一、 对比802.1X,“流量镜像及Windows域开发”准入优势:
a. 交换机流量镜像的方式无需在接入交换机配置802.1X 认证,减轻运维成本;
b. Windows AD域底层运行方式,用户无需安装802.1X客户端,终端合规性检测处于无感状态;
c. 通过检测是否加入AD域的方式,验证终端身份,用户无需登录认证;
d. 基于合规性条件动态调控终端网络使用权限,提升入网终端安全性,用户在完成修复后自动恢复到网络,无需重复认证; e. 基于交换机的镜像流量检测,普适于多分支网络架构。
因此,从核心交换机镜像流量,同时基于Windows AD 域检测,网络准入产品(NDACE)主动发现和识别接入网络的终端设备,实时监控运行于网络中的终端,以及时将非合规终端隔离。 方案价值:
a. 发现并识别各种类型的电脑、BYOD及IoT设备; b. 自动检测入网终端合规性,降低人为检查误区;
c. 持续监控运行在网络中的终端合规性,避免周期性扫描的盲点; d. 基于网络策略建立动态防御机制,及时隔离风险性终端; e. 统一安全政策:跨越多分支企业;
f. 可视化终端网络拓扑及上下文,快速定位终端位置,降低终端排障时间;
g. 自动化清点终端网络资产并实时更新终端资产状态。
二、多分支终端及网络准入方案概要
1. 终端身份验证:Windows无客户端检测并采集AD域身份信息
与传统身份认证方式相比,NDACE 主动探测终端AD域身份,采集并记录终端MAC所对应的用户名、用户角色、用户组、邮箱手机号、等用户身份信息。
2.终端合规性检测:Windows无客户端域控检测终端安全项
NDACE基于对Windows 域控的二次开发,在网络层实现对终端的底层的合规性检测,包括是否安装杀毒软件,是否更新30天内的高危漏洞,当前运行的进程等等,整个过程,员工处于无感状态,用户无需安装客户端,同时免除运维人员的安装维护成本,用户体验更好。
3.动态管控:基于合规性条件的动态网络调控
自定义终端合规条件,如是否加入AD域,是否安装Symantec杀毒软件,是否更新30天内高危补丁等。实时检测申请入网及运行于网络中的终端,及时发现非合规终端并对其进行隔离。常用网络调控方式包括Virtual Firewall、Switch VLAN、DACL等。
4、Mac/Linux终端合规性:身份认证+轻量化客户端检测 Mac/Linux电脑因为没有AD域身份,当NDACE检测到终端类型为Mac或Linux终端时,在不符合AD域检测的情况下,为终端提供认证界面,允许终端通过身份认证的方式与终端实现绑定。 同时,在检测是否安装杀毒软件、运行的进程等服务时,要求Mac/Linux终端安装轻量化客户端(User Connector)。总体来说,Mac/Linux在企业的占比较少,所以运维成本相对较低。
5.多分支架构,运维人员如何坐镇总部,指点全局?
由于网络准入产品旁路部署于核心交换机,通过镜像的方式获取终端流量,依据准入条件进行阻断或方行。面向企业多分支架构,部署方式总结总部部署及多分支分别部署两种情况: a.
总部部署:如果企业多分支架构共用一张网络,可以将NDACE
部署于核心交换机以获取全部终端通信流量; b.
多分支部署:如果企业多分支属于独立网络,可以在每一个独
立的网络中进行部署,以达到终端入网动态调控的目的。
总结:对比802.1X方式准入,交换机流量镜像及Windows域开发在部署上无需与接入交换机对接;用户终端基于Windows AD检测,无需安装客户端,整个过程处于无感状态。同时,运维人员无需再为用户安装客户端,节省更多劳动成本,让运维人员有更多的时间做更
有意义的事。本文讲解终端及身份的合规性网络准入的部分使用场景,对于可视化及其他介绍较少。了解更多,可关注节后文章哦!
智能安全接入,从宁盾开始。宁盾成立以来专注于动态密码双因素认证市场,并以技术为导向,于2013年正式上线网络认证系统,形成一体化身份认证与访问管理解决方案。为了应对企业组织、应用的移动化及云发展趋势,宁盾不断创新身份与访问安全管理技术,形成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、统一身份管理与单点登录、网络设备AAA授权管理、大型商业WiFi认证管理等多个产品线于一体的全场景解决方案。
因篇幅问题不能全部显示,请点此查看更多更全内容