Обзор семейства коммутаторов HPE Aruba, новые возможности ArubaOS 16.X
В 2015 году компания Hewlett Packard Enterprise приобрела Aruba Networks и дополнила свой портфель беспроводных решений лучшим в классе оборудованием Wi-Fi. За прошедшее время произошёл ребрендинг одной из линеек кампусных коммутаторов, операционная система ProVision стала ArubaOS (на текущий момент для заказчиков доступна версия 16.03). С изменением названия добавился новый функционал. В данной статье мы пройдемся по новинкам в модельном ряду коммутаторов HPE Aruba, рассмотрим новые возможности операционной системы ArubaOS и сценарии их применения.
Hewlett Packard Enterprise Networking представляет заказчикам полную линейку продуктов для кампусных сетей на операционной системе ArubaOS:
Коммутаторы на ОС ArubaOS удобны в развертывании и эксплуатации, обладают пожизненной гарантией. Есть возможность интеграции с современными средствам управления и обеспечения безопасности Aruba ClearPass Policy Manager, Aruba AirWave и облачной службой Aruba Central, оптимизированы для программно определяемых сетей (SDN) с поддержкой технологии OpenFlow.
К ключевым возможностям новой операционной системы можно отнести:
1. Работа в режиме туннелирования
В традиционных кампусных сетях коммутаторы доступа направляют пользовательский трафик на коммутаторы распределения или ядро (в случае двухуровневой архитектуры). В режиме туннелирования коммутаторы под управлением операционной системы ArubaOS могут пересылать входящий трафик с портов до Aruba Mobility контроллеров через L2-GRE туннели, в зависимости от аппаратной платформы пропускная способность может достигать 40 Гбит/c, возможно распределение нагрузки по нескольким контроллерам.
Пример настройки
В качестве примера рассмотрим сеть, состоящую из коммутатора 2920 с установленной ArubaOS 16.03 и двух контроллеров 7240 с AOS 6.5.0.4 (схема представлена на рисунке).
ClearPass
Вы здесь
ClearPass
Aruba ClearPass Access Management System™ обеспечивает беспрецендентную простоту управления доступом как к проводной так и к беспроводной сетям и VPN подключениям.
ClearPass позволяет безопасно подключить устройство в любой точке сети. Продолжая развивать концепцию принеси свое собственное устройство (Bring Your Own Device), с помощью ClearPass Aruba Networks значительно упрощяет процедуру администрирования доступа к сети и ее ресурсам персональных мобильных устройств.
С помощью централизованных политик безопасности ClearPass автоматизирует дифференцированный подход к пользователям и их устройствам, уровням доступа, в зависимости от местонахождения и типа устройства и обеспечиваемых уровней безопасности. Каждый пользователь получает доступ к ресурсам в зависимости от того, кем является сам пользователь, с какого устройства он подключается к сети и где он находится.
Aruba ClearPass Policy Manager
Aruba ClearPass Onboard
Программный модуль для ClearPass Policy Manager, автоматизирующий подключение устройств, работающих под управлением Windows, Mac OS X, iOS и Android. После подключения к сети обеспечивает автоматическую проверку устройства на соответствие всем политикам безопасности и обеспечивает их сюблюдение.
Aruba ClearPass Profile
Программный модуль, позволяющий применять расширенные политики безопасности в зависимости от местоположения устройств и контекстной информации, такой как версия ОС, производитель, тип устройства и др. Позволяет динамически менять привелегии и дифференцировать корпоративные и персональные устройства. Создает интуитивно понятный список разрешенных, запрещенных, не авторизованных (принтеры, телефоны, камеры) устройств, использует 5 уровневую проверку устройства, для принятия однозначного решения, о том что устройство является тем за кого себя выдает. Создается уникальный отпечаток устройства для дальнейшего использования в процессе авторизации и применения политик.
Aruba ClearPass Guest
Позволяет автоматизировать процесс получения гостевого доступа и в тоже время обеспечить безопасность корпоративной сети. В зависимости от политик пользователь может гостевой получить временный доступ только в определенное время, в определенном месте. Автоматически создает и удаляет уникальные для каждого пользователя гостевые имя и пароль, доставка имени и пароля по e-mail или смс, масштабируемое решение для поддержки десятков тысяч подключений, без участия IT-персонала.
Aruba ClearPass OnGuard
Программный агент, позволяющий обеспечить глубокую проверку, устройства подключающегося к сети и в тоже время выполнить требования по безопасности, например проверить наличие и версию антивируса, заблокировать установленные Pear-to-Pear агенты, заблокировать использование внешних накопителей или подключений к сторонним сетям и др. Выдача автоматических рекомендаций по соблюдению корпоративных политик безопасности, в случае негативного результата проверки на безопасность.
Aruba ClearPass QuickConnect
Решения для облачных вычислений, позволяющее автоматизировать и значительно упростить настройку аутентификации 802.1X на устройствах, работающих под управлением Windows, Mac OS X, iOS, Android и Linux. Для настройки аутентификации используется программный модуль, загружаемый на устройство, который с помощью пошагового помощника настраивает все необходимые параметры для использования 802.1X. При этом на устройство автоматически загружаются Aruba ClearPass OnGuard и другие компоненты.
Властелин Wi-Fi: Aruba ClearPass
Сегодня, в условиях динамичного развития отрасли ИТ, все больший вес набирают беспроводные технологии доступа к информации. Так, в корпоративном сегменте прочно обосновались сети стандарта IEEE 802.11, или просто Wi-Fi. Упростить построение корпоративной беспроводной сети позволит решение Aruba ClearPass.
В современном мегаполисе трудно найти место, где бы отсутствовало покрытие Wi-Fi. В некоторых городах, беспроводные сети покрывают целый город. Последнее поколение стандарта 802.11ac позволяет достигать скоростей более 1 Гбит/с – таким образом, беспроводные сети сделали заявку на замену собой классических кабельных. Тенденцию подметили и производители популярных гаджетов, и порой самые популярные модели, например. Microsoft Surface или Apple MacBook Air, не имеют встроенного кабельного сетевого порта.
Многие производители сетевого оборудования предлагают собственные беспроводные решения, и благодаря этому базовые функции сети Wi-Fi можно реализовать в рамках достаточно скромного бюджета. Но прогресс не стоит на месте, и базовых функций беспроводных сетей для современного корпоративного сегмента уже не достаточно. Такие тенденции, как BYOD, контроль гостевого доступа, расширенная аутентификация, контроль приложений, защита Next Generation Firewall, а также предотвращение и выявление попыток взлома через беспроводную сеть заставляют заказчиков более тщательно подходить к выбору производителя беспроводных решений, а сложность реализации и обслуживания некоторых программно аппаратных комплексов сужает выбор еще больше.
Чтобы понять, кто же на сегодняшний день в лидерах в сфере разработки решений для построения беспроводных сетей, обратимся к квадранту Гартнера.
Согласно последнему отчету, выбор совсем не велик. Ведущее положение в сегменте беспроводных решений занимает компания с длинным названием Aruba a Hewlett Packard Enterprise company. В лидеры эта компания попала по целому ряду причин, с которыми можно ознакомиться в аудиторском отчете Gartner. Но главное, что стоит отметить, что основными причинами являются легкость реализации решения, последующего обслуживания и управления расширенным функционалом сетей Wi-FI на оборудовании этого производителя.
Архитектура беспроводной сети от Aruba достаточно проста. Аппаратно сама сеть реализуется точками доступа Aruba AP, а расширенный функционал достигается благодаря решению Aruba ClearPass. При этом вовсе не обязательно в качестве основы сети брать точки доступа Aruba AP, поскольку поддерживаются точки доступа и сторонних производителей, что позволяет вам имплементировать решение в существующую архитектуру.
ClearPass не требует инсталляции и поставляется как готовая виртуальная машина под все популярные гипервизоры, хотя опционально систему можно приобрести как готовое решение вместе с сервером. В качестве пользовательского интерфейса выступает любой современный веб-браузер, поддерживающий HTML5.
Для удобства пользователей решение разделено на четыре функциональных модуля
• ClearPass Policy Manager;
• ClearPass Onboard;
• ClearPass OnGuard;
• ClearPass Guest.
Далее рассмотрим каждый модуль более подробно.
ClearPass Policy Manager позволяет создавать политики доступа на основе ролей или устройств вне зависимости от того, проводная это сеть, беспроводная инфраструктура (WiFi) или VPN.
Policy Manager упрощает и автоматизирует настройку устройств, создание профилей, проверку на соответствие политикам безопасности. Он также поддерживает возможность эмуляции и мониторинга созданной политики для проверки работоспособности и корректности настроек. Модуль обеспечивает полную поддержку технологий NAC (Network Access Control), NAP (Network Access Protection и TNC (Trusted Network Connect). Для этого в ClearPass Policy Manager реализованы встроенные сервисы RADIUS, TACACS+, CA, MDM, SSO.
Интерфейс модуля ClearPass Policy Manager
Модуль предназначен для помощи администратору информационной сети компании в поддержании соответствия текущего состояния сети объявленным в компании политикам безопасности, для подключения сетевых устройств и автоматического исправления несоответствий.
ClearPass Onboard является частью Policy Manager и представляет собой модуль, автоматизирующий подключение устройств, работающих под управлением Windows, Mac OS X, iOS и Android. После подключения к сети обеспечивает автоматическую проверку устройства на соответствие всем политикам безопасности и их соблюдение.
Интерфейс модуля Aruba ClearPass Onboard
Этот инструмент позволяет реализовать в компьютерной сети компании концепцию BYOD.
ClearPass OnGuard – программный агент, позволяющий обеспечить глубокую проверку устройства, подключающегося к сети, и в тоже время выполнить требования по безопасности, например, проверить наличие и версию антивируса, заблокировать установленные Pear-to-Pear агенты, использование внешних накопителей или подключений к сторонним сетям и т. д. Также автоматически выдает рекомендации по соблюдению корпоративных политик безопасности в случае негативного результата проверки.
Интерфейс настройки агента ClearPass OnGuard
Основное назначение этого модуля – блокировка или ограничение доступа к корпоративной или гостевой сети копании устройствам или пользователям, нарушающим политики безопасности.
Пример блокировки доступа в сеть из-за нарушения политики использования USB-накопителей
ClearPass Guest позволяет автоматизировать процесс получения гостевого доступа и в тоже время обеспечить безопасность корпоративной сети. В зависимости от политик, пользователь может получить временный доступ только в определенное время и в определенном месте. Автоматически создает и удаляет уникальные для каждого пользователя гостевые имя и пароль, доставляет имя и пароль по электронной почте или SMS. Это масштабируемое решение для поддержки десятков тысяч подключений без участия ИТ-персонала включает в себя адаптивный Captive портал и возможность привязки к платежным системам. Является просто незаменимой системой для Wi-Fi сетей гостиниц, университетов и торговых площадок.
Интерфейс настройки модуля ClearPass Guest
Пример гостевой страницы доступа в сеть предприятия
Стоит отметить, что разделение Aruba ClearPass на модули достаточно условное и больше связано с политикой лицензирования. Все модули работают как единое решение, позволяющее сравнительно просто через интуитивно понятный веб-интерфейс реализовать расширенные сервисы информационной сети предприятия.
Aruba ClearPass
Содержание
Сервер ClearPass
ClearPass — сервер управления политиками доступа пользователей в сеть и к конкретным сетевым ресурсам. Это касается как беспроводных пользователей (в их случае контроль доступа всегда особенно актуален), так и проводных. При помощи ClearPass администратор определяет, кто сможет подключаться к сети, как будут проходить аутентификацию те или иные пользователи: введут постоянный пароль, получат разовый пароль по SMS, обратятся к офис-менеджеру, который на специальной странице в несколько щелчков мышкой сгенерирует им пароль, или же устройство пользователя будет аутентифицировано по сертификату без участия владельца.
После того, как пользователь прошел аутентификацию в сети, ClearPass авторизует его, причем правила можно настраивать чрезвычайно точно: пользователь будет иметь доступ строго к тем ресурсам, которые разрешены конкретно ему.
По информации на ноябрь 2019 года, ClearPass позволяет создавать и легко применять гибкие политики, комбинирующие множество правил и параметров: например, аутентификацию пользователя и машины, используемые протоколы, тип и состояние клиентского устройства, принадлежность пользователя к той или иной группе и многое другое.
