Smart Network Access
Größe: px
Ab Seite anzeigen:

Download "Smart Network Access"

Transkript

1 Smart Network Access Intelligente Zugriffskontrolle und sicherer Netzwerkzugang für Personen und Geräte

2 Wieso Smart Network Access? Nach wie vor steigt in den Unternehmen die Anzahl und die Vielfalt der netzwerkfähigen Endgeräte. Mit dem Internet der Dinge werden in Zukunft vermehrt auch Maschinen, Geräte oder die Haustechnik mit dem Firmennetzwerk verbunden sein. Hatte die IT-Abteilung früher dafür Sorge zu tragen, dass nur firmeneigene Geräte einen performanten und sicheren Netzzugang erhielten, so kommen heute die mobilen Geräte der Mitarbeiter, Gäste und Lieferanten hinzu. Dies erhöht den Verwaltungsaufwand und wirft Sicherheitsfragen auf: Wer erhält von wo aus Zugriff auf das Unternehmensnetzwerk? Wie werden die Zugriffs-Berechtigungen für private Geräte eingeschränkt? Wer stellt sicher, dass Zugriffs-Berechtigungen ausscheidender Mitarbeiter zeitnah gelöscht werden? Wie kann der Verwaltungsaufwand für zeitlich beschränkte Zugänge reduziert werden? Um den hohen Anforderungen an Sicherheit und die Einhaltung von Richtlinien trotz des stetig steigenden Kostendrucks gerecht zu werden, gehen immer mehr Unternehmen dazu über, eine automatisierte Netzwerk-Zugangskontrolle einzuführen.

3 Typische Problemstellungen in der Praxis Gäste, Partner, Kunden, Lieferanten... benötigen einen temporären und kontrollierten Internet-Zugriff. Dieser sollte ohne Verwaltungsaufwand gewährt werden können, aber trotzdem missbrauchssicher und gesetzeskonform sein. Private Geräte der Mitarbeiter... benötigen Zugriff auf Internet, /Kalender oder Datenverzeichnisse, ERP-Systeme sowie Unternehmens-Datenbanken. Die Umsetzung einer sicheren BYOD-Strategie, die von den Mitarbeitern selbständig verwaltbar ist, stellt eine grosse Herausforderung an die IT dar. Firmeneigene Endgeräte... sollen über mehrstufige, meist zertifikatsbasierte Methoden Zugriff erhalten, welche sowohl Personen als auch Geräte authentifiziert (802.1x). Erfolgreich authentisierte Geräte werden den entsprechenden VLANs zugewiesen. Nicht alle Geräte... wie z.b. Drucker und medizinische Geräte unterstützen 802.1x. Für diese eignet sich eine MAC-basierte Zugangskontrolle mit einer automatischen Zuweisung in dedizierte VLANs. Diese ist mandantenfähig und verfügt über Schnittstellen zu CMDB/Inventarsysteme. Mitarbeiter, Lieferanten, Berater... benötigen einen nachvollziehbaren Remote Zugriff auf Teilbereiche des Firmennetzwerkes. Dafür möchte man keine internen Accounts vergeben, sondern eine losgelöste Administration einsetzen. Computer mit virtuellen Maschinen... sowie an Unmanaged Hub/Switches oder an IP-Telefone angeschlossene Rechner benötigen besondere Authentisierungsverfahren, damit jedes (virtuelle) Gerät dem entsprechenden VLAN zugewiesen wird.

4 Lösung Smart Network Access ist eine hoch flexible und einfach zu bedienende Gesamtlösung, die hohe Sicherheitsanforderungen erfüllt und administrative Arbeiten weitestgehend automatisiert. Sie besteht aus den Komponenten Macman, MPP und dem Sponsoring/Device Portal. User / Device Management Manage Guest Accounts Manage My Devices Manage Equipment Data-Center macman Authentication Server IEEE 802.1x MAC Authentication Bypass Sponsor / Device Portal wired Intranet wireless mpp Authentication Gateway Captive-Portal Router Firewall QoS DMZ Macman ist ein Radius-Server, der Geräte authentisiert und dynamisch einem Netzwerksegment (VLAN) zuweist. Die Nutzung privater Geräte lässt sich individuell steuern wie die erlaubte Anzahl, automatische Löschung der Zugangsberechtigung und viele weitere Kriterien. MPP ist ein Captive-Portal/Router/Firewall/Content-Filter, der für die Web-Authentisierung von Gästen und für die Einhaltung der rechtlichen Anforderungen zuständig ist. Beim Sponsoring/Device Portal handelt es sich um eine mandantenfähige Web-Applikation im Intranet, mit der Mitarbeiter Guest Accounts erstellen, ihre privaten und die firmeneigenen Geräte administrieren können. Alle drei Komponenten synchronisieren sich automatisch, damit einmal erkannte Geräte/Personen später auch über andere Verfahren authentisiert werden können.

