Описание задачи:
Необходимо обеспечить контроль доступа устройств в корпоративную сеть с проверкой их соответствия политикам безопасности компании.
Подключаемые устройства можно разделить на следующие виды:
- Устройства, относящиеся к компании. ПК с ОС Windows, MAC Ubuntu, Gentoo, CentOS. Подключение осуществляется по проводной и беспроводной сети. Часть устройств (с ОС Windows и MAC Ubuntu) могут выноситься из офиса и подключатся по VPN. Все устройства должны иметь доступ к корпоративной сети и в зависимости от пользователя попадать в тот или иной VLAN (от этого зависят доступы в офисном файерволе, вайтлисты на оборудовании, и не только, внешний IP). Также к данной категории устройств относятся мобильные устройства iPad, iPhone, Android Phones, Kindle, которые будут подключаться к беспроводной сети. Особых требований по ним нет.
- Устройства, условно относящиеся к компании. Личные рабочие ноутбуки. Доступа к данному оборудованию компания не имеет. ОС устройств: Windows, MAC Ubuntu, Gentoo, CentOS. Подключение осуществляется по проводной сети. Подключение VPN — все устройства должны иметь доступ к корпоративной сети и в зависимости от пользователя попадать в тот или иной VLAN (от этого зависят доступы в офисном файерволе, вайтлисты на оборудовании, и не только, внешний IP).
- Устройства, не относящиеся к компании. Делятся на 3 группы:
3.1. Телефоны, планшеты. Подключение по Wi-Fi, подключение по VPN используют для доступа в интернет и доступа к корпоративным ресурсам через мобильные приложения (например, на встречах или из дому для просмотра задач, отчетов и т.д.)
3.2. Ноутбуки, телефоны и другие мобильные устройства, предназначенные для личных целей и принесенные в офис устройства. Необходим только беспроводной доступ в интернет.
3.3. ПК, ноутбуки, с которых производится подключение ПО VPN к офисной сети с целью удаленной работы. В планах давать доступ только на RDS сервер для удаленной работы, сейчас расцениваются как условно наши.
В первую очередь в рамках решения задачи рассматриваются устройства, относящиеся к третьему виду, которые подключаются по VPN к сети компании. Далее по приоритету устройства второго вида и затем первого.
Предлагаемые решения:
- Portnox
- Forescout CounterACT
Вариант № 1. Portnox
Программное решение Portnox даёт возможность повысить простоту управления сетевым доступом и обеспечить динамический мониторинг подключения пользователей к сети, что позволяет персонифицировать доступ в сеть и оперативно принимать меры для снижения рисков информационной безопасности. Portnox подключается напрямую к сетевому оборудованию, клиентам. Дополнительные агенты для решения не требуются.
Модели внедрения Portnox:
Задачи, которые решает Portnox:
- В режиме реального времени непрерывное наблюдение, обнаружение, классификация и управление доступом устройств, подключенных к корпоративной сети.
- Реализация соблюдения утвержденной политики доступа в сеть.
- Предотвращение несанкционированного доступа в корпоративную сеть.
- Управление полным жизненным циклом доступа для гостей компании.
- Регулярная проверка критичных параметров и настроек конечных точек.
- Обеспечение соблюдения политик безопасности с блокировкой и изоляцией устройств, которые не соответствуют корпоративным правилам.
Схемы работы Portnox:
Вариант № 2. Forescout CounterACT
ForeScout CounterACT — автоматизированная система обеспечения мониторинга безопасности, позволяющая идентифицировать и отслеживать устройства и программные приложения в момент их подключения в корпоративную сеть. ForeScout CounterACT не требует инсталляции агентов и поддерживает работу со всеми устройствами: управляемыми и неуправляемыми, известными и неизвестными, встроенными и виртуальными, персональными компьютерами и мобильными телефонам, планшетами. ForeScout CounterACT мгновенно определяет пользователя, владельца, операционную систему, конфигурацию устройства, программное обеспечение и его версию, службы и работоспособность приложений безопасности. Решение обеспечивает обнаружение, контроль и постоянный мониторинг этих устройств, их подключение и отключение от сети.
Решение Forescout CounterACT обеспечивает:
- Полную видимость всех устройств в сети (корпоративные ПК, установленные приложения, пользователи, принтеры, новые смартфоны и т.д.).
- Применение гибких политик для всех пользователей, устройств и приложений.
- Соединение всех систем безопасности ИТ с помощью двунаправленных связей.
Схема работы Forescout CounterACT:
Возможности Forescout CounterACT:
- Работа без агентов. Осуществление идентификации и контроля доступа к сети не требует установки агентов на конечных точках. Это позволяет CounterACT отслеживать устройства как управляемые, так и неуправляемые.
- Гибкая совместимость с различными сетевым оборудованием (коммутаторами, маршрутизаторами, VPN, файерволами), операционными системами (Windows, Linux, iOS, OS X и Android), антивирусными продуктами и системами управления исправлениями. При этом для интеграции Forescout CounterACT нет необходимости вносить изменения в существующую ИТ-инфраструктуру.
- Оркестрирование безопасности. Дополнительные модули продукта позволяют организовать обмен данными и соответствие требованиям стандартов и политикам безопасности между CounterACT и другими ведущими ИТ-решениями.
Сравнение Portnox и Forescout по данным Gartner
Общий рейтинг:
Оценка пользователей решений:
Распределение по отраслям и размеру компаний конечных пользователей решений:
Выводы по результатам предварительной оценки решений:
Согласно, результатов консультаций и удаленных презентаций от представителей производителей Portnox и Forescout CounterACT и предоставления им дополнительных характеристик корпоративной сети компании, решение задачи можно осуществить в полном объеме, включая устройства, относящиеся к третьему типу (BYOD-устройства), а также устройства любого типа, работающие под управлением ОС MAC. Трудность представляют устройства третьего типа, которые удаленно подключаются к корпоративной сети и работают под управлением ОС Linuх. Для них задача контроля доступа, указанными решениями, не закрывается.
Более детально оценить работу решений и их соответствие поставленной задаче можно после пилотного тестирования с помощью бесплатных полнофункциональных версий Portnox и Forescout (ограничение в работе распространяется только на срок действия триальной версии).
About The Author
Виктор Карабедянц
ИТ директор (CIO), руководитель нескольких DevOps команд. Профессиональный руководитель проектов по внедрению, поддержке ИТ систем и обслуживанию пользователей.