HuynhHuy2k
Moderator
Xin chào mọi người, bài viết này sẽ nói về tổng quan của một sản phẩm nhà HPE Aruba Networking - đó là Aruba Clearpass.
Aruba ClearPass đóng một vai trò rất quan trọng trong việc bảo mật và quản lý truy cập mạng của một tổ chức. Với khả năng kiểm soát và giám sát toàn diện các thiết bị kết nối vào mạng, ClearPass giúp bảo vệ hạ tầng mạng và đảm bảo chỉ những thiết bị, người dùng được ủy quyền mới có quyền truy cập. Dưới đây là một số vai trò chính của Aruba ClearPass đối với hệ thống mạng:
Quản lý truy cập mạng (NAC – Network Access Control)
ClearPass cung cấp một cơ chế kiểm soát truy cập mạng mạnh mẽ và linh hoạt. Nó cho phép quản lý việc kết nối của người dùng và thiết bị vào hệ thống mạng dựa trên các chính sách bảo mật và vai trò của người dùng. Việc chỉ cho phép những thiết bị và người dùng được xác thực kết nối giúp ngăn ngừa các nguy cơ từ các thiết bị không đáng tin cậy.
Bảo mật hệ thống mạng toàn diện
ClearPass bảo vệ hệ thống mạng khỏi các mối đe dọa và truy cập trái phép thông qua việc áp dụng các chính sách bảo mật nghiêm ngặt, bao gồm:
Một trong những nguyên tắc quan trọng của ClearPass là mô hình Zero Trust, tức là mạng không bao giờ được coi là tin cậy mặc dù người dùng hoặc thiết bị có thể đã được xác thực. Mọi kết nối đều cần phải được xác minh và kiểm tra liên tục trong suốt quá trình truy cập. Điều này giúp bảo vệ hệ thống khỏi các mối đe dọa và tấn công nội bộ.
Kiểm soát và phân quyền truy cập dựa trên Policy.
ClearPass cho phép thiết lập các chính sách truy cập mạng dựa trên vai trò và yêu cầu của tổ chức. Chẳng hạn, người dùng trong các phòng ban khác nhau có thể có quyền truy cập khác nhau vào các tài nguyên mạng. Điều này giúp đảm bảo tính bảo mật cao và tránh các truy cập không mong muốn vào dữ liệu nhạy cảm.
Quản lý và bảo vệ các thiết bị IOT và BYOD
Với sự gia tăng của các thiết bị IoT (Internet of Things) và BYOD (Bring Your Own Device), ClearPass giúp quản lý và bảo mật các thiết bị này khi kết nối vào mạng. Các thiết bị này thường không được bảo vệ tốt như thiết bị công ty, và ClearPass cung cấp các chính sách để bảo vệ mạng khỏi những rủi ro này.
Tích hợp với các hệ thống bảo mật khác
ClearPass có khả năng tích hợp với các giải pháp bảo mật khác như tường lửa, EMM/MDM (Enterprise Mobility Management/Mobile Device Management) và các phần mềm bảo mật của bên thứ ba, giúp tạo ra một hệ thống bảo mật mạng đồng bộ và toàn diện
Ở mức độ tổng quát, ClearPass Policy Manager cung cấp các tùy chọn thiết bị và giấy phép sau, với chi tiết sâu hơn được trình bày trong tài liệu này:
Khi điểm cuối kết thúc phiên, License Access sẽ được trả lại nhóm. Kiểm tra phiên sẽ được thực hiện mỗi 15 phút. Nếu không thể xác định kết thúc, giấy phép sẽ bị loại bỏ khỏi nhóm trong vòng 24 giờ kể từ thời điểm điểm cuối được xác thực/ủy quyền và kết nối vào mạng.
Khi một điểm cuối thiết lập một phiên mới, một giấy phép Entry sẽ được loại bỏ khỏi nhóm và khi điểm cuối kết thúc phiên, giấy phép Entry sẽ được trả lại nhóm. Kiểm tra phiên sẽ được thực hiện mỗi 15 phút. Nếu không thể xác định session đã kết thúc, license sẽ bị loại bỏ khỏi nhóm trong vòng 24 giờ kể từ thời điểm thiết bị đầu cuối được xác thực/ủy quyền và kết nối vào mạng.
Phương pháp xác định một phiên hoạt động phụ thuộc vào phương thức truy cập. License Entry có thể được nâng cấp lên Access bằng cách sử dụng License Access Upgrade. Với việc nâng cấp như vậy sẽ cung cấp them được các tính năng sau:
Số lượng License Access Upgrade phải tương ứng với số lượng license Entry để hệ thống có thể chuyển từ chế độ Entry sang chế độ Access. Với license ứng dụng bổ sung Onboard có thể được thêm vào hệ thống đang chạy ở chế độ Entry hoặc Access, nhưng OnGuard chỉ có thể được cài đặt trên hệ thống đang chạy ở chế độ Access.
Ví dụ: nếu một người dùng có 4 thiết bị và mỗi thiết bị có một chứng chỉ hoạt động, chỉ cần 1 license Onboard. Nếu sau một thời gian, 3 trong số 4 thiết bị bị loại bỏ và chứng chỉ liên quan bị thu hồi, chứng chỉ của thiết bị thứ tư vẫn còn hoạt động sẽ tiếp tục giữ license Onboard liên kết với người dùng.
Onboard có thể được cài đặt trên hệ thống đang chạy ở chế độ Entry hoặc Access. Nó không thể được cài đặt trực tiếp vào thiết bị mà không có License Entry hoặc Access.
OnGuard chỉ có thể được cài đặt trên hệ thống đang chạy ở chế độ Access. Nó không thể được cài đặt trực tiếp vào thiết bị mà không có License Access.
Cảm ơn mọi người đã xem qua bài viết của mình. Nếu có gì thắc mắc thì cứ comment phía dưới ha.
I. Aruba Clearpass là gì?
Aruba Clearpass là một sản phẩm được phát triển bởi HPE Aruba Networks – là một giải pháp quản lý chính sách và kiểm soát truy cập mạng (NAC). Clearpass giúp các doanh nghiệp có thể xác định, kiểm soát và bảo vệ mọi thiết bị kết nối vào mạng, từ các thiết bị IOT, thiết bị BYOD cho đến các thiết bị doanh nghiệp.
II. Vai trò của Aruba Clearpass đối với hệ thống mạng?
Aruba ClearPass đóng một vai trò rất quan trọng trong việc bảo mật và quản lý truy cập mạng của một tổ chức. Với khả năng kiểm soát và giám sát toàn diện các thiết bị kết nối vào mạng, ClearPass giúp bảo vệ hạ tầng mạng và đảm bảo chỉ những thiết bị, người dùng được ủy quyền mới có quyền truy cập. Dưới đây là một số vai trò chính của Aruba ClearPass đối với hệ thống mạng:
Quản lý truy cập mạng (NAC – Network Access Control)
ClearPass cung cấp một cơ chế kiểm soát truy cập mạng mạnh mẽ và linh hoạt. Nó cho phép quản lý việc kết nối của người dùng và thiết bị vào hệ thống mạng dựa trên các chính sách bảo mật và vai trò của người dùng. Việc chỉ cho phép những thiết bị và người dùng được xác thực kết nối giúp ngăn ngừa các nguy cơ từ các thiết bị không đáng tin cậy.
Bảo mật hệ thống mạng toàn diện
ClearPass bảo vệ hệ thống mạng khỏi các mối đe dọa và truy cập trái phép thông qua việc áp dụng các chính sách bảo mật nghiêm ngặt, bao gồm:
- Xác thực người dùng và thiết bị: Đảm bảo chỉ những thiết bị và người dùng hợp lệ mới có thể truy cập vào mạng.
- Đánh giá tư thế thiết bị: Trước khi cho phép kết nối vào mạng, ClearPass kiểm tra xem thiết bị có đáp ứng các yêu cầu bảo mật (như phần mềm bảo mật, bản vá hệ điều hành, v.v.) hay không.
Một trong những nguyên tắc quan trọng của ClearPass là mô hình Zero Trust, tức là mạng không bao giờ được coi là tin cậy mặc dù người dùng hoặc thiết bị có thể đã được xác thực. Mọi kết nối đều cần phải được xác minh và kiểm tra liên tục trong suốt quá trình truy cập. Điều này giúp bảo vệ hệ thống khỏi các mối đe dọa và tấn công nội bộ.
Kiểm soát và phân quyền truy cập dựa trên Policy.
ClearPass cho phép thiết lập các chính sách truy cập mạng dựa trên vai trò và yêu cầu của tổ chức. Chẳng hạn, người dùng trong các phòng ban khác nhau có thể có quyền truy cập khác nhau vào các tài nguyên mạng. Điều này giúp đảm bảo tính bảo mật cao và tránh các truy cập không mong muốn vào dữ liệu nhạy cảm.
Quản lý và bảo vệ các thiết bị IOT và BYOD
Với sự gia tăng của các thiết bị IoT (Internet of Things) và BYOD (Bring Your Own Device), ClearPass giúp quản lý và bảo mật các thiết bị này khi kết nối vào mạng. Các thiết bị này thường không được bảo vệ tốt như thiết bị công ty, và ClearPass cung cấp các chính sách để bảo vệ mạng khỏi những rủi ro này.
Tích hợp với các hệ thống bảo mật khác
ClearPass có khả năng tích hợp với các giải pháp bảo mật khác như tường lửa, EMM/MDM (Enterprise Mobility Management/Mobile Device Management) và các phần mềm bảo mật của bên thứ ba, giúp tạo ra một hệ thống bảo mật mạng đồng bộ và toàn diện
III. Tổng quan về Clearpass Policy Manager
ClearPass Policy Manager - một phần của Aruba 360 Secure Fabric, cung cấp kiểm soát truy cập mạng an toàn dựa trên vai trò và thiết bị cho IoT, BYOD, thiết bị công ty, cũng như cho nhân viên trên mọi cơ sở hạ tầng mạng có dây, không dây và VPN của nhiều nhà cung cấp khác nhau.
Ở mức độ tổng quát, ClearPass Policy Manager cung cấp các tùy chọn thiết bị và giấy phép sau, với chi tiết sâu hơn được trình bày trong tài liệu này:
- Thiết bị phần cứng và ảo cho các yêu cầu về khả năng sẵn sàng cao và hiệu suất.
- Với 2 license cơ bản cần thiết tùy theo các trường hợp sử dụng:
- Giấy phép Access (được giới thiệu trong Policy Manager 6.7) bao gồm các tính năng cho các trường hợp sử dụng NAC an toàn.
- Giấy phép Entry (được giới thiệu trong Policy Manager 6.8) bao gồm các tính năng cho các trường hợp sử dụng NAC cơ bản. Giấy phép Entry có thể được nâng cấp lên Access bằng giấy phép Access Upgrade đặc biệt nếu người dung có nhu cầu thay đổi.
- Với 2 License bổ sung cho các tính năng thêm vào tùy theo các trường hợp sử dụng dự định:
- License Onboard cung cấp việc cung cấp tự động và tạo chứng chỉ danh tính thiết bị duy nhất.
- License OnGuard cung cấp đánh giá tư thế điểm cuối qua kết nối không dây, có dây và VPN.
- Với cách thức sử dụng các license:
- License Access và Entry được tiêu thụ dựa trên số lượng điểm cuối được xác thực/ủy quyền đồng thời.
- License Onboard sử dụng dựa trên số lượng người dùng chứ không phải theo thiết bị.
- License OnGuard sử dụng dựa trên số lượng thiết bị mà nó được cài đặt trên đó.
1. License Access
License Access (được giới thiệu trong Policy Manager 6.7) bao gồm các tính năng được thiết kế cho các trường hợp sử dụng Secure NAC (Network Access Control an toàn):- 802.1X
- MAC Authentication
- Web Based User Registration and Authentication (captive portal authentication
- Multi-Factor Authentication (MFA)
- TACACS+ for device administration (EX: Router, Switch, Controller,…)
- OnConnect
- System APIs
- 360 Security Exchange
- Standard endpoint visibility
Khi điểm cuối kết thúc phiên, License Access sẽ được trả lại nhóm. Kiểm tra phiên sẽ được thực hiện mỗi 15 phút. Nếu không thể xác định kết thúc, giấy phép sẽ bị loại bỏ khỏi nhóm trong vòng 24 giờ kể từ thời điểm điểm cuối được xác thực/ủy quyền và kết nối vào mạng.
2. License Entry
License Entry (được giới thiệu trong Policy Manager 6.8) bao gồm các tính năng được thiết kế cho các trường hợp sử dụng NAC cơ bản:- 802.1x
- Mac Authentication
- Web Based User Registration and Authentication (captive portal authentication)
- Multi-Factor Authentication (MFA)
- OnConnect
- System APIs
Khi một điểm cuối thiết lập một phiên mới, một giấy phép Entry sẽ được loại bỏ khỏi nhóm và khi điểm cuối kết thúc phiên, giấy phép Entry sẽ được trả lại nhóm. Kiểm tra phiên sẽ được thực hiện mỗi 15 phút. Nếu không thể xác định session đã kết thúc, license sẽ bị loại bỏ khỏi nhóm trong vòng 24 giờ kể từ thời điểm thiết bị đầu cuối được xác thực/ủy quyền và kết nối vào mạng.
Phương pháp xác định một phiên hoạt động phụ thuộc vào phương thức truy cập. License Entry có thể được nâng cấp lên Access bằng cách sử dụng License Access Upgrade. Với việc nâng cấp như vậy sẽ cung cấp them được các tính năng sau:
- TACACS+ for device administrator
- 360 Security Exchange
- Standard endpoint visibility
Số lượng License Access Upgrade phải tương ứng với số lượng license Entry để hệ thống có thể chuyển từ chế độ Entry sang chế độ Access. Với license ứng dụng bổ sung Onboard có thể được thêm vào hệ thống đang chạy ở chế độ Entry hoặc Access, nhưng OnGuard chỉ có thể được cài đặt trên hệ thống đang chạy ở chế độ Access.
3. License Onboard
License Onboard được sử dụng để kích hoạt việc cung cấp tự động và tạo chứng chỉ danh tính thiết bị duy nhất cho bất kỳ thiết bị nào như Windows, macOS, iOS, Android, ChromeOS và Linux. Việc tiêu thụ license Onboard bắt đầu từ ClearPass 6.7 được tính theo mô hình certificates hoạt động cho mỗi người dùng.Ví dụ: nếu một người dùng có 4 thiết bị và mỗi thiết bị có một chứng chỉ hoạt động, chỉ cần 1 license Onboard. Nếu sau một thời gian, 3 trong số 4 thiết bị bị loại bỏ và chứng chỉ liên quan bị thu hồi, chứng chỉ của thiết bị thứ tư vẫn còn hoạt động sẽ tiếp tục giữ license Onboard liên kết với người dùng.
Onboard có thể được cài đặt trên hệ thống đang chạy ở chế độ Entry hoặc Access. Nó không thể được cài đặt trực tiếp vào thiết bị mà không có License Entry hoặc Access.
4. License Onguard
ClearPass OnGuard sử dụng các tác nhân persistent (dài hạn) và dissolvable (hòa tan) để thực hiện đánh giá trạng thái điểm cuối thông qua các kết nối không dây, có dây và VPN. Các khả năng kiểm tra healthy của OnGuard đảm bảo tính tuân thủ và các biện pháp bảo vệ mạng trước khi các thiết bị kết nối.OnGuard chỉ có thể được cài đặt trên hệ thống đang chạy ở chế độ Access. Nó không thể được cài đặt trực tiếp vào thiết bị mà không có License Access.
Cảm ơn mọi người đã xem qua bài viết của mình. Nếu có gì thắc mắc thì cứ comment phía dưới ha.
Sửa lần cuối:
Bài viết liên quan