Maggiori informazioni su ClearPass
Transcript
Maggiori informazioni su ClearPass
PANORAMICA DELLA SOLUZIONE ARUBA CLEARPASS POLICY MANAGER Visibilità sugli accessi e sicurezza per reti cablate e wireless Ricordate quando il reparto IT era in grado di controllare sia noto che sconosciuto. Le soluzioni di sicurezza tutti gli accessi tramite una combinazione di rigide policy e dell'accesso devono ora garantire la creazione di profili, un ecosistema completamente autonomo? Quest'epoca è l'applicazione delle policy, l'accesso guest, l'integrazione di tramontata da un pezzo. Ora il reparto IT e i dispositivi di dispositivi BYOD e altro ancora per fornire una protezione proprietà degli utenti sono connessi all'interno e all'esterno dalle minacce avanzata, che non gravi sulle risorse IT, e della protezione perimetrale. un'esperienza utente soddisfacente. Laptop, smartphone, tablet e dispositivi IoT (Internet of LA MOBILITÀ E L'IoT STANNO CAMBIANDO IL NOSTRO MODO DI VEDERE L'APPROCCIO NAC Things) stanno invadendo il luogo di lavoro, pertanto il primo passo per garantire la sicurezza dei dati consiste nell'identificare tutto ciò che è presente nella rete. L'applicazione automatica di policy garantisce che solo gli utenti e i dispositivi desiderati siano autorizzati a connettersi, mentre è necessaria una protezione dalle minacce in tempo reale per soddisfare i requisiti dei controlli interni ed esterni e di conformità. Inoltre, se le previsioni sono esatte, l'uso dei dispositivi IoT nelle reti cablate e wireless sta cambiando il punto di vista dell'IT. La maggior parte delle organizzazioni proteggeva le reti wireless e i dispositivi, ma trascurava le porte cablate nelle sale riunioni, dei telefoni IP e delle aree dedicate alle stampanti. Ma i dispositivi IoT non dispongono di attributi di sicurezza e richiedono l'accesso da risorse amministrate esternamente, pertanto l'accesso wireless rappresenta il nuovo rischio. Mentre il reparto IT tenta di mantenere il controllo, deve scegliere un set di strumenti adeguato per programmare rapidamente l'infrastruttura sottostante e controllare l'accesso alla rete per qualsiasi dispositivo IoT e mobile, I confini del dominio IT ora si estendono oltre le mura di un'azienda e l'obiettivo delle organizzazioni consiste nel garantire la connettività sempre e dovunque senza sacrificare la sicurezza. In che modo l'IT può garantire la visibilità e il controllo senza incidere sulle attività e sull'esperienza utente? Bisogna iniziare da un piano suddiviso in tre fasi. 1.Identificare innanzitutto quali dispositivi vengono utilizzati, quanti ne sono, da dove si connettono e quali sistemi operativi sono supportati. Inoltre, informazioni dettagliate sui cambiamenti e sui dispositivi in ingresso e in uscita garantiscono la visibilità necessaria nel tempo. 2.Applicare policy accurate che assicurano l'accesso corretto di utenti e dispositivi, indipendentemente dall'utente, dal tipo di dispositivo o dalla posizione. In questo modo si garantisce un'esperienza utente ottimale. Le aziende devono adattarsi ai dispositivi odierni in continua evoluzione e al modo in cui vengono utilizzati, sia che si tratti di smartphone o di telecamere di sorveglianza. PANORAMICA DELLA SOLUZIONE ARUBA CLEARPASS POLICY MANAGER 3.Proteggere le risorse tramite controlli dinamici delle policy e interventi correttivi per minacce reali che si estendono ai sistemi di terze parti. Questo rappresenta l'ultimo pezzo del puzzle. Per essere preparati a un comportamento insolito della rete alle 3 di notte, è necessario un approccio unificato che blocchi il traffico e cambi lo stato della connessione di un dispositivo. Le aziende devono avere un piano per le problematiche esistenti e quelle impreviste. Non è realistico affidarsi al personale IT e dell'help desk affinché intervenga manualmente