CLEARPASS LÀ GÌ VÀ HOẠT ĐỘNG NHƯ THẾ NÀO (Network Policy Manager System)
Ngày nay theo thống kê của các tổ chức bảo mật trên thế giới thì tới hơn 70% các nguy cơ về bảo mật lại đến từ bên trong hệ thống mạng chứ không phải đến từ bên ngoài nên việc bảo vệ cho hệ thống mạng Internal là một nhu cầu hết sức bức thiết. Bên cạnh đó là các thách thức mà các doanh nghiệp phải đối mặt khi triển khai giải pháp quản lý truy cập đó là sự linh hoạt trong việc đón nhận xu hướng BYOD đang phát triển như vũ bão đồng thời là thách thức tìm ra được giải pháp có thể quản lý được các chính sách truy cập tập trung cho cả mạng không dây và có dây.
Hình 1: Nguy cơ về bảo mật đến từ người dùng không hợp lệ.
Hình 2: Nguy cơ về bảo mật đến từ các thiết bị cuối của người dùng hợp lệ bị lây nhiễm bởi những ứng dụng nguy hại
Để bảo vệ trước những nguy cơ như thế này HPE-Aruba đưa ra giải pháp quản lý chính sách tập trung Aruba ClearPass nhằm giúp các doanh nghiệp triển khai các giải pháp BYOD, NAC cho cả hệ thống mạng không dây và có dây một cách đơn giản và hiệu quả nhất
Aruba ClearPass là giải pháp dựa trên tiêu chuẩn BYOD và NAC được tích hợp trong một giải pháp đồng nhất, là trạm kiểm soát truy cập trước khi vào hệ thống mạng hiện tại của doanh nghiệp với việc hỗ trợ đa nền tảng đa hãng có thể tích hợp được trong 1 giải pháp đồng nhất.
Kết quả doanh nghiệp có thể hoàn thiện hệ thống mạng, hệ thống nhận dạng người dùng và an ninh mạng bằng cách sử dụng tính năng của ClearPass. Đây là một giải pháp tiết kiệm chi phí và linh hoạt cho phép doanh nghiệp triển khai BYOD, NAC.
Hệ thống quản lý truy cập ClearPass bao gồm thiết bị Clearpass Policy Manager với các module phần mềm sau:
• ClearPass Onboard
• ClearPass Guest
• ClearPass OnGuard
• ClearPass Policy Manager
Giải pháp ClearPass Policy Manager kết hợp tất cả các tính năng của một giải pháp BYOD bền vững trên một thiết bị. Server quản lý trung tâm này đem lại khả năng kiểm soát truy cập phân cấp dựa theo hoàn cảnh cũng như giảm thiểu công việc quản lý cho nhân viên IT.
Với ClearPass Policy Manager, nhân viên IT có thể tự đông hóa cũng như thực hiện việc xác thực và phân quyền ho toàn bộ doanh nghiệp cho cả mạng có dây và không dây, VPN cũng như trao quyền truy cập cho guest. Khả năng phân biệt truy cập dựa trên một loạt các thuộc tính, bao gồm vai trò người dùng, loại thiết bị, thời gian và vị trí.
Ngoài cơ chế tích hợp với RADIUS và TACACS + server để hỗ trợ AAA, ClearPass Policy Manager có thể đọc từ nhiều thiết bị lưu trữ và cơ sở dữ liệu nhận dạng bao gồm Microsoft Active Directory, LDAP, SQL và Kerberos. Nhờ vậy, một mô hình chính sách thống nhất đảm bảo kiểm soát truy cập được áp dụng thống nhất trong toàn doanh nghiệp.
Giao diện quản lý đơn giản là một trong những tiêu chí quan trọng giúp cung cấp một giao diện quản trị trực quan đơn giản giúp đội ngủ IT có thể quản lý toàn hệ thống chính sách tập trung một cách hiệu quả nhất.
Với lựa chọn thiết bị cứng hay máy ảo, doanh nghiệp có thể linh hoạt trong việc lựa chọn hình thức triển khai cũng như pha trộn hai hình thức mà không có sự khác biệt trong các tính năng hoặc chức năng.
Dự phòng và chuyển đổi dự phòng là bắt buộc đối với một máy chủ quản lý policy của doanh nghiệp. Thay vì dành một thiết bị chạy dự phòng trong chế độ active/passive, giải pháp quản lý truy cập phải có khả năng chị lỗi sử dụng mô hình publishersubscriber. Trong mô hình này, một máy chủ chính sao chép hoặc xuất bản (publish) tất cả các thay đổi cho một hay nhiều máy chủ thứ cấp. Phương pháp này là linh hoạt hơn mô hình phân nhóm khác.
Tóm lại với giải pháp Clearpass sẽ mang lại những lợi ích sau:
Các chính sách và dịch vụ AAA có thể làm việc với nhiều hãng khác nhau cung cấp cả dịch vụ không dây và có dây.
Hỗ trợ quản lý dựa trên thời gian thực dựa theo ngữ cảnh, vai trò người sử dụng, các loại thiết bị, địa điểm và thời gian của ngày.
Hỗ trợ xây dựng những tài liệu nhận dạng thiết bị và thuộc tính cho mọi kết nối.
Các công cụ xử lý sự cố giúp giải quyết vấn đề kết nối và sử dụng một cách nhanh chóng.
Hỗ trợ nhiều tùy chọn về portal để quản lý việc truy cập các thiết bị smartphone, quản lý truy cập guest, quản lý hệ thống mạng wifi.
ClearPass Onboard
ClearPass Onboard, thiết bị the enterprise provisioning software module for ClearPass Policy Manager, tự động hóa hoàn toàn quy trình đăng ký của thiết bị mới thông qua giao diện quản lý được xây dựng sẵn. Nó cung cấp đầy đủ khả năng tự thu thập thông tin của các thiết bị Windows, Mac OS X, iOS, và các thiết bị Android, bao gồm các thông số cấu hình của 802.1X cũng như việc phân phối và thu hồi chứng chỉ của một thiết bị dựa vào thông tin duy nhất của thiết bị đó.
Ngoài ra, ClearPass Onboard có thể đẩy cấu hình cho email trên mobile thông qua Exchange ActiveSync và VPN clients đối với một số loại thiết bị.
ClearPass OnGuard
Module phần mềm ClearPass OnGuard dùng cho ClearPass policy Manager cho phép đánh giá toàn diện tình trạng thiết bị (posture) nhằm giảm thiểu nguy cơ nhiễm virus và sự lạm dụng các ứng dụng và dịch vụ trước khi các thiết bị kết nối vào mạng
Hỗ trợ các agent cho đa nền tảng hệ điều hành sử dụng trên thiết bị đầu cuối, bao gồm cả các agents của Microsoft Windows, ClearPass OnGuard thực hiện đánh giá tình trạng sức khỏe các thiết bị chạy hệ điều hành Windows, Mac OS X và Linux, kiểm tra sự hiện diện của các phần mềm chống virus, chống gián điệp, và tường lửa từ hơn 80 nhà cung cấp.
Ngoài ra, ClearPass OnGuard còn kiểm tra các dịch vụ, quy trình, các ứng dụng peerto-peer được phép như Skype, các thiết bị lưu trữ USB, VM client, và tự động khắc phục hoặc cách ly theo chính sách của doanh nghiệp yêu cầu
Khi xu hướng BYOD và NAC được nhân rộng, các doanh nghiệp chịu áp lực phải đơn giản hóa quy trình kết nối người dùng và thiết bị mới trong khi vẫn duy trì bảo mật mạnh mẽ và cắt giảm chi phí. HPE-Aruba hỗ trợ Portal đầy đủ để người dùng có thể tự đăng ký các thiết bị đầu cuối của họ tương ứng với quyền hạn và chức năng của người dùng đó trong hệ thống giúp giảm tải công sức quản trị của đội ngũ IT cũng như đơn giản cho quá trình sử dụng của người dùng.
Hệ thống Aruba ClearPass Access Management là nền tảng BYOD/NAC có một cách tiếp cận toàn diện để đảm bảo an toàn cho người dùng di động, các thiết bị và cơ sở hạ tầng mạng. ClearPass cung cấp giải pháp toàn diện dựa trên các tiêu chuẩn, độc lập với những nhà cung cấp nhằm quy định các chính sách truy cập đối với bất kỳ mạng, thiết bị và người dùng nào.
Việc hỗ trợ đa nền tảng là một trong những tiêu chí quan trọng trong việc ứng dụng các hệ thống quản lý bảo mật cho thiết bị đầu cuối tương ứng với người dùng nên với khả năng hỗ trợ hệ sinh thái đầy đủ các nền tảng thiết bị đầu cuối giúp cung cấp khả năng tích hợp linh hoạt nhất, bên dưới là bảng thống kê lại các tính năng được hỗ trợ tùy theo nền tảng OS trên thiết bị đầu cuối PC/Laptop bên cạnh đó còn có khả năng hỗ trợ đầy đủ nền tảng OS cho thiết bị di động.
HPE-Aruba ClearPass OnGuard hỗ trợ đa dạng các Agent trên đa nền tảng của thiết bị đầu cuối Client:
HPE-Aruba ClearPass OnGuard cung cấp một giao diện toàn diện cho việc quản lý và giám sát cho việc kiểm soát tình trạng của thiết bị người dùng cuối tương ứng với các chính sách đặt ra một cách rõ ràng, trực quan và đơn giản:
ClearPass Guest
Module phần mềm ClearPass Guest cho phép nhân viên IT cũng như người không hiểu biết kỹ thuật có thể quản lý tài khoản Wi-fi dành cho Guest cũng như quy trình Onboard khi cung cấp quyền truy cập cho du khách vào hệ thống mạng lớn hay nhỏ.
Hệ thống portal này cho phép nhận biết và quản lý các khách đến liên hệ làm việc môt cách đơn giản dễ dàng trong khi vẫn duy trì được khả năng quản lý chặt chẽ về chính sách bảo mật và truy cập tương ứng cho Guest. Ngoài việc cho phép nhân viên và Guest có thể tự đăng ký thiết bị, ClearPass Guest hỗ trợ kiểm soát dựa vào vai trò và theo dõi hoạt động để bảo đảm tuân thủ quy chuẩn và kiểm toán.
Hệ thống Portal này cho phép việc tùy biến linh hoạt giao diện để phù hợp với các mục đích và nhu cầu của người dùng.
Bên cạnh đó là hệ sinh thái tích hợp được đầy đủ với các nền tảng quản lý thiết bị di động đầu cuối MDM như Airwatch, Mobile Iron… cũng như tích hợp được với các hệ thống Firewall như PaloAlto, Fortinet… cũng như các hệ thống Anti-virus, IDS/IPS…
