阿鲁巴岛的动态分割和ClearPass设备的洞察力,网络工程师可以提供安全访问,而无需手动配置新的vlan、acl、接口配置或其他任何占用更重要任务时间的手动任务。
简单,安全配置
使用动态分段,管理员可以使用类似的基本配置配置组织中的每个交换机。当设备或用户连接时,我们可以使用身份验证和其他上下文,例如日期和时间,位置或设备类型,来动态地应用ClearPass policy Manager中的策略。
假设一个队友将她的个人笔记本电脑连接到她的VoIP电话后面的扩展坞。首先,手机被识别,交换机端口被分配一个策略来保持流量在本地;没必要挖隧道。然后,她的笔记本电脑被标识为访客设备,应该使用基于用户的隧道将其与移动控制器连接,并将其与所有只能访问互联网的其他设备分开。因为策略是在ClearPass policy Manager中集中管理的,并且我们已经配置了客户设备,并且策略是在移动控制器上执行的。当笔记本移动到无线或组织中的另一个开关时,它会收到相同的策略和细分。
你的网络分段程度如何?
在第三集,当安全和网络联合起来时,在Aruba Unplugged播客上,阿鲁巴首席安全技术专家乔恩·格林提出了一个令人惊讶的事实2013年信用卡违规目标。Jon解释了HVAC系统控制器是如何被用作破坏销售点设备的一个跳跃点的。马上,我们开始问为什么他们没有acl或者其他保护机制?答案可能并不总是那么简单。
在这种情况下,它是一个缺乏定义的手动,分割。但是在您自己的网络中,您是否知道您的HVAC系统没有与数据中心中的数据库服务器通信?这是预期的行为吗?你知道地下室IDF的开关上连接着暖通空调控制器吗?
我们现在可以让ClearPass Device Insight回答这些问题。ClearPass Device Insight是一个云应用程序,它与网络中的收集器对话,通过深度包检查、主动和被动发现技术收集有关设备的信息。
在我们的HVAC控制器示例中,典型的NAC解决方案可能能够根据其MAC地址或正在运行的操作系统识别这个物联网设备。不幸的是,这可能会导致设备的错误识别。控制器可能是一台Windows 10设备,但它不会执行与Windows 10笔记本电脑相同的功能,两者需要不同的策略。
通过ClearPass Device Insight,可以对流量进行基线化。机器学习被用来寻找这个设备和其他类似设备之间的相似之处,信息是由ClearPass设备洞察力的其他客户众包的,这些客户已经识别了这个设备。现在,我们知道这个设备是什么,它应该做什么,更重要的是,它不应该做什么。
如果我们将ClearPass Device Insight引入到我们的动态分割部署中,我们就能够为我们的操作提供额外的上下文和自动化。这个HVAC控制器是自动分段的,只允许与其他HVAC控制器通话。如果它试图越过这些界限,或开始显示出妥协的迹象,我们可以隔离该设备,向安全分析师发送警报,并平静地睡一整晚,因为所有这些操作都是自动执行的。
了解更多
你是否让网络之门敞开着?