Другая особенность ClearPass — профилирование, которое позволяет определять тип и производителя подключенного к сети устройства. Данную информацию можно использовать и как дополнительный параметр в политиках доступа, и для работы с устройствами, не поддерживающими никакие средства аутентификации (это, например, многие модели принтеров). Все сказанное справедливо и для беспроводных, и для проводных пользователей.
Еще одна важная функция Aruba ClearPass — поддержка концепции BYOD (Bring Your Own Device), согласно которой сотрудники могут использовать для работы свои личные мобильные устройства. При этом обеспечивается доступ ко всем необходимым сетевым ресурсам, а безопасность корпоративной сети не нарушается, поскольку доступ пользователю предоставляется только после того, как его устройство проверено на отсутствие вирусов или jailbreak и наличие всех актуальных обновлений безопасности.
Как показывают проведенные исследования, возможность использовать для работы в офисе и за его пределами личные устройства повышает лояльность и продуктивность сотрудников и к тому же позволяет компании сэкономить.
Выпуск ClearPass Device Insight
15 мая 2019 года компания Aruba объявила о выпуске решения Aruba ClearPass Device Insight, которое предоставляет клиентам единый инструмент прозрачного мониторинга, включая автоматическое обнаружение устройств, сбор информации об устройстве и идентификацию на основе машинного обучения. Это решение позволяет предприятиям устранять проблемы безопасности и подключений IoT-устройств к сети, одновременно снижая связанные с этим эксплуатационные расходы и сложности.
Как отметили в Aruba, при разработке IoT-стратегии организации во всем мире сталкиваются с проблемами безопасности и работы сетей. Ежедневно к сети подключаются более 14 миллионов устройств. Взрывной рост числа совершенно разных и непредсказуемых типов таких устройств делает «ручной» анализ и профилирование неподходящими; автоматизация становится ключевым требованием обеспечения безопасности Интернета вещей. Есть и другая проблема: многие IoT-устройства часто подключаются к разнородным оверлейным сетям, которые обычно поддерживают только один тип подключения, такой как Wi-Fi, Bluetooth или Zigbee.
Со слов разработчика, в решении ClearPass Device Insight используется машинное обучение и краудсорсинг для автоматизации обнаружения и идентификации (fingerprinting) всех подключенных устройств в любой проводной сети и сети Wi-Fi независимо от их производителя. Передовые технологии от Лаборатории исследования данных (Data Science Laboratory) Aruba включают специально разработанный глубокий анализ пакетов (DPI) для создания поведенческих профилей, обеспечивающих точную идентификацию устройств (fingerprinting). Облачная платформа ClearPass Device Insight использует коллективный опыт сообщества для идентификации новых устройств. С помощью решения Aruba ClearPass Policy Manager и возможностей технологии Aruba Dynamic Segmentation по безопасности, ИТ-департаменты могут автоматизировать аутентификацию и применение политик вплоть до уровня устройства и пользователя, применяя различные политики или правила доступа в зависимости от роли, назначенной для устройства. Если какое-либо устройство демонстрирует аномальное поведение, ClearPass способен автоматически поместить его в карантин или отключить от сети.
Согласно исследованию Gartner, «исторически разделенные сети отделов предприятий, технологические сети и сети автоматизации зданий объединяются в инфраструктуре предприятия, увеличивая как число IoT-устройств, так и возможности для атак». Технология полного цикла от Aruba устраняет «слепые зоны» и предоставляет ИТ-специалистам автоматизированное и интеллектуальное решение для обеспечения безопасности, позволяющее отслеживать весь огромный объем и разнообразие устройств, подключенных к корпоративной сети, зачастую безнадзорных со стороны ИТ. Подробные сведения о каждом устройстве, включая производителя, местоположение устройства, используемые порты и протоколы, адреса назначений и объем трафика доступны на единой панели ClearPass, обеспечивая полную видимость и контроль IoT-устройств, утверждают в Aruba.
2016: Модули ClearPass
По данным на 20 декабря 2016 года, ClearPass не требует инсталляции и поставляется как готовая виртуальная машина под все популярные гипервизоры, хотя опционально систему можно приобрести как готовое решение вместе с сервером. В качестве пользовательского интерфейса выступает любой современный веб-браузер, поддерживающий HTML5.
Для удобства пользователей решение разделено на четыре функциональных модуля
ClearPass Policy Manager позволяет создавать политики доступа на основе ролей или устройств вне зависимости от того, проводная это сеть, беспроводная инфраструктура (Wi-Fi) или VPN.
Policy Manager упрощает и автоматизирует настройку устройств, создание профилей, проверку на соответствие политикам безопасности. Он также поддерживает возможность эмуляции и мониторинга созданной политики для проверки работоспособности и корректности настроек. Модуль обеспечивает полную поддержку технологий NAC (Network Access Control), NAP (Network Access Protection и TNC (Trusted Network Connect). Для этого в ClearPass Policy Manager реализованы встроенные сервисы RADIUS, TACACS+, CA, MDM, SSO.
Модуль предназначен для помощи администратору информационной сети компании в поддержании соответствия текущего состояния сети объявленным в компании политикам безопасности, для подключения сетевых устройств и автоматического исправления несоответствий.
ClearPass Onboard является частью Policy Manager и представляет собой модуль, автоматизирующий подключение устройств, работающих под управлением Windows, Mac OS X, iOS и Android. После подключения к сети обеспечивает автоматическую проверку устройства на соответствие всем политикам безопасности и их соблюдение. Этот инструмент также позволяет реализовать в компьютерной сети компании концепцию BYOD.
ClearPass OnGuard – программный агент, позволяющий обеспечить глубокую проверку устройства, подключающегося к сети, и в тоже время выполнить требования по безопасности, например, проверить наличие и версию антивируса, заблокировать установленные Pear-to-Pear агенты, использование внешних накопителей или подключений к сторонним сетям и т.д. Также автоматически выдает рекомендации по соблюдению корпоративных политик безопасности в случае негативного результата проверки.
Основное назначение этого модуля – блокировка или ограничение доступа к корпоративной или гостевой сети копании устройствам или пользователям, нарушающим политики безопасности.
ClearPass Guest позволяет автоматизировать процесс получения гостевого доступа и в тоже время обеспечить безопасность корпоративной сети. В зависимости от политик, пользователь может получить временный доступ только в определенное время и в определенном месте. Автоматически создает и удаляет уникальные для каждого пользователя гостевые имя и пароль, доставляет имя и пароль по электронной почте или SMS. Это масштабируемое решение для поддержки десятков тысяч подключений без участия ИТ-персонала включает в себя адаптивный Captive портал и возможность привязки к платежным системам. Является просто незаменимой системой для Wi-Fi сетей гостиниц, университетов и торговых площадок.
Стоит отметить, что разделение Aruba ClearPass на модули достаточно условное и больше связано с политикой лицензирования. Все модули работают как единое решение, позволяющее сравнительно просто через интуитивно понятный веб-интерфейс реализовать расширенные сервисы информационной сети предприятия. [1]
Aruba clearpass что это
КОРПОРАТИВНЫЕ РЕШЕНИЯ БЕЗОПАСНОСТИ
Aruba 360 Secure Fabric обеспечивает предприятиям интегрированную платформу безопасности для сетевых ИТ-отделов и отделов безопасности для визуализации и управления работы сети, а также устройств и пользователей, которые к ней подключаются. Это единственное решение, которое сочетает в себе полную сетевую инфраструктуру кампусной сети, сети филиалов и облачных подключений со встроенной безопасностью, расширенным обнаружением и реагированием на угрозы, защищенный контроль доступа в сеть для защиты миллионов пользователей и устройств, а также огромного количества распределенных данных.
360 Secure Fabric включает в себя решение Aruba Introspect User Entity Behavior Analytics (UEBA), Aruba ClearPass Network Access Control (NAC).
Решение IntroSpect User and Entity Behavior Analytics (UEBA) использует машинное обучение на основе искусственного интеллекта, чтобы выявлять изменения в поведении пользователей, которые часто указывают на внутренние атаки, проникнувшие через защиту периметра. Отделы безопасности вооружены информацией о злонамеренных, скомпрометированных или безответственных пользователях, системах и устройствах — чтобы обезвредить угрозу до ее проявления.
Продуктовая линейка Introspect UEBA состоит из устройств версии Standard или Advanced.
Introspect Standard представляет собой упрощенную, быструю для внедрения версию платформы UEBA, идеально подходящую для сетей Aruba. Эта версия требует всего три источника данных: аутентификационные записи, данные идентификации и данные об активности, такие как записи AMON, которые генерируются беспроводными контроллерами Aruba.
Introspect Advanced предоставляет все средства для обнаружения атак и расследования инцидентов, которые используют заказчики для обеспечения самой обширной защиты, доступной на рынке UEBA.
Контроль доступа к сети с Aruba ClearPass
Aruba предоставляет предприятиям возможность мониторинга и контроля пользователей и устройств, которые подключаются к сети, с семейством продуктов ClearPass Secure Network Access Control (NAC). ClearPass работает в любой мультивендорной сети, заменяя устаревшие AAA на контекстно-определяемые политики, позволяя предприятиям учитывать весь набор сценариев доступа в сеть: для проводных и беспроводных устройств, гостевого доступа, внедрения BYOD и изменений на основе политик и реагирования на атаки.
Обеспечивает контроль доступа к сети на основе устройств и ролей для сотрудников, подрядчиков и посетителей в любой многовендорной проводной, беспроводной и VPN-инфраструктуре. Благодаря встроенной контекстно-ориентированной подсистеме обработки политик, вариантам с RADIUS, TACACS +, Non-RADIUS, профилированию устройств, оценке устройств, допуску новых устройств в сеть и гостевому доступу ClearPass не имеет себе равных в качестве основы для сетевой безопасности в организациях любого масштаба.
ClearPass Policy Manager доступен как виртуальное и аппаратное устройство и может быть развернут в кластере для повышения масштабируемости и для резервирования.
Варианты аппаратных устройств
• Aruba ClearPass C1000 S-1200 R4 HW-Based Appliance
• Aruba ClearPass C2000 DL20 Gen9 HW-Based Appliance
• Aruba ClearPass C3000 DL360 Gen9 HW-Based Appliance
Варианты виртуальных устройств
• Aruba ClearPass C1000 S-1200 Cx000V VM-Based Appliance
Варианты с бессрочной лицензией
• Доступ к менеджеру политик Aruba ClearPass: 100–10 000 одновременных сессий
Варианты лицензий по подписке
• Доступ к менеджеру политик Aruba ClearPass на 1/3/5 лет: От 100 до 10 000 одновременных сессий
ClearPass Onboard обеспечивает автоматизацию процесса “адаптации” персональных устройств сотрудников на основе Windows, MacOS, iOS, Android, Chromebook и Ubuntu через интуитивный WEB портал пользователя. Настройки сетевого подключения, безопасности и установка уникального цифрового сертификата выполняются автоматически на авторизованном персональном устройстве. Для выписки сертификатов в процессе Onboard в качестве поставщика идентификационных данных могут выступать также и облачные службы Microsoft Azure Active Directory, Google G Suite и Okta.
Варианты с бессрочной лицензией
• Onboard для менеджера политик Aruba ClearPass: 100–10 000 пользователей
Варианты лицензий по подписке
• Onboard для менеджера политик Aruba ClearPass на 1/3/5 лет: 100–10 000 пользователей
ClearPass OnGuard обеспечивает проверку подключенного через БЛВС, ЛВС или VPN абонентского устройства на соответствие корпоративным политикам безопасности и реализует свой функционал как с помощью устанавливаемого на абонентском оборудовании ПО (агентов), так и при помощи web-технологии. Устанавливаемый агент дополнительно позволяет осуществлять непрерывный контроль устройства на предмет нарушения политик.
Варианты с бессрочной лицензией
• OnGuard для менеджера политик Aruba ClearPass: от 100 до 10 000 одновременно отслеживаемых устройств.
Варианты лицензий по подписке
• OnGuard для менеджера политик Aruba ClearPass на 1/ 3/ 5 лет: от 100 до 10 000 одновременно отслеживаемых устройств.
По всем вопросам, связанным с оборудованием HPE Aruba Wi-Fi, обращайтесь к сотрудникам отдела продакт-маркетинга компании Treolan:
