H3C iMC EAD
H3C Endpoint Admission Defense (EAD) представляет собой эффективный и удобный инструмент управления сетевой безопасностью, который служит для активной защиты корпоративных сетей от угроз безопасности со стороны оконечного оборудования пользователей. Основанное на взаимодействии клиентов безопасности, сервера политик безопасности EAD, сетевых устройств и стороннего программного обеспечения, решение EAD применяет политики безопасности к пользовательскому оборудованию для контроля доступа к сети и мониторинга поведения сети.
Решение EAD устраняет проблемы управления оборудованием пользователей, включая несвоевременное обновление системных исправлений и антивирусных баз, использование частных прокси-серверов, незаконный доступ к внешней сети и неправомерное использование запрещенного программного обеспечения. Без развертывания решения EAD в сети предприятия угрозы безопасности могут быстро распространиться, что приведет к потере контроля над инфраструктурой, если уязвимое оконечное оборудование пользователей получит к ней доступ.
Как показано на следующем рисунке, решение EAD разрешает сетевой доступ пользовательскому оборудованию следующим образом:
1. Если пользователь пытается получить доступ к сети, решение EAD сначала проверяет идентификационную информацию пользователя.
2. После проверки информации пользователя решение EAD выполняет аутентификацию безопасности на устройстве пользователя. На основе настроенной политики безопасности проверяются следующие элементы: версия антивирусных баз, системные обновления, программное обеспечение из белого и черного списков, использование USB-накопителей и других периферийных устройств, а также программные и аппаратные ресурсы.
3. Решение EAD авторизует доступные сетевые ресурсы для пользователя на основе результатов проверки безопасности. Если пользователь помещен в зону изоляции, для прохождения аутентификации безопасности он должен устранить уязвимости оконечного оборудования.
4. После того как пользователь проходит аутентификацию безопасности, ему разрешается доступ к корпоративной сети. Решение EAD также проверяет и отслеживает рабочее состояние пользовательского устройства и сетевое поведение пользователя.
Схема работы решения EAD
Сетевая архитектура
Как показано на рисунке ниже, решение EAD включает в себя следующие компоненты:
Клиенты безопасности – при установке на устройства пользователей клиенты H3C iNode инициируют аутентификацию пользователя и выполняют проверку безопасности оконечного оборудования
Устройства для совместной работы в области безопасности – включают коммутаторы, маршрутизаторы и шлюзы VPN. Решение EAD поддерживает различные сетевые архитектуры, поэтому устройства для совместной работы в области безопасности могут быть развернуты на уровне доступа или уровне распределения.
Сервер политик безопасности EAD – назначает политики безопасности клиентам, получает и утверждает результаты проверки безопасности, а также авторизует сетевые ресурсы для клиентов через устройства совместной работы по обеспечению безопасности.
Сторонние серверы — развернутые в зоне изоляции сторонние серверы могут включать в себя сервер обновлений, сервер антивирусных баз и прокси-сервер безопасности. Если пользователь проходит аутентификацию личности, но не проходит аутентификацию безопасности, EAD помещает пользователя в зону изоляции. В зоне изоляции пользователь использует сторонние серверы для устранения уязвимостей безопасности до тех пор, пока не будет выполнено требование политики безопасности.
Сетевая архитектура решения EAD
Особенности и преимущества
Всесторонний контроль доступа
Благодаря всестороннему контролю доступа решение EAD поддерживает методы доступа к LAN, WAN, VPN и беспроводной сети и может быть развернуто в гетерогенной инфраструктуре, содержащей хабы и устройства Cisco. Пользователи могут безопасно получить доступ к сети из любого места, используя любой из этих методов.
Строгая аутентификация личности
Решение EAD поддерживает следующие типы аутентификации личности:
Аутентификация на основе имени пользователя и пароля.
Расширенная проверка подлинности на основе привязки идентификатора пользователя к конкретной информации о пользовательском устройстве (MAC-адрес, IP-адрес и VLAN) или устройстве уровня доступа (IP-адрес и номер порта).
Расширенная аутентификация с помощью интеллектуальных карт и цифровых сертификатов.
Комплексная оценка состояния безопасности
Администратор может настроить политики безопасности, чтобы позволить EAD проверять следующие элементы на пользовательских устройствах для аутентификации безопасности: версию антивирусных баз, обновления исправлений, приложения, статус прокси-сервера, параметры коммутируемого доступа, USB-накопитель, периферийные устройства и ресурсы рабочего стола. Клиенты EAD взаимодействуют с антивирусными продуктами основных производителей, включая Symantec MacAfee, Trend Micro и Kaspersky, и поддерживают продукты высокого класса для обеспечения безопасности настольных компьютеров, среди которых Microsoft SMS, LANDesk и BigFix. При работе EAD с Microsoft SMS система EAD контролирует доступ к сети, а SMS управляет ресурсами, обновлениями исправлений, а также распространением и установкой программного обеспечения в различных средах Windows.
Точный контроль привилегий
После того, как оборудование пользователя проходит проверку безопасности, EAD назначает политику управления доступом для устройства совместной работы в области безопасности на основе роли пользователя устройства. Сетевое поведение пользователя регулируется политикой. С помощью EAD администратор может централизованно управлять пользователями устройств путем настройки следующих параметров: пользовательских VLAN, ACL, прокси-серверов и использования двойного сетевого адаптера.
Гибкая настройка политик безопасности
Администратор может настроить политики безопасности, чтобы позволить EAD применять методику проверки безопасности и режим обработки на основе идентификатора пользователя (например, VIP-гость, обычный гость и сотрудник). Доступные режимы обработки включают следующее: «Мониторинг», «Информирование», «Изоляция» и «Отключение».
Комплексный мониторинг и управление ресурсами рабочего стола и периферийными устройствами
Решение EAD отслеживает использование и изменения аппаратного и программного обеспечения оконечного оборудования, а также управляет ресурсами рабочих столов, управляя конфигурацией ресурсов пользовательских устройств, унифицированным программным обеспечением распространения и удаленным рабочим столом. Оно также управляет USB-накопителями и другими периферийными устройствами, чтобы избежать утечки информации, и отслеживает поведение пользователя при копировании файлов через USB-накопитель.
Легко развертываемые клиенты
Когда пользователь получает доступ к сети, сервер EAD автоматически направляет клиента EAD на устройство пользователя для аутентификации идентификатора и проверки безопасности. EAD обеспечивает сетевую безопасность пользователей, не изменяя их поведение в сети.
Многоуровневая высокая доступность
Функции аварийного переключения без сохранения состояния и горячего резервного копирования позволяют избежать единой точки отказа и прерывания процесса аутентификации. В случае сбоя сервера EAD пользователи могут обойти аутентификацию и получить доступ к сетевым ресурсам.
Расширенное и открытое решение
Расширенная и открытая структура решения EAD помогает существенно экономить инвестиции клиентов. EAD активно и тесно сотрудничает с отечественными и зарубежными поставщиками антивирусных баз данных, операционных систем и продуктов для обеспечения безопасности настольных компьютеров и в полной мере использует их преимущества. Взаимодействие в рамках EAD может быть легко реализовано благодаря использованию стандартных и открытых протоколов.
Сценарии применения
Решение EAD для локальной сети
Как правило, пользовательские устройства получают доступ к сети через корпоративные коммутаторы. Взаимодействие между сервером EAD и коммутаторами выполняет принудительную проверку безопасности антивирусной защиты и системных обновлений, снижая риск распространения вирусов и червей. Для блокировки внутренних угроз безопасности сервер EAD также назначает политики безопасности для доступа пользователей через коммутаторы.
Решение EAD для глобальной сети
Филиалы и партнеры крупного предприятия обычно получают доступ к головному офису предприятия по выделенным линиям или через глобальную сеть. Этот метод доступа может нести существенные риски для безопасности внутренней сети предприятия. Для обеспечения безопасности внутренней сети контроль доступа развертывается на выходном маршрутизаторе сети филиала или на входном маршрутизаторе или шлюзе корпоративной сети. Доступ к внутренней сети могут получить только пользователи, которые имеют легальные идентификаторы и соответствуют требованиям безопасности.
Решение EAD для VPN-доступа
Чтобы мобильные сотрудники и партнеры могли получить доступ к внутренней сети предприятия, EAD взаимодействует с VPN-шлюзом для проверки состояния безопасности оборудования пользователей и назначения политик безопасности после того, как эти пользователи прошли аутентификацию. Если у пользователя не установлен клиент безопасности, администратор может отклонить или ограничить сетевой доступ пользователя.
Решение EAD для сети WLAN
Рост использования беспроводных сетей для доступа к корпоративной инфраструктуре предприятия и количества мобильных пользователей влечет за собой увеличение рисков безопасности. Сервер EAD работает с FIT AP и AC для выполнения принудительной аутентификации личности и проверки состояния безопасности, позволяя пользователям безопасно и быстро получать доступ к сети.
