Promise
Promise Biznes Promise System Promise Software Promise Retail Promise Centrum Wiedzy Promise Sklep on-line
Promise > Skip Navigation LinksPromise System > Bezpieczeństwo > kontrola dostępu do sieci – Symantec Network Access Control
Pomiń łącza nawigacji
Strona główna
Audyt oprogramowania
Technologie
Rozwiązania
Bezpieczeństwo
O Nas
Zgłoszenie problemu z oprogramowaniem Symantec

kontrola dostępu do sieci – Symantec
Network Access Control

Symantec Network Access Control

Kompleksowe rozwiązanie zapewniające zgodność urządzeń końcowych
Symantec Network Access Control to kompleksowe rozwiązanie, które umożliwia organizacjom bezpieczne kontrolowanie dostępu do sieci przedsiębiorstwa oraz które można w łatwy sposób zintegrować z istniejącą infrastrukturą sieciową. Niezależnie od sposobu połączenia urządzeń końcowych z siecią moduł Symantec Network Access Control wykrywa i ocenia stan zgodności urządzeń końcowych z przepisami oraz prowadzi jego stałe monitorowanie pod kątem wszelkich zmian, zapewnia odpowiedni dostęp do sieci, a w razie potrzeby udostępnia mechanizmy zaradcze. Dzięki temu w firmowym środowisku sieciowym występuje znacznie mniej przypadków naruszenia zabezpieczeń, a zgodność z polityką bezpieczeństwa informatycznego firmy jest większa.
Dzięki modułowi Symantec Network Access Control wdrożenie mechanizmów kontroli dostępu do sieci oraz zarządzanie nimi jest łatwe do wykonania i nie wymaga dużych nakładów.

Autoryzacja urządzeń końcowych – nie tylko użytkowników
We współczesnych środowiskach komputerowych organizacje i administratorzy sieci stoją przed wyzwaniem zapewnienia dostępu do zasobów przedsiębiorstwa rosnącej liczbie użytkowników. Użytkownicy to pracownicy lokalni i zdalni, goście, kontrahenci i inni pracownicy tymczasowi. Nigdy wcześniej zapewnienie integralności środowisk sieciowych nie było większym wyzwaniem. Niekontrolowany dostęp do sieci nie wchodzi w rachubę. Wraz ze wzrostem liczby i różnorodności typów urządzeń końcowych, które uzyskują dostęp do systemów, organizacje muszą mieć możliwość zweryfikowania stanu i charakteru tych urządzeń — zarówno przed ich podłączeniem do zasobów, jak i w czasie trwania połączenia. Moduł Symantec Network Access Control pomaga zagwarantować zgodność urządzeń końcowych z polityką IT, zanim będą one mogły uzyskać dostęp do sieci LAN, WAN, WLAN lub VPN przedsiębiorstwa.

 Główne zalety produktu

      Z wdrożeniem rozwiązania Symantec Network Access Control wiąże się wiele korzyści. Obejmują one:

  • Ograniczone rozprzestrzenianie się destrukcyjnego kodu — wirusów, robaków, oprogramowania typu „spyware” i „crimeware”.
  • Niższy profil ryzyka dzięki zwiększonej kontroli nad zarządzanymi i niezarządzanymi urządzeniami końcowymi uzyskującymi dostęp do sieci przedsiębiorstwa.
  • Większą dostępność sieci i skrócony czas przerw w działaniu usług dla użytkowników końcowych.
  • Możliwość zweryfikowania danych dotyczących zgodności organizacyjnej dzięki dostępowi w czasie rzeczywistym do danych o zgodności urządzeń końcowych.
  • Zminimalizowany całkowity koszt posiadania dzięki zastosowaniu korporacyjnej architektury centralnego zarządzania.
  • Możliwość sprawdzenia, czy zabezpieczenia urządzeń końcowych (np. programy antywirusowe i zapory ogniowe) działają prawidłowo.
  • Bezproblemową integrację z rozwiązaniem Symantec™ AntiVirus™ Advanced Endpoint Protection.

Najważniejsze funkcje produktu Symantec Network Access Control

Proces kontroli dostępu do sieci
Kontrola dostępu do sieci to proces, który obejmuje wszystkie typy urządzeń końcowych i wszystkie typy sieci. Rozpoczyna się on przed nawiązaniem połączenia z siecią i trwa przez cały czas połączenia. Podobnie jak w przypadku innych procesów korporacyjnych, podstawowym narzędziem umożliwiającym podjęcie działań kontrolnych i zaradczych jest wdrożona polityka.

    Proces kontroli dostępu do sieci składa się z czterech etapów:

  1. Wykrycie i ocena urządzeń końcowych. Występuje on w momencie uzyskiwania dostępu do sieci przez urządzenia końcowe przed uzyskaniem przez nie dostępu do zasobów. Dzięki integracji z istniejącą infrastrukturą sieciową i użyciu inteligentnych agentów programowych administratorzy sieci mogą być pewni, że nowe urządzenia uzyskujące dostęp do sieci zostaną sprawdzone pod kątem zgodności z minimalnymi wymaganiami polityki informatycznej.
  2. Konfiguracja dostępu do sieci. Pełny dostęp do sieci jest udzielany dopiero po ocenieniu i potwierdzeniu zgodności systemów z polityką informatyczną. Systemy niezgodne lub niespełniające minimalnych wymagań organizacji w zakresie bezpieczeństwa są poddawane kwarantannie i uzyskują jedynie ograniczony dostęp do sieci (lub nie uzyskują go wcale).
  3. Korygowanie niezgodnych urządzeń końcowych. Automatyczne korygowanie niezgodnych urządzeń końcowych umożliwia administratorom szybkie zapewnienie ich zgodności i zmodyfikowanie dostępu do sieci. Mogą oni wybrać w pełni automatyczny proces korygowania, który odbywa się bez udziału użytkownika, lub określić informacje, które umożliwią użytkownikowi ręczne skorygowanie ustawień urządzenia.
  4. Monitorowanie zgodności. Zgodność z polityką informatyczną musi być zapewniana przez cały czas. Oznacza to, że moduł Symantec Network Access Control aktywnie monitoruje (w czasie określonym przez administratora) stan zgodności wszystkich urządzeń końcowych. W przypadku zmiany stanu zgodności urządzenia końcowego jego prawa dostępu do sieci również ulegną zmianie.

Obsługa wielu rodzajów urządzeń końcowych
Sieci składają się z nowszych i starszych systemów firmowych, systemów kontrahentów i gości, publicznych punktów dostępu, urządzeń partnerów biznesowych i różnej liczby innych, nieznanych systemów. Administratorzy często mają ograniczone możliwości zarządzania wieloma z tych urządzeń końcowych lub nie mają ich w ogóle. Muszą jednak zapewnić bezpieczeństwo i dostępność sieci. Urządzenie Symantec Network Access Control umożliwia organizacjom zastosowanie procesu kontroli dostępu do sieci do urządzeń — zarządzanych i niezarządzanych, nowych i starszych, znanych i nieznanych.

Możliwość wdrożenia w każdej sieci
Zazwyczaj użytkownicy w przedsiębiorstwie łączą się z siecią, korzystając z kilku metod dostępu — dlatego też administratorzy muszą mieć do dyspozycji różne mechanizmy oceny i kontroli połączeń niezależnie od ich typu. Urządzenie Symantec Network Access Control to jedno z najbardziej zaawansowanych dostępnych obecnie rozwiązań zapewniających kontrolę dostępu do sieci. Umożliwia ono administratorom sieci aktywne egzekwowanie zgodności przy użyciu już istniejących inwestycji w infrastrukturę sieciową, bez konieczności modernizowania sprzętu sieciowego.  Niezależnie od tego, czy używane są moduły Symantec Network Access Control Enforcer bezpośrednio integrujące się z siecią, moduł egzekwujący działający tylko w odniesieniu do hostów, niewymagający integracji z siecią albo niestałe agenty zintegrowane ze środowiskiem aplikacji WWW — organizacje mogą mieć pewność, że zgodność użytkowników i urządzeń końcowych jest zagwarantowana w punkcie połączenia z siecią przedsiębiorstwa.

Architektura Symantec Network Access Control

Architektura Symantec Network Access Control obejmuje trzy podstawowe składniki: zarządzanie polityką, ocenę urządzeń końcowych i zapewnienie zgodności z normami obowiązującymi w sieci. Składniki te współpracują ze sobą w ramach jednego rozwiązania, a ich działanie nie zależy od zewnętrznych elementów.

Scentralizowane zarządzanie polityką i tworzenie raportów
Największe znaczenie dla wydajnego działania każdego rozwiązania ma konsola administracyjna klasy korporacyjnej. Program Symantec Endpoint Protection Manager udostępnia opartą na technologii Java™ konsolę służącą do centralnego tworzenia i wdrażania działań modułów Enforcer, zarządzania nimi i tworzenia raportów. Menedżera reguł można skalować w celu dostosowania do potrzeb najbardziej wymagających środowisk na świecie. Zapewnia on szczegółową kontrolę nad wszystkimi czynnościami administracyjnymi w środowiskach wymagających wysokiej dostępności.

Ocena urządzeń końcowych
Funkcja kontroli dostępu chroni sieć przed destrukcyjnym kodem i nieznanymi lub nieautoryzowanymi urządzeniami końcowymi. Sprawdza również, czy urządzenia końcowe nawiązujące połączenie z siecią są poprawnie skonfigurowane do ochrony przed atakami z Internetu. Kontrola dostępu zawsze rozpoczyna się od sprawdzenia urządzenia końcowego. Sprawdzenie obecności programu antywirusowego, oprogramowania usuwającego programy typu „spyware” i zainstalowanych poprawek to minimalne wymagania związane z umożliwieniem dostępu do sieci. Większość organizacji — po początkowym wdrożeniu rozwiązania kontroli dostępu — szybko rozszerza wymagania poza poziom minimalny.

Urządzenie Symantec Network Access Control udostępnia trzy różne techniki sprawdzania urządzenia końcowego pod kątem zgodności.

  • Agenty stałe. W celu określenia stanu zgodności systemy będące w posiadaniu przedsiębiorstwa i inne systemy zarządzane korzystają z zainstalowanych przez administratora agentów. Agenty sprawdzają obecność programu antywirusowego i oprogramowania do usuwania programów typu „spyware” oraz zainstalowane poprawki, a także uzyskują bardziej złożone informacje dotyczące systemów (np. o wpisach rejestru systemu operacyjnego, uruchomionych procesach i atrybutach plików). Agenty stałe dostarczają najbardziej kompleksowych, dokładnych i wiarygodnych informacji o zgodności systemów, a dodatkowo umożliwiają skorzystanie z najbardziej elastycznych funkcji korygowania i naprawy.
  • Agenty niestałe. W przypadku urządzeń, które nie należą do przedsiębiorstwa, lub systemów, które nie są obecnie zarządzane przez administratorów, używane są agenty na żądanie oparte na środowisku Java. Dzięki nim można bez uprawnień administracyjnych sprawdzić stan zgodności urządzeń końcowych. Po zakończeniu sesji agenty są automatycznie usuwane z systemu.
  • Zdalne skanowanie pod kątem występowania luk. Funkcja zdalnego skanowania pod kątem występowania luk w zabezpieczeniach przekazuje do urządzenia Symantec Network Access Control informacje o zgodności uzyskane na podstawie zdalnych i niewymagających uwierzytelniania wyników skanowania pochodzących z modułu Symantec Network Access Control Scanner. Funkcja zdalnego skanowania umożliwia zebranie informacji także o tych systemach, w których nie są obecnie dostępne żadne agenty.

