Aruba ClearPass [LT_01] - Tổng quan về NAC, Aruba ClearPass

Xin chào mọi người, ở bài viết này mình sẽ trình bày tổng quan, vai trò của NAC và một sản phẩm liên quan đến giải pháp NAC là Aruba ClearPass.

Mục lục
I. Tổng quan về khái niệm, vai trò của NAC
II. Tìm hiểu về định nghĩa, lợi ích của Aruba ClearPass

I. Tổng quan về khái niệm, vai trò của NAC
1. Khái niệm
NAC hay Network Access Control là một giải pháp an nình mạng giúp kiểm soát truy cập, hạn chế người dùng và các thiết bị khi truy cập đến các tài nguyên dựa trên các nguyên tắc được thiết lập sẵn. NAC đóng vài trò như một ổ khóa để chặn những kẻ truy cập trái phép đến các tài nguyên của tổ chức.

Hiện nay, có 2 loại NAC được sử dụng phổ biến:

• Pre-admission – Hình thức kiểm soát truy cập mạng được thực hiện trước khi một thiết bị hoặc người dùng được phép kết nối vào hệ thống. Khi có yêu cầu truy cập, NAC sẽ kiểm tra danh tính và tình trạng bảo mật của thiết bị (ví dụ như đã cài đặt phần mềm diệt virus, cập nhật bản vá hay có chứng chỉ số hợp lệ). Nếu đáp ứng yêu cầu, thiết bị hoặc người dùng mới được cấp quyền kết nối. Cách tiếp cận này giúp ngăn chặn ngay từ đầu các thiết bị không hợp lệ hoặc không tuân thủ chính sách bảo mật xâm nhập vào mạng.
• Post-admission – Diễn ra sau khi thiết bị hoặc người dùng đã được xác thực và cấp quyền truy cập ban đầu. Trong quá trình sử dụng, khi họ muốn truy cập sang một khu vực hoặc tài nguyên khác trong mạng (chẳng hạn như cơ sở dữ liệu nội bộ hoặc hệ thống tài chính), NAC sẽ tiến hành xác minh lại danh tính hoặc trạng thái bảo mật. Cách tiếp cận này bảo đảm rằng, ngay cả khi thiết bị đã vào mạng, quyền hạn vẫn được giới hạn và liên tục giám sát nhằm ngăn chặn các hành vi bất thường hoặc lây lan mã độc trong nội bộ.

Các tính năng nổi bật của NAC:

• Visibility: Biết được ai và thiết bị nào đang có mặt trong mạng vào bất kỳ thời điểm nào.
• Authentication: Đảm bảo rằng thiết bị/người dùng đúng như họ khai báo.
• Policy Definition: Đặt ra quy tắc cho người dùng/thiết bị xác định họ có thể truy cập tài nguyên nào, bằng cách nào, trong điều kiện nào.
• Authorization: Quyết định thiết bị/người dùng đã xác thực sẽ được áp dụng rule nào.
• Enforcement: Cho phép, từ chối, hoặc thu hồi quyền truy cập của người dùng/thiết bị dựa trên chính sách.

2. Cách NAC bảo vệ hệ thống mạng
Bên cạnh các tính năng trên, NAC còn bảo vệ hệ thống mạng qua:

• Sử dụng các giao thức như EAP-TLS, EAP-MSCHAP khi triển khai 802.1X để đảm bảo dữ liệu truy cập vào mạng (wired và wireless) được mã hóa. Điều này giúp ngăn chặn các cuộc tấn công sniffing hoặc spoofing.
• Giảm thiểu rủi ro từ các cuộc tấn công Zero-Day.
• Kiểm soát dựa trên vai trò và ngữ cảnh: NAC xác định người dùng hay thiết bị nào được phép truy cập, mỗi loại đối tượng sẽ có các quyền hạn.
• Quản lý các thiết bị kết nối vào hệ thống thông qua tiêu chuẩn AAA (Authentication, Authorization và Accounting).
• Phát hiện và ngăn chặn các truy cập độc hại.
• NAC không chỉ hoạt động độc lập mà còn có thể tích hợp thêm các hệ thống bảo mật khác (Firewall, IDPS, SIEM,...) thông qua API, RESTful.

3. Ứng dụng của NAC trong thực tế
Bring your own device (BYOD)
Ngày nay, cùng với xu hướng làm việc từ xa, nhiều doanh nghiệp cho phép nhân viên sử dụng thiết bị cá nhân để thực hiện công việc. Cách làm này giúp tăng hiệu quả, giảm chi phí trang bị, đồng thời nhân viên cũng thoải mái và năng suất hơn khi dùng thiết bị quen thuộc. Tuy nhiên, để đảm bảo an toàn, NAC có thể mở rộng chính sách kiểm soát truy cập cho BYOD, yêu cầu cả người dùng và thiết bị đều phải được xác thực, ủy quyền trước khi được phép tham gia mạng doanh nghiệp.

Thiết bị Internet of Things (IoT)
Các thiết bị IoT như camera, cảm biến tòa nhà… mang lại sự tiện ích nhưng đồng thời cũng mở rộng bề mặt tấn công của hệ thống. Nhiều thiết bị IoT có thể hoạt động không được giám sát thường xuyên hoặc ở chế độ ngủ trong thời gian dài, dễ trở thành điểm yếu để khai thác. NAC giúp giảm thiểu rủi ro bằng cách áp dụng cơ chế nhận diện và thực thi chính sách truy cập khác nhau cho từng loại thiết bị IoT, từ đó cô lập và bảo vệ hệ thống tốt hơn.

Truy cập mạng cho người ngoài doanh nghiệp
Không chỉ nhân viên, nhiều tổ chức còn cần cấp quyền truy cập tạm thời cho đối tác, nhà thầu hoặc chuyên gia tư vấn. NAC cho phép quản lý truy cập này một cách linh hoạt, giúp họ có thể kết nối vào mạng mà không cần nhờ đến đội ngũ IT xử lý thủ công. Dĩ nhiên, quyền hạn và chính sách dành cho nhóm người dùng bên ngoài phải được thiết lập khác biệt và chặt chẽ hơn so với nhân viên nội bộ.

4. Các sản phẩm NAC phổ biến
Hiện nay, có rất nhiều lựa chọn các sản phẩm NAC phổ biến, uy tín, hiệu quả được cung cấp cho các doanh nghiệp, công ty, điển hình như:

• Cisco Identity Services Engine
• Aruba ClearPass Policy Manager
• FortiNAC
• Ivanti NAC
• ...

II. Tìm hiểu về định nghĩa, lợi ích của Aruba ClearPass
Sau khi nắm được các kiến thức cơ bản về NAC, sau đây chúng ta sẽ tìm hiểu về một trong những sản phẩm NAC - Aruba ClearPass.

1. Tổng quan
Aruba ClearPass là một sản phẩm bảo mật được phát triển bởi HPE Aruba Networks. Sản phẩm này được biết đến như là một giải pháp quản lý chính sách và kiểm soát truy cập trong hệ thống mạng (NAC) nhằm giúp các doạnh nghiệp phát triển/triển khai các giải pháp BYOD, IOT, NAC cho hệ thống mạng một cách đơn giản và hiệu quả nhất.

• ClearPass có thể được triển khai dưới dạng hardware hoặc dưới dạng software (Virtual).

2. Lợi ích, vai trò của ClearPass trong việc bảo vệ hệ thống mạng
Trong hệ thống mạng, ClearPass đóng một vai trò quan trọng trong việc giám sát và kiểm soát truy cập đối với các thiết bị kết nối vào hệ thống, giúp bảo vệ hạ tầng mạng, chỉ cấp quyền truy cập đến cho những người dùng được ủy quyền. Dưới đây sẽ là một vài vai trò chính của Aruba ClearPass:

• Authentication và Authorization: ClearPass xác thực người dùng và thiết bị trước khi cho phép truy cập vào mạng. Với việc hỗ trợ nhiều giao thức/phương thức xác thực khác nhau như RADIUS, 802.1X, MAC Address Authentication và Certificate-Based Authentication. Sau khi xác thực hợp lệ, ClearPass sẽ ủy quyền cho người dùng và thiết bị truy cập vào các tài nguyên mạng phù hợp.
• Kiểm soát/giảm sát người dùng, thiết bị: ClearPass bảo vệ hệ thống khỏi các mối đe dọa và truy cập trái phép thông qua các chính sách:
  • Dựa trên vai trò: ClearPass cho phép tạo các vai trò người dùng với các quyền truy cập mạng cụ thể.
  • Quản lý các thiết bị kết nối vào mạng, bao gồm thiết bị di động, máy tính xách tay và thiết bị IoT.
• Giám sát và báo cáo: Giải pháp này cung cấp khả năng theo dõi toàn diện mọi hoạt động truy cập mạng, từ người dùng cho đến thiết bị kết nối. ClearPass có thể tạo ra các báo cáo chi tiết về lịch sử và trạng thái truy cập, giúp quản trị viên dễ dàng phân tích hành vi, phát hiện các mối đe dọa tiềm ẩn và kịp thời đưa ra biện pháp xử lý. Nhờ đó, hệ thống không chỉ duy trì mức độ bảo mật cao mà còn hỗ trợ doanh nghiệp cải thiện chính sách an ninh mạng một cách liên tục và hiệu quả.
• Hỗ trợ giải pháp BYOD: Quản lý an toàn các thiết bị cá nhân BYOD khi kết nối vào mạng doanh nghiệp.
• Tích hợp với các hệ thống bảo mật khác: ClearPass tích hợp với các hệ thống bảo mật khác, chẳng hạn như Firewall, IDS/IPS, SIEM,... Điều này cho phép chia sẻ thông tin mối đe dọa và nâng cao tính bảo mật cho hệ thống.

Ngoài ra, ClearPass còn cung cấp thêm các module khác:

• ClearPass Onboard: tự động cấu hình và cấp chứng chỉ cho thiết bị.
• ClearPass OnGuard: kiểm tra tình trạng bảo mật trước khi truy cập.
• ClearPass OnConnect: kiểm soát truy cập mà không cần AAA như 802.1X hay MAC Authentication.
• ClearPass Quest: quản lý truy cập cho khách.

3. ClearPass Policy Manager (CPPM)
ClearPass Policy Manager hay CPPM là một giao diện quản lý các policy được thực thi của aruba clearpass, cung cấp kiểm soát truy cập mạng an toàn dựa trên vai trò và thiết bị cho IoT, BYOD, thiết bị công ty, cũng như cho nhân viên trên mọi cơ sở hạ tầng mạng có dây, không dây và VPN của nhiều nhà cung cấp khác nhau.



4. Các loại Licence - Aruba ClearPass
Có 3 loại Licence chính dành cho Aruba ClearPass:

• Platform Licences:
  
  • Hardware - Các loại phần cứng và performance tương ứng:

• Base Application Licences: Có 2 loại là Entry và Access

• Add-on Application Licences: cung cấp 2 licence bổ sung thêm các tính năng tương ứng dành cho một số mục đích nhất định.
  • Onboard Licence: cho phép tự động cấu hình và tạo ra chứng chỉ định danh duy nhất cho từng thiết bị. Thông qua cổng tự phục vụ, người dùng có thể dễ dàng đăng ký thiết bị của mình, từ đó kết nối an toàn vào mạng doanh nghiệp. Tính năng này đặc biệt hữu ích trong mô hình BYOD, giúp doanh nghiệp vừa hỗ trợ nhân viên sử dụng thiết bị cá nhân, vừa đảm bảo an toàn bảo mật nhờ chứng chỉ số do ClearPass CA cấp phát.
    • Yêu cầu Access hoặc Entry Licence.
  • OnGuard Licence: cung cấp khả năng đánh giá tình trạng bảo mật của thiết bị đầu cuối thông qua cả mạng không dây, có dây và VPN. Sử dụng các agent dạng cài đặt lâu dài hoặc tạm thời để kiểm tra tình trạng hệ thống như: cập nhật antivirus, tường lửa, ứng dụng P2P… Từ đó, hệ thống có thể quyết định cho phép truy cập, hoặc đưa thiết bị vào VLAN cách ly để xử lý trước khi cấp quyền truy cập đầy đủ.
    • Yêu cầu Access Licence.

Mình cảm ơn mọi người đã theo dõi bài viết của mình, nếu mọi người có thắc mắc gì liên quan đến bài viết này thì có thể để lại comment ở phía dưới.


Các tài liệu tham khảo liên quan:
https://vietnix.vn/network-access-control-la-gi/?gad_campaignid=21448222547
https://www.hpe.com/emea_europe/en/what-is/network-access-control.html
https://www.fortinet.com/resources/cyberglossary/what-is-network-access-control
https://www.hpe.com/asia_pac/en/aruba-clearpass-policy-manager.html
https://vnexperts.vn/vai-tro-cua-aruba-clearpass.html
https://arubanetworking.hpe.com/techdocs/ClearPass/6.12/Guest/Content/Overview/Licenses.htm