Az üzleti kihívás
Az üzleti követelmények gyakran azt diktálják, hogy a mozgásban levő munkatársak, az üzleti partnerek, az ügyfelek, a szervezet tanácsadói (vagy éppen ott ellenőrzést végzők), valamint a távoli felhasználók könnyen csatlakozhassanak a vállalat hálózati rendszeréhez és annak alkalmazásaihoz. Sőt az Önök termelékenysége és bevételeinek nagysága is egyenesen függ ettől.
A hálózatok nagyobb fokú nyitottsága és az ahhoz történő kapcsolódási lehetőség jelentős termelékenységi előnyhöz és néha teljesen új üzleti modellekhez vezetett. Mindemellett, az „felügyelet nélküli" számítógépek csatlakozása a rendszerhez jelentősen növeli a veszélyét annak, hogy rendszerét, trójai programok, férgek, kémprogramok és rosszindulatú fertőzések kerítsék hatalmába.
Az egyik legnagyobb probléma, amellyel a szervezetek szembesülni szoktak, az a vállalati hálózat hozzáférhetőségéből származó jelentős üzleti előny és a nyitottá tételből fakadó fenyegetettségek kockázatának növekedése közötti egyensúly megteremtése. Egy olyan megoldás szükséges, amely a jelenlegi hálózati infrastruktúrával és a biztonsági rendszerrel együtt tud működni és további költségeket nem generál. Tehát: a valódi kihívás a hálózati hozzáférhetőség ellenőrizhetősége minimális felhasználói kieséssel és adminisztrátori beavatkozással.
A Sophos NAC-ról dióhéjban
A szabályzat (policy) a kulcseleme egy valódi hálózat-hozzáférési (NAC) mechanizmushoz, amellyel egy egyszerűen kezelhető központból tudjuk aprólékosan definiálni a felhasználókat, az információ-biztonsági szabályokat és a kívánt kikényszerítési akciókat.
A vizsgálat (assessment) teszi lehetővé, hogy egy telepített vagy nem telepített ügynök segítségével fel lehessen mérni a csatlakozni kívánó számítógép státuszát. Mindezt nem csak a csatlakozás előtti pillanatban, hanem az engedélyezett kapcsolat során folyamatosan el kell tudni végezni.
A kikényszerítés (enforcement) a meglévő hálózati infrastruktúra és IT-biztonsági szoftverpark segítségével lehetővé teszi a hálózathoz való hozzáférés megakadályozását.
Az orvoslás (remediation) segítségével a menedzselt számítógépeknek a szabályzati megfelelősége válik lehetővé: vagy automatikus módon, vagy a megfelelő frissítési helyekre való átirányítással.
A karanténba-helyezés (quarantining) a menedzselt számítógépek szabályzatoknak való megfelelőségéig ideiglenes felfüggesztést jelent, ugyanakkor az ismeretlen számítógépek csatlakozását akár tartósan is megakadályozhatja.
Az üzenetküldés (messaging) megfelelősége biztosítja azt, hogy a karanténba helyezett számítógépek minél előbb visszajussanak a hálózatra.
A Sophos NAC (network admission control) megoldás
A Sophos NAC Advanced egy szoftver alapú, gyártó-független megoldás, amely megvédi a vállalati hálózatokat, a szabályoknak nem megfelelő, valamint gyanús számítógépektől, egyszersmind lehetővé téve a vállalatok biztonsági rendszerének megerősítését és a nagyfokú ellenőrizhetőségét. A Sophos NAC biztosítja a vállalatok részére az első olyan átfogó hálózat-hozzáférési mechanizmust, amelyben a végpontok (a szerverek, az asztali és a hordozható számítógépek) bonyolultnak tűnő szabályozását egérkattintással lehet megoldani.
A szabályrendszerben az operációs rendszerhez tartozó javítókészletek naprakészségétől a személyes tűzfal beállításain és a vírusvédelmi rendszer frissítésén keresztül egészen a nemkívánatos fájlmegosztó és fájlcserélő rendszerek kiiktatásáig minden lényeges elem szerepel.
A Sophos NAC az ellenőrzött és a felügyelet-nélküli számítógépek olyan áttekintési lehetőségét biztosítja, amely akár kliensekre telepített ügynök nélkül is (úgynevezett web-ügynök segítségével) biztosítja a hálózathoz való hozzáférés előtti és alatti megfelelősséget. A vizsgálat alapján eldönti, hogy a hálózatra bejelentkezni kívánó számítógépnek engedélyezi-e vagy éppen tiltja a hozzáférést, az Internethez erősen korlátozott vagy korlátlan hozzáférést biztosít. A nem megfelelő számítógépek tartósan vagy a frissítések letöltéséig csak ideiglenes jelleggel karanténba kerülnek.
Függetlenül attól, hogy a hálózathoz való kapcsolódás a helyi hálózaton vagy távolról, vezetékes vagy vezeték-nélküli módon történik; függetlenül attól, hogy azt az alkalmazottak, külső szakemberek vagy vendégek kezdeményezték a Sophos NAC Advanced maximalizálja a biztonságot, mindeközben információt biztosítva, hogy KI, MIKOR, MI és főleg HOGYAN csatlakozik a vállalat hálózatára.
Egyedülálló szabályok az ismert és ismeretlen eszközök számára
A Sophos NAC Advanced segítségével a rendszergazdák a szabályokat egyedileg határozhatják meg és menedzselhetik a különböző felhasználói forgatókönyveknek megfelelően.
Az ismert felhasználó, azaz menedzselt eszköz általában egy vállalat által kiadott számítógép, ahol Ön határozhatja meg, milyen szoftvereket lehet telepíteni a gépre. A vállalati biztonsági szabályzatnak megfelelő beállításokat gyorsan vissza lehet állítani, ezáltal a munkavállaló termelékenysége folyamatos marad.
Az ismert felhasználó, nem-menedzselt eszköz egy vendég jogosultságokkal rendelkező felhasználó - általában egy szerződéses ügyfél, akinek hálózati elérésre van szüksége - ahol Önnek nincs joga szoftverek vagy forgalmazó-specifikus alkalmazások telepítésére. Megadott típusú biztonsági alkalmazásokat meg lehet hagyni (pl. antivírus, anti-spam, tűzfal programok) a forgalmazó megadása nélkül, és a vendég számára engedélyezni lehet a rendszerek frissítését a hálózaton keresztül, amennyiben ez szükséges.
Az ismeretlen felhasználó, nem-menedzselt eszköz olyasvalaki, akit Ön nem ismer. Csatlakozási próbálkozásnál az internethez való hozzáférést meg lehet tiltani anélkül, hogy az ismeretlen ennek tudomására jutna. Kézi beavatkozás nem szükséges sem a rendszergazda, sem a felhasználó részéről.
Szakaszos telepítés a kiesés minimalizálása érdekében
A központosított szabályzat-menedzselés segítségével a szabályok érvényesítése szakaszosan hajtható végre néhány egyszerű lépés segítségével (az opciók: csak jelentéskészítés, üzenetek küldése, helyrehozás, érvényesítés) ezáltal optimális irányítást biztosítva a szakaszonkénti implementálás folyamán, valamint elkerülve a „mindent vagy semmit" megközelítést.
Teljes NAC életciklus
Valódi hálózati hozzáférési irányítás szükséges egy szabályzat-alapú megközelítéshez, amely lefedi a használat és adminisztráció teljes életciklusát.
Ez alatt a következő lépések értendők:
Definiálás: a biztonsági szabályok központi meghatározása és az érvényesítési tennivalók végrehajtása a kialakított csoportok alapján.
Ellenőrzés: a csatlakozó számítógépek biztonságát a megfelelő szabályzatok értelmében kell mérlegelni, legyen az ügynök akár telepített, akár web-alapú.
Jelentések és riasztások küldése: a különböző adminisztratív és biztonsági csoportok számára, előre meghatározott és testre-szabható jelentések és üzenetkezelések használatával.
Kikényszerítés: Központi szabályzatnak való megfelelőség kikényszerítése a felmérés és a számítógép/felhasználó státusza alapján, blokkolással, karanténozással, izolálással, helyrehozással vagy üzenetküldéssel.
Összefüggésekben történő megközelítés a biztonsági szabályzat beállításához
A Sophos NAC Advanced kiterjeszti az engedélyezési folyamatot, ezáltal további információ begyűjtése válik lehetővé, mielőtt a teljes hálózati hozzáférési engedélyezés megtörténne. Ez a tartalom-tudatos megközelítés a sokkal gazdagabb és finomhangolhatóbb biztonsági szabályzat kialakítását segíti elő.
A felhasználói szerepkör (user role) a felhasználónak a szervezettel szembeni viszonyára utal, az Active Directory-ban, az LDAP-ban, az NT alapú tartományban vagy az RSA 2-faktoros hitelesítésében létező adatok felhasználásával.
A hozzáférési mód (access method) annak megállapítása, hogyan csatlakozik egy számítógép és különböző szabályok alakíthatók ki a LAN-alapú számítógépek, a távolról bejelentkezők vagy a vezeték-nélküli hozzáféréssel rendelkezők számára.
Az eszköz egészségi állapot (device health) kritikusan határozza meg a számítógép biztonsági státuszát felmérve az operációs rendszer javításait, a telepített és futó biztonsági alkalmazásokat, a frissített definíciókat és a futó kéretlen alkalmazásokat.
A fenyegetési reagálás segítségével a szabályzat a legújabb rendelkezésre álló fenyegetések elleni reagálások alapján fog felépülni, mint pl. az operációs rendszer javítókészletei és definíció frissítések.
Széleskörű kikényszerítés, maximális befektetési megtérülés
A szabályzat-vezérelt kikényszerítés a hálózati hozzáférési irányítás lelke. Az ügynök-alapú önkikényszerítést kiegészítve a Sophos NAC Advanced a biztonsági szabályok kikényszerítésének széleskörű átfedési módozatait biztosítja a meglévő hálózati infrastruktúra használatával - pl. DHCP, 802.1X (vezetéknélküli hozzáférési pontok és LAN switchek részére), VPN koncentrátorok, Cisco NAC és Microsoft NAP. Ez a rugalmas adottság a hozzáférés több rétegét fedi le, együtt a Sophos NAC kiterjeszthető természetével, így maximalizálja az Ön befektetésének megtérülését, biztosítva az Ön kikényszerítési módjainak jövőállóságával.