Egzekwowanie
Rozwój środowiska sieciowego przebiega inaczej w każdej organizacji. Dlatego też nie istnieje wspólna metoda egzekwowania, która mogłaby zapewnić skuteczną kontrolę dostępu do wszystkich punktów w sieci. Rozwiązania do kontroli dostępu do sieci muszą być na tyle elastyczne, aby łatwo łączyć wiele metod egzekwowania w istniejącym środowisku bez zwiększania nakładu prac administracyjnych i konserwacyjnych. Urządzenie Symantec Network Access Control umożliwia wybór najodpowiedniejszej metody egzekwowania dla różnych punktów sieci i nie zwiększa przy tym złożoności operacyjnej i kosztów. Wszystkie metody egzekwowania oparte na sieci są dostępne w postaci oprogramowania lub dostarczonego składnika sprzętowego.

  • Moduł LAN Enforcer 802.1X to działające poza pasmem rozwiązanie proxy w standardzie 802.1X RADIUS, które współpracuje z urządzeniami wszystkich najważniejszych dostawców obsługujących standard 802.1X. Moduł LAN Enforcer może być częścią istniejącej architektury zarządzania tożsamością AAA, która służy do uwierzytelniania użytkowników i urządzeń końcowych, lub działać jako niezależne rozwiązanie RADIUS w środowiskach, które wymagają tylko kontroli zgodności urządzeń końcowych. Moduł LAN Enforcer umożliwia dostęp do portu przełącznika w zależności od wyników uwierzytelniania podłączonych urządzeń końcowych.
  • Moduł DHCP Enforcer jest instalowany między urządzeniami końcowymi a istniejącą infrastrukturą usługi DHCP. Działa jako serwer proxy DHCP. Do momentu sprawdzenia zgodności z polityką wszystkim urządzeniom końcowym są przyznawane restrykcyjne przydziały dzierżawy DHCP. Po sprawdzeniu zgodności urządzenie końcowe otrzymuje nową dzierżawę DHCP. Integracja modułu DHCP Enforcer z dodatkiem plug-in do serwera Microsoft® DHCP Server pozwala na błyskawiczne wdrożenie mechanizmów kontroli dostępu do sieci bez konieczności instalowania dodatkowych urządzeń sieciowych.
  • Moduł Gateway Enforcer jest urządzeniem do egzekwowania zgodności z polityką, używanym w newralgicznych punktach sieci. Steruje ruchem między urządzeniami na podstawie informacji o zgodności zdalnych urządzeń końcowych z polityką. Niezależnie od tego, czy newralgiczny punkt („wąskie gardło”) znajduje się na granicy sieci (np. połączenia WAN lub VPN) lub w wewnętrznych segmentach umożliwiających dostęp do krytycznych danych biznesowych, moduł Gateway Enforcer zapewnia kontrolowany dostęp do zasobów i usług korygujących.
  • Funkcja wymuszania własnej zgodności korzysta z zapory ogniowej działającej na hoście i modułu Symantec Protection Agent w celu dostosowania polityki agenta lokalnego do stanu zgodności urządzeń końcowych. Umożliwia to administratorom kontrolę dostępu do dowolnej sieci w przedsiębiorstwie lub poza nim w przypadku takich urządzeń, jak komputery przenośne, które są często przenoszone między różnymi sieciami.

Rozwiązania Cisco Network Admission Control i Microsoft Network Access Protection
Mimo że urządzenie Symantec Network Access Control udostępnia kompleksowe funkcje kontroli dostępu i nie wymaga do działania żadnych produktów zewnętrznych, integruje się z innymi rozwiązaniami tego typu i rozszerza ich możliwości. Administratorzy ds. zabezpieczeń mogą być pewni, że niezależnie od przyjętej metodologii wdrożenia będą mogli korzystać z kompleksowego zarządzania i kontroli.

Kontakt

Sławomir Pyrek
slawomir.pyrek@promise.pl
tel. +4822 3551 669
kom. +48 609 541 176

Bartłomiej Sollich
bartlomiej.sollich@promise.pl
tel. +4822 3551 683
kom. +48 605 160 281

 
  
strona główna     |     mapa serwisu     |     kontakt     |     polityka bezpieczeństwa
 
© Copyright APN Promise S.A. Wszelkie prawa zastrzeżone.