת GRE ייחודית לכל משתמש על גבי רשת ה-LAN (ראו שרטוט מטה).
הבקר מפשיט את תעלות ה-GRE של המשתמשים ובעצם רק ממנו עוברת כלל תעבורת המשתמשים ברשת. עובדה זו מאפשרת להשתמש בבקר כ-access device של כלל הרשת לצורך ביצוע בקרת הגישה מול המשתמשים וקבלת ההרשאות משרת ה-NAC/RADIUS. כמו כן, בבקר ישנו מנוע DPI אשר יחד ה-FW המובנה בו מאפשר יצירת פרופילים מותאמים לכל משתמש עד לרמת האפליקציה. בצורה זו, ניתן לקבל נראות ייחודית לתעבורת המשתמשים ואף לקבוע את ההרשאות הרלוונטיות במרוכז. אולם, היתרון הגדול ביותר של טכנולוגיה זו בהיבט של אבטחת המידע, הוא בכך שניתן לייצר Micro Segmentation של תעבורת המשתמשים בתוך ה-VLAN, כלומר שני משתמשים באותה הרשת (subnet) לא יוכלו לתקשר אחד עם השני מבלי לעבור דרך ה-FW המובנה בבקרים, דבר שמאפשר מניעת הדבקה רחבה של מחשבים בארגון. תכונה זו היא ייחודית לארובה וביחד עם כלל היתרונות הנוספים, מעמידה את ארכיטקטורת Tunnel-Node בחזית טכנולוגיית פתרונות הרשת לקמפוסים בתעשייה (גם לפי סקרי גרטנר).
לסיכום, עם השינוי שחל בשנים האחרונות בצורת העבודה בארגונים, ולאור זאת במבנה הרשת, ארגונים כיום חשופים לאיומי אבטחה יותר מאי פעם. בכדי לספק את ההגנה המקיפה ביותר לכלל רכיבי התקשורת והאלחוט בארגון המודרני, חשוב לוודא שהפתרון הנבחר מעניק לארגון יכולות ניהול ושליטה מלאה ומבקר את תעבורת המשתמשים ועמדות הקצה על בסיס קבוע.
המאמר נכתב ע"י עידו זינדני, SE, Aruba HPE Israel
רוצים לשמוע עוד אודות ClearPass? הירשמו לוובינר שיתקיים בתאריך 18.03.21.
לפרטים נוספים ואג'נדה מלאה, לחצו כאן.
אחת השאלות העיקריות שמעסיקה ארגונים רבים, היא האם הם יודעים מה מחובר לרשת שלהם בכל זמן נתון. התשובה לשאלה זו מרכזת כמה נקודות חשובות מאוד, החל מהיכולת לזהות כל חיבור (גם של ספקים חיצוניים) בזמן אמת, הגדרת החיבוריות ופרופיל האבטחה של החיבור ועד להחלטה על כמה זמן אנו נאפשר לו להתחבר לרשת.
כאשר ארגונים רוצים לקבל פתרון והגנה בפני איומים חיצוניים, הדגש צריך להיות על מערכת אשר יכולה לספק שירות הן לרשתות קוויות והן לרשתות אלחוטיות, וכזו שיכולה לטפל בחיבורים חיצוניים ולאפשר להם חיבוריות מבוקרת לרשת של הארגון. במאמר זה, נסקור את מאפייני פתרון ClearPass ונציג את יתרונותיו.
מדיניות אבטחה המותאמת לקריטריונים שמגדיר הארגון
מערכת ClearPass של ארובה מאפשרת לאבטח את הרשת תוך מתן שירותי גישת עובדים, אורחים ו-BYOD בכל מקום ובכל עת, בין אם החיבור מבוצע באמצעות Wi-Fi, גישה קווית או VPN.
המערכת מאפשרת לקבוע מדיניות אבטחה שונה בהתאם לשלל קריטריונים (סוג משתמש, סוג רכיב קצה, גישה קווית/אלחוטית, "בריאות" מכשיר קצה וכו'), יכולת מעקב אחר בקשות הגישה השונות ואופטימיזציה של משימות IT שגרתיות שנועדו לכלל סוגי המשתמשים כגון: עובדים, אורחים עובדים או קבלנים.
מערכת ה-ClearPass מאפשרת להקטין את מספר בקשות התמיכה מצוות ה-IT/ Help Desk בשל המספר ההולך וגדל של רכיבי קצה (מחשבים, טלפונים ניידים טאבלטים וכו') ע"י הקצאת חשבונות אורחים ורישום מכשירי BYOD בפורטל רישום עצמי תואם לכל משימה.
פתרונות NAC מסורתיים כבר אינם מספיקים
פתרונות NAC מסורתיים הותאמו לרשתות תקשורת סטטיות (אך ורק חיבורים קוויים) עם עמדות קצה מבוססות WINDOWS בלבד.
בעבר, ה-NAC המסורתי סיפק מענה נקודתי בבקרת הגישה לרשת הקווית, אולם כאשר ארגונים החלו לשנות את מבנה הרשת שלהם ע"י קבלת שירותים גם דרך רשת האלחוט וגם הרשת הקווית, ועבור מגוון גדול של יחידות קצה, נדרש פתרון אחר לגמרי לבקרת הגישה לרשת.
במה ClearPass שונה מפתרונות אחרים?
ל-ClearPass יש יתרונות משמעותיים מול פתרונות אחרים, מפני הוא נבנה בדיוק לאתגרים שפתרונות ה-NAC המסורתיים אינם יכולים לספק. בין היתרונות הבולטים:
- תמיכה בכל סוגי האימות העיקריים 802.1 x, MAC AUTH, WEB AUTH, SNMP Enforcement וכו').
- יכולת ניתוח של סוג וכמות עמדות הקצה בארגון ע"י בדיקת מגוונת של טביעות אצבע (SHCP, HTTP, LLDP/CDP, Nmap, MAC OUI וכו'), על-מנת לתת שקיפות מלאה על מי ומה מתחבר לרשת (יכולת קריטית ככל שכמות רכיב ה IOT ברשת גדלה).
- סנכרון מידע עם מערכות אבטחת מידע אחרות ברשת כגון FW, SIEM, MDM, Help Desk וכו'.
- מוצר עם יכולות גדילה מרשימות (500, 5000 ו 25000) כולל יכולות CLUSTERING מול אתרים מרוחקים גיאוגרפית.
- תמיכה ב-BYOD ע"י הפצת תעודות (כאשר ה-CLEARPASS מהווה ROOT CA או INTERMEDIATE CA) בתהליך רישום עצמי של מכשירים ע"י העובדים.
- תמיכה במגוון שיטות אימות לאורחים (Social login, Sponsored login וכו').
- יכולות עיצוב מגוונות של דפי Captive Portal.
- בדיקת "בריאות" עמדות קצה ארגוניות במגוון דרכים.
מהו Tunnel-Node (Campus Micro-Segmentation)?
Tunneled Node מייצר את אחד ההבדלים הבולטים בין מתגי ארובה למתגי יצרנים אחרים בשוק. באמצעות טכנולוגיה זו, ניתן לבצע בידוד לתעבורת הרשת של כל משתמש/רכיב קצה ממתג הגישה עד ל- FWהמובנה בבקרים וזאת ע"י פתיחת תעלת GRE ייחודית לכל משתמש על גבי רשת ה-LAN (ראו שרטוט מטה).
הבקר מפשיט את תעלות ה-GRE של המשתמשים ובעצם רק ממנו עוברת כלל תעבורת המשתמשים ברשת. עובדה זו מאפשרת להשתמש בבקר כ-access device של כלל הרשת לצורך ביצוע בקרת הגישה מול המשתמשים וקבלת ההרשאות משרת ה-NAC/RADIUS. כמו כן, בבקר ישנו מנוע DPI אשר יחד ה-FW המובנה בו מאפשר יצירת פרופילים מותאמים לכל משתמש עד לרמת האפליקציה. בצורה זו, ניתן לקבל נראות ייחודית לתעבורת המשתמשים ואף לקבוע את ההרשאות הרלוונטיות במרוכז. אולם, היתרון הגדול ביותר של טכנולוגיה זו בהיבט של אבטחת המידע, הוא בכך שניתן לייצר Micro Segmentation של תעבורת המשתמשים בתוך ה-VLAN, כלומר שני משתמשים באותה הרשת (subnet) לא יוכלו לתקשר אחד עם השני מבלי לעבור דרך ה-FW המובנה בבקרים, דבר שמאפשר מניעת הדבקה רחבה של מחשבים בארגון. תכונה זו היא ייחודית לארובה וביחד עם כלל היתרונות הנוספים, מעמידה את ארכיטקטורת Tunnel-Node בחזית טכנולוגיית פתרונות הרשת לקמפוסים בתעשייה (גם לפי סקרי גרטנר).
לסיכום, עם השינוי שחל בשנים האחרונות בצורת העבודה בארגונים, ולאור זאת במבנה הרשת, ארגונים כיום חשופים לאיומי אבטחה יותר מאי פעם. בכדי לספק את ההגנה המקיפה ביותר לכלל רכיבי התקשורת והאלחוט בארגון המודרני, חשוב לוודא שהפתרון הנבחר מעניק לארגון יכולות ניהול ושליטה מלאה ומבקר את תעבורת המשתמשים ועמדות הקצה על בסיס קבוע.
המאמר נכתב ע"י עידו זינדני, SE, Aruba HPE Israel
רוצים לשמוע עוד אודות ClearPass? הירשמו לוובינר שיתקיים בתאריך 18.03.21.
לפרטים נוספים ואג'נדה מלאה, לחצו כאן.
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר