hiep03
Intern
Tìm hiểu định nghĩa Aruba Clearpass
I. Mở đầu
Trong bối cảnh làm việc hỗn hợp (Hybrid Work) và sự bùng nổ của thiết bị IoT, ranh giới mạng truyền thống đang dần biến mất. Doanh nghiệp giờ đây không chỉ đối mặt với các thiết bị do mình quản lý mà còn phải xử lý hàng ngàn thiết bị cá nhân (BYOD) và các thiết bị "không đầu" (headless IoT) như camera, cảm biến, máy in...Làm thế nào để đảm bảo an toàn khi mạng lưới trở nên quá phức tạp? Câu trả lời chính là HPE Aruba Networking ClearPass.
II. Tổng quan về Aruba ClearPass
1. Aruba ClearPass là gì?
Theo định nghĩa từ HPE, Aruba ClearPass Policy Manager (CPPM) hay Aruba ClearPass là một phần cốt lõi của kiến trúc bảo mật 360 Secure Fabric. Đây là giải pháp kiểm soát truy cập mạng (NAC - Network Access Control) dựa trên vai trò (role-based) và thiết bị (device-based), hoạt động dựa trên các giao thức tiêu chuẩn như RADIUS, TACACS+ và SNMP giúp doanh nghiệp thực thi các chính sách bảo mật đồng nhất trên mọi hạ tầng: từ mạng có dây, không dây đến VPN, bất kể thiết bị đó đến từ nhà sản xuất nào (Multivendor).
2. Vai trò trong hệ thống mạng hiện đại
Hệ thống NAC như ClearPass giải quyết các thách thức về bảo mật mạng thông qua:- Kiểm soát thiết bị IoT: Xác thực các thiết bị không có giao diện người dùng (máy in, camera, cảm biến) thông qua cơ chế MAC Authentication.
- Quản lý BYOD (Bring Your Own Device): Thiết lập ranh giới bảo mật cho các thiết bị cá nhân của nhân viên khi truy cập vào tài nguyên doanh nghiệp.
- Phân tách mạng khách (Guest Access): Tạo môi trường truy cập Internet riêng biệt cho khách hàng, ngăn chặn sự xâm nhập vào các phân vùng mạng nội bộ nhạy cảm.
3. Các tính năng kĩ thuật chính
- Thực thi dựa trên vai trò (Role-based Enforcement): Cấp quyền dựa trên thuộc tính định danh của đối tượng kết nối thay vì vị trí cổng vật lý hoặc SSID.
- Tích hợp nguồn dữ liệu định danh: Hỗ trợ kết nối đồng thời nhiều nguồn xác thực như Microsoft Active Directory, LDAP, SQL, và các máy chủ Token.
- Chứng chỉ số (Certificate Authority): Tích hợp sẵn CA để cấp phát và quản lý chứng chỉ bảo mật cho thiết bị.
- Hỗ trợ SSO (Single Sign-On): Tương thích với SAML 2.0, giúp tích hợp với các hệ thống quản lý định danh như Okta hoặc Ping Identity.
- Tuân thủ tiêu chuẩn: Đạt các chứng chỉ bảo mật quốc tế như FIPS 140-2 Level 1 và Common Criteria (CC).
4. Các module cốt lõi
- ClearPass Onboard: Phân hệ tự động hóa quá trình cấu hình cài đặt mạng và cấp phát chứng chỉ số cho các hệ điều hành Windows, macOS, iOS, Android và Ubuntu. Quá trình này được thực hiện thông qua một cổng thông tin tự phục vụ (self-service portal).
- ClearPass OnGuard: Thực hiện đánh giá trạng thái bảo mật (Posture Assessment) của thiết bị đầu cuối trước và trong khi kết nối. Hệ thống kiểm tra các điều kiện như: phiên bản hệ điều hành, trạng thái phần mềm diệt virus, các bản vá lỗi và tường lửa cá nhân.
- ClearPass Guest: Quản lý quy trình truy cập cho khách. Cung cấp khả năng tạo tài khoản tạm thời qua SMS, email và trang chào (Captive Portal) có khả năng tùy biến cao.
- ClearPass Device Insight: Sử dụng các thuật toán học máy (Machine Learning) và kiểm tra gói tin chuyên sâu (Deep Packet Inspection - DPI) để nhận dạng chính xác chủng loại, nhà sản xuất và hành vi của thiết bị đầu cuối.
- ClearPass OnConnect: Giải pháp bảo mật cho các cổng mạng có dây thông qua SNMP, dành cho các thiết bị IoT không hỗ trợ 802.1X.
5.Cơ chế xử lý chính sách dựa trên ngữ cảnh (Context-aware)
HPE Aruba Networking ClearPass sử dụng một policy engine cực mạnh dựa trên ngữ cảnh (Context-based Policy Engine) để đưa ra quyết định cho phép hay từ chối truy cập. Thay vì chỉ dựa vào username/password để quyết định cho phép hay từ chối, ClearPass sẽ xem xét toàn bộ ngữ cảnh của phiên truy cập trước khi đưa ra quyết định. Nhờ đó, chính sách trở nên cực kỳ linh hoạt và thông minh.Đánh giá qua 5 yếu tố chính:
- Who: Danh tính người dùng/thiết bị từ cơ sở dữ liệu xác thực (Nhân viên, Contractor, Guest, Role từ Active Directory hoặc Azure AD).
- What: Loại thiết bị, hệ điều hành và trạng thái bảo mật (profile/posture). (Laptop Windows, iPhone, Printer, IoT; Posture (có antivirus, đã update patch chưa?))
- Where: Vị trí truy cập vật lý hoặc logic. (SSID, Switch port, AP location, Site/Branch, VLAN, IP subnet)
- When: Thời gian truy cập trong ngày hoặc ngày trong tuần.
- How: Phương thức kết nối (802.1X (EAP-TLS/PEAP), MAC Authentication, Web Auth, VPN, OnConnect (SNMP)).
6. Các phương thức triển khai hệ thống
Sự linh hoạt trong triển khai là một trong những lý do khiến ClearPass phù hợp với mọi quy mô doanh nghiệp. Bạn có thể lựa chọn 3 phương thức chính:a. Thiết bị phần cứng chuyên dụng (Hardware Appliances)
Đây là lựa chọn tối ưu cho các doanh nghiệp cần hiệu năng xử lý cực cao và tính ổn định tuyệt đối.
- Dòng C1000/N1000: Phù hợp cho các văn phòng chi nhánh hoặc doanh nghiệp tầm trung.
- Dòng C2020/C3010/N3000: Sử dụng nền tảng máy chủ HPE ProLiant mạnh mẽ với chip Intel Xeon/AMD EPYC, được thiết kế cho các trung tâm dữ liệu hoặc doanh nghiệp lớn với khả năng RAID và dự phòng nguồn.
Phương thức này giúp tận dụng hạ tầng máy chủ sẵn có, dễ dàng mở rộng và sao lưu. ClearPass hỗ trợ hầu hết các nền tảng ảo hóa phổ biến:
- VMware vSphere (ESXi)
- Microsoft Hyper-V
- KVM trên Linux (Ubuntu/CentOS)
ClearPass cho phép doanh nghiệp hiện đại hóa hạ tầng bằng cách triển khai trực tiếp trên các nền tảng Public Cloud hàng đầu như Amazon Web Services (AWS EC2) và Microsoft Azure. Điều này giúp tối ưu chi phí vận hành và quản lý tập trung cho các mạng lưới phân tán toàn cầu.
7. Mô hình Cụm và Dự phòng (Clustering & High Availability)
Dù bạn chọn phần cứng hay máy ảo, ClearPass đều hỗ trợ thiết lập theo dạng Clustering. Nhiều node có thể kết hợp lại thành một cụm duy nhất để chia tải (Load Balancing) và dự phòng (Failover). Khi một node gặp sự cố, các node khác sẽ ngay lập tức tiếp quản, đảm bảo hệ thống bảo mật luôn hoạt động 24/7.8. Tích hợp bảo mật rộng lớn – HPE Aruba Networking 360 Security Exchange
Một trong những điểm mạnh lớn nhất của HPE Aruba Networking ClearPass là khả năng tích hợp sâu với các hệ thống bảo mật và quản trị khác. Tính năng này được HPE gọi là HPE Aruba Networking 360 Security Exchange.
ClearPass nằm ở trung tâm, kết nối với các hệ thống sau:
9. Policy Manager WebUI (CPPM WebUI)
Là giao diện web quản trị dùng để cấu hình, giám sát và vận hành ClearPass Policy Manager.
10. Các loại Licence - Aruba ClearPass
Hiểu rõ cơ chế License là chìa khóa để tối ưu hóa chi phí đầu tư hạ tầng bảo mật. Aruba ClearPass cung cấp một hệ thống bản quyền linh hoạt, dựa trên nhu cầu thực tế của doanh nghiệp thay vì gán cứng vào thiết bị.
a. Appliance licenses (Giấy phép thiết bị)
ClearPass cho phép doanh nghiệp linh hoạt lựa chọn nền tảng triển khai tùy theo hạ tầng hiện có, bao gồm cả thiết bị vật lý và máy ảo:
- Thiết bị phần cứng (Hardware Appliances): Cung cấp các mã sản phẩm chuyên dụng thế hệ mới như N3000 (S3N66A), N1000 (S3N67A), và N3001 (S3N65A).
- Máy ảo (Virtual Appliances): Bất kể bạn triển khai cấu hình mô phỏng đời máy nào (C1000V, C2000V hay C3000V) hoặc trên vị trí nào, hệ thống chỉ sử dụng một mã SKU duy nhất (JZ399AAE). Hệ thống hỗ trợ đa dạng môi trường ảo hóa như VMware ESXi, Microsoft Hyper-V, KVM, AWS và Microsoft Azure.
b. Các loại License ứng dụng cơ sở (Base Licenses)
Tất cả các môi trường triển khai đều yêu cầu phải có một giấy phép cơ bản. ClearPass cung cấp hai lựa chọn chính tùy theo mức độ sử dụng tính năng NAC:
- Giấy phép Entry (Entry Licenses): Đây là lựa chọn dành cho các nhu cầu NAC cơ bản. Gói này bao gồm các tính năng như xác thực 802.1X, MAC Authentication Bypass (MAB), xác thực qua cổng thông tin (portal authentication), OnConnect, và xác thực đa yếu tố (MFA). Giấy phép Entry không bao gồm tính năng nhận diện thiết bị (profiling) hay quản trị thiết bị TACACS+.
- Giấy phép Access (Access Licenses): Là phiên bản cao cấp và toàn diện hơn. Nó bao gồm toàn bộ tính năng của bản Entry và bổ sung thêm chức năng quản lý quản trị thiết bị (như router, switch, tường lửa) qua TACACS+, giám sát thiết bị (endpoint visibility), hỗ trợ các đối tác trong hệ sinh thái 360 Security Exchange, và cho phép cài đặt các tính năng đánh giá trạng thái mở rộng.
c. License ứng dụng bổ sung (Add-on Licenses)
Để mở rộng năng lực bảo mật, doanh nghiệp có thể mua thêm các gói bổ sung:
- ClearPass Onboard: Cấp phép dựa trên số lượng người dùng có certificate còn hiệu lực. Một người dùng có thể sở hữu nhiều thiết bị nhưng chỉ tiêu tốn 01 license Onboard.
- ClearPass OnGuard:ClearPass OnGuard: License được cấp dựa trên mỗi thiết bị đầu cuối (endpoint device) kết nối và thực hiện kiểm tra sức khỏe (posture assessment) trong vòng 24 giờ gần nhấtLưu ý: OnGuard chỉ hoạt động trên nền license Access.
11. Cơ chế tiêu hao và License Pool
Một điểm ưu việt của ClearPass là cơ chế License Pool. Tất cả license bạn mua (Access, Entry, Onboard, OnGuard) sẽ được gộp chung vào một Pool và chia sẻ cho toàn bộ các node trong cụm (cluster) để sử dụng linh hoạt.Tuy nhiên, cơ chế trừ license vào kho sẽ khác nhau tùy theo loại:
- Đối với License Access/Entry (Dựa trên phiên): License chỉ bị trừ khi thiết bị đang có phiên kết nối thực tế (concurrent session). Khi thiết bị ngắt kết nối (session kết thúc), license sẽ được hoàn trả lại kho ngay lập tức. Hệ thống sẽ kiểm tra lượng sử dụng định kỳ mỗi 15 phút.
- Đối với License Onboard (Dựa trên người dùng): License bị trừ khi một certificate được cấp cho người dùng. License chỉ được hoàn trả khi tất cả certificates của người dùng đó hết hạn hoặc bị thu hồi.
- Đối với License OnGuard (Dựa trên thiết bị trong 24h): License bị trừ khi thiết bị thực hiện kiểm tra sức khỏe. License này sẽ được giữ và chỉ hoàn trả lại kho sau đúng 24 giờ kể từ thời điểm kết nối.
Cảm ơn các bạn đã dành thời gian đọc
Nguồn:
Đính kèm
Sửa lần cuối:
Bài viết liên quan
Được quan tâm
Bài viết mới