受移动化影响,每时每刻,不同终端在企业内网与外网之间进进出出,这些终端是否是企业授权的?安全是否合规?由谁在使用?大部分企业对此束手无策。尽管企业大多数研发使用Linux/Unix终端,但市面上对于Linux终端的合规性检测及网络准入控制产品则是少之又少,导致Linux终端基本处于无人管理状态。
Linux电脑如何管理,如何在入网的时候排除非合规终端?
首先实现终端资产可视化;
入网身份认证,绑定用户身份与终端行为;
终端入网合规性检测、安全隔离;
入网自动化分类及实时检测;
可视化网络拓扑,帮助企业合理分配网络资源;
1、终端入网可视化
宁盾终端准入(NAC)在不改变网络架构的基础上,旁挂于核心交换机,主动探测入网的一切终端,通过直接或折叠的方式直观的方式展示于终端准入控制中台,实现终端可视化管理。
更多折叠信息
终端网络信息:MAC地址、IP地址、认证账号、域账号、终端类型、数据包、流量、首次入网时间、最后离网时间、网络来源;
Linux电脑基础信息:终端类型、操作系统、功能及作用、CPU占用率、剩余内存、总内存;
终端安全信息:是否安装客户端、补丁版本是否更新、是否安装杀毒软件、病毒库是否过期、安装了那些应用、运行着那些应用等。
2、终端入网身份认证,绑定用户身份与终端行为
随着WiFi覆盖面积扩大,万能钥匙、虚拟热点等致使接入网络的身份不受控制,再加上WPA2认证使用同一个账号和密码,企业无法将接入网络的终端与身份进行匹配,更无法根据用户审计上网行为。因此,规范化入网流程,确保用户只有在完成认证后才允许接入企业网络,同时通过MAC地址绑定用户身份与终端,防止非法访问的接入。
员工认证:宁盾为员工提供Portal账号密码认证及802.1X认证,同时为弱账号密码隐患提供账号密码加固方案;更多访客认证可咨询:宁盾网络认证方案
3、Linux客户端合规准入
客户端安全检测:因为Linux系统主要面向研发,不像windows那样有统一的AD域管控方式,所以只能通过安装客户端的方式来检测Linux终端的合规性。面向Linux系统宁盾客户端(User Connecter)提供32位/64位客户端。基于“主动防御”检测电脑是否安装杀毒软件、是否安装企业必须的应用,补丁版本是否更新等等;
自动安全隔离:根据终端类型、杀毒软件安装及运行状态、补丁更新状态、合规应用、非合规应用、是否认证、是否安装客户端、MAC地址列表、IP地址、IP地址段及自定义标签检测入网终端的合规性,并通过虚拟防火墙、VLAN等方式将非合规终端隔离至安全区;以排除BYOD、非企业授权终端以及安全状态不合规的终端等。
4、入网自动化分类及实时检测
根据企业业务自定义标签,实时检测终端的实际情景条件实现其动态分类匹配及过滤;
比如根据职能网段划分:生产、办公、数据中心;
根据网络资源IP划分:允许访问JIRA的终端组、允许访问Confluence的终端组等;
通过实时检测终端的合规性,及时将非合规终端归类到非合规终端组中,通过自动化运维提升企业运维效率。
5、可视化网络拓扑,帮助企业合理分配网络资源
通过可视化网络拓扑,查看每个交换机上连接了那些AC和AP,每个AP上连接了多少终端等,帮助企业实现合理的分配网络资源,优化老旧过度使用的网络设备,减少不必要的终端浪费。
通过可视化及自动化,宁盾终端准入(NAC)帮助客户发现接入企业的一切终端,并排除BYOD、访客终端及非合规的终端,结合一体化身份认证,实现企业对入网终端及身份的双重信任。
来源:freebuf.com 2018-11-17 18:47:06 by: 宁盾nington
请登录后发表评论
注册