Whitepaper. Vereinte Endgeräte- und Netzwerksicherheit mit McAfee Network Access Control (NAC)

Transkript

1 Vereinte Endgeräte- und Netzwerksicherheit mit McAfee Network

2 Inhaltsverzeichnis Zusammenfassung Network 3 Die Entwicklung von NAC 3 Adressierung von Geschäftsproblemen mit NAC 4 Zugriff von Gästen und Subunternehmern 4 Einhaltung der IT-Standards seitens der Mitarbeiter 4 Reduzierte Sicherheitsprobleme 4 Einsatz-Szenarien 5 McAfee NAC-Prozess 6 McAfee Unified Secure Access 7 Beispiel einer Netzwerkarchitektur 9 Warum McAfee? 10 Niedrigste Betriebskosten 10 Nutzung Ihrer vorhandenen Investitionen 10 Zusammenfassung 10 Über McAfee, Inc. 10

3 Network ist ein Ansatz zur Computernetzwerksicherheit, der die Lücke zwischen dem Endgerät und dem Netzwerk schließt, indem sichergestellt wird, dass nur bekannte oder sichere Endgeräte Zugriff auf ein Netzwerk erhalten. NAC schützt Unternehmensnetzwerke durch Identifizierung, Beurteilung, Quarantäne und Bereinigung der Systeme vor Netzwerkzugriff. In diesem Whitepaper werden die Signifikanz von NAC als wichtiges Element der Unternehmenssicherheit, McAfees NAC-Ansatz, die zugrunde liegende Technologie und die Vorteile erläutert. Zusammenfassung Network Die Konzepte und Argumentation für NAC sind einfach: Kontrolle des Zugriffs von Gästen und Subunternehmern Sicherstellung der Konformität aller Systeme mit den IT-Richtlinien Verminderung der Auswirkung von Malware Schutz sensibler Daten und Anwendungen Im heutigen diversifizierten Umfeld wissen viele Organisationen nicht, was oder wer mit ihren Netzwerken verbunden ist. Laut InfoWatch werden 77 Prozent der Datenlecks von Insidern und 23 Prozent in böswilliger Absicht verursacht. Im Bestreben, den Zugriff auf Unternehmens-Ressourcen zu erweitern, um eine Zusammenarbeit mit Dritten zu ermöglichen, werden Netzwerke für Subunternehmer, Besucher, Kunden und Partner geöffnet, deren Computer nicht von der Organisation kontrolliert werden. In den meisten Fällen ist kein Durchsetzungsmechanismus vorhanden, um den Endbenutzerzugriff zu kontrollieren oder die Sicherheitslage des Hosts zu berichten. Infolge dieser Lücke in der Firmenpolitik ist das Unternehmen einer Vielzahl von Bedrohungen ausgesetzt - nicht nur aufgrund von Malware, Hackern oder böswilligen Benutzern, sondern auch dem Verlust von geistigem Eigentum und Nichtbefolgung behördlicher Auflagen. Herkömmliche NAC-Lösungen hatten Schwierigkeiten, von der Masse akzeptiert zu werden, weil ihr Kauf und ihre Implementierung zu teuer waren, ihre Verwaltung zu komplex war oder die IT-Ressourcen zusätzlich belastet wurden. Eine NAC-Lösung der dritten Generation, die vorhandene Investitionen in die Infrastruktur nutzt und die Bereitstellung sowie Verwaltung vereinfacht, ist die optimale Lösung. McAfee Unified Secure Access setzt die McAfee epolicy Orchestrator (McAfee epo ) Management-Software sowie unsere expandierende Netzwerksicherheits-Produktlinie ein, um niedrigste Bereitstellungskosten zu erzielen. Die Funktionen passen sich zur flexiblen Bereitstellung selbst an komplexe Unternehmensnetzwerke an. Die Identität des Benutzers, der Gesundheitsstatus des Endgeräts, böswilliges Verhalten, der Standort und vieles mehr werden erkannt, um ein intelligentes Zugriffskontrollsystem zu bieten, mit dem Unternehmen den Netzwerkzugriff für ihre Geschäftsprozessanforderungen sicher erweitern können. Die Entwicklung von NAC NAC der ersten Generation begann als Endgeräteprüfsystem zur Verifizierung der Sicherheit des Endgeräts. Der entsprechende Netzwerkzugriff wurde entweder erlaubt oder abgelehnt. Diese Definition wurde später erweitert, um Methoden zur Bereinigung nicht genehmigter Endgeräte und zur regelmäßigen Neuprüfung der zugelassenen Endgeräte einzuschließen. NAC der ersten Generation war eine Endgerätelösung mit Schwerpunkt Authentifizierung, die umfangreiche Upgrades der Netzwerkinfrastruktur erforderte. Viele Unternehmen stellten jedoch fest, dass die Implementierung zu komplex und zu teuer war. Später stellten mehrere Anbieter NAC-Lösungen der zweiten Generation bereit, die ihre Stärken nutzten (Endgeräteoder Netzwerk-basiert), jedoch nur die Hälfte des Problems zufriedenstellend lösten und die andere Hälfte nicht. Bei der zweiten Generation befanden sich NAC-Standards wie beispielsweise TNC, IETF und 802.1x noch in der Entwicklung, was bedeutete, dass die meisten verfügbaren Lösungen Standalone-Lösungen waren und die vorhandene Unternehmensinfrastruktur nicht nutzten. 3

4 Forrester Research prognostiziert, dass für NAC ein großes Jahr bevorsteht, und schrieb in einem kürzlichen Bericht, dass diese Watchdog-Technologie schnell auf dem Weg ist, eine wichtige Komponente zu werden, um viele Sicherheitsinitiativen effizienter zu gestalten, und ein nahtloser Bestandteil der Netzwerkinfrastruktur zu werden. (Forrester Research 2008). Selbst bei den heutigen Wirtschaftsproblemen, die die Nachfrage nach IT-Produkten global reduzieren, schätzt Infonetics, dass der weltweite NAC-Absatz 2009 um 21 Prozent steigen wird. Eine Anbieter-zentrische Produktentwicklung kann diese Probleme nicht lösen. Was benötigt wird, ist ein grundlegendes Umdenken der NAC-Technologien, die auf die vorhandene Unternehmensinfrastruktur ausgerichtet ist und echte Geschäftsprobleme anspricht. Adressierung von Geschäftsproblemen mit NAC Nach umfangreichen Interviews mit Kunden und Analysten ist McAfee zu dem Schluss gekommen, dass die NAC- Nutzung in einen von drei Lösungsbereichen fällt. Zugriff von Gästen und Subunternehmern Aufgrund der Vielzahl von ungeschützten Ethernet-Ports in einer typischen Organisation, müssen Unternehmen sicherstellen, dass ein Besucher, der an einem Port angeschlossen ist, keine Infektionen verbreitet oder auf sensible Netzwerk-Ressourcen zugreifen kann. Subunternehmer sind eine spezielle Art von Gästen, die mehr Zugriff als ein normaler Gast, jedoch weniger Zugriff als ein Mitarbeiter benötigen. Subunternehmer müssen für ihre Tätigkeit auf bestimmte Anwendungen oder Daten zugreifen können, aber die Gefahr, dass der Computer eines Subunternehmers infiziert ist, oder die Gefahr des Datendiebstahls ist immer gegenwärtig. Einhaltung der IT-Standards seitens der Mitarbeiter Unternehmen haben Millionen für Sicherheits-Tools ausgegeben, aber selbstadministrierende Benutzer schalten den Virenschutz aus, schaffen Lücken in den Firewall-Regeln oder deaktivieren Sicherheits-Tools, die die Systemleistung verlangsamen. NAC stellt nicht nur sicher, dass Sicherheitskontrollen vorhanden sind, sondern auch, dass IT-Standards befolgt werden. Zusätzlich zu den IT-Standards des Unternehmens verbessert NAC die Compliance mit Industrie- und gesetzlichen Standards, z. B. Payment Card Industry Data Security Standard (PCI DSS) und Sarbannes-Oxley (SOX): PCI Abschnitt Unternehmen müssen den Zugriff auf Computer-Ressourcen nur auf diejenigen Personen beschränken, deren Tätigkeit dies erfordert. SOX Unternehmen müssen den Zugriff auf die Finanzsysteme des Unternehmens überwachen. PCI Abschnitt Unternehmen müssen die Einträge für alle Systeme bei allen unzulässigen Zugriffsversuchen bei der Anmeldung aufzeichnen. Nur durch die NAC-Bereitstellung alleine ist ein Unternehmen zwar nicht automatisch richtlinienkonform, aber eine NAC-Lösung mit identitätsbasierten Kontrollen unterstützt diese spezifischen Zielsetzungen. Reduzierte Sicherheitsprobleme Indem verhindert wird, dass infizierte Geräte und potenziell böswillige Anwendungen in Ihr Netzwerk eindringen, können Sicherheitskatastrophen abgeschwächt oder ganz vermieden werden. Gute Beispiele sind die Würmer Conficker A und B, die Millionen von PCs auf der ganzen Welt infiziert haben. Diese Würmer nutzen eine Schwachstelle von Microsoft Windows aus, für die zwar ein Patch vorhanden ist, jedoch in ca. einem Drittel aller Windows-Systeme nicht angewendet wurde. Conficker ist nur schwer zu entfernen, da dieser Wurm die PC- Einstellungen ändert, um erforderliches Microsoft-Patching oder Verbindungen zu Bereinigungs-Webseiten, auf denen Informationen zur Entfernung zu finden sind, zu verhindern. 4

5 NAC Appliance uarantäne-netzwerk Bereich vor der Zugriffsgenehmigung Bereinigung Finanzen Sonstige Mit Conficker infizierter Computer Bei der NAC-Lösung kann Computern, die nicht über die entsprechenden Patches verfügen, der Zugriff verweigert werden, und die infizierten Computer wären nicht in der Lage, die Malware im Netzwerk zu verbreiten. Selbst falls ein infizierter Rechner bei einer NAC-Überwachung nach der Verbindung Zugriff erhalten würde, könnte das Verhalten des Wurms und dessen Weiterverbreitung blockiert oder der Computer kann komplett offline geschaltet werden. Einsatz-Szenarien McAfee hat nach umfangreichen Kundenstudien sechs Schlüsselszenarien der Nutzung für mittelgroße bis große Organisationen entwickelt. Diese Szenarien sollten Teil jeder NAC-Produktbewertung sein. Wichtige NAC-Benutzerszenarien 1. Zugriff von Gästen oder Subunternehmern Besucher oder Subunternehmer verwendet ein nicht verwaltetes System NAC Appliance Gäste oder Subunternehmer mit eigenen Geräten stellen jedes Mal ein Risiko dar, wenn sie an ein Netzwerk angeschlossen sind. Eine NAC- Lösung sollte beurteilen, ob ein Endgerät ein verwalteter Mitarbeiter oder ein nicht identifiziertes Gerät ist, und den jeweiligen Benutzer zum entsprechenden Sub-Netzwerk oder Gastzugriffs-Portal weiterleiten - oder nur Internet-Zugriff gewähren. Die Lösung sollte Subunternehmer basierend auf ihren Microsoft Active Directory-Zugangsdaten identifizieren können und ihnen entsprechenden Zugriff auf das Netzwerk und Anwendungen gewähren. Active Directory-Zugangsdaten gewähren ihnen entsprechenden Zugriff auf das Netzwerk und die Anwendungen über ein im Voraus genehmigtes Gastzugriffs-Portal. Die hierfür benötigte McAfee-Lösung ist McAfee NAC Appliance oder das NAC-Add-on zur McAfee Network Security Platform. 