5 Sicher und trotzdem flexibel Andere NAC Lösungen funktionieren nach dem Alles oder Nichts -Prinzip. Dies bedeutet, dass ein Netzwerkzugriff entweder ganz oder gar nicht gewährt wird. Dagegen wendet Smart Network Access von CloudGuard ein dynamisches Verfahren an, das jeder Person je nach Zugriffsort und verwendetem Gerät genau so viel Zugriff gewährt, wie die konkrete Situation Vertrauen verdient. Who are you? Where you can go Authenticate the user (Certificates, Passwords, SSO) Source based Routing Access control lists (ACL) Where are you? DEFINES What you can do Access Location (wireless, wired, VPN) Firewall Content Filter What device are you on? The Service Level you receive Secure Device Protected Container (MDM) Private Device (BYOD) Public Device (e.g. Internet Station) Quality of Service (QoS) Bandwidth Management Nachfolgende Szenarien wären denkbare Regeln für einen sicheren Zugriff auf Ihr Unternehmensnetzwerk: Szenario 1 Szenario 3 Verwenden Mitarbeiter unternehmenseigene Geräte auf dem Firmengelände, wird ihnen der volle Zugriff gewährt. Den Gästen und Besuchern wird ein kontrollierter Public WLAN Service mit SMS Authentisierung zur Verfügung gestellt. Wer Authentisierter Mitarbeiter Firmengelände Wo Womit Firmeneigenes Gerät Voller Zugriff Wer Gast Wo Firmengelände Womit Privates Gerät Kontrollierter Internet-Zugang Szenario 2 Szenario 4 Verwenden Mitarbeiter unternehmenseigene Geräte ausserhalb des Firmengeländes, kann der Zugriff eingeschränkt werden. Unpersönliche Geräte wie Maschinen, Drucker, medizinische Geräte usw. werden automatisch den entsprechenden VLAN resp. Sicherheitszonen zugeführt. Wer Authentisierter Mitarbeiter Wo Ausserhalb Firmengelände Womit Firmeneigenes Gerät Wer Unbekannt Wo Firmengelände Womit Unpersönliches Gerät Eingeschränkter Zugriff Funktionell nötiger Zugriff Smart Network Access von CloudGuard gewährt jeder Person, je nach Verwendungsort und benutztem Gerät den passenden Netzwerkzugriff.

6 Die Produkte von CloudGuard als ideales Add-on zu vorhandenen Umgebungen Viele Kunden setzen bereits Sicherheitslösungen namhafter Hersteller ein, sind aber mit der Komplexität der Verwaltung dieser Produkte unzufrieden. Oder aber es fehlen wichtige Funktionen wie z.b. Self-Registration, einfaches Onboarding oder die Compliance mit den lokalen Gesetzen. Aus diesen und vielen weiteren Gründen bieten CloudGuard Zusatzprodukte einen Mehrwert zu Ihrer bestehenden Installation: CloudGuard Add-on zu Ihrem Guest Access Einfache Selbst-Registration via SMS-Authentisierung Mehrstufige Authentisierung (z.b. Passwort und SMS) Bezahl-Zugänge (Voucher, Kreditkarte, Anbindung an Social Media Plattformen) Beliebige und je nach Standort unterschiedlich gestaltbare Landing-Pages (z.b. für lokale Infos, Werbung) Automatisches Wiedererkennen des Gastes (kein Mehrfach-Login) Mandantenfähiges User-/Device-Management mit individuellen Berechtigungen Frei definierbare QoS-Profile je nach Besucher-Typ (VIP, normaler Gast usw.) Trennung der Datenhaltung für externe und interne Accounts Integration in kundenspezifische Datenbanken (Klinik-Informationssysteme, Hospitality Solutions wie Amadeus, Fidelio etc.) Erfüllung der lokalen gesetzlichen Anforderungen (Bakon, ÜPF) Dezentrale Satelliten (für Filialen) CloudGuard Add-on für Ihre BYOD Strategie Einfachere Passwort-Generierung für die privaten Geräte ohne Installation von Apps oder Zertifikaten Keine internen (AD) Credentials auf privaten Geräten (security) Keine Mehrfach-Logins nötig (automatisches Re-Connect) Saubere Trennung (Verwaltung und Datenspeicherung) der unsicheren Geräte von den internen kontrollierten Geräten (wie Laptops, PCs) Limitierung der Anzahl erlaubter Geräte pro Mitarbeiter Automatisches Sperren von Geräten bei Austritt eines Mitarbeiters Automatischer Abgleich mit Inventurdatenbanken und CMDB (z.b. für Geschäftshandys, Tablets, medizinische Geräte usw.) Intuitiv bedienbare Oberfläche zur Verwaltung der privaten Geräte Höchste Benutzerfreundlichkeit CloudGuard Add-on für die Verwaltung interner Geräte Einfache mandantenfähige Delegation der Geräte-Administration an Departemente und Kunden 802.1x, MAC Authentication Bypass (MAB) und Web-Authentication möglich Einfaches On-Boarding aller Geräte (WLAN und Festnetz) Automatische Zuweisung der Geräte in entsprechende VLANs oder Security-Zonen Multi-Authentication (für IP-Tel/PCs, Hubs und PC mit VMs) Automatischer Abgleich mit Inventurdatenbanken und CMDB (z.b. für Geschäftshandys, Tablets, medizinische Geräte usw.) Umfangreiche Auswertungs- und Monitoring-Möglichkeiten

