Блог CEO, CIO Виктора Карабедянц Блог CEO, CIO Виктора Карабедянц
  • Обо мне
  • Навыки
  • Образование
  • Опыт
  • Проекты
  • Блог
  • CIO аутсорсинг
  • Контакты

Контроль доступа в сети

08 февраля 201813 февраля 2018 / By Виктор Карабедянц
  • Home
  • Контроль доступа в сети

Описание задачи:

Необходимо обеспечить контроль доступа устройств в корпоративную сеть с проверкой их соответствия политикам безопасности компании.

Подключаемые устройства можно разделить на следующие виды:

  1. Устройства, относящиеся к компании. ПК с ОС Windows, MAC Ubuntu, Gentoo, CentOS. Подключение осуществляется по проводной и беспроводной сети. Часть устройств (с ОС Windows и MAC Ubuntu) могут выноситься из офиса и подключатся по VPN. Все устройства должны иметь доступ к корпоративной сети и в зависимости от пользователя попадать в тот или иной VLAN (от этого зависят доступы в офисном файерволе, вайтлисты на оборудовании, и не только, внешний IP). Также к данной категории устройств относятся мобильные устройства iPad, iPhone, Android Phones, Kindle, которые будут подключаться к беспроводной сети. Особых требований по ним нет.
  2. Устройства, условно относящиеся к компании. Личные рабочие ноутбуки. Доступа к данному оборудованию компания не имеет. ОС устройств: Windows, MAC Ubuntu, Gentoo, CentOS. Подключение осуществляется по проводной сети. Подключение VPN —  все устройства должны иметь доступ к корпоративной сети и в зависимости от пользователя попадать в тот или иной VLAN (от этого зависят доступы в офисном файерволе, вайтлисты на оборудовании, и не только, внешний IP).
  3. Устройства, не относящиеся к компании. Делятся на 3 группы:

3.1.  Телефоны, планшеты. Подключение по Wi-Fi, подключение по VPN используют для доступа в интернет и доступа к корпоративным ресурсам через мобильные приложения (например, на встречах или из дому для просмотра задач, отчетов и т.д.)

3.2. Ноутбуки, телефоны и другие мобильные устройства, предназначенные для личных целей и принесенные в офис устройства. Необходим только беспроводной доступ в интернет.

3.3. ПК, ноутбуки, с которых производится подключение ПО VPN к офисной сети с целью удаленной работы. В планах давать доступ только на RDS сервер для удаленной работы, сейчас расцениваются как условно наши.

В первую очередь в рамках решения задачи рассматриваются устройства, относящиеся к третьему виду, которые подключаются по VPN к сети компании. Далее по приоритету устройства второго вида и затем первого.

Предлагаемые решения:

  • Portnox
  • Forescout CounterACT

Вариант № 1. Portnox

Программное решение Portnox даёт возможность повысить простоту управления сетевым доступом и обеспечить динамический мониторинг подключения пользователей к сети, что позволяет персонифицировать доступ в сеть и оперативно принимать меры для снижения рисков информационной безопасности. Portnox подключается напрямую к сетевому оборудованию, клиентам. Дополнительные агенты для решения не требуются.

Модели внедрения Portnox:методы защиты сети

Задачи, которые решает Portnox:

  • В режиме реального времени непрерывное наблюдение, обнаружение, классификация и управление доступом устройств, подключенных к корпоративной сети.
  • Реализация соблюдения утвержденной политики доступа в сеть.
  • Предотвращение несанкционированного доступа в корпоративную сеть.
  • Управление полным жизненным циклом доступа для гостей компании.
  • Регулярная проверка критичных параметров и настроек конечных точек.
  • Обеспечение соблюдения политик безопасности с блокировкой и изоляцией устройств, которые не соответствуют корпоративным правилам.

Схемы работы Portnox:схема работы защиты корпоративной сети

Вариант № 2. Forescout CounterACT

ForeScout CounterACT — автоматизированная система обеспечения мониторинга безопасности, позволяющая идентифицировать и отслеживать устройства и программные приложения в момент их подключения в корпоративную сеть. ForeScout CounterACT не требует инсталляции агентов и поддерживает работу со всеми устройствами: управляемыми и неуправляемыми, известными и неизвестными, встроенными и виртуальными, персональными компьютерами и мобильными телефонам, планшетами. ForeScout CounterACT мгновенно определяет пользователя, владельца, операционную систему, конфигурацию устройства, программное обеспечение и его версию, службы и работоспособность приложений безопасности. Решение обеспечивает обнаружение, контроль и постоянный мониторинг этих устройств, их подключение и отключение от сети.

Решение Forescout CounterACT обеспечивает:

  • Полную видимость всех устройств в сети (корпоративные ПК, установленные приложения, пользователи, принтеры, новые смартфоны и т.д.).
  • Применение гибких политик для всех пользователей, устройств и приложений.
  • Соединение всех систем безопасности ИТ с помощью двунаправленных связей.

Схема работы Forescout CounterACT:контроль доступа

Возможности Forescout CounterACT:

  • Работа без агентов. Осуществление идентификации и контроля доступа к сети не требует установки агентов на конечных точках. Это позволяет CounterACT отслеживать устройства как управляемые, так и неуправляемые.
  • Гибкая совместимость с различными сетевым оборудованием (коммутаторами, маршрутизаторами, VPN, файерволами), операционными системами (Windows, Linux, iOS, OS X и Android), антивирусными продуктами и системами управления исправлениями. При этом для интеграции Forescout CounterACT нет необходимости вносить изменения в существующую ИТ-инфраструктуру.
  • Оркестрирование безопасности. Дополнительные модули продукта позволяют организовать обмен данными и соответствие требованиям стандартов и политикам безопасности между CounterACT и другими ведущими ИТ-решениями.

Сравнение Portnox и Forescout по данным Gartner

Общий рейтинг:

 Оценка пользователей решений: 

Распределение по отраслям и размеру компаний конечных пользователей решений:

Выводы по результатам предварительной оценки решений:

Согласно, результатов консультаций и удаленных презентаций от представителей производителей Portnox и Forescout CounterACT и предоставления им дополнительных характеристик корпоративной сети компании, решение задачи можно осуществить в полном объеме, включая устройства, относящиеся к третьему типу (BYOD-устройства), а также устройства любого типа, работающие под управлением ОС MAC. Трудность представляют устройства третьего типа, которые удаленно подключаются к корпоративной сети и работают под управлением ОС Linuх. Для них задача контроля доступа, указанными решениями, не закрывается.

Более детально оценить работу решений и их соответствие поставленной задаче можно после пилотного тестирования с помощью бесплатных полнофункциональных версий Portnox и Forescout (ограничение в работе распространяется только на срок действия триальной версии).

Tags
Безопасность
About The Author

Виктор Карабедянц

ИТ директор (CIO), руководитель нескольких DevOps команд. Профессиональный руководитель проектов по внедрению, поддержке ИТ систем и обслуживанию пользователей.

Leave a Comment

Cancel Reply

*Please complete all fields correctly

В блоге представлены не только мои материалы, я делаю композицию из разных материалов, а так же размещаю переводы интересных тем.

Категории
  • DevOps
  • Без рубрики
  • ИТ поддержка
  • Руководитель ИТ
Популярные статьи
  • 10 причин, по которым компании привлекают своих ИТ-директоров на аутсорсингВторник - 29 июня, 2021
  • Какие нужны знания, чтобы работать DevOps-инженером: основные навыкиЧетверг - 17 июня, 2021
  • Тренд на SASE: что это и зачем нужноСреда - 12 мая, 2021
  • Ключевые вызовы для ИТ-директоров при разработке корпоративного ПО в 2021…Среда - 21 апреля, 2021
  • 5 важных тезисов для CIO по работе с ИИСреда - 14 апреля, 2021
Tags
CIO DevOps service desk Безопасность ИТ директор ИТ менеджер Удаленный ИТ директор контейнеры
Комментарии
  • Поиск доступности в облаке Воскресенье - февраля 05, 2023 08:17 пп
  • Поиск доступности в облаке Воскресенье - февраля 05, 2023 06:50 пп
  • Поиск доступности в облаке Воскресенье - февраля 05, 2023 05:44 пп
  • Поиск доступности в облаке Воскресенье - февраля 05, 2023 04:58 пп
  • Поиск доступности в облаке Воскресенье - февраля 05, 2023 01:18 пп
© 2017 - 2019 Виктор Карабедянц
Posting....