2. Verwaltung des Mitarbeiterzugriffs Endgerätegesundheit wird gemäß IT-Standard beurteilt ToPS Advanced oder McAfee NAC (MNAC) Um sicherzustellen, dass Endgeräte über korrekte Sicherheitskonfigurationen, aktuelle Betriebssystem-Patches und andere erforderliche Anwendungen verfügen, ist eine Beurteilung der Endgerätegesundheit erforderlich. Ein typischer NAC-Einsatz würde vor der Zugriffsgenehmigung Clients mit veralteten Viren-Signaturen daran hindern, eine Verbindung zu sensiblen Servern herzustellen. Die hierfür benötigte McAfee-Lösung ist der McAfee Network Access Control- Endgerät-Agent, der in der McAfee Total Protection (ToPS) for Endpoint- Advanced Software-Suite enthalten oder separat erhältlich ist. 3. Aufrechterhaltung der Gesundheit von angeschlossenen Geräten Die Endgerätekonfiguration wird kontinuierlich beurteilt ToPS Advanced oder McAfee NAC Zahlreiche Geräte verlassen niemals das Büro, z. B. Desktops, deren Zugriff in der Regel konstant genehmigt wird. Bei der Beurteilung der Gesundheit nach der Zugriffsgenehmigung erfolgen Gesundheitsund Durchsetzungsentscheidungen basierend auf Benutzeraktionen, Änderungen im Gesundheitszustand des Systems oder Richtlinienänderungen, nachdem Benutzern Zugriff auf das Netzwerk gewährt wurde. Beispielsweise hat ein Benutzer möglicherweise eine Peer-to-Peer-Anwendung installiert, die gegen IT-Richtlinien verstößt. Nach diesen Anwendungen sollte gescannt werden, um sie zu entfernen. Die hierfür benötigte McAfee-Lösung ist der McAfee NAC- Endgeräte-Agent, der in der McAfee Total Protection for Endpoint- Advanced Software-Suite enthalten oder separat erhältlich ist. 5

6 Wichtige NAC-Benutzerszenarien 4. Böswillige Malware oder Benutzer Alle infizierten oder böswilligen Endgeräte, die Schäden verursachen, werden beurteilt IPS+NAC-Add-on Computer, deren Zugriff auf ein Netzwerk bereits genehmigt wurde, können mit Malware, z.b. Bots oder Würmern, infiziert werden. Darüber hinaus können Benutzer unbeabsichtigt oder böswillig Anwendungen installieren, die Daten gefährden können. Ein NAC-System mit einem integriertem Intrusion Prevention System (IPS) ist erforderlich, um Netzwerke mittels einer signatur- oder verhaltensbasierten Analyse kontinuierlich zu überwachen. Die hierfür benötigte McAfee-Lösung ist das NAC-Add-on zur Network Security Platform. 5. Unbekanntes oder riskantes Benutzerverhalten Benutzer auf dem Netzwerk riskieren Schäden oder Datenverlust Network User Behavior Analysis Bedrohungen können von authentifizierten Benutzern stammen, die Zugriff auf ein Netzwerk erhalten oder böswillig Zugriffskontrollen umgangen haben. Beispielsweise könnte ein Benutzer die Zugangsdaten von Finanzbenutzern stehlen und dann das Netzwerk durchsuchen, um nach wertvollen Daten im Engineering-Quellcode oder der Rechtsabteilung zu suchen. Es ist eine Lösung erforderlich, die das Benutzerverhalten relativ zur dynamischen Baseline analysiert, ungewöhnliches Verhalten markiert und Warnungen in Echtzeit liefert. Die hierfür benötigte McAfee-Lösung ist McAfee Network User Behavior Analysis (Securify). 6. Erkennung von nicht verwalteten bzw. nicht verwaltbaren Geräten Smartphones, medizinische Geräte, Drucker ToPS Advanced oder McAfee NAC Viele Unternehmen wissen nicht, welche Geräte alle an ihre Netzwerke angeschlossen sind. Persönliche Laptops, Spielkonsolen, medizinische Geräte, Linux- oder Macintosh-Computer und nicht genehmigte Drucker können vorhanden sein und eine Bedrohung darstellen. Es ist eine Lösung erforderlich, die Ihr Netzwerk hinsichtlich nicht verwalteter oder nicht verwaltbarer IP-basierter Geräte scannt und IT-Personal benachrichtigt. Die hierfür benötigte