受移动化影响,每时每刻,不同终端在企业内网与外网之间进进出出,Mac电脑在企业的占比更是逐年增加。但这些终端游谁在使用?终端安全性状态如何?大部分企业仍采用以防火墙为中心的内外网安全防护,对终端身份及安全合规性一无所知。宁盾新一代终端准入(NAC)基于Forrest的“Zero Trust Model”,不信任访问企业业务的任何终端,直到终端完成身份与终端合规性校验。为此,宁盾提供为Mac电脑专门定制了Mac OS客户端,用于检测Mac电脑是否更新补丁版本,是否安装企业合规应用等等。
常见解决方案:
• 通过可视化发现并识别访问企业业务的所有IP终端;
• 入网身份实名认证;
• Mac客户端合规性安全检测;
• 终端准入控制示例:以“是否更新补丁版本”做为Mac电脑终端准入的条件;
• 软件推送;
• U盘管控;
• 防私接;
• 网络拓扑可视化。
1、可视化网络资产管理
主动发现并识别接入网络的一切终端,识别终端MAC地址、IP地址、用户身份、终端类型、操作系统等信息。配合宁盾客户端(User Connecter)识别Mac OS电脑CPU占用率、内存、剩余内存、是否安装杀毒软件、补丁更新状态、安装了哪些应用及运行着哪些应用等。
更多折叠信息
终端网络信息:MAC地址、IP地址、认证账号、域账号、终端类型、数据包、流量、首次入网时间、最后离网时间、网络来源;
Linux电脑基础信息:终端类型、操作系统、功能及作用、CPU占用率、剩余内存、总内存;
终端安全信息:是否安装客户端、补丁版本是否更新、是否安装杀毒软件、病毒库是否过期、安装了那些应用、运行着那些应用等。
2、入网身份实名认证
传统WPA2网络认证方式,大家使用同一个账号密码,不但密码容易泄漏,更无法实现基于用户身份的上网行为管理。结合宁盾网络认证解决方案,为员工提供Portal用户吗密码认证、802.1x认证等身份认证方式。
3、Mac客户端合规性检测
宁盾Mac OS客户端(User Connector),用于检测Mac终端是否安装客户端、补丁是否更新、是否安装企业合规应用,是否运行了大型网游等,并通过终端类型、补丁状态、合规性应用等控制策略,通过防火墙、Vlan等方法及时将BYOD、非合规终端等自动排除内网。(以合规应用LANDesk为例,对没有安装该应用的终端进行隔离。)
检测到终端含有未更新的补丁:
4、终端准入控制示例:
以“是否更新补丁版本”做为Mac电脑终端准入的条件
检测:以“是否更新补丁版本”为例,主动检测Path项目是否更新30天以内的补丁;
控制:根据监测结果,自动将已更新补丁的Mac电脑调控至企业正常网络;
隔离:同时将没有更新补丁的Mac电脑自动过滤至外网。
同时还可将是否安装企业必须的应用等作为终端合规的准入条件。
5、告警提示
对于没有更新补丁或不符合合规条件的终端给予告警提示,并交由员工自动更新或由运维人员远程协助完成。
6、U盘安全管控
• 主动检测U盘序列号(识别码)防止非授权U盘接入企业终端;
• 控制U盘的读写状态:禁止读写、只读不可写入、可读写操作。
7、防私接
• 虚拟网卡防私接:基于虚拟网卡自动检测终端是否开启热点或是否使用万能钥匙,并对开启虚拟网卡的终端进行自动隔离及断网;
• 防私接路由:通过User Agent扫描终端操作系统,检测终端操作操作系统类型,对多余1个操作系统的终端进行安全过滤及管控。
8、网络拓扑可视化
通过可视化网络拓扑,查看每个交换机上连接了哪些AC和AP,每个AP上连接了多少终端等,帮助企业实现合理的分配网络资源,优化老旧过度使用的网络设备,减少不必要的终端浪费。
同时还可快速定位终端位置,帮助运维人员解决非自动化终端问题,比如摄像头等IoT设备。
基于“零”信任安全架构,宁盾新一代终端准入控制不信任未经检测就访问企业业务的一切终端。通过可视化及自动化“检测-控制-隔离”非合规终端,实现企业对终端身份及安全合规的双重信任。
来源:freebuf.com 2019-01-31 19:18:28 by: 宁盾nington
请登录后发表评论
注册