ogni volta che un utente decide di lavorare in remoto o acquistare un nuovo smartphone. L'approccio utenti e i dispositivi vengano concessi privilegi di accesso appropriati, indipendentemente dal metodo di accesso o dalla proprietà del dispositivo. Il motore di creazione profili incorporato raccoglie dati in tempo reale che includono le categorie, i fornitori, le versioni del sistema operativo e molte altre informazioni sui dispositivi. Non è più necessario ipotizzare quanti dispositivi sono connessi alle reti cablate e wireless. Una visibilità granulare offre tutti i dati necessari per superare i controlli e determinare aree da cui possono provenire problemi di performance o rischi per la sicurezza. NAC non riguarda più solo le valutazioni per i dispositivi Lo strumento autonomo ClearPass Universal Profiler noti prima dell'accesso. garantisce la stessa visibilità per la creazione di profili alle aziende che non sono ancora pronte ad applicare appieno VISUALIZZARE E GESTIRE TUTTO DA UN UNICO LUOGO le policy oppure in aree remote in cui ClearPass potrebbe Con la policy ClearPass e la soluzione AAA si può Un approccio all'applicazione delle policy basato su modelli usufruire di creazione di profili incorporata, un'interfaccia amministrativa basata sul Web e funzionalità complete di reporting con avvisi in tempo reale. Tutti i dati contestuali raccolti vengono sfruttati per garantire che a tutti gli non essere implementato inizialmente. offre all'IT la possibilità di creare policy orientate a reti cablate e altre per le reti wireless che usufruiscano di dati quali ruoli utente, tipi di dispositivi, dati MDM/EMM, stato dei certificati, posizione, giorno della settimana e altro ancora. Le policy possono facilmente applicare regole per dipendenti, THE POWER OF CLEARPASS EXCHANGE studenti, dottori, utenti guest, dirigenti e ciascun tipo di dispositivo che tali utenti decidono di utilizzare. ClearPass OnConnect è una funzionalità incorporata che consente alle aziende di bloccare le migliaia di porte cablate che adottano un approccio non basato su AAA. Non è necessaria alcuna configurazione dei dispositivi ed è sufficiente una sola riga di comando per lo switch. I metodi AAA/802.1X standard sono inoltre supportati per le reti cablate e wireless. Pertanto è possibile applicare le policy coerentemente e adottare un approccio end-to-end che le soluzioni in silos AAA, NAC e basate su policy non sono in grado di offrire. La capacità di utilizzare più archivi di identità in un unico servizio di policy, inclusi Microsoft Active Directory, directory conformi con LDAP, database SQL conformi con ODBC, token server e database interni, differenzia ClearPass da qualsiasi soluzione legacy. PROVISIONING DEI DISPOSITIVI SENZA COINVOLGERE L'IT Gestire l'integrazione dei dispositivi personali per implementazioni BYOD può costituire una difficoltà per le risorse IT e dell'help desk, e può creare preoccupazioni legate alla sicurezza. figure 1.0_081016_clearpass-soa PANORAMICA DELLA SOLUZIONE ARUBA CLEARPASS POLICY MANAGER ClearPass Onboard consente agli utenti di configurare per eliminare vulnerabilità in un'ampia gamma di sistemi in completa autonomia i dispositivi in modo da poterli operativi e versioni di computer. Indipendentemente dal utilizzare nelle reti protette. Grazie ai certificati specifici per i fatto che si utilizzano client persistenti o temporanei, dispositivi, gli utenti non devono più immettere le credenziali ClearPass può identificare gli endpoint conformi nelle di accesso varie volte nell'arco di una giornata, e questa infrastrutture wireless, cablate e VPN. maggiore praticità rappresenta già di per sé un traguardo. Esempi di controlli avanzati dello stato che garantiscono Un ulteriore vantaggio è costituito dalla maggiore sicurezza garantita dall'uso dei certificati. Il team IT stabilisce chi può integrare dispositivi, quali tipi di dispositivi possono integrare e quanti dispositivi sono ammessi a persona. Un'autorità di certificazione incorporata consente all'IT di supportare più rapidamente i dispositivi personali in quanto non sono necessari un PKI interno e ulteriori risorse IT. una maggiore sicurezza: • Gestione di applicazioni peer-to-peer, servizi e chiavi del registro di sistema. • Valutazione della possibilità o meno di utilizzare dispositivi di storage USB o istanze di macchine virtuali. • Gestione delle interfacce di rete con bridge e della crittografia dei dischi. Sfruttare al meglio le soluzioni di terze parti Accesso guest semplice e rapido ClearPass Exchange consente di automatizzare la L'approccio BYOD non riguarda solo i dispositivi dei correzione delle minacce alla sicurezza e di migliorare i dipendenti, bensì comprende qualsiasi visitatore con un servizi utilizzando soluzioni di terze parti molto diffuse dispositivo che richiede l'accesso alla rete, cablata o wireless. quali firewall, MDM/EMM, MFA, registrazione dei visitatori L'IT ha bisogno di un modello semplice che indirizzi il e strumenti SIEM. Sfruttando l'intelligence contestuale dispositivo verso un portale mirato, automatizzi il provisioning insita in ClearPass, le aziende possono garantire sicurezza delle credenziali di accesso e fornisca anche funzionalità di e visibilità a livello dei dispositivi, dell'accesso alla rete, sicurezza che tengano separato il traffico aziendale. dell'ispezione del traffico e della protezione dalle minacce. Con ClearPass Guest i dipendenti, gli addetti alla reception, i coordinatori di eventi e altro personale non IT possono creare in modo semplice ed efficiente account temporanei per l'accesso alla rete per un numero indefinito di guest ogni giorno. Il caching degli indirizzi MAC garantisce inoltre che gli utenti guest possano facilmente connettersi durante tutto l'arco della giornata senza dover immettere ripetutamente le credenziali nel portale guest. Con l'auto-registrazione i dipendenti non devono più occuparsi di questa attività e gli utenti guest possono creare direttamente le proprie credenziali. Le credenziali di accesso vengono fornite tramite badge stampati, SMS o e-mail. Possono inoltre essere archiviate in ClearPass per determinati periodi di tempo, configurando una scadenza automatica dopo un certo numero di ore o giorni. I flussi di lavoro e i processi decisionali automatizzati, che si avvalgono di API REST comuni, messaggistica syslog e un repository incorporato denominato ClearPass Extensions, contribuiscono a semplificare le attività e a proteggere l'azienda, senza ricorrere a complessi linguaggi per la creazione di script e lunghe configurazioni manuali. Per velocizzare l'integrazione, inoltre, Extensions consente ai partner di caricare un'estensione per la distribuzione in tempo reale di nuovi servizi ai clienti comuni. Grazie a ClearPass Exchange, le reti possono agire automaticamente: • I dati MDM/EMM, come lo stato di jailbreak di un dispositivo, possono servire a determinare se quest'ultimo può connettersi a una rete. • I firewall possono applicare le policy in modo accurato sulla base di attributi dell'utente, di gruppo e specifici del Accesso basato sullo stato del dispositivo dispositivo, nonché usufruire di ClearPass per rimediare Durante il processo di autorizzazione, può essere al comportamento inappropriato di un dispositivo. necessario svolgere delle valutazioni dello stato per specifici dispositivi al fine di garantire che siano conformi alle policy anti-virus, anti-spyware e del firewall. L'automazione spinge gli utenti ad eseguire scansioni anti- • Gli strumenti SIEM possono essere configurati in modo da archiviare i dati di autenticazione per tutti i dispositivi connessi. • Agli utenti può essere chiesto di utilizzare l'autenticazione virus prima di connettersi alla rete aziendale. a più fattori per dimostrare la propria identità al ClearPass OnGuard è dotato di capacità incorporate che momento della connessione alle reti e alle risorse. svolgono controlli dello stato basati sul comportamento PANORAMICA DELLA SOLUZIONE ARUBA CLEARPASS POLICY MANAGER Gli eventi di rete possono inoltre inviare prompt ai firewall, BASE ADATTABILE PER LA SICUREZZA E I SERVIZI a SIEM e agli altri strumenti per indicare a ClearPass di Nell'intento di creare un'esperienza ottimale per gli utenti intervenire in merito a un dispositivo attivando azioni in maniera bidirezionale. Se, ad esempio, un utente non supera più volte l'autenticazione di rete, ClearPass può attivare un messaggio di notifica direttamente nel dispositivi oppure può inserirlo in una blacklist per impedire l'accesso alla rete. Accesso sicuro alle app di lavoro da qualsiasi luogo L'accesso alle app di lavoro durante il giorno deve essere rapido e semplice, pertanto ClearPass supporta le funzionalità SSO e ClearPass Auto Sign-On per questo scopo. Al posto del Single Sign-On, che richiede a tutti di eseguire l'accesso una volta per ogni app, Auto Sign-On utilizza un accesso di rete valido per consentire automaticamente agli utenti l'accesso alle app mobili aziendali. Gli utenti hanno pertanto bisogno di dispositivi mobili e favorire l'adozione delle tecnologie IoT sono emerse numerose nuove difficoltà per il reparto IT. È necessaria un'attenta pianificazione, gli strumenti giusti e una base solida per proteggere l'accesso in ogni momento e ogni luogo nelle reti cablate e wireless. ClearPass supera queste difficoltà automatizzando l'identificazione dei dispositivi, il controllo delle policy, il flusso di lavoro e la protezione dalle minacce con una singola soluzione compatta. Acquisendo e correlando i dati contestuali in tempo reale, ClearPass consente di definire policy applicabili in qualsiasi ambiente, tra cui l'ufficio, il campus o lo stadio. solo del proprio accesso alla rete o di un certificato valido nei Gli ultimi miglioramenti di ClearPass consentono inoltre propri dispositivi. di gestire le emergenti difficoltà legate alla sicurezza della ClearPass può anche essere utilizzato come identity provider (IdP) o service provider (SP) quando si usa Single Sign-On. rete in relazione all'adozione dell'IoT, all'autenticazione più efficace dei dispositivi mobili e delle app, nonché alla maggiore visibilità sugli incidenti nell'ambito della sicurezza. Le funzionalità di protezione automatica dalle minacce e Supporto dei servizi DLNA e UPnP di servizi intelligenti garantiscono che a ogni dispositivo Gli utenti dell'infrastruttura Aruba Wi-Fi possono condividere vengano concessi privilegi di accesso alla rete adeguati con i proiettori, le TV, le stampanti e altre appliance multimediali una minima interazione del reparto IT. che utilizzano DLNA/UPnP o Apple AirPlay e AirPrint. ClearPass semplifica l'individuazione di tali dispositivi e la condivisione tra gli utenti. Ad esempio, un insegnante che voglia mostrare una presentazione da un tablet vedrà solo uno schermo disponibile nella classe, mentre non vedrà i dispositivi presenti dall'altro lato del campus. Può anche utilizzare il portale per scegliere chi altro può utilizzare lo schermo, in modo da evitare che gli studenti se ne approprino. Un altro esempio utile riguarda il settore sanitario: i medici possono facilmente proiettare immagini PACS digitali dai propri iPad su uno schermo più grande in qualsiasi posto dell'ospedale. In questo modo, la collaborazione con i pazienti diventa più semplice. 1344 CROSSMAN AVE | SUNNYVALE, CA 94089 1.844.473.2782 | T: 1.408.227.4500 | FAX: 1.408.227.4550 | [email protected] www.arubanetworks.com SO_ClearPass_111016