7 Vorteile von Smart Network Access von CloudGuard Sie gehört zu den flexibelsten Network Access Control-Lösungen auf dem Markt und wird den spezifischen Bedürfnissen unserer Kunden entsprechend ständig weiterentwickelt. Credit Card Voucher MAC/WEB/SMS Es werden alle gängigen Authentisierungsverfahren unterstützt: 802.1x, MAC-Authentication, Web-Authentication, SMS-Authentication, Voucher, Kreditkarte usw. Sie lässt sich optimal in bestehende Umgebungen integrieren: Durch Einbindung von Active Directory, LDAP- oder Radius Server sowie benutzerspezifische Datenbanken etc. können User-Daten automatisch übernommen werden. Minimaler Aufwand für die Verwaltung von Geräten, Gästen, externen Mitarbeitern etc. durch mandantenfähige Delegation der Administration und verschiedene Self-Service Möglichkeiten. Die Kontrolle bleibt beim Netzwerkverantwortlichen, indem durch umfassende Logging-Möglichkeiten jederzeit ein Überblick über die erlaubten Zugriffe und die Nachvollziehbarkeit gewährleistet wird.

8 Zusammenfassung Smart Network Access von CloudGuard ist die optimale Network Access Control-Lösung für komplexe Firmenumgebungen mit einer Vielzahl von Bedürfnissen und Geräten. Als Ergänzung zu bestehenden Lösungen wie beispielsweise Identity Services Engine (ISE) von Cisco Systems *, Meraki * oder Aruba ClearPass Access Management System bietet sie die fehlenden Funktionalitäten wie die Integration in firmenspezifische ERP oder CMDB Systeme sowie die mandantenfähigen Delegation der Verwaltung. Erzählen Sie uns von Ihren Plänen und Ihren Anforderungen. Wir unterstützen Sie gerne bei der Umsetzung Ihres Network Access Control-Vorhabens. Wer ist CloudGuard? Seit 2004 entwickelt CloudGuard Software AG Software-Lösungen für Network Access Control (NAC), Bring-Your-Own-Device (BYOD), Guest Access sowie die Kommunikations-Erschliessung öffentlicher Verkehrsmittel. Mittlerweile setzen mehr als 100 Unternehmen wie Banken, Versicherungen, Spitäler und Transportunternehmen Smart Network Access von CloudGuard erfolgreich ein. Auszug aus unserer Kundenliste Aargauische Kantonalbank Guest Access, BYOD SBB, Postauto WLAN-Zugang für Fahrgäste Flughafen Zürich Geräte-Management The Dolder Grand Hotel Geräte-Management, Guest Access Opernhaus Zürich Guest Access Fachhochschule Nordwestschweiz Network Access Control Migros Guest Access, BYOD Universitätsspitäler Basel, Zürich und Bern Guest Access *Cisco Identity Services Engine (ISE) und Meraki sind eingetragene Warenzeichen von Cisco Systems, Inc. und/oder ihrer Tochtergesellschaften in den USA und in anderen Ländern. CloudGuard Software AG Zürich Schweiz Tel: info@cloudguard.ch

Ähnliche Dokumente
2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback