Комплексное решение по контролю доступа к сети, которое позволяет организациям эффективно и безопасно контролировать доступ к корпоративным сетям посредством интеграции его с существующими сетевыми инфраструктурами. Система Symantec Network Access Control собирает данные и оценивает состояние соответствия конечных точек, обеспечивает соответствующий доступ к сети, при необходимости исправляет возникшие проблемы и непрерывно отслеживает изменения в состоянии соответствия конечных точек независимо того, каким образом они подключены к сети. В результате этого формируется сетевая среда, которая дает корпорациям возможность существенно снизить количество происшествий, связанных с нарушением безопасности, и обеспечить более высокий уровень соответствия требованиям корпоративной политики безопасности ИТ-инфраструктуры. Система Symantec Network Access Control обеспечивает легкое и рентабельное развертывание и управление средством контроля доступа к сети.
Авторизация конечных точек, а не только пользователей
В современных вычислительных средах организации и администраторы сетей сталкиваются с проблемой предоставления доступа к корпоративным ресурсам для постоянно растущего количества пользователей. В число таких пользователей входят как обычные, так и удаленные сотрудники, а также гости, контрагенты и другие временные работники. Проблема поддержание целостности сетевых сред стала острой, как никогда прежде. Неконтролируемый доступ к сети больше неприемлем для организаций. С резким увеличением количества типов конечных точек и числа самих конечных точек, пытающихся получить доступ к системам организации, перед последними возникла необходимость проверки состояния конечных точек перед предоставления им доступа к ресурсам, а также непрерывной проверки конечных точек после подключения к ресурсам. Система Symantec Network Access Control выполняет проверку конечных точек на соответствие требованиям ИТ-политики перед предоставлением им доступа к корпоративной локальной, глобальной, беспроводной локальной или виртуальной частной сети.
Ключевые преимущества
Организации, внедряющие систему Symantec Network Access Control, получают несколько ощутимых преимуществ. В число этих преимуществ входят следующие: • Замедление распространения вредоносного кода, такого как вирусы, черви, шпионящее ПО и другие виды вредоносных программ, распространяемых злоумышленниками. • Снижение рисков с помощью более совершенной функции контроля неуправляемых и управляемых конечных точек, пытающихся получить доступ к корпоративной сети. • Более высокая готовность сетей и уменьшение вероятности отказа служб для конечных пользователей. • Проверяемая информация о соответствии требованиям организации при помощи данных соответствия конечных точек, получаемых в режиме реального времени. • Минимизация общей стоимости владения благодаря архитектуре централизованного управления корпоративного класса.
Основные особенности
Процесс контроля доступа к сети
Контроль доступа к сети представляет собой процесс, который обеспечивает соответствие установленным требованиям для всех типов конечных точек и всех типов сетей. Это процесс, который начинается перед подключением к сети и продолжается на протяжении всего сеанса до отключения. Как и для всех других корпоративных процессов, политика служит в качестве основы для оценки и принятия мер. Четыре этапа процесса контроля доступа к сети.
1. Сбор данных и оценка конечных точек Сбор данных о конечных точках в момент их подключения к сети, перед предоставлением им доступа к ресурсам. Благодаря интеграции с существующей сетевой инфраструктурой и использованию интеллектуальных агентов администраторы сетей могут быть уверены в том, что новые устройства, подключающиеся к сети, подвергаются оценке в соответствии с минимальными требованиями ИТ-политики. 2. Предоставление доступа к сети Полный доступ к сети предоставляется только после оценки систем и установления соответствия систем требованиям ИТ-политики. Системы, не удовлетворяющие требованиям ИТ-политики или минимальным требованиям к безопасности организации, подвергаются изоляции путем предоставления ограниченного доступа или отказа в доступе к сети. 3. Исправление конечных точек, не соответствующих требованиям
Функция автоматического исправления конечных точек, не отвечающих требованиям, дает администраторам возможность быстро приводить конечные точки в соответствие с требованиями и таким образом изменять доступ к сети. Администраторы могут полностью автоматизировать процесс исправления, сделав его полностью прозрачным для конечного пользователя, или предоставить пользователю информацию об исправлении для выполнения исправления вручную.
4. Профилактический мониторинг состояния соответствия Обеспечение строгого соблюдения политики является постоянной задачей. Поэтому система Symantec Network Access Control осуществляет профилактический мониторинг состояния соответствия всех конечных точек требованиям через промежутки времени, устанавливаемые администратором. Если состояние соответствия конечной точки изменяется, изменяются и ее привилегии доступа к сети.
Поддержка большого числа типов конечных точек
Сети состоят из новых и устаревших корпоративных систем, систем контрагентов, систем гостей, публичных точек доступа, систем деловых партнеров и неопределенного количества систем неизвестных типов. Администраторы часто имеют ограниченную возможность (или не имеют никакой возможности) контролировать это многообразие конечных точек, однако в то же время они должны обеспечивать безопасность и готовность сети. Система Symantec Network Access Control позволяет организациям применять процесс контроля сетевого доступа к устройствам — управляемым или неуправляемым, устаревшим или новым, известным или неизвестным.
Развертывание в любой сети
Обычные корпоративные пользователи подключаются к сети с помощью нескольких методов доступа, поэтому администраторы должны обладать гибкостью для выполнения согласованной оценки и контроля подключения независимо от типа подключения. Являясь одним из самых совершенных решений по контролю доступа к сети на современном рынке, система Symantec Network Access Control помогает администраторам сетей активно реализовывать соответствие требованиям посредством капиталов, уже вложенных в сетевую инфраструктуру, не требуя при этом модернизации сетевого оборудования. Независимо оттого, каким из вариантов пользуется организация: будь то один из комплексов Symantec Network Access Control Enforcers, которые интегрируются непосредственно с сетью, вариант, при котором обеспечивается соответствие только хоста и не требуется интеграция с сетью, или самоликвидирующийся (dissolvable) агент, интегрированный в среду веб-приложений, организация может быть уверена в том, что в момент получения доступа к корпоративной сети конечные пользователи и конечные точки всегда соответствуют требованиям.
Архитектура Network Access Control
Так как безопасность ИТ-инфраструктуры необходимо обеспечивать, начиная с конечной точки, архитектура системы Symantec Network Access Control включает в себя три базовых компонента: управление политикой, оценку конечной точки и обеспечение соответствия требованиям при доступе к сети. Все три компонента функционируют как единое решение, не требуя никаких внешних функциональных элементов.
Централизованное управление политикой и отчетность
Самым главным условием эффективного функционирования любого решения является консоль управления корпоративного класса. Symantec Sygate™ Policy Manager обеспечивает консоль на основе технологии Java™, которая позволяет централизованно создавать, развертывать, управлять и составлять отчеты о деятельности агентов и Enforcer. Этот диспетчер политики способен масштабироваться под самые требовательные среды в мире и обеспечивать гибкий контроль всех административных задач в архитектуре с высокой степенью готовности.
Оценка конечной точки
Решение по контролю доступа к сети обеспечивает защиту сети от вредоносного кода и неизвестных или неавторизованных конечных точек и в то же время позволяет проверять правильность конфигурации подключающихся к сети конечных точек для обеспечения защиты этих точек от Интернет-атак. Независимо от конечной цели, процесс начинается с оценки конечной точки. В то время как проверка на наличие защиты от вирусов и шпионящего ПО, а также на наличие установленных исправлений является частью общих минимальных требований, которым должна соответствовать конечная точка для получения доступа к сети, большинство организаций быстро повышают строгость требований после развертывания начального решения по контролю доступа к сети. Система Symantec Network Access Control предлагает три усовершенствованных технологии оценки конечных точек для определения соответствия конечной точки.
Постоянные агенпы
В корпоративных и других управляемых системам используются агенты, устанавливаемые администраторами, для определения состояния соответствия требованиям. Они также отвечают за проверку на наличие защиты от вирусов и шпионящего ПО, установленных исправлений, а также сложных характеристик состояния систем, таких как записи реестра, запущенные процессы и атрибуты файлов. Постоянные агенты обеспечивают сбор самой подробной, точной и надежной информации о состоянии соответствия системы, в то же время предлагая самые гибкие функции исправления и восстановления при оценке.
Самоликвидирующиеся агенты
Для устройств, не принадлежащих корпорации, или систем, которые в настоящее время не управляются администраторами, используются агенты на основе технологии Java™, которые доставляются по требованию, не имеют привилегий администратора и служат для оценки состояния соответствия конечных точек. По завершении сеанса эти агенты автоматически удаляются из системы.
Удаленная проверка на наличие уязвимости
Функция удаленной проверки на наличие уязвимостей обеспечивает сбор информации о соответствии требованиям и передает ее инфраструктуре обеспечения соответствия Symantec Network Access Control. Эта информация основывается на результатах удаленной проверки на наличие опасных уязвимостей с помощью Symantec Network Access Control Scanner. Функция удаленной проверки предоставляет возможность сбора информации системам, для которых в настоящее время отсутствуют технологии на основе агентов.
Обеспечение соответствия
Сетевая среда каждой организации уникальна, поэтому не существует единого метода обеспечения соответствия требованиям, который позволял бы эффективно контролировать доступ ко всем точкам в сети. Решения по контролю доступа к сети должны быть достаточно гибкими для того, чтобы можно было без труда интегрировать в существующую среду несколько методов обеспечения соответствия требованиям, не вызывая дополнительных расходов на управление и техническое обслуживание. Система Symantec Network Access Control позволяет выбрать наиболее подходящий метод обеспечения соответствия для каждой части сети, не усложняя при этом процесс эксплуатации и не вызывая дополнительных расходов. Каждый из методов обеспечения соответствия требованиям на основе сети может поставляться как программное обеспечение или программно-аппаратный комплекс.
LAN Enforcer — 802.IX
LAN Enforcer представляет собой решение внеполосного доступа по протоколу 802.IX RADIUS, которое работает с коммутаторами всех основных производителей, поддерживающими стандарт 802.IX. LAN Enforcer может стать частью существующей архитектуры управления идентификацией ААА (аутентификация, авторизация и учет), которая проверяет подлинность пользователей и конечных точек или функционирует как независимый протокол RADIUS для сред, требующих только проверку состояния соответствия конечной точки. Оборудование LAN Enforcer предоставляет или отказывает в доступе к порту в зависимости от результатов проверки подлинности подключенных конечных точек.
DHCP Enforcer
DHCP Enforcer внедряется в автоматическую линию между конечными точками и существующей инфраструктурой службы DHCP и действует как прокси-сервер DHCP. Всем конечным точкам, приведенным в соответствие с требованиями, предоставляется ограниченная аренда DHCP то тех пор, пока не будет проверено соответствие требованиям политики, после чего им предоставляется новая аренда DHCP. Интеграция DHCP Enforcer с сервером Microsoft DHCP Server позволяет быстро развертывать решение по контролю доступа к сети без необходимости установки дополнительного сетевого оборудования.
Gateway Enforcer
Gateway Enforcer является интегрируемым устройством, обеспечивающим соблюдение требований, которое используется в узких местах сети и контролирует проходящий поток данных на основе состояния соответствия удаленных конечных точек требованиям политики. Независимо оттого, где находятся узкие места: в соединительных узлах в сети периметра, например связях глобальной сети или виртуальных частных сетях, или во внутренних участках, получающих доступ к критически важным бизнес-системам, Gateway Enforcer эффективно обеспечивает контролируемый доступ к ресурсам и работу служб исправления.
Самостоятельное обеспечение соответствия
Технология самостоятельного обеспечения соответствия реализует функции брандмауэра на основе хоста в агенте Symantec™ Protection Agent для регулировки местных правил, регламентирующих деятельность агентов, в соответствии с состоянием соответствия конечной точки. Это позволяет администраторам контролировать доступ к любой сети, подключенной к корпоративной сети или работающей независимо от нее, для таких устройств, как портативные компьютеры, которые постоянно перемещаются между несколькими сетями.
Cisco Network Admission Control и Microsoft Network /Access Protection
Symantec Network Access Control не только обеспечивает полный набор функций контроля, не требуя развертывания внешних решений, но также интегрируется с другими технологиями контроля доступа к сети и помогает усовершенствовать их. Администраторы системы безопасности могут быть уверены в том, что благодаря этому решению они получают полный контроль над доступом независимо от метода обеспечения соответствия.
Symantec Network Access Control 11.0 securely controls access to corporate networks, enforces endpoint security policy and easily integrates with existing network infrastructures. Regardless of how endpoints connect to the network, Symantec's award-winning network access control solution discovers and evaluates endpoint compliance status, provisions the appropriate network access and provides automated remediation capabilities.
Key Features Blocks or quarantines non-compliant devices from accessing the corporate network and resources. Hosts Integrity tests against pre-defined templates such as patch level, service packs, antivirus, and personal firewall status, as well as custom created checks tailored for the enterprise environment. Provides pervasive endpoint coverage for managed and unmanaged laptops, desktops, and servers existing both on and off the corporate network. Provides a seamless integration with Symantec Endpoint Protection 11.0.
Key Benefits Reduced propagation of malicious code such as viruses, worms, trojans, spyware, and other forms of malware. Greater network availability and reduced disruption of services for end-users. Verifiable, organizational compliance information through near real-time endpoint compliance checking. Verification of endpoint security investments such as antivirus and client firewall being properly enabled.
Symantec Network Access Control Client Software: Operating system requirements: Windows 2000 Professional / Server / Advanced Server / Datacenter Server / Small Business Server — with SP3 or greater Windows XP Home / Tablet PC / Media Center 2002 / Professional / Professional x64 — with SP1 or greater Windows Vista Home Basic / Home Premium / Business / Enterprise / Ultimate — 32-bit or x64 edition Windows Server 2003 Standard / Enterprise / Datacenter / Storage / Web / Cluster / Small Business Server — 32-bit or x64 edition Windows 2008 Server – 32 bit or x64 edition Other software requirements: Terminal Server clients connecting to a computer with antivirus protection have the following additional requirements: Microsoft Terminal Server RDP (Remote Desktop Protocol) client Citrix Metaframe (ICA) client 1.8 or later if using Citrix Metaframe server on Terminal Server Internet Explorer 6.0 or later Hardware: RAM requirements: 256 MB minimum Hard Drive requirements: 600 MB (32-bit), 700 MB (x64) Super VGA (1024x768) or higher-resolution video adapter and monitor