Giải Pháp Quản Lý Truy Cập EasyNAC
Giới thiệu về InfoExpress và EasyNac
InfoExpress là công ty chuyên cung cấp các giải pháp an ninh mạng nhằm nâng cao năng suất và bảo mật thông qua tăng cường khả năng hiển thị, cải thiện bảo mật và tự động hóa việc truy cập thiết bị và di động vào mạng và có trụ sở tại 3235 Kifer Rd STE 310, Santa Clara, CA 95051, Hoa Kỳ. Các giải pháp của InfoExpress đã được triển khai tại nhiều tổ chức, doanh nghiệp lớn trên thế giới.
Giải pháp EasyNac – CGX Access
Easy NAC là công cụ kiểm soát truy cập mạng không sử dụng agent, cung cấp khả năng bảo mật mạnh mẽ và dễ dàng triển khai và quản lý. Hoạt động dựa trên ARP enforcement, cung cấp khả năng kiểm soát truy cập mạng mạnh mẽ mà không cần thay đổi cơ sở hạ tầng, không cần thiết lập VLAN hay triển khai 802.1x, không có thay đổi DHCP, không tạo ra bất kỳ sự thay đổi nào trong hệ thống.
Các tính năng của giải pháp Easy NAC
Khả năng hiển thị / Phân loại thiết bị
CGX Access cho phép hiển thị các thiết bị tham gia mạng nội bộ mà không cần sử dụng đến các agent. Khả năng hiển theo thời gian thực, khả năng phân loại, ngăn chặn các thiết bị không đáng tin cậy truy cập vào mạng.
Kiểm tra tính tuân thủ của thiết bị
CGX Access cho phép tích hợp với các giải pháp bảo mật điểm cuối. Các thiết bị không tuân thủ có thể bị hạn chế truy cập mạng. Đối với các yêu cầu tuân thủ nâng cao hơn, có thể sử dụng thêm Agent tại mỗi thiết bị.
Triển khai đơn giản
CGX Access là giải pháp có thể Plug and Protect mà không cần triển khai thêm Agent. Các thiết bị có thể được phép truy cập bằng các điều khiển BẬT / TẮT đơn giản hoặc có thể đặt các chính sách để truy cập tự động.
Bảo vệ mạng LAN/ VPN
CGX Access sử dụng cơ chế ARP Enforcements, DNS và HTTP redirection để phát hiện và ngăn chặn ngay lập tức các thiết bị không xác định tham gia mạng LAN. Cơ chế này hoạt động với bất kỳ cơ sở hạ tầng mạng nào, cả thiết bị chuyển mạch được quản lý hoặc không được quản lý, không cần thay đổi thiết kế mạng. Giải pháp cho phép chặn các kết nối VPN nếu như thiết bị kết nối không tuân thủ chính sách bảo mật.
Chống giả mạo
CGX Access cung cấp tính năng Fingerprint để bảo vệ chống lại việc giả mạo địa chỉ MAC. Thông tin fingerprint bao gồm: địa chỉ MAC, IP, Hệ điều hành và tên máy chủ,v..v… Thông tin này sẽ được lưu lại để phòng tránh các cuộc tấn công giả mạo một thiết bị nào đó của hệ thống
Tự động phân loại các thiết bị hợp lệ
CGX Access sẽ thường xuyên đồng bộ với máy chủ Active Directory của bạn để xác minh thiết bị nào được tham gia miền. Các thiết bị đáng tin cậy có thể tự động được cấp toàn quyền truy cập vào mạng. Hồ sơ thiết bị cũng có thể được sử dụng để tự động hóa quá trình phê duyệt thiết bị IoT.
Phản hồi các mối đe dọa tự động
CGX Access có thể nhận tin nhắn hoặc qua email về các sự kiện diễn ra trên hệ thống và thực hiện hành động ngay lập tức khi cần thiết. Nếu CGX Access nhận được cảnh báo rằng thiết bị có phần mềm độc hại, giải pháp có thể hạn chế tấn công ngay lập tức. Ngoài ra, CGX Access cung cấp khả năng phát hiện hành vi Zero-day để bảo vệ chống lại Worms hoặc Malware cố gắng kết nối bất thường với các thiết bị khác trong mạng LAN.
Kiểm soát truy cập dựa trên vai trò (Role-base access control)
CGX Access tăng cường bảo mật đáng kể bằng cách thiết lập các chính sách đối với các đối tượng khác nhau: giới hạn thiết bị khách truy cập chỉ có kết nối internet và các thiết bị BYOD đã được phê duyệt đối với các tài nguyên đã được phê duyệt mà không có bất kỳ thay đổi nào về mạng.
Thiết lập chính sách cho BYOD ( Bring your own divices) và quyền truy cập của thiết bị khách
CGX Access cung cấp cổng đăng ký (user portal) để tự động hóa quy trình đăng ký BYOD. Các chính sách có thể được đặt theo nhóm để giới hạn số lượng và loại thiết bị BYOD, theo dõi quyền sở hữu thiết bị và hạn chế các hệ thống có thể truy cập.
1.4. Nền tảng triển khai
1.4.1. Nền tảng triển khai dạng Appliance
1.4.2. Yêu cầu phần cứng đối với nền tảng dạng ảo hóa
1.4.3. Các kiến trúc triển khai EasyNac
Easynac CGX hỗ trợ 3 kiến trúc triển khai như sau:
- Physical Connection
- Thêm bộ network adapter và sử dụng cắm vào switch access thông thường để mở rộng khả năng bảo vệ cho mạng con bổ sung.
- 802.1Q Trunk
Sử dụng cổng trung kế 802.1q để nhiều VLAN có thể được bảo vệ với mỗi 1 cổng ethernet adapter. Khuyến nghị sử dụng nhiều cổng ethernet adapter khi có nhiều lưu lượng thiết bị bị giới hạn bởi ACLs.
Vlink
Đối với các trang web từ xa không có kết nối 802.1q hoặc ethernet trực tiếp, có thể sử dụng vLink mở rộng khả năng kết nối lớp 2 với thiết bị.
Giải pháp Truy cập CGX yêu cầu khả năng kết nối lớp 2 của các mạng con mà nó đang bảo vệ. Để có các kết nối lớp 2 tại trụ sở chính thì các vlan có thể sử dụng 802.1q ( trunk port) hoặc kết nối trực tiếp với thiết bị. Giải pháp kiểm soát truy cập EASYNAC sử dụng vLink để VPN tunnel các kết nối từ các chi nhánh về đến trung tâm mà không cần phải trang bị thêm 1 thiết bị kiểm soát truy cập khác.
1.4.4. Trình quản trị tập trung Central visibility manager (CVM)
Trình quản lý tập trung (CVM) dùng để quản trị nhiều thiết bị cgx, cung cấp báo cáo tổng hợp và đơn giản hóa việc quản lý nhiều thiết bị CGX Access tại các chi nhánh.
Các tính năng chính của CVM bao gồm:
– Trình quản lý triển khai
– Chuyển vùng thiết bị trong suốt
– Quản lý License Phân tán
– Quản lý Đặc quyền Quản trị
– Quản lý và Báo cáo tập trung
– CVM cũng tự động hóa sao lưu thiết bị và đơn giản hóa việc quản lý cập nhật firmware.
– Báo cáo từ nhiều thiết bị được tổng hợp và có thể được xem toàn bộ hoặc theo khu vực.
Liên hệ tư vấn:
CÔNG TY CỔ PHẦN GIẢI PHÁP CÔNG NGHỆ SONIC
Tầng 16, Tòa nhà Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, TP. Hà Nội
Tel: 02466.564.587
Email: Sales@sonic.com.vn