McAfee-Lösung ist die Rogue System Detection-Fähigkeit (Erkennung unberechtigter Systeme) in ToPS for Endpoint Advanced. Bei der Auswahl einer NAC-Lösung sollten Benutzer die zu lösenden Geschäftsprobleme und Benutzerszenarien priorisieren und eine Lösung in Erwägung ziehen, die die Gesundheit des Endgeräts untersucht, die Benutzeridentität validiert, den Zugriff auf Anwendungen überwacht und böswilliges Verhalten erkennt. McAfee NAC-Prozess McAfee Unified Secure Access bietet für eine ultimative Kontrolle und Sicherheit des internen Netzwerks komplette Zugriffskontrolle durch konstante Überwachung, Beurteilung und Verfolgung der Identität und Aktionen sowie durch Kontrolle der Benutzer und Anwendungen nach Zugriffsgenehmigung. Die nachfolgende Grafik zeigt den empfohlenen NAC-Prozess für Bereitstellung und Verwaltung. 1 Definition der Gesundheit, Computer-/Benutzeridentität, Anwendungsrichtlinien 5 Überwachung der Endgeräte zur Sicherstellung der ständigen Compliance 2 Scannen nach Rogue-Geräten, Warnung und Report 4 Ergreifen von Ma nahmen basierend auf dem Ergebnis der Richtlinienpr fung oder dem Verhalten 3 Überpr fung der Gesundheit vor und nach der Zugriffsgenehmigung relativ zu den Richtlinien Überwachung von böswilligem Verhalten 6

7 1. Richtlinien - Der erste und mancher Meinung nach der schwierigste Teil der NAC-Bereitstellung ist die Definition der Personenrichtlinien. Was passiert beispielsweise, wenn die Antiviren-Software eines VPs zwei Monate veraltet ist? Was passiert, wenn ein Subunternehmer in Italien die Beurteilung der Endgerätegesundheit nicht besteht? Ein System mit granulären Richtlinienfähigkeiten zusammen mit rollenbasiertem Management-Zugriff ist erforderlich - und McAfee epo eignet sich hierfür ausgezeichnet. 2. Entdeckung - Unified Secure Access entdeckt alle IP-basierten Geräte in Ihrem Netzwerk, egal ob nicht verwaltet oder nicht verwaltbar, wie beispielsweise Spielkonsolen oder medizinische Geräte. Da Unified Secure Access über die Rogue System Detection-Technologie verfügt, werden neue Geräte gefunden, wenn das Netzwerk ausweitet. 3. Gesundheitsstatus des Endgeräts - Bevor Endgeräte auf das Netzwerk zugreifen können, werden sie in Bezug auf Systemschwachstellen, Sicherheits-Software-Konfigurationsparameter und mehr geprüft. Netzwerkzugriffsentscheidungen basieren auf den Ergebnissen dieser Prüfung. 4. Identitätsbasierte Zugriffskontrolle - Der Zugriff kann auf einfache Weise auf vorhandenen organisatorischen Rollen/Benutzern basiert werden (z. B. Microsoft Active Directory). Nachdem Endgeräte authentifiziert wurden, können sie sich frei über Netzwerke hinweg bewegen und können von einem gemeinsamen NAC- Richtlinienserver verwaltet werden. 5. Laufende Überwachung - Die Geräte werden konstant in Bezug auf nicht konformes Verhalten überwacht. Falls ein solches Verhalten erkannt wird, stehen eine Reihe von Bereinigungsoptionen zur Verfügung. Bei der Erkennung von verhaltensbasierten Anomalien wird die gesamte Leistung des Intrusion Prevention System (IPS) genutzt, um riskante Benutzer oder Computer in Echtzeit vom Netzwerk auszuschließen. McAfee Unified Secure Access Eine echte NAC-Lösung der nächsten Generation sollte die vorhandene Unternehmensstruktur nutzen und in ihr integriert sein, mit einem einzelnen, zentralisierten Management-System arbeiten und sicherstellen, dass Computer vor und nach der Netzwerkzugriffsgenehmigung richtlinienkonform sind. Die Lösung muss ebenfalls ein integraler Bestandteil bei der Durchsetzung der Compliance sein. Eine NAC-Lösung der nächsten Generation muss die Endgerätstrategie hinreichend umfassen, um alle Aspekte des Netzwerkzugriffs abzudecken. McAfee hat diese Faktoren berücksichtigt und eine NAC-Lösung der nächsten Generation namens Unified Secure Access entwickelt. Mit der Einführung von Unified Secure Access wurde das, was NAC verspricht, beträchtlich erweitert: Nun werden Endgeräte- und, Netzwerksicherheit, Zugriffskontrolle sowie Bedenken hinsichtlich Compliance mittels einer umfassenden, holistischen Lösung angesprochen. Unified Secure Access verfügt über die neuesten Technologien und ermöglicht die Kontrolle von Mitarbeitern, Partnern und Gästen sowohl vor als auch nach der Zugriffsgenehmigung. Da Unified Secure Access adaptive Richtlinien unterstützt, erkennt es Änderungen an Endgeräten, Benutzeridentitäten und Anwendungszugriffen (und schwächt sie ab, falls erforderlich) und überwacht Systeme kontinuierlich in Bezug auf böswilliges Verhalten. Adaptive Richtlinien sind granulär, und mehrstufige Richtlinien können von mehreren IT-Teams unabhängig vom Standort verwaltet werden. Netzwerk NAC Appliance osteneffektive Inline-NAC (VPN, LAN, Wireless, DHCP) Zugriffsschutz f r nicht verwaltete Endgeräte Benutzeridentitätsbasierter Zugriff Simulationsmodus Netzwerkplattform Host ToPS for Endpoint Advanced Suite oder McAfee NAC Endpoint Module NAC Appliance Network Security Platform NAC Add n Software Umfassende IPS-Funktionalität Überwachung und ontrolle vor und nach der Zugriffsgenehmigung IPS NAC Appliance ToPS Advanced Beurteilung der Gesundheit des Endgeräts ontrolle verwalteter Endgeräte Integration mit der Bereinigung 7

8 McAfee ist der erste Anbieter von Sicherheitslösungen, der NAC und Network Intrusion Prevention auf derselben Plattform vereint. Dies entlastet die Verwaltung und reduziert die Gesamtbetriebskosten. Bei diesem vereinten Ansatz werden auch die Kosten für Hardware und Software verringert. Compliance eines Systems in Bezug auf einen Standard beurteilen Richtlinien basierend auf Geografie, Benutzertyp, rganisation individualisieren Zugriff basierend auf dem Computer gewähren Compliance-Sicherheitslage durch Durchsetzung der Richtlinien erhöhen Zugriff auf spezifische Anwendungen oder Daten gewähren Zugriffsentscheidungen basierend auf der Identität des Benutzers treffen Verhaltensanomalien erkennen Die Adaptive Policy Technology reduziert Fehler und Anrufe beim Helpdesk. Mit der McAfee Adaptive Policy Technology sind IT-Manager in der Lage, Sicherheits-Tools an besonders gefährdete Bereiche anzupassen, wodurch die Komplexität und Fehler reduziert und gleichzeitig die Skalierbarkeit und Sicherheit erhöht werden. Die Adaptive Policy Technology geht bei der Überwachung, Beurteilung, Verfolgung und Feststellung der Benutzeridentität, Geräte und Anwendungen über die herkömmliche NAC hinaus und gewährleistet ultimative interne und externe Sicherheit sowie Kontrolle des Netzwerks. Nicht richtlinienkonforme Endknoten können erkannt und mit nur wenig oder gar keinen Eingriffen seitens des Endbenutzers oder IT-Personals bereinigt werden. Wenn ein Mitarbeiter beispielsweise eine unzulässige Anwendung installiert, kann sie beim nächsten NAC-Scan erkannt und vom Netzwerk ausgeschlossen, bereinigt und anschließend wieder ins Netzwerk aufgenommen werden. Die Adaptive Policy Technology verbessert Ihre Sicherheitslage, indem mehrere Sicherheitsansätze in einer NAC-Lösung vereint werden, z. B. signaturbasierte Erkennung von Host-Änderungen und identitäts- und anwendungsbasierte Technologien. Investitionen werden geschützt, da derzeit installierte Netzwerk- sowie Systemkomponenten eingesetzt werden und integriertes McAfee-Management durch epo genutzt wird. Compliance mit internen Richtlinien und die Fähigkeit, Compliance mit Standards wie HIPAA (Health Insurance Portability and Accountability Act) und PCI zu belegen und auch durchzusetzen, kann ebenfalls auf einfache Weise mit epo demonstriert werden. McAfee NAC bietet einfach zu konfigurierende Scans vor und nach der Zugriffsgenehmigung, um die erforderliche Software und Patches zu validieren, damit Desktops aktualisiert und funktionsfähig sind. Viele dieser Anforderungen sind vordefinierte Regeln in McAfee NAC. Benutzerdefinierte Regeln zur Prüfung anderer Software können auf einfache Weise mit einem intuitiven Assistenten hinzugefügt werden. Richtliniengruppen werden basierend auf Dutzenden von vordefinierten und benutzerdefinierten Kriterien erstellt - nach Benutzer, Benutzergruppen, Domänen, Anwendungen, Betriebssystem, CPU, Subnetz und Zeitzone. Diese Gruppen können Richtlinien, Reports, NAC-Administratoren, Benachrichtigungen und administrativen Aufgaben zugeordnet werden. Die NAC-Richtlinien selbst können beliebige der über 3000 vordefinierten Prüfungen enthalten, die auf institutionsspezifische Gruppen angewendet werden können. Reaktionen auf nicht konforme Systeme umfassen automatische Bereinigung, Schulung und Coaching des Benutzers sowie Weiterleitung zum Bereinigungsportal. Nicht verwaltete Hosts können mit Unified Secure Access mittels sicherer Kontrolle und Bereitstellung im Voraus für Zugriffe auf das Gastportal sicher bereitgestellt werden. Nach der Netzwerkzugriffsgenehmigung steht eine umfassende Kontrolle über Anwendungsprotokoll, Quell-/Zieladressen, Port-Änderungen, Sicherheitslage des Hosts und IPS-erkanntes böswilliges Verhalten zur Verfügung. 8

9 Dank integrierter umfassender NAC-Überwachung und Reporting sowie Reports über Zugriffsprotokolle (wer, wann, wo) und über die ergriffenen Maßnahmen ist die tägliche Verwaltung von Sicherheit und Compliance einfach, präzise, skalierbar und reproduzierbar. Beispiel einer Netzwerkarchitektur Die Bereitstellungsoptionen sind flexibel und umfassen sowohl die Bereitstellung im DHCP-Modus (Dynamic Host Configuration Protocol) oder inline hinter einem VPN (Virtual Private Network) oder LAN (Local Area Network). Agent/Host-gehosteter Service Netzwerk Netzwerk/Host 1 Total Protection for Endpoint- Advanced (einschlie lich McAfee NAC) Internet D 2 epolicy rchestrator 3 McAfee NAC Appliance 4 Network User Behavior Analysis Appliance f r Benutzeranomalie-Analyse 3 NAC Appliance Mailserver Gast 3 Appliance 1 E terne Mitarbeiter und WAN 1 Niederlassung 2 Netzwerkbenutzerverhalten 4 Gast Unternehmenshauptsitz 1 Verwaltete Systeme können gemäß Richtlinie auf Systemebene unter Quarantäne gestellt werden. Nicht verwaltete Systeme (Rogue-Systeme und Eindringlinge) können auf Netzwerkebenen 2 und 3 sowie beim DHCP und VPN unter Quarantäne gestellt werden. McAfee NAC bietet umfangreiche Reporting-Funktionen. Die Reports können ad hoc erstellt oder geplant werden. Sie können je nach Bedarf angezeigt, auf Festplatte geschrieben oder per versendet werden und sind äußerst anpassbar mit mehreren Anzeigeoptionen. Darüber hinaus können sie in mehreren Dateiformaten gespeichert werden. Hunderte von Werten können berichtet werden und Details über Erkennung, Scanning, Compliance, Durchsetzung und Bereinigung enthalten. Alle Reports sind konfiguriert und werden vom McAfee epolicy Orchestrator (epo ) unabhängig von jeglicher anderer Reporting-Infrastruktur erstellt. Unified Secure Access bietet flexible Kontrolle aller Arten von Netzwerkbenutzern. Viele anfängliche NAC-Bereitstellungen dienen zur Kontrolle von Gastbenutzern (z. B. Gasteinrichtung oder Berater). Unified Secure Access vereinfacht die Einrichtung von Gastnetzwerken, ist jedoch ebenfalls auf die größten Umgebungen skalierbar. Im Vergleich zu Switch- oder Router-basierten Lösungen, die teure Upgrades der Netzwerkinfrastruktur im Hauruck- Verfahren und komplexe und hinfällige Richtliniendefinitionen erfordern, passen sich McAfee Unified Secure Access- Lösungen an die Bedrohungsstufe an, die Sie ansprechen möchten, auf die Anwendungen, die Sie schützen möchten, auf die Benutzer, die Sie zulassen möchten, und auf die Systeme, die mit Ihren Sicherheitsrichtlinien übereinstimmen sollen. 9

10 Vereinte Endgeräte- und Netzwerksicherheit mit McAfee Network Warum McAfee? Wie bei jedem Kauf sind die Kosten ein signifikanter Faktor. Eine Einzellösung, die separate Konsolen, neue Endgerät- Agenten und Benutzerschulung erfordert und Unzuverlässigkeit in das Ökosystem einbringt, birgt jedoch versteckte Kosten, die nur vollständig aufgedeckt werden können, indem der ROI analysiert wird und untersucht wird, ob die Lösung die vorhandene Infrastruktur nutzt. Niedrigste Betriebskosten Eine Konsole für Endgerätesicherheit, Compliance und Zugriffskontrolle Automatische Selbstbereinigung Unterstützt Compliance-Initiativen (z. B. PCI und SOX); reduziert Auditzeit und Komplexität Nutzung Ihrer vorhandenen Investitionen Einfaches Software-Add-on zur Network Security Platform Einfaches Upgrade von vorhandenen McAfee-Produkten (Virenschutz, epo) Integriert sich in die Microsoft-Infrastruktur, einschließlich Active Directory, NAP, XP, Vista Unified Secure Access bietet eine überzeugende Gesamtbetriebskostenanalyse, da es die vorhandene epo- Infrastruktur zur Bereitstellung und Durchsetzung von Richtlinien nutzt. Die Implementierungs- und Schulungskosten sind im Vergleich zu Einzellösungen minimal, und McAfee-Produkte verursachen keinen unangemessenen Netzwerkausfall. Unified Secure Access ist ein einfaches Upgrade von vorhandenen McAfee-Produkten und kein neues Produkt mit eigener Konsole und einem langwierigen und teuren Bereitstellungsprojekt. Basierend auf epo und McAfee Network Security Platform ist Unified Secure Access hervorragend für Unternehmen skalierbar. Zusammenfassung Die meisten der bisher erhältlichen NAC-Lösungen waren komplex, teuer, unpräzise, nicht skalierbar und nicht sicher. McAfee Unified Secure Access ist die weltweit erste NAC-Lösung, die Endgerät- und Netzwerksicherheit mit Zugriffskontrolle und Compliance vereint. Die Adaptive Policy Technology dieser Lösung übertrifft derzeitige NAC-Lösungen, da der Zugriff kontrolliert wird und Netzwerke gegenüber internen und externen Bedrohungen gesichert werden. McAfee Unified