Описание задачи:

Необходимо обеспечить контроль доступа устройств в корпоративную сеть с проверкой их соответствия политикам безопасности компании.

Подключаемые устройства можно разделить на следующие виды:

1. Устройства, относящиеся к компании. ПК с ОС Windows, MAC Ubuntu, Gentoo, CentOS. Подключение осуществляется по проводной и беспроводной сети. Часть устройств (с ОС Windows и MAC Ubuntu) могут выноситься из офиса и подключатся по VPN. Все устройства должны иметь доступ к корпоративной сети и в зависимости от пользователя попадать в тот или иной VLAN (от этого зависят доступы в офисном файерволе, вайтлисты на оборудовании, и не только, внешний IP). Также к данной категории устройств относятся мобильные устройства iPad, iPhone, Android Phones, Kindle, которые будут подключаться к беспроводной сети. Особых требований по ним нет.
2. Устройства, условно относящиеся к компании. Личные рабочие ноутбуки. Доступа к данному оборудованию компания не имеет. ОС устройств: Windows, MAC Ubuntu, Gentoo, CentOS. Подключение осуществляется по проводной сети. Подключение VPN —  все устройства должны иметь доступ к корпоративной сети и в зависимости от пользователя попадать в тот или иной VLAN (от этого зависят доступы в офисном файерволе, вайтлисты на оборудовании, и не только, внешний IP).
3. Устройства, не относящиеся к компании. Делятся на 3 группы:

3.1.  Телефоны, планшеты. Подключение по Wi-Fi, подключение по VPN используют для доступа в интернет и доступа к корпоративным ресурсам через мобильные приложения (например, на встречах или из дому для просмотра задач, отчетов и т.д.)

3.2. Ноутбуки, телефоны и другие мобильные устройства, предназначенные для личных целей и принесенные в офис устройства. Необходим только беспроводной доступ в интернет.

3.3. ПК, ноутбуки, с которых производится подключение ПО VPN к офисной сети с целью удаленной работы. В планах давать доступ только на RDS сервер для удаленной работы, сейчас расцениваются как условно наши.

В первую очередь в рамках решения задачи рассматриваются устройства, относящиеся к третьему виду, которые подключаются по VPN к сети компании. Далее по приоритету устройства второго вида и затем первого.

Предлагаемые решения:

• Portnox
• Forescout CounterACT

Вариант № 1. Portnox

Программное решение Portnox даёт возможность повысить простоту управления сетевым доступом и обеспечить динамический мониторинг подключения пользователей к сети, что позволяет персонифицировать доступ в сеть и оперативно принимать меры для снижения рисков информационной безопасности. Portnox подключается напрямую к сетевому оборудованию, клиентам. Дополнительные агенты для решения не требуются.

Модели внедрения Portnox:

Задачи, которые решает Portnox:

• В режиме реального времени непрерывное наблюдение, обнаружение, классификация и управление доступом устройств, подключенных к корпоративной сети.
• Реализация соблюдения утвержденной политики доступа в сеть.
• Предотвращение несанкционированного доступа в корпоративную сеть.
• Управление полным жизненным циклом доступа для гостей компании.
• Регулярная проверка критичных параметров и настроек конечных точек.
• Обеспечение соблюдения политик безопасности с блокировкой и изоляцией устройств, которые не соответствуют корпоративным правилам.

Схемы работы Portnox:

Вариант № 2. Forescout CounterACT

ForeScout CounterACT — автоматизированная система обеспечения мониторинга безопасности, позволяющая идентифицировать и отслеживать устройства и программные приложения в момент их подключения в корпоративную сеть. ForeScout CounterACT не требует инсталляции агентов и поддерживает работу со всеми устройствами: управляемыми и неуправляемыми, известными и неизвестными, встроенными и виртуальными, персональными компьютерами и мобильными телефонам, планшетами. ForeScout CounterACT мгновенно определяет пользователя, владельца, операционную систему, конфигурацию устройства, программное обеспечение и его версию, службы и работоспособность приложений безопасности. Решение обеспечивает обнаружение, контроль и постоянный мониторинг этих устройств, их подключение и отключение от сети.

Решение Forescout CounterACT обеспечивает:

• Полную видимость всех устройств в сети (корпоративные ПК, установленные приложения, пользователи, принтеры, новые смартфоны и т.д.).
• Применение гибких политик для всех пользователей, устройств и приложений.
• Соединение всех систем безопасности ИТ с помощью двунаправленных связей.

Схема работы Forescout CounterACT:

Возможности Forescout CounterACT:

• Работа без агентов. Осуществление идентификации и контроля доступа к сети не требует установки агентов на конечных точках. Это позволяет CounterACT отслеживать устройства как управляемые, так и неуправляемые.
• Гибкая совместимость с различными сетевым оборудованием (коммутаторами, маршрутизаторами, VPN, файерволами), операционными системами (Windows, Linux, iOS, OS X и Android), антивирусными продуктами и системами управления исправлениями. При этом для интеграции Forescout CounterACT нет необходимости вносить изменения в существующую ИТ-инфраструктуру.
• Оркестрирование безопасности. Дополнительные модули продукта позволяют организовать обмен данными и соответствие требованиям стандартов и политикам безопасности между CounterACT и другими ведущими ИТ-решениями.

Сравнение Portnox и Forescout по данным Gartner

Общий рейтинг:

 Оценка пользователей решений: 

Распределение по отраслям и размеру компаний конечных пользователей решений:

Выводы по результатам предварительной оценки решений:

Согласно, результатов консультаций и удаленных презентаций от представителей производителей Portnox и Forescout CounterACT и предоставления им дополнительных характеристик корпоративной сети компании, решение задачи можно осуществить в полном объеме, включая устройства, относящиеся к третьему типу (BYOD-устройства), а также устройства любого типа, работающие под управлением ОС MAC. Трудность представляют устройства третьего типа, которые удаленно подключаются к корпоративной сети и работают под управлением ОС Linuх. Для них задача контроля доступа, указанными решениями, не закрывается.

Более детально оценить работу решений и их соответствие поставленной задаче можно после пилотного тестирования с помощью бесплатных полнофункциональных версий Portnox и Forescout (ограничение в работе распространяется только на срок действия триальной версии).