Xin chào mọi người, bài viết này sẽ nói về tổng quan của phần mềm Aruba Clearpass - một phần mềm quản lý truy cập hệ thống mạng của HPE, cũng như sẽ nói về license thực thi trong aruba clearpass.
Aruba ClearPass đóng một vai trò rất quan trọng trong việc bảo mật và quản lý truy cập mạng của một tổ chức. Với khả năng kiểm soát và giám sát toàn diện các thiết bị kết nối vào mạng, ClearPass giúp bảo vệ hạ tầng mạng và đảm bảo chỉ những thiết bị, người dùng được ủy quyền mới có quyền truy cập. Dưới đây là một số vai trò chính của Aruba ClearPass đối với hệ thống mạng:
Quản lý truy cập mạng (NAC – Network Access Control)
ClearPass cung cấp một cơ chế kiểm soát truy cập mạng mạnh mẽ và linh hoạt. Nó cho phép quản lý việc kết nối của người dùng và thiết bị vào hệ thống mạng dựa trên các chính sách bảo mật và vai trò của người dùng. Việc chỉ cho phép những thiết bị và người dùng được xác thực kết nối giúp ngăn ngừa các nguy cơ từ các thiết bị không đáng tin cậy.
Bảo mật hệ thống mạng toàn diện
ClearPass bảo vệ hệ thống mạng khỏi các mối đe dọa và truy cập trái phép thông qua việc áp dụng các chính sách bảo mật nghiêm ngặt, bao gồm:
Một trong những nguyên tắc quan trọng của ClearPass là mô hình Zero Trust, tức là mạng không bao giờ được coi là tin cậy mặc dù người dùng hoặc thiết bị có thể đã được xác thực. Mọi kết nối đều cần phải được xác minh và kiểm tra liên tục trong suốt quá trình truy cập. Điều này giúp bảo vệ hệ thống khỏi các mối đe dọa và tấn công nội bộ.
Kiểm soát và phân quyền truy cập dựa trên Policy.
ClearPass cho phép thiết lập các chính sách truy cập mạng dựa trên vai trò và yêu cầu của tổ chức. Chẳng hạn, người dùng trong các phòng ban khác nhau có thể có quyền truy cập khác nhau vào các tài nguyên mạng. Điều này giúp đảm bảo tính bảo mật cao và tránh các truy cập không mong muốn vào dữ liệu nhạy cảm.
Quản lý và bảo vệ các thiết bị IOT và BYOD
Với sự gia tăng của các thiết bị IoT (Internet of Things) và BYOD (Bring Your Own Device), ClearPass giúp quản lý và bảo mật các thiết bị này khi kết nối vào mạng. Các thiết bị này thường không được bảo vệ tốt như thiết bị công ty, và ClearPass cung cấp các chính sách để bảo vệ mạng khỏi những rủi ro này.
Tích hợp với các hệ thống bảo mật khác
ClearPass có khả năng tích hợp với các giải pháp bảo mật khác như tường lửa, EMM/MDM (Enterprise Mobility Management/Mobile Device Management) và các phần mềm bảo mật của bên thứ ba, giúp tạo ra một hệ thống bảo mật mạng đồng bộ và toàn diện
IV. Các dạng license của Aruba Clearpass
Platform license sẽ có sẵn dưới dạng:
Sẽ bao gồm 02 license dạng thiết bị phần cứng vật lý và dạng software (virtual) Appliance
Về phần thiết bị phần cứng vật lý:
Thiết bị phần cứng sẽ có các mã phù hợp với số lượng cài đặt trong hệ thống mạng. Với số lượng 1000 thì sẽ bao gồm với thiết bị có part number là JZ508A,... và performance tương ứng với từng mã thiết bị.
Về dạng software ảo hóa:
Tương tự như thiết bị vật lý, các phần mềm ảo hóa sẽ có các mã hiệu phù hợp với số lượng cài đặt trong hệ thống mạng.
Hỗ trợ deploy Clearpass trên VMware Esxi Server, KVM Virtual Server,...
Hình ảnh bên dưới là system requirement deploy của 01 thiết bị Aruba Clearpass dạng ảo hóa trên VMware Esxi Server.
Base Application Licenses: Có 2 dạng license là Access và Entry
Một session được coi là active khi một điểm cuối đã được xác thực/ủy quyền và kết nối hoạt động vào mạng. Khi một điểm cuối thiết lập một phiên mới, một license Access sẽ được loại bỏ khỏi nhóm.
Khi endpoint kết thúc phiên, License Access sẽ được trả lại nhóm. Kiểm tra phiên sẽ được thực hiện mỗi 15 phút. Nếu không thể xác định kết thúc, giấy phép sẽ bị loại bỏ khỏi nhóm trong vòng 24 giờ kể từ thời điểm điểm cuối được xác thực/ủy quyền và kết nối vào mạng.
Một session được coi là active khi một điểm cuối đã được xác thực/ủy quyền và kết nối hoạt động vào mạng.
Khi một điểm cuối thiết lập một phiên mới, một giấy phép Entry sẽ được loại bỏ khỏi nhóm và khi điểm cuối kết thúc phiên, giấy phép Entry sẽ được trả lại nhóm. Kiểm tra phiên sẽ được thực hiện mỗi 15 phút. Nếu không thể xác định session đã kết thúc, license sẽ bị loại bỏ khỏi nhóm trong vòng 24 giờ kể từ thời điểm thiết bị đầu cuối được xác thực/ủy quyền và kết nối vào mạng.
Phương pháp xác định một phiên hoạt động phụ thuộc vào phương thức truy cập.
License Entry có thể được nâng cấp lên Access bằng cách sử dụng License Access Upgrade.
Với việc nâng cấp như vậy sẽ cung cấp thêm được các tính năng sau:
Số lượng License Access Upgrade phải tương ứng với số lượng license Entry để hệ thống có thể chuyển từ chế độ Entry sang chế độ Access.
Về cách thức tiêu thụ license:
License Onboard sử dụng dựa trên số lượng người dùng chứ không phải theo thiết bị.
Ví dụ: nếu một người dùng có 4 thiết bị và mỗi thiết bị có một chứng chỉ hoạt động, chỉ cần 1 license Onboard. Nếu sau một thời gian, 3 trong số 4 thiết bị bị loại bỏ và chứng chỉ liên quan bị thu hồi, chứng chỉ của thiết bị thứ tư vẫn còn hoạt động sẽ tiếp tục giữ license Onboard liên kết với người dùng.
Onboard có thể được cài đặt trên hệ thống đang chạy ở chế độ Entry hoặc Access. Nó không thể được cài đặt trực tiếp vào thiết bị mà không có License Entry hoặc Access.
OnGuard chỉ có thể được cài đặt trên hệ thống đang chạy ở chế độ Access. Nó không thể được cài đặt trực tiếp vào thiết bị mà không có License Access.
Cảm ơn mọi người đã xem qua bài viết của mình. Nếu có gì thắc mắc thì cứ comment phía dưới ha.
I. Aruba Clearpass là gì?
Aruba Clearpass là một sản phẩm được phát triển bởi HPE Aruba Networks – là một giải pháp quản lý chính sách và kiểm soát truy cập mạng (NAC). Clearpass giúp các doanh nghiệp có thể xác định, kiểm soát và bảo vệ mọi thiết bị kết nối vào mạng, từ các thiết bị IOT, thiết bị BYOD cho đến các thiết bị doanh nghiệp.
II. Vai trò của Aruba Clearpass đối với hệ thống mạng?
Aruba ClearPass đóng một vai trò rất quan trọng trong việc bảo mật và quản lý truy cập mạng của một tổ chức. Với khả năng kiểm soát và giám sát toàn diện các thiết bị kết nối vào mạng, ClearPass giúp bảo vệ hạ tầng mạng và đảm bảo chỉ những thiết bị, người dùng được ủy quyền mới có quyền truy cập. Dưới đây là một số vai trò chính của Aruba ClearPass đối với hệ thống mạng:
Quản lý truy cập mạng (NAC – Network Access Control)
ClearPass cung cấp một cơ chế kiểm soát truy cập mạng mạnh mẽ và linh hoạt. Nó cho phép quản lý việc kết nối của người dùng và thiết bị vào hệ thống mạng dựa trên các chính sách bảo mật và vai trò của người dùng. Việc chỉ cho phép những thiết bị và người dùng được xác thực kết nối giúp ngăn ngừa các nguy cơ từ các thiết bị không đáng tin cậy.
Bảo mật hệ thống mạng toàn diện
ClearPass bảo vệ hệ thống mạng khỏi các mối đe dọa và truy cập trái phép thông qua việc áp dụng các chính sách bảo mật nghiêm ngặt, bao gồm:
- Xác thực người dùng và thiết bị: Đảm bảo chỉ những thiết bị và người dùng hợp lệ mới có thể truy cập vào mạng.
- Đánh giá tư thế thiết bị: Trước khi cho phép kết nối vào mạng, ClearPass kiểm tra xem thiết bị có đáp ứng các yêu cầu bảo mật (như phần mềm bảo mật, bản vá hệ điều hành, v.v.) hay không.
Một trong những nguyên tắc quan trọng của ClearPass là mô hình Zero Trust, tức là mạng không bao giờ được coi là tin cậy mặc dù người dùng hoặc thiết bị có thể đã được xác thực. Mọi kết nối đều cần phải được xác minh và kiểm tra liên tục trong suốt quá trình truy cập. Điều này giúp bảo vệ hệ thống khỏi các mối đe dọa và tấn công nội bộ.
Kiểm soát và phân quyền truy cập dựa trên Policy.
ClearPass cho phép thiết lập các chính sách truy cập mạng dựa trên vai trò và yêu cầu của tổ chức. Chẳng hạn, người dùng trong các phòng ban khác nhau có thể có quyền truy cập khác nhau vào các tài nguyên mạng. Điều này giúp đảm bảo tính bảo mật cao và tránh các truy cập không mong muốn vào dữ liệu nhạy cảm.
Quản lý và bảo vệ các thiết bị IOT và BYOD
Với sự gia tăng của các thiết bị IoT (Internet of Things) và BYOD (Bring Your Own Device), ClearPass giúp quản lý và bảo mật các thiết bị này khi kết nối vào mạng. Các thiết bị này thường không được bảo vệ tốt như thiết bị công ty, và ClearPass cung cấp các chính sách để bảo vệ mạng khỏi những rủi ro này.
Tích hợp với các hệ thống bảo mật khác
ClearPass có khả năng tích hợp với các giải pháp bảo mật khác như tường lửa, EMM/MDM (Enterprise Mobility Management/Mobile Device Management) và các phần mềm bảo mật của bên thứ ba, giúp tạo ra một hệ thống bảo mật mạng đồng bộ và toàn diện
III. Tổng quan về Clearpass Policy Manager
ClearPass Policy Manager - là một giao diện quản lý các policy được thực thi của aruba clearpass, cung cấp kiểm soát truy cập mạng an toàn dựa trên vai trò và thiết bị cho IoT, BYOD, thiết bị công ty, cũng như cho nhân viên trên mọi cơ sở hạ tầng mạng có dây, không dây và VPN của nhiều nhà cung cấp khác nhau.
IV. Các dạng license của Aruba Clearpass
- Thiết bị phần cứng và ảo cho các yêu cầu về khả năng sẵn sàng cao và hiệu suất.
- Có 3 dạng license của Aruba clearpass, đó là:
Platform license sẽ có sẵn dưới dạng:
License Permanent: License vĩnh viễn
License Subscription: License theo thời hạn, có thể là 01 năm, 03 năm or 05 năm và hết hạn dựa vào thời gian đăng ký.
License Evaluation: License theo thời hạn ngắn, cụ thể là 90 ngày or 180 ngày. Người dùng có thể renew theo dạng license này trên aruba portal để gia hạn thời gian sử dụng.
Sẽ bao gồm 02 license dạng thiết bị phần cứng vật lý và dạng software (virtual) Appliance
Về phần thiết bị phần cứng vật lý:
Về dạng software ảo hóa:
Tương tự như thiết bị vật lý, các phần mềm ảo hóa sẽ có các mã hiệu phù hợp với số lượng cài đặt trong hệ thống mạng.
Hỗ trợ deploy Clearpass trên VMware Esxi Server, KVM Virtual Server,...
Hình ảnh bên dưới là system requirement deploy của 01 thiết bị Aruba Clearpass dạng ảo hóa trên VMware Esxi Server.
Base Application Licenses: Có 2 dạng license là Access và Entry
License Access
License Access (được giới thiệu trong Policy Manager 6.7) bao gồm các tính năng được thiết kế cho các trường hợp sử dụng Secure NAC (Network Access Control an toàn):- 802.1X
- MAC Authentication
- Web Based User Registration and Authentication (captive portal authentication
- Multi-Factor Authentication (MFA)
- TACACS+ for device administration (EX: Router, Switch, Controller,…)
- OnConnect
- System APIs
- 360 Security Exchange
- Standard endpoint visibility
Khi endpoint kết thúc phiên, License Access sẽ được trả lại nhóm. Kiểm tra phiên sẽ được thực hiện mỗi 15 phút. Nếu không thể xác định kết thúc, giấy phép sẽ bị loại bỏ khỏi nhóm trong vòng 24 giờ kể từ thời điểm điểm cuối được xác thực/ủy quyền và kết nối vào mạng.
License Entry
License Entry (được giới thiệu trong Policy Manager 6.8) bao gồm các tính năng được thiết kế cho các trường hợp sử dụng NAC cơ bản:- 802.1x
- Mac Authentication
- Web Based User Registration and Authentication (captive portal authentication)
- Multi-Factor Authentication (MFA)
- OnConnect
- System APIs
Khi một điểm cuối thiết lập một phiên mới, một giấy phép Entry sẽ được loại bỏ khỏi nhóm và khi điểm cuối kết thúc phiên, giấy phép Entry sẽ được trả lại nhóm. Kiểm tra phiên sẽ được thực hiện mỗi 15 phút. Nếu không thể xác định session đã kết thúc, license sẽ bị loại bỏ khỏi nhóm trong vòng 24 giờ kể từ thời điểm thiết bị đầu cuối được xác thực/ủy quyền và kết nối vào mạng.
Phương pháp xác định một phiên hoạt động phụ thuộc vào phương thức truy cập.
License Entry có thể được nâng cấp lên Access bằng cách sử dụng License Access Upgrade.
Với việc nâng cấp như vậy sẽ cung cấp thêm được các tính năng sau:
- TACACS+ for device administrator
- 360 Security Exchange
- Standard endpoint visibility
Số lượng License Access Upgrade phải tương ứng với số lượng license Entry để hệ thống có thể chuyển từ chế độ Entry sang chế độ Access.
Về cách thức tiêu thụ license:
- License Access và Entry được tiêu thụ dựa trên số lượng điểm cuối được xác thực/ủy quyền đồng thời. Khi endpoint ngắt kết nối khỏi mạng, giấy phép sẽ được trả về ban đầu. Hệ thống kiểm tra một session mỗi 15 phút.
- Với 2 License bổ sung cho các tính năng thêm vào tùy theo các trường hợp sử dụng dự định:
- License Onboard cung cấp việc cung cấp tự động và tạo chứng chỉ danh tính thiết bị duy nhất.
- License OnGuard cung cấp đánh giá tư thế điểm cuối qua kết nối không dây, có dây và VPN.
- Với cách thức sử dụng các license:
- License Onboard sử dụng dựa trên số lượng người dùng chứ không phải theo thiết bị.
- License OnGuard sử dụng dựa trên số lượng thiết bị mà nó được cài đặt trên đó.
3. License Onboard
License Onboard được sử dụng để kích hoạt việc cung cấp tự động và tạo chứng chỉ danh tính thiết bị duy nhất cho bất kỳ thiết bị nào như Windows, macOS, iOS, Android, ChromeOS và Linux. Việc tiêu thụ license Onboard bắt đầu từ ClearPass 6.7 được tính theo mô hình certificates hoạt động cho mỗi người dùng.License Onboard sử dụng dựa trên số lượng người dùng chứ không phải theo thiết bị.
Ví dụ: nếu một người dùng có 4 thiết bị và mỗi thiết bị có một chứng chỉ hoạt động, chỉ cần 1 license Onboard. Nếu sau một thời gian, 3 trong số 4 thiết bị bị loại bỏ và chứng chỉ liên quan bị thu hồi, chứng chỉ của thiết bị thứ tư vẫn còn hoạt động sẽ tiếp tục giữ license Onboard liên kết với người dùng.
Onboard có thể được cài đặt trên hệ thống đang chạy ở chế độ Entry hoặc Access. Nó không thể được cài đặt trực tiếp vào thiết bị mà không có License Entry hoặc Access.
4. License Onguard
ClearPass OnGuard sử dụng các tác nhân persistent (dài hạn) và dissolvable (hòa tan) để thực hiện đánh giá trạng thái điểm cuối thông qua các kết nối không dây, có dây và VPN. Các khả năng kiểm tra healthy của OnGuard đảm bảo tính tuân thủ và các biện pháp bảo vệ mạng trước khi các thiết bị kết nối.OnGuard chỉ có thể được cài đặt trên hệ thống đang chạy ở chế độ Access. Nó không thể được cài đặt trực tiếp vào thiết bị mà không có License Access.
Cảm ơn mọi người đã xem qua bài viết của mình. Nếu có gì thắc mắc thì cứ comment phía dưới ha.
Sửa lần cuối:
Bài viết liên quan
Được quan tâm
Bài viết mới
