EFROS DefOps NAC позволяет реализовать централизованное управление цифровыми ресурсами предприятия за счет определения политик и правил доступа в сеть для пользователей и администраторов, осуществлять непрерывный контроль состояния оконечных сетевых устройств на предмет соответствия политикам безопасности
Функциональные возможности
Централизованный контроль доступа пользователей и администраторов;
Управление доступом к сетевым устройствам, поддерживающим протоколы TACACS+, RADIUS;
Авторизация сетевых устройств по MAC-адресам, протоколу EAP-PEAP, сертификатам;
Взаимодействие со службами каталогов LDAP (MS Active Directory, FreeIPA, OpenLDAP, Ald Pro);
Встроенный центр управления сертификатами PKI.
Управление доступом к сетевым устройствам, поддерживающим протоколы TACACS+, RADIUS;
Авторизация сетевых устройств по MAC-адресам, протоколу EAP-PEAP, сертификатам;
Взаимодействие со службами каталогов LDAP (MS Active Directory, FreeIPA, OpenLDAP, Ald Pro);
Встроенный центр управления сертификатами PKI.
Efros DO NAC
Доступ по протоколу 802.1X
Влияние беспроводного доступа к сети, мобильности, использования собственных устройств на предприятиях (BYOD) и облачных вычислений на ресурсы корпоративной сети огромно. Такая расширенная мобильность увеличивает подверженность сетевым угрозам.
Использование стандарта 802.1x помогает повысить безопасность доступа в среде такого типа при одновременном снижении общей стоимости владения. 802.1x обеспечивает управление доступом L2 путем проверки пользователя или устройства, пытающегося получить доступ к физическому порту.
Использование стандарта 802.1x помогает повысить безопасность доступа в среде такого типа при одновременном снижении общей стоимости владения. 802.1x обеспечивает управление доступом L2 путем проверки пользователя или устройства, пытающегося получить доступ к физическому порту.
EDO-агент
Отдельное приложение, которое разворачивается на оконечном устройстве и осуществляет проверки системы на соответствие политикам безопасности.
С помощью EDO-агента выполняется проверка данных об установленной операционной системе и ее обновлениях, об антивирусных приложениях, процессах, программах, службах и подключенных USB-устройствах. На основе проведенных проверок по критериям корпоративной безопасности принимается решение допустить ли устройство к ресурсам сети.
С помощью EDO-агента выполняется проверка данных об установленной операционной системе и ее обновлениях, об антивирусных приложениях, процессах, программах, службах и подключенных USB-устройствах. На основе проведенных проверок по критериям корпоративной безопасности принимается решение допустить ли устройство к ресурсам сети.
Практически в каждом офисе можно встретить такие устройства, как сетевые принтеры, IP-камеры и т.д. При подключении этих устройств к сети настройки по умолчанию часто оставляют неизменными, в результате чего они становятся легкой мишенью для злоумышленников.
EFROS DefOps NAC позволяет создать политику доступа для таких устройств, определяющую сегмент сети, в которой они будут авторизованы.
EFROS DefOps NAC позволяет создать политику доступа для таких устройств, определяющую сегмент сети, в которой они будут авторизованы.
Контроль доступа IoT-устройств
При расследовании инцидентов важно видеть историю событий, произошедших в сети. С целью аудита Efros DefOps NAC обеспечивает сбор, запись и хранение
- Фактов доступа администраторов к активному сетевому оборудованию
- Действий (выполненные команды) администраторов на активном сетевом оборудовании
- Фактов доступа пользователей в корпоративную сеть, время начала и завершения сеанса доступа.
Ведение журналов событий
Change of authorization
CoA – функция, которая может поддерживаться оборудованием и при отправке команды на которое могут меняться параметры текущей сессии пользователя без дополнительного ввода логина и пароля. Она применима при оценке риска изменений процессов на оконечном устройстве, когда происходит проверка на соответствие требованиям безопасности. Если устройство не соответствует требованиям (например, был отключен антивирус или брандмауэр), то его необходимо поместить в карантинную VLAN или полностью заблокировать доступ; или устройство снова соответствует требованиям, поэтому его необходимо установить в рабочую VLAN.
Профилирование позволяет администраторам системы создавать собственные шаблоны устройств для автоматического обнаружения, классификации и связывания определенных идентификационных данных при подключении оконечных устройств к сети.
Так с использованием средств пассивной сетевой телеметрии можно определить дополнительные параметры самого устройства: тип оборудования (IP-телефон, принтер и т.п.), производитель, его MAC-адрес, а также параметры установленного ПО (версия и т.п.).
Так с использованием средств пассивной сетевой телеметрии можно определить дополнительные параметры самого устройства: тип оборудования (IP-телефон, принтер и т.п.), производитель, его MAC-адрес, а также параметры установленного ПО (версия и т.п.).
Профилирование
Архитектура Efros DefOps NAC
Выгоды от внедрения EFROS DefOps NAC
- Повышение управляемости работы с сетевыми ресурсами и безопасности инфраструктуры сети;
- Исполнение требований законодательства в части импортозамещения и кибербезопасности.
Для руководителя
Для службы ИБ
- Центральный пульт управления сетевыми устройствами;
- Оптимизация рабочего времени и ресурсов, снижение нагрузки на администраторов ИТ за счет автоматизации процесса управления ресурсами сети.
- Поддержание работы инфраструктуры в соответствии с принятой политикой ИБ;
- Ведение журнала системных событий о фактах доступа к оборудованию;
Для службы сетевого администрирования и ИТ