hiep03
Intern
Tìm hiểu sâu về tính năng Onboard
I. Mở đầu
Trong môi trường doanh nghiệp, mô hình BYOD - Bring Your Own Device (mang thiết bị cá nhân đi làm) ngày càng phổ biến. Tuy nhiên, việc cấu hình thủ công Wi-Fi, VPN, 802.1X và chứng chỉ cho từng thiết bị sẽ làm tăng tải cho IT và khó kiểm soát bảo mật.ClearPass Onboard giúp người dùng tự đăng ký thiết bị qua portal, tự động cấu hình mạng và cấp chứng chỉ riêng cho từng thiết bị, từ đó giúp thiết bị cá nhân kết nối vào mạng doanh nghiệp an toàn hơn.
II. ClearPass Onboard
ClearPass Onboard là một ứng dụng thuộc HPE Aruba Networking ClearPass Policy Manager, dùng để tự động cấu hình và cấp phát quyền truy cập mạng an toàn cho thiết bị cá nhân trong mô hình BYOD.Nói đơn giản, thay vì IT phải cấu hình Wi-Fi, VPN, chứng chỉ hoặc thông tin xác thực thủ công cho từng laptop, điện thoại hay máy tính bảng, ClearPass Onboard cho phép người dùng tự đăng ký thiết bị thông qua một portal. Sau đó hệ thống sẽ tự động nhận diện hệ điều hành, hướng dẫn người dùng các bước cần thiết và cấp cấu hình phù hợp để thiết bị có thể truy cập mạng doanh nghiệp một cách an toàn.
ClearPass Onboard hỗ trợ nhiều hệ điều hành phổ biến như Windows, macOS, iOS, Android, Chromebook và Ubuntu. Đây là điểm rất quan trọng trong môi trường doanh nghiệp hiện nay, nơi người dùng có thể mang nhiều loại thiết bị cá nhân khác nhau vào mạng nội bộ.
View attachment 16394
III. Vì sao doanh nghiệp cần ClearPass Onboard?
Trong mô hình BYOD, nếu cấu hình thiết bị cá nhân thủ công, IT sẽ tốn nhiều thời gian hỗ trợ Wi-Fi, 802.1X, VPN và chứng chỉ. Việc này làm tăng tải cho help desk và có thể phát sinh rủi ro bảo mật.ClearPass Onboard giúp người dùng tự đăng ký thiết bị qua portal, tự động cấu hình mạng và cấp chứng chỉ riêng cho từng thiết bị. IT vẫn kiểm soát được ai được đăng ký, loại thiết bị nào được phép dùng, số lượng thiết bị mỗi người và thời hạn chứng chỉ.
IV. Các tính năng chính của ClearPass Onboard
1. Self-service device onboarding (tự đăng ký thiết bị)
ClearPass Onboard cho phép người dùng tự đăng ký và cấu hình thiết bị cá nhân thông qua Onboard portal (cổng đăng ký thiết bị). Người dùng có thể tự đưa nhiều thiết bị vào mạng mà không cần IT phải cấu hình thủ công từng máy.Tính năng này phù hợp với môi trường BYOD - Bring Your Own Device (mang thiết bị cá nhân đi làm), nơi nhân viên, đối tác hoặc nhà thầu sử dụng laptop, điện thoại, tablet cá nhân để truy cập mạng doanh nghiệp.
Theo tài liệu HPE, ClearPass Onboard hỗ trợ người dùng tự đăng ký (self-register) và đưa nhiều thiết bị vào mạng một cách an toàn (securely onboard multiple devices)
2. Automated policy management (quản lý chính sách tự động)
ClearPass Onboard có thể thu thập context (ngữ cảnh) trong quá trình thiết bị được onboard, sau đó dùng thông tin này để áp dụng network access policy (chính sách truy cập mạng).Ví dụ, hệ thống có thể dựa trên device type (loại thiết bị), device ownership (quyền sở hữu thiết bị), user role (vai trò người dùng) hoặc security posture (trạng thái bảo mật) để quyết định thiết bị được truy cập đầy đủ hay chỉ truy cập giới hạn.
Tài liệu HPE nêu rõ IT có thể dùng context thu thập trong quá trình onboarding để thực thi chính sách truy cập dựa trên loại thiết bị và quyền sở hữu thiết bị.
3. Flexible workflow options (tùy chọn quy trình linh hoạt)
ClearPass Onboard hỗ trợ nhiều kiểu quy trình đăng ký (workflow) khác nhau, gồm sponsor workflow (quy trình cần người bảo lãnh/phê duyệt) và non-sponsor workflow (quy trình không cần người bảo lãnh).Điều này giúp doanh nghiệp linh hoạt hơn khi triển khai cho nhiều nhóm người dùng. Ví dụ, nhân viên nội bộ có thể tự đăng ký thiết bị bằng tài khoản công ty, còn đối tác hoặc nhà thầu có thể cần người quản lý phê duyệt trước khi được cấp quyền truy cập.
Tài liệu HPE cũng cho biết quá trình onboarding có thể yêu cầu xác thực bằng Active Directory - AD (dịch vụ thư mục Active Directory) hoặc cloud identity credentials (thông tin định danh cloud).
4. Customized device provisioning (cấp cấu hình thiết bị tùy chỉnh)
ClearPass Onboard hỗ trợ device provisioning (cấp phát/cấu hình thiết bị) theo chính sách do quản trị viên định nghĩa. Thông qua administrator portal (cổng quản trị), IT có thể cấu hình các thành phần như:- Device certificates (chứng chỉ thiết bị)
- Trust details (thông tin tin cậy/chứng thực)
- Network access (quyền truy cập mạng)
- VPN settings (cấu hình VPN)
- Health checks (kiểm tra tình trạng thiết bị)
- Authentication protocols (giao thức xác thực)
5. Built-in Certificate Authority - CA (hệ thống cấp chứng chỉ tích hợp sẵn)
ClearPass Onboard có built-in Certificate Authority - CA (hệ thống cấp chứng chỉ tích hợp sẵn) dành cho BYOD. Nhờ đó, doanh nghiệp có thể cấp và quản lý certificate (chứng chỉ) cho thiết bị cá nhân mà không cần thay đổi hệ thống PKI - Public Key Infrastructure (hạ tầng khóa công khai) hoặc Active Directory - AD (Active Directory) nội bộ.Điểm này rất quan trọng vì thiết bị BYOD thường không nên dùng chung cơ chế chứng chỉ với thiết bị công ty. Built-in CA giúp tách riêng việc quản lý chứng chỉ cho thiết bị cá nhân, đồng thời đơn giản hóa triển khai.
View attachment 16392
6. Unique device certificate (chứng chỉ riêng cho từng thiết bị)
ClearPass Onboard cấp unique device certificate (chứng chỉ duy nhất cho từng thiết bị). Thay vì chỉ dựa vào username/password, mỗi thiết bị có một chứng chỉ riêng để xác thực vào mạng.Việc này giúp tăng bảo mật vì doanh nghiệp có thể định danh từng thiết bị cụ thể. Tài liệu HPE cũng nêu rằng chứng chỉ riêng cho thiết bị giúp người dùng không phải nhập lại thông tin đăng nhập nhiều lần trong ngày.
Ví dụ, nếu một nhân viên đăng ký cả laptop và điện thoại cá nhân, mỗi thiết bị sẽ có chứng chỉ riêng. Nếu điện thoại bị mất, IT chỉ cần xử lý chứng chỉ của điện thoại đó, không ảnh hưởng đến laptop.
View attachment 16393
7. Certificate revocation (thu hồi chứng chỉ)
ClearPass Onboard hỗ trợ certificate revocation (thu hồi chứng chỉ) cho từng thiết bị cụ thể. Khi thiết bị bị mất, người dùng nghỉ việc hoặc thiết bị không còn được phép truy cập mạng, IT có thể nhanh chóng tìm kiếm, thu hồi hoặc xóa chứng chỉ của thiết bị đó.Theo tài liệu HPE, ClearPass Onboard có khả năng tìm kiếm và thao tác theo menu để hỗ trợ thu hồi, xóa chứng chỉ nhanh cho các thiết bị di động cụ thể.
Tính năng này giúp quản trị BYOD an toàn hơn, vì doanh nghiệp không cần đổi cấu hình chung cho toàn bộ hệ thống chỉ vì một thiết bị không còn hợp lệ.
8. Integration with MDM/EMM (tích hợp với hệ thống quản lý thiết bị di động)
ClearPass Onboard có thể tạo chứng chỉ theo yêu cầu từ các ứng dụng bên thứ ba như MDM - Mobile Device Management (quản lý thiết bị di động) hoặc EMM - Enterprise Mobility Management (quản lý di động doanh nghiệp).ClearPass Onboard hỗ trợ cấp chứng chỉ cho các ứng dụng MDM/EMM thông qua SCEP (Simple Certificate Enrollment Protocol) và EST - Enrollment over Secure Transport, RFC 7030 (giao thức đăng ký chứng chỉ bảo mật).
Điều này giúp ClearPass Onboard dễ tích hợp vào hệ sinh thái quản lý thiết bị hiện có của doanh nghiệp.
V. License của ClearPass Onboard
ClearPass Onboard được cấp phép theo theo số lượng người dùng. Khi triển khai, doanh nghiệp cần xác định số lượng unique users (người dùng duy nhất) sẽ được phép onboard thiết bị, sau đó chọn số lượng license phù hợp.Theo tài liệu HPE, ClearPass Onboard có thể mua theo:
- Perpetual license (license vĩnh viễn): Là kiểu mua một lần để có quyền sử dụng lâu dài. Tuy nhiên, phần support/update (hỗ trợ/cập nhật) thường không đi kèm lâu dài, muốn được hỗ trợ tiếp thì doanh nghiệp cần mua thêm support contract (hợp đồng hỗ trợ).
- Subscription license (license thuê bao): Là kiểu mua theo thời hạn sử dụng, ví dụ 1 year, 3 years hoặc 5 years (1 năm, 3 năm hoặc 5 năm). Trong thời gian thuê bao còn hiệu lực, doanh nghiệp được quyền sử dụng và thường đã bao gồm support (hỗ trợ) trong gói thuê bao.
Nguồn:
- HPE Aruba Networking ClearPass Onboard
- https://www.yumpu.com/en/document/read/11824489/clearpass-onboard-data-sheet-aruba-networks/1
Bài viết liên quan
Được quan tâm
Bài viết mới