这一系列关于有线安全的文章探讨了为什么大多数组织锁定Wi-Fi接入,而依靠物理安全和静态分割作为有线网络的主要防御,让门敞开着。随着内部威胁风险的上升,组织需要实施有线网络上更强的预连接控制和分割——在某种程度上实际上减少了操作负担。这篇文章探讨了Aruba如何通过一种高效的、用户友好的方式来加强连接前的安全控制,为客户解决这一挑战。
在阿鲁巴,我们集中精力解决这些问题ClearPass。阅读本文的许多人可能正在使用ClearPass在无线网络上的一些用户/操作经验、自动化和集成能力。您可能会首先使用无线,因为您不得不这样做(因为移动的物理安全问题),而且无线没有那么多用户,也不像有线那样被认为是重要的连接。
然而,时代已经改变了。在许多组织中,无线现在是连接的主要手段,对业务操作至关重要。Wi-Fi必须工作,必须可用,必须可维护。因此,如果您能够在无线上实现一个可用的、可维护的安全模型,那么是什么阻止您在有线上实现它呢?
让我们来探索ClearPass中内置并利用无线的一些功能,以及它们如何应用于有线网络。
- 可见性。第一步是能见度。在考虑应用策略之前,您需要知道连接到网络的是什么。ClearPass对连接到网络的每个设备进行指纹,对面向用户的端口没有任何影响或配置更改,并生成一个不断更新的库存报告。然而,这只是能见度之旅的第一步。其次,整合来自环境中所有不同系统的身份上下文的所有来源将非常有益。EMM/MDM、EDR、CMDB、SCCM和服务台票务系统等都包含与策略相关的用户和设备的信息,但这些信息单独用于特定的用例。ClearPass可以利用这些系统并集中整合上下文。在存在缺陷的地方,例如在设备的遵从性方面,ClearPass可以使用各种不同的方法来询问端点,比如OnGuard。你甚至可以通过IntroSpect行为分析解决方案来扩展这一功能,以分析每一种类型的用户和设备所展示的对话,以帮助创建策略。
- 灵活的认证。并不是每个设备都支持802.1X,因此,您不能只依赖802.1X。事实上,并不是每个交换机都支持RADIUS,因此,在某些情况下,您甚至不能利用RADIUS。在每个交换机上,甚至在每个端口上,您需要能够使用最佳选项(无论是SNMP、RADIUS、802.1X等,还是同时使用所有选项)对端口上的每个设备(即使有多个)进行身份验证和授权!启用某种级别的身份验证(即使不用于策略和访问控制),至少可以让管理员和安全团队了解每个设备连接的位置,以及哪些用户在哪些设备上和哪些端口上。它还提供了一种控制机制来根据需要调用动态策略和状态更改。
- 用户体验。我们都知道,许多NAC实现失败的原因是用户无法导航流程,帮助台被抱怨淹没,最终导致业务生产率下降。如果您可以通过自定义的页面、自助服务工作流和自定义通知(语音/SMS)帮助用户导航策略,那会怎么样呢?通过为企业用户带来类似客人的体验,这是可能的。当用户陷入困境时,ClearPass知道原因,并提供用户需要的选项,在没有服务台干预的情况下导航走出困境。
- 操作经验。我们也知道,不管我们的解决方案有多好;不可预见的错误仍然会发生。我不知道你怎么想,但对我来说,打给服务台的电话充满了恐惧和焦虑——我不确定我是否能找到一个胜任的人。我相信电话那头的帮助台工程师也有同样的想法,他们关心的是如何获得他们需要的信息来有效地排除问题,并且想知道我是否能遵循指示。使用ClearPass,当问题出现时,您可以通过自动打开帮助台票证来缓解这一问题,预先填充相关信息(用户名、IP、MAC地址、问题描述等)。现在,当用户呼叫支持时,帮助台实际上不需要问任何问题——他们就在上面。
- 自动化/编制政策。在整个网络和安全机构中协调政策和身份是至关重要的。ClearPass在战略上被定位为网络的看门人,它将跨防火墙、IPS、代理、IPAM系统和其他安全元素共享身份和策略信息,以确保一切都是同步的,并准备好为特定的用户/设备执行策略。在有线网络上实现它还可以确保您可以在有线、无线和远程访问连接上拥有统一的策略和体验。
到目前为止,大部分讨论都围绕着有线端口给组织带来的风险。如前所述,实现某种程度的动态策略控制的障碍之一是基于支持它的操作开销。希望上面的信息解释了如何实现这些功能,从而减少围绕部署和维护这样一个解决方案的操作问题。
但让我们停下来考虑一下当前的情况。今天,许多组织手动或通过复杂的脚本管理它们的有线“策略”。对于许多组织来说,移动、添加和更改是一个持续的操作难题,在大多数情况下,他们无法跟上实际连接到这些端口的是什么。使用像ClearPass这样的高级策略引擎的动态分割不仅极大地降低了组织中的风险,而且还成为了事实上的有线配置工具,它根据当前连接的端口动态地设置适当的VLAN、ACL、角色等。这就是我所说的谚语“一石二鸟”!
好了,就这样了。如果风险是真实的,而且技术是可用的,并且已经在大量用户(无线)中得到验证,那么是什么阻止您锁定这些有线端口呢?或者至少迈出第一步,增加有线网络的可见性?这第一步将极大地提高你的安全姿态,并有助于突出你可能想要加入一些控制、经验和自动化的下一步。
查看该系列的其他博客:
