Transcript aruba clearpass policy manager

PANORAMICA DELLA SOLUZIONE
ARUBA CLEARPASS POLICY MANAGER
Visibilità sugli accessi e sicurezza per reti cablate e wireless
Ricordate quando il reparto IT era in grado di controllare
sia noto che sconosciuto. Le soluzioni di sicurezza
tutti gli accessi tramite una combinazione di rigide policy e
dell'accesso devono ora garantire la creazione di profili,
un ecosistema completamente autonomo? Quest'epoca è
l'applicazione delle policy, l'accesso guest, l'integrazione di
tramontata da un pezzo. Ora il reparto IT e i dispositivi di
dispositivi BYOD e altro ancora per fornire una protezione
proprietà degli utenti sono connessi all'interno e all'esterno
dalle minacce avanzata, che non gravi sulle risorse IT, e
della protezione perimetrale.
un'esperienza utente soddisfacente.
Laptop, smartphone, tablet e dispositivi IoT (Internet of
LA MOBILITÀ E L'IoT STANNO CAMBIANDO IL
NOSTRO MODO DI VEDERE L'APPROCCIO NAC
Things) stanno invadendo il luogo di lavoro, pertanto il
primo passo per garantire la sicurezza dei dati consiste
nell'identificare tutto ciò che è presente nella rete.
L'applicazione automatica di policy garantisce che solo
gli utenti e i dispositivi desiderati siano autorizzati a
connettersi, mentre è necessaria una protezione dalle
minacce in tempo reale per soddisfare i requisiti dei
controlli interni ed esterni e di conformità.
Inoltre, se le previsioni sono esatte, l'uso dei dispositivi IoT
nelle reti cablate e wireless sta cambiando il punto di vista
dell'IT. La maggior parte delle organizzazioni proteggeva le
reti wireless e i dispositivi, ma trascurava le porte cablate
nelle sale riunioni, dei telefoni IP e delle aree dedicate alle
stampanti. Ma i dispositivi IoT non dispongono di attributi
di sicurezza e richiedono l'accesso da risorse amministrate
esternamente, pertanto l'accesso wireless rappresenta il
nuovo rischio.
Mentre il reparto IT tenta di mantenere il controllo, deve
scegliere un set di strumenti adeguato per programmare
rapidamente l'infrastruttura sottostante e controllare
l'accesso alla rete per qualsiasi dispositivo IoT e mobile,
I confini del dominio IT ora si estendono oltre le mura
di un'azienda e l'obiettivo delle organizzazioni consiste
nel garantire la connettività sempre e dovunque senza
sacrificare la sicurezza. In che modo l'IT può garantire
la visibilità e il controllo senza incidere sulle attività e
sull'esperienza utente? Bisogna iniziare da un piano
suddiviso in tre fasi.
1.Identificare innanzitutto quali dispositivi vengono
utilizzati, quanti ne sono, da dove si connettono e quali
sistemi operativi sono supportati. Inoltre, informazioni
dettagliate sui cambiamenti e sui dispositivi in ingresso e
in uscita garantiscono la visibilità necessaria nel tempo.
2.Applicare policy accurate che assicurano l'accesso
corretto di utenti e dispositivi, indipendentemente
dall'utente, dal tipo di dispositivo o dalla posizione.
In questo modo si garantisce un'esperienza utente
ottimale. Le aziende devono adattarsi ai dispositivi
odierni in continua evoluzione e al modo in cui
vengono utilizzati, sia che si tratti di smartphone o
di telecamere di sorveglianza.
PANORAMICA DELLA SOLUZIONE
ARUBA CLEARPASS POLICY MANAGER
3.Proteggere le risorse tramite controlli dinamici delle
policy e interventi correttivi per minacce reali che si
estendono ai sistemi di terze parti. Questo rappresenta l'ultimo pezzo del puzzle. Per essere preparati a
un comportamento insolito della rete alle 3 di notte, è
necessario un approccio unificato che blocchi il traffico
e cambi lo stato della connessione di un dispositivo.
Le aziende devono avere un piano per le problematiche
esistenti e quelle impreviste. Non è realistico affidarsi
al personale IT e dell'help desk affinché intervenga
manualmente ogni volta che un utente decide di lavorare
in remoto o acquistare un nuovo smartphone. L'approccio
utenti e i dispositivi vengano concessi privilegi di accesso
appropriati, indipendentemente dal metodo di accesso o
dalla proprietà del dispositivo.
Il motore di creazione profili incorporato raccoglie dati
in tempo reale che includono le categorie, i fornitori, le
versioni del sistema operativo e molte altre informazioni sui
dispositivi. Non è più necessario ipotizzare quanti dispositivi
sono connessi alle reti cablate e wireless. Una visibilità
granulare offre tutti i dati necessari per superare i controlli
e determinare aree da cui possono provenire problemi di
performance o rischi per la sicurezza.
NAC non riguarda più solo le valutazioni per i dispositivi
Lo strumento autonomo ClearPass Universal Profiler
noti prima dell'accesso.
garantisce la stessa visibilità per la creazione di profili alle
aziende che non sono ancora pronte ad applicare appieno
VISUALIZZARE E GESTIRE TUTTO DA UN UNICO
LUOGO
le policy oppure in aree remote in cui ClearPass potrebbe
Con la policy ClearPass e la soluzione AAA si può
Un approccio all'applicazione delle policy basato su modelli
usufruire di creazione di profili incorporata, un'interfaccia
amministrativa basata sul Web e funzionalità complete di
reporting con avvisi in tempo reale. Tutti i dati contestuali
raccolti vengono sfruttati per garantire che a tutti gli
non essere implementato inizialmente.
offre all'IT la possibilità di creare policy orientate a reti
cablate e altre per le reti wireless che usufruiscano di dati
quali ruoli utente, tipi di dispositivi, dati MDM/EMM, stato dei
certificati, posizione, giorno della settimana e altro ancora.
Le policy possono facilmente applicare regole per dipendenti,
THE POWER OF CLEARPASS EXCHANGE
studenti, dottori, utenti guest, dirigenti e ciascun tipo di
dispositivo che tali utenti decidono di utilizzare.
ClearPass OnConnect è una funzionalità incorporata
che consente alle aziende di bloccare le migliaia di porte
cablate che adottano un approccio non basato su AAA.
Non è necessaria alcuna configurazione dei dispositivi ed è
sufficiente una sola riga di comando per lo switch. I metodi
AAA/802.1X standard sono inoltre supportati per le reti
cablate e wireless.
Pertanto è possibile applicare le policy coerentemente
e adottare un approccio end-to-end che le soluzioni in
silos AAA, NAC e basate su policy non sono in grado di
offrire. La capacità di utilizzare più archivi di identità in un
unico servizio di policy, inclusi Microsoft Active Directory,
directory conformi con LDAP, database SQL conformi
con ODBC, token server e database interni, differenzia
ClearPass da qualsiasi soluzione legacy.
PROVISIONING DEI DISPOSITIVI SENZA
COINVOLGERE L'IT
Gestire l'integrazione dei dispositivi personali per
implementazioni BYOD può costituire una difficoltà per
le risorse IT e dell'help desk, e può creare preoccupazioni
legate alla sicurezza.
figure 1.0_081016_clearpass-soa
PANORAMICA DELLA SOLUZIONE
ARUBA CLEARPASS POLICY MANAGER
ClearPass Onboard consente agli utenti di configurare
per eliminare vulnerabilità in un'ampia gamma di sistemi
in completa autonomia i dispositivi in modo da poterli
operativi e versioni di computer. Indipendentemente dal
utilizzare nelle reti protette. Grazie ai certificati specifici per i
fatto che si utilizzano client persistenti o temporanei,
dispositivi, gli utenti non devono più immettere le credenziali
ClearPass può identificare gli endpoint conformi nelle
di accesso varie volte nell'arco di una giornata, e questa
infrastrutture wireless, cablate e VPN.
maggiore praticità rappresenta già di per sé un traguardo.
Esempi di controlli avanzati dello stato che garantiscono
Un ulteriore vantaggio è costituito dalla maggiore sicurezza
garantita dall'uso dei certificati.
Il team IT stabilisce chi può integrare dispositivi, quali tipi
di dispositivi possono integrare e quanti dispositivi sono
ammessi a persona. Un'autorità di certificazione incorporata
consente all'IT di supportare più rapidamente i dispositivi
personali in quanto non sono necessari un PKI interno e
ulteriori risorse IT.
una maggiore sicurezza:
• Gestione di applicazioni peer-to-peer, servizi e chiavi del
registro di sistema.
• Valutazione della possibilità o meno di utilizzare
dispositivi di storage USB o istanze di macchine virtuali.
• Gestione delle interfacce di rete con bridge e della
crittografia dei dischi.
Sfruttare al meglio le soluzioni di terze parti
Accesso guest semplice e rapido
ClearPass Exchange consente di automatizzare la
L'approccio BYOD non riguarda solo i dispositivi dei
correzione delle minacce alla sicurezza e di migliorare i
dipendenti, bensì comprende qualsiasi visitatore con un
servizi utilizzando soluzioni di terze parti molto diffuse
dispositivo che richiede l'accesso alla rete, cablata o wireless.
quali firewall, MDM/EMM, MFA, registrazione dei visitatori
L'IT ha bisogno di un modello semplice che indirizzi il
e strumenti SIEM. Sfruttando l'intelligence contestuale
dispositivo verso un portale mirato, automatizzi il provisioning
insita in ClearPass, le aziende possono garantire sicurezza
delle credenziali di accesso e fornisca anche funzionalità di
e visibilità a livello dei dispositivi, dell'accesso alla rete,
sicurezza che tengano separato il traffico aziendale.
dell'ispezione del traffico e della protezione dalle minacce.
Con ClearPass Guest i dipendenti, gli addetti alla reception,
i coordinatori di eventi e altro personale non IT possono
creare in modo semplice ed efficiente account temporanei
per l'accesso alla rete per un numero indefinito di guest
ogni giorno. Il caching degli indirizzi MAC garantisce
inoltre che gli utenti guest possano facilmente connettersi
durante tutto l'arco della giornata senza dover immettere
ripetutamente le credenziali nel portale guest.
Con l'auto-registrazione i dipendenti non devono più
occuparsi di questa attività e gli utenti guest possono
creare direttamente le proprie credenziali. Le credenziali
di accesso vengono fornite tramite badge stampati, SMS o
e-mail. Possono inoltre essere archiviate in ClearPass per
determinati periodi di tempo, configurando una scadenza
automatica dopo un certo numero di ore o giorni.
I flussi di lavoro e i processi decisionali automatizzati, che
si avvalgono di API REST comuni, messaggistica syslog e un
repository incorporato denominato ClearPass Extensions,
contribuiscono a semplificare le attività e a proteggere
l'azienda, senza ricorrere a complessi linguaggi per la
creazione di script e lunghe configurazioni manuali. Per
velocizzare l'integrazione, inoltre, Extensions consente ai
partner di caricare un'estensione per la distribuzione in
tempo reale di nuovi servizi ai clienti comuni.
Grazie a ClearPass Exchange, le reti possono agire
automaticamente:
• I dati MDM/EMM, come lo stato di jailbreak di un
dispositivo, possono servire a determinare se
quest'ultimo può connettersi a una rete.
• I firewall possono applicare le policy in modo accurato
sulla base di attributi dell'utente, di gruppo e specifici del
Accesso basato sullo stato del dispositivo
dispositivo, nonché usufruire di ClearPass per rimediare
Durante il processo di autorizzazione, può essere
al comportamento inappropriato di un dispositivo.
necessario svolgere delle valutazioni dello stato per
specifici dispositivi al fine di garantire che siano conformi
alle policy anti-virus, anti-spyware e del firewall.
L'automazione spinge gli utenti ad eseguire scansioni anti-
• Gli strumenti SIEM possono essere configurati in modo
da archiviare i dati di autenticazione per tutti i dispositivi
connessi.
• Agli utenti può essere chiesto di utilizzare l'autenticazione
virus prima di connettersi alla rete aziendale.
a più fattori per dimostrare la propria identità al
ClearPass OnGuard è dotato di capacità incorporate che
momento della connessione alle reti e alle risorse.
svolgono controlli dello stato basati sul comportamento
PANORAMICA DELLA SOLUZIONE
ARUBA CLEARPASS POLICY MANAGER
Gli eventi di rete possono inoltre inviare prompt ai firewall,
BASE ADATTABILE PER LA SICUREZZA E I SERVIZI
a SIEM e agli altri strumenti per indicare a ClearPass di
Nell'intento di creare un'esperienza ottimale per gli utenti
intervenire in merito a un dispositivo attivando azioni in
maniera bidirezionale. Se, ad esempio, un utente non supera
più volte l'autenticazione di rete, ClearPass può attivare un
messaggio di notifica direttamente nel dispositivi oppure
può inserirlo in una blacklist per impedire l'accesso alla rete.
Accesso sicuro alle app di lavoro da qualsiasi luogo
L'accesso alle app di lavoro durante il giorno deve essere
rapido e semplice, pertanto ClearPass supporta le funzionalità
SSO e ClearPass Auto Sign-On per questo scopo. Al posto del
Single Sign-On, che richiede a tutti di eseguire l'accesso una
volta per ogni app, Auto Sign-On utilizza un accesso di rete
valido per consentire automaticamente agli utenti l'accesso
alle app mobili aziendali. Gli utenti hanno pertanto bisogno
di dispositivi mobili e favorire l'adozione delle tecnologie IoT
sono emerse numerose nuove difficoltà per il reparto IT. È
necessaria un'attenta pianificazione, gli strumenti giusti e
una base solida per proteggere l'accesso in ogni momento e
ogni luogo nelle reti cablate e wireless.
ClearPass supera queste difficoltà automatizzando
l'identificazione dei dispositivi, il controllo delle policy,
il flusso di lavoro e la protezione dalle minacce con una
singola soluzione compatta. Acquisendo e correlando i dati
contestuali in tempo reale, ClearPass consente di definire
policy applicabili in qualsiasi ambiente, tra cui l'ufficio, il
campus o lo stadio.
solo del proprio accesso alla rete o di un certificato valido nei
Gli ultimi miglioramenti di ClearPass consentono inoltre
propri dispositivi.
di gestire le emergenti difficoltà legate alla sicurezza della
ClearPass può anche essere utilizzato come identity
provider (IdP) o service provider (SP) quando si usa Single
Sign-On.
rete in relazione all'adozione dell'IoT, all'autenticazione
più efficace dei dispositivi mobili e delle app, nonché alla
maggiore visibilità sugli incidenti nell'ambito della sicurezza.
Le funzionalità di protezione automatica dalle minacce e
Supporto dei servizi DLNA e UPnP
di servizi intelligenti garantiscono che a ogni dispositivo
Gli utenti dell'infrastruttura Aruba Wi-Fi possono condividere
vengano concessi privilegi di accesso alla rete adeguati con
i proiettori, le TV, le stampanti e altre appliance multimediali
una minima interazione del reparto IT.
che utilizzano DLNA/UPnP o Apple AirPlay e AirPrint. ClearPass
semplifica l'individuazione di tali dispositivi e la condivisione tra
gli utenti.
Ad esempio, un insegnante che voglia mostrare una
presentazione da un tablet vedrà solo uno schermo disponibile
nella classe, mentre non vedrà i dispositivi presenti dall'altro
lato del campus. Può anche utilizzare il portale per scegliere
chi altro può utilizzare lo schermo, in modo da evitare che gli
studenti se ne approprino.
Un altro esempio utile riguarda il settore sanitario: i medici
possono facilmente proiettare immagini PACS digitali dai
propri iPad su uno schermo più grande in qualsiasi posto
dell'ospedale. In questo modo, la collaborazione con i pazienti
diventa più semplice.
1344 CROSSMAN AVE | SUNNYVALE, CA 94089
1.844.473.2782 | T: 1.408.227.4500 | FAX: 1.408.227.4550 | [email protected]
www.arubanetworks.com
SO_ClearPass_111016