宁盾终端准入(NAC)发现并识别企业业务范围内的一切IP终端,可视化统筹企业终端资产,快速定位终端位置及安全状态,通过“自动识别与检测”、“准入安全与自动隔离”、“第三方联动与安全信息共享”,为企业构筑终端可视化、管理自动化的安全准入平台。
企业为什么需要终端准入管理?
越来越多的物联网及互联网OT设备向基于IP的IT世界转型,本地应用云迁移、公有云业务的引进,企业内网开始对外开放接口。WiFi覆盖面积扩大,BYOD、访客终端进入企业而无法可见。IoT终端量大但因操作系统简单而易受攻击。传统网络安全管理赶不上终端及业务的变化,以内外网边界为核心的网络安全保护无法跟上迅速发展的移动化及物联网趋势。最终导致越来越多未知、不安全的终端在企业网络中运行。
对此企业需要:
发现并识别接入企业的一切IP终端; 终端入网检测,确保只有合规的终端才能进入网络; 实时检测企业网络中终端的合规性,快速定位问题终端并对其进行自动处理或通知至管理员; 通过可视化及自动化对企业终端业务进行自动化运维及管理。
以主动防御为主的终端可视化安全准入
无论是已经长期进行安全维护的电脑终端还是处于安全维护摸索状态的IoT终端,面向肆意泛滥的互联网攻击,主动防御才是有效手段。与传统内网网边界防御相比,宁盾终端准入可视化终端及其安全状态。在不改变网络架构的基础上,宁盾终端准入引擎(ND ACE)+电脑客户端(User Connector)主动检测入网终端的合规性,快速定位问题终端并将其自动隔离至安全区,以确保只有合规的终端才允许进入网络。
发现并识别一切IP终端
宁盾终端准入发现并识别接入网络中的一切IP终端资产,从办公到数据中心再到云及生产设备,以主动识别为主,其终端类型库可增加终端识别的精准度。ND ACE识别越来越多的电脑、手机、服务器、瘦客户端、网络设备、摄像头等IoT终端,并以可视化界面的形式呈现于管理平台,帮助企业解决终端不可见、数量不可知,终端资产管理难的问题。
网络资产拓扑可视化
直观展示终端上下游结构,快速定位终端与路由器、交换机、AC、AP、端口等的上下游拓扑关系。统计一个交换机上连接了多少AC和AP,每个AP上连接了多少IoT,并将其直观的展示出来,帮助企业合理化布局终端、快速定位及跟踪终端在拓扑中的位置等,让运维在海量的终端资产中快速找到对应的终端。
终端及业务模型可视化
根据企业实际情况自定义企业业务,并基于业务实现终端的自动划分和归类,可视化企业的不同区域、不同产线、不同职级、不同终端的业务模型的终端资产分配,绑定用户与终端资产的分配情况,帮助企业发现非合规、存在安全风险的终端、监控访问某重要资源的终端、监控损坏停止运行的IoT终端等。
终端安全及准入控制
1、实时检测:宁盾终端准入解决方案提供无客户端检测及客户端检测两种方式。客户端检测用于精细化程度较高、教易受安全攻击的电脑,面向所有操作系统,提供windows32/64位、Linux32/64位、Mac OS系统客户端。其他终端采用Nmap+User Agent主动探测终端安全合规性,以确保自动筛选出不合规非合法终端。
2、安全隔离:根据控制策略(IP地址段、MAC地址、MAC地址列表、终端类型、角色类型、补丁状态、杀毒软件状态、运行的进程、非合规软件、合规软件、域身份…),检测终端的合规性,通过虚拟防火墙、VLAN、IP地址段、业务标签等队非合规终端进行自动隔离或告警至管理员。
3、第三方联动:宁盾终端准入与杀毒软件(赛门铁克、360杀毒)、桌管工具(LANDesk)、文件加密工具(IP-Guard)等联动,实现终端准入与病毒防御、补丁修复、文档管理、加密管理的一体化安全管理,帮助企业建立高度融合统一的网络管理环境。
终端准入常见场景化解决方案
一、网络准入之:用户与终端的双重信任
受移动化影响,BYOD和访客终端开始进入企业网络,为提升企业网络对终端及用户身份的信任,宁盾为企业提供身份认证与终端准入整体解决方案,确保只有用户身份及终端同时合规的情况下才允许进入企业内网。
1、入网身份认证:提供Portal用户名密码认证、802.1X认证、PC+企业微信扫码免密认证及双因素账号密码加固方案;
2、客户端检测:对windows、mac、Linux操作系统的所有终端进行检测:
检测终端是否安装杀毒软件,杀毒软件是否运行,病毒库是否过期; 检测终端补丁版本是否更新,预防黑客利用补丁漏洞对终端发起的攻击; 检测终端是否安装了企业必须的应用,是否安装了非合规应用; 检测终端是否运行着大型网游占用网络带宽; 检测终端是否开启虚拟热点,私接其他终端;检测终端U盘是否合规,防止文件通过U盘泄漏等等;
3、准入控制:认证未通过的用户只允许使用外网,对认证通过但检测不合规的自动隔离至安全网段,直到自动修复或员工手动修复后才允许进入企业安全领域,确保只有在用户及终端双重合规的情况下才允许访问企业内网。
4、 实时防护:实时检测入网终端的合规性,防止非法U盘拷贝企业终端资料,防止非法热点、私接路由对企业网络的影响,与第三方安全及应用工具联动,对终端进行软件推送,降低运维劳动力的同时整合企业安全管理资源。
二、终端准入之:IoT(哑终端)安全准入
随着物联网的急剧膨胀,预计2020年,全球将有270亿终端,其中100亿活跃于企业网络。IoT的增长速度远超过网络安全产品的迭代速度。IoT功能简单,操作系统单一,不适合安装大型杀毒软件,绝大部分IoT终端处于未被保护或简单MAC地址认证阶段。 因此黑客可以通过伪造MAC地址、IP地址轻松攻克IoT终端,进而感染整个网络。
宁盾终端准入从端的角度出发,发现并识别企业的一切终端,除IP/MAC地址外,检测IoT 终端的终端类型、生产厂商,并以此作为条件,对该区域内终端进行过滤,排除伪造IP/MAC地址的威胁。
三、通过可视化拓扑防私接(非法路由、万能钥匙、虚拟网卡)
在企业移动化进程中,员工私开热点、私接路由屡禁不止,严重影响着企业资产安全,导致网络资源被分散,员工上网速度慢,还可能因非正规错误连接导致网络瘫痪和增加网络资产泄漏的风险。
1、防私接热点:宁盾终端准入通过给电脑端安装客户端,检测电脑是否开启虚拟网卡,并对该功能进行自动阻断;
2、防路由器私接:根据私接路由的桥接特性:一个IP上会出现多个终端类型,以此为条件,对此类型终端进行过滤,并将其归类到防私接业务模块。如图,该IP终端检测到操作系统类型包括iOS、windows、Mac OS,即可将其归为私接设备。
3、快速定位私接路由的位置:借助网络拓扑的实时可见及终端定位功能,快速找到私接设备的位置,并对其进行拆除。
四、通过终端可视化拓扑快速定位受DDos攻击的终端
盗版软件的安装、无意浏览的网站均可能造成终端中病毒而发起对网络其他设备的攻击,最常见的便是当某台内网终端被非法控制后,不断向企业其他IP资产发起攻击,试图通过密码轮训破解企业账号密码以获取更高价值信息。对此,宁盾可视化视图监控终端流量及数据包,帮助企业找出攻击源,借助网络拓扑快速定位终端位置,降低此类排障成本。
宁盾终端准入适用于中大型企业办公、科技型物联网创新企业、智能生产制造等领域,通过可视化及自动化,帮助企业快速有序统筹终端资产,检测用户及终端安全,提升企业对身份及终端的双重信任。
来源:freebuf.com 2018-11-20 11:57:16 by: 宁盾nington
请登录后发表评论
注册