Aruba ClearPass [Lý thuyết - 3] Tìm hiểu sâu về tính năng Onguard

hiep03

hiep03

Intern

Tìm hiểu sâu về tính năng Onguard

I. Mở đầu​

Trong các hệ thống mạng doanh nghiệp, việc xác thực người dùng chỉ trả lời được câu hỏi: “Người này có được phép truy cập không?”. Nhưng trong thực tế, một câu hỏi quan trọng không kém là: “Thiết bị của người này có đủ an toàn để vào mạng nội bộ không?”

Đó chính là lý do Aruba ClearPass có tính năng OnGuard.

II. OnGuard là gì?​

ClearPass OnGuard là một thành phần của Aruba ClearPass dùng để kiểm tra trạng thái bảo mật (Health Check) của thiết bị đầu cuối. Thiết bị đầu cuối ở đây có thể là laptop nhân viên, máy tính cá nhân, thiết bị BYOD hoặc máy tính của khách truy cập.
Thay vì chỉ hỏi “người dùng này là ai?”, OnGuard đặt thêm câu hỏi quan trọng hơn: Thiết bị này có đủ an toàn để truy cập mạng không?

Một thiết bị chỉ được xem là phù hợp khi đáp ứng các điều kiện bảo mật do doanh nghiệp đặt ra, ví dụ:
  • Có cài phần mềm diệt virus.
  • Phần mềm diệt virus đang chạy.
  • Firewall cá nhân được bật.
  • Ổ đĩa được mã hóa.
  • Hệ điều hành có bản vá cần thiết.
  • Không chạy ứng dụng hoặc tiến trình bị cấm.
  • Không có kết nối mạng nguy hiểm.
  • Không sử dụng phần mềm chia sẻ ngang hàng.
  • Đáp ứng chính sách bảo mật của tổ chức.
Nếu thiết bị không đạt yêu cầu, ClearPass có thể đưa thiết bị vào vùng cách ly, hiển thị thông báo hướng dẫn người dùng khắc phục, hoặc hạn chế quyền truy cập mạng.

III. Vì sao doanh nghiệp cần OnGuard?

Trong môi trường mạng truyền thống, firewall thường kiểm soát traffic ở biên mạng. Nhưng rủi ro lớn lại đến từ endpoint bên trong:
  • Laptop nhân viên nhiễm mã độc
  • USB lạ cắm vào máy
  • Máy chưa vá lỗi
  • Antivirus hết hạn
  • Firewall cá nhân bị tắt
Nếu các thiết bị này được đưa thẳng vào mạng nội bộ, chúng có thể trở thành điểm phát tán malware, ransomware hoặc công cụ lateral movement.
OnGuard giúp xử lý vấn đề này bằng cách kết hợp giữa:

Authentication + Posture Check + Enforcement​
Tức là:
Xác thực ai đang truy cập​
+​
Kiểm tra thiết bị có an toàn không​
+​
Áp chính sách truy cập phù hợp​


1779076559747.png


IV. Các tính năng chính​

Theo tài liệu Aruba, OnGuard cung cấp nhiều tính năng quan trọng cho việc kiểm soát và tuân thủ endpoint, bao gồm NAC, NAP, kiểm tra antivirus, antispyware, firewall, khả năng tự động khắc phục, cách ly thiết bị, gửi thông báo tới người dùng và theo dõi trạng thái thiết bị tập trung trên ClearPass Policy Manager.
1. Kiểm tra tuân thủ endpoint
OnGuard kiểm tra thiết bị có đáp ứng chính sách bảo mật của doanh nghiệp hay không, ví dụ như có antivirus, firewall, bản vá hệ điều hành hoặc mã hóa ổ đĩa. Thiết bị chỉ được cấp quyền truy cập phù hợp khi đạt yêu cầu.
2. Hỗ trợ nhiều hệ điều hành
OnGuard hỗ trợ kiểm tra trên nhiều hệ điều hành như Windows, Mac OS X và Linux. Tuy nhiên, mức độ hỗ trợ từng loại kiểm tra có thể khác nhau tùy hệ điều hành và loại agent.
Các hệ điều hành hỗ trợ:
1779078947384.png

3. Kiểm tra phần mềm bảo mật
OnGuard có thể kiểm tra các thành phần bảo mật như antivirus, antispyware và personal firewall. Ngoài kiểm tra có hay không, hệ thống còn có thể đánh giá sâu hơn như phiên bản sản phẩm, engine và dữ liệu cập nhật của antivirus.

1779077555059.png

Bảng các loại kiểm tra sức khỏe thiết bị endpoint mà ClearPass OnGuard hỗ trợ theo từng hệ điều hành.

4. Hỗ trợ Persistent Agent và Dissolvable Agent​

ClearPass OnGuard hỗ trợ hai loại agent chính là Persistent AgentDissolvable Agent. Mỗi loại phù hợp với một nhóm thiết bị và mục đích triển khai khác nhau.

Persistent Agent

Persistent Agent là agent được cài đặt lâu dài trên thiết bị. Loại này thường dùng cho các thiết bị do doanh nghiệp quản lý, ví dụ laptop công ty cấp cho nhân viên.
Persistent Agent có khả năng giám sát liên tục trạng thái bảo mật của thiết bị, không chỉ kiểm tra một lần lúc đăng nhập. Nếu trong quá trình sử dụng, thiết bị bị tắt antivirus, tắt firewall hoặc không còn đáp ứng chính sách bảo mật, ClearPass có thể phát hiện và thay đổi quyền truy cập của thiết bị.
Persistent Agent cũng hỗ trợ auto-remediation, tức là tự động khắc phục một số lỗi nếu chính sách cho phép. Ví dụ, hệ thống có thể hướng dẫn hoặc hỗ trợ người dùng bật lại firewall, cập nhật antivirus hoặc xử lý các lỗi không tuân thủ. Theo tài liệu, auto-remediation chỉ được hỗ trợ bởi Persistent Agent.
Loại agent này phù hợp với:
  • Thiết bị công ty cấp cho nhân viên.
  • Máy tính cần kiểm soát bảo mật chặt chẽ.
  • Môi trường yêu cầu giám sát liên tục.
  • Hệ thống cần tự động khắc phục lỗi bảo mật.
  • Thiết bị thường xuyên truy cập tài nguyên nội bộ quan trọng.

Dissolvable Agent

Dissolvable Agent là agent dạng tạm thời, thường chạy thông qua trình duyệt web hoặc captive portal. Loại này phù hợp với các thiết bị không muốn hoặc không được phép cài agent lâu dài, ví dụ thiết bị cá nhân của nhân viên hoặc thiết bị khách.
Dissolvable Agent thường thực hiện kiểm tra một lần tại thời điểm đăng nhập. Nếu thiết bị đạt yêu cầu, người dùng được cấp quyền truy cập phù hợp. Nếu không đạt, thiết bị có thể bị chuyển đến captive portal để người dùng tự khắc phục thủ công.
Điểm đặc biệt là sau khi người dùng đóng trang trình duyệt dùng trong quá trình xác thực, Dissolvable Agent sẽ được gỡ bỏ và không để lại dấu vết trên thiết bị.
Loại agent này phù hợp với:
  • Thiết bị BYOD.
  • Thiết bị khách.
  • Thiết bị cá nhân không thuộc quản lý của IT.
  • Môi trường captive portal.
  • Trường hợp chỉ cần kiểm tra nhanh tại thời điểm truy cập.
1779078660746.png

Bảng so sánh ngắn gọn

Các Agent được hỗ trợ theo hệ điều hành:
1779079039199.png


5. Auto-remediation và quarantine​

Khi thiết bị không đạt chuẩn, OnGuard có thể thông báo cho người dùng cách khắc phục. Với Persistent Agent, hệ thống có thể hỗ trợ tự động khắc phục một số lỗi. Thiết bị không an toàn cũng có thể bị đưa vào vùng cách ly để hạn chế truy cập.

6. Quản lý tập trung trên ClearPass Policy Manager​

Trạng thái thiết bị, kết quả kiểm tra và thông tin người dùng được quản lý tập trung trên ClearPass Policy Manager. Điều này giúp đội ngũ IT dễ dàng theo dõi, xử lý sự cố và kiểm soát quyền truy cập mạng.

7. Hỗ trợ 802.1X và non-802.1X​

OnGuard có thể hoạt động trong cả môi trường xác thực 802.1X và non-802.1X. Nhờ đó, doanh nghiệp có thể triển khai linh hoạt cho mạng nội bộ của nhân viên, mạng BYOD cho thiết bị cá nhân hoặc mạng khách dành cho khách/đối tác chỉ cần truy cập Internet và không được phép vào tài nguyên nội bộ.

V. Kết luận

ClearPass OnGuard giúp doanh nghiệp nâng cao khả năng kiểm soát truy cập mạng bằng cách kiểm tra trạng thái bảo mật của thiết bị trước khi cấp quyền truy cập. Thay vì chỉ xác thực người dùng, OnGuard bổ sung thêm lớp kiểm tra endpoint như antivirus, firewall, bản vá, mã hóa ổ đĩa và các yếu tố tuân thủ khác. Khi kết hợp với ClearPass Policy Manager, doanh nghiệp có thể tự động áp chính sách truy cập phù hợp, cách ly thiết bị không an toàn và hỗ trợ người dùng khắc phục lỗi trước khi truy cập mạng nội bộ.
 

Đính kèm

  • 1779079089997.png
    1779079089997.png
    48.7 KB · Lượt xem: 0
Sửa lần cuối:
Bài viết liên quan
[Lý thuyết - 2]Tìm hiểu các giao thức, framework liên quan trong HPE Aruba ClearPass Policy Manager bởi hiep03,
[Lý thuyết - 1] Tìm hiểu định nghĩa Aruba Clearpass bởi hiep03,
[LT_05] - Tìm hiểu tính năng ClearPass Guest bởi Nguyễn Tuấn Phát,
[LT_04] - Tìm hiểu tính năng ClearPass Onboard bởi Nguyễn Tuấn Phát,
[LT_03] - Tìm hiểu tính năng ClearPass OnGuard bởi Nguyễn Tuấn Phát,
[LT_02] - Tìm hiểu các giao thức 802.1X, RADIUS, VLANs bởi Nguyễn Tuấn Phát,
Được quan tâm
[Lý thuyết - 1] Tìm hiểu định nghĩa Aruba Clearpass bởi hiep03,
[Lý thuyết - 2]Tìm hiểu các giao thức, framework liên quan trong HPE Aruba ClearPass Policy Manager bởi hiep03,
Bài viết mới
[Lý thuyết - 2]Tìm hiểu các giao thức, framework liên quan trong HPE Aruba ClearPass Policy Manager bởi hiep03,
[Lý thuyết - 1] Tìm hiểu định nghĩa Aruba Clearpass bởi hiep03,
[LT_05] - Tìm hiểu tính năng ClearPass Guest bởi Nguyễn Tuấn Phát,
[LT_04] - Tìm hiểu tính năng ClearPass Onboard bởi Nguyễn Tuấn Phát,
[LT_03] - Tìm hiểu tính năng ClearPass OnGuard bởi Nguyễn Tuấn Phát,
[LT_02] - Tìm hiểu các giao thức 802.1X, RADIUS, VLANs bởi Nguyễn Tuấn Phát,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top