Kontrola i zabezpieczanie dostępu do firmowej sieci to dzisiaj jeden z filarów kompleksowego podejścia do cyberbezpieczeństwa. Zobacz, jak sprawdza się w tej roli kompleksowa platforma Aruba ClearPass.
Popularyzacja technologii mobilnych sprawia, że specjaliści odpowiedzialni za sieci muszą mierzyć się z zupełnie nowymi wyzwaniami. Jednym z nich jest zarządzanie coraz większą liczbą urządzeń, za pośrednictwem których pracownicy zyskują dostęp do firmowych zasobów. Co więcej, tylko niektóre z nich to urządzenia służbowe. I nie chodzi tylko o gości odwiedzających firmowe biura. Znaczna część to smartfony, tablety czy inne urządzenia będące prywatną własnością pracowników. Wiele firm realizuje strategię BYOD (Bring Your Own Device), czyli pozwala, czy wręcz zachęca pracowników, żeby przynosili do pracy i korzystali z własnych urządzeń. Z jednej strony uwalnia to działy IT od wszystkich zadań związanych z zamawianiem i przekazywaniem sprzętu pracownikom. Z drugiej tworzy ryzyko. Co znajduje się na prywatnych urządzeniach pracowników? Czy są one odpowiednio zabezpieczone? Które urządzenia są bezpieczne a które stanowią zagrożenie? Kto z nich korzysta? Jak to wszystko sprawdzić i jaki poziom dostępu do sieci im przydzielić?
Kontrola tego kto i za pośrednictwem jakiego urządzenia ma dostęp do firmowej sieci jest absolutnie kluczowa. Nie chcemy przecież, żeby ktoś niepowołany – bezpośrednio lub pośrednio, wykorzystując urządzenie nieświadomego firmowego użytkownika – dostał się do naszej sieci. Musimy zapewnić bezpieczeństwo nie tylko zasobów firmowych, ale także danych osobowych, które są chronione przez restrykcyjne regulacje prawne.
Co możemy zrobić w takie sytuacji? Rozwiązaniem jest Aruba ClearPass. To kompleksowa platforma do zarządzania politykami ułatwiająca kontrolowanie urządzeń i użytkowników żądających dostępu do sieci, a także tzw. onboarding czyli wprowadzanie nowych urządzeń do sieci, różnicowania przyznawanych poziomów dostępu i ogólne zapewnianie bezpieczeństwa. ClearPass jednakowo dobrze radzi sobie z urządzeniami firmowymi, prywatnymi jak i urządzeniami gości odwiedzających biura, jednakowo kontroluje ich bezpieczeństwo i jednakowo przyznaje lub ogranicza o dostęp do sieci – wszystko w odniesieniu do roli użytkownika i stanu urządzenia.
Aruba ClearPass to rozwiązanie zaliczające się do grupy technologii kontroli dostępu do sieci, czyli Network Access Control (NAC). Analitycy Gartnera definiują tę kategorię jako produkty umożliwiające organizacjom wdrażanie zasad kontroli dostępu do infrastruktury korporacyjnej przez urządzenia użytkowników a także urządzenia zaliczające się do Internetu rzeczy (IoT). Działają one zgodnie z politykami, które mogą odnosić się do uwierzytelniania, konfiguracji punktu końcowego powiązanej ze stanem bezpieczeństwa czy rolą lub tożsamością użytkowników. Warto w tym miejscu dodać, że NAC nie działa jak firewall i nie chroni użytkownika. Zapewnia jedynie bezpieczny dostęp do sieci. Niemniej, NAC może zostać zintegrowany i współpracować z innymi systemami cyberbezpieczeństwa. Przykładowo może wymuszać pewnie działania dotyczące punktu końcowego w oparciu o alert spływający z systemu SIEM.
Jak działa Aruba ClearPass?
Działanie Aruba ClearPass rozpoczyna się od zidentyfikowania urządzenia. Zgodnie z definicją NAC musi zajmować się nie tylko urządzeniami użytkowników, ale także rozwijającym się w ogromnym tempie Internetem rzeczy. Drukarki, kopiarki, skanery, kamery monitoringu czy inne inteligentne sensory i maszyny biurowe – wszystko to łączy się dzisiaj z firmową siecią. ClearPass udziela natychmiastowej i zawsze aktualnej odpowiedzi na pytanie co jest podłączone, w jaki sposób i czy powinniśmy się tym zainteresować ze względu na stan czy konfigurację tego sprzętu. Administrator w każdej chwili może wskazać określone urządzenie i zdobyć komplet potrzebnych mu na jego temat informacji. Może dowiedzieć się nie tylko co to za urządzenie i jaki ma adres IP, ale także jaki ma np. system operacyjny.
Kiedy dysponujemy tego rodzaju informacjami o wiele łatwiej podejmować dalsze kroki związane z kontrolą i zabezpieczaniem dostępu. Ręczne działania w tym obszarze jest dziś praktycznie niemożliwe. Użytkowników i urządzeń jest po prostu zbyt wiele, a każdy oczekuje natychmiastowego dostępu. Aruba ClearPass przejmuje te obowiązki od działu IT. Automatycznie dodaje nowe urządzenia do użytku w sieci bez angażowania człowieka. Jest to możliwe dzięki wbudowanemu mechanizmowi certyfikacji. To co muszą wykonać specjaliści, to stworzenie polityk dotyczących dostępu, które będzie egzekwować ClearPass.
Kiedy dostęp zostanie już przyznany, działania podejmowane przez konkretne urządzenie będą cały czas kontrolowane. W ten sposób ClearPass zajmuje się także pośrednio ochroną firmowych zasobów i danych. Jeden z elementów platformy ClearPass, OnGuard pozwala określić administratorom „minimalny stan” urządzenia, który musi zostać spełniony, żeby zostało one podłączone do sieci – zarówno bezprzewodowej jak i przewodowej. To niezwykle istotne, ponieważ kondycja pod względem bezpieczeństwa każdego urządzenia podłączonego do firmowej sieci w istotny sposób wpływa na poziom jej ogólnego bezpieczeństwa. ClearPass automatycznie przeprowadza kontrole stanu „końcówek” i ocenia ich kondycję.
Po co to wszystko?
We współczesnym świecie, w którym praca zdalna i Internet rzeczy zmieniła sposób dostępu do sieci, zmienić się musi także podejście do kontrolowania tego dostępu. W przeciwnym wypadku wystawiamy się na poważne ryzyko. Brak spójnych polityk i precyzyjnej kontroli w sieciach bezprzewodowych i przewodowych może być źródłem kłopotów.
Jeśli nie wiemy kto i co, jacy użytkownicy i jakie urządzenia podłączona są do sieci, tworzymy lukę w systemie bezpieczeństwa. Narażamy się na włamania, wycieki danych, przestoje, utratę reputacji i straty finansowe.
Systemy NAC, takie jak Aruba ClearPass to jednocześnie doskonałe narzędzie wspierające zapewnienie zgodności z regulacjami prawnymi. W przypadku audytu o wiele łatwiej będzie wykazać zachowanie tej zgodności, jeśli dysponujemy platformą NAC.
NAC as a Service
Co ciekawe, wcale nie trzeba kupować platformy Aruba ClearPass, żeby osiągać płynące z jej zastosowania korzyści. Może być pozyskana jako element kompleksowej usługi NaaS (Network as a Service), czyli sieci udostępnianej w modelu usługowym.
Nie trzeba zatrudniać specjalistów od sieci, nie trzeba jej samodzielnie projektować, inwestować w zakup potrzebnych urządzeń, ani konfigurować i zarządzać nią na bieżąco. Nie trzeba także rozwiązywać problemów, kiedy się pojawiają ani rozbudowywać sieci w miarę rozwoju firmy. Można wszystkie te zadania powierzyć ESKOM. Wystarczy określić swoje potrzeby a w zamian za miesięczny abonament dostarczymy sieć, która je w pełni zaspokoi, a kiedy zmienią wymagania, zmienimy odpowiednio firmowa sieć klienta.
Przede wszystkim organizacja uwalnia się od konieczności zatrudniania ekspertów i utrzymywania sieci. Jednocześnie zyskujemy znaczną elastyczność finansową. Nie musimy inwestować w infrastrukturę, żeby korzystać z nowoczesnych, odpowiednio skonfigurowanych urządzeń i usług. Mamy przy tym zagwarantowany rozwój i skalowanie. Co więcej, model as a Service coraz częściej jest doceniany przez działy IT, ponieważ uwalnia ludzi od rutynowych i czasochłonnych działań, otwierając drogę do kreatywnego, dającego większą satysfakcję działania na rzecz wspierania i rozwoju całej organizacji.
Jeśli chcielibyście dowiedzieć się więcej na temat NAC, platformy Aruba ClearPass a także usługi NaaS, zapraszamy do kontaktu z naszymi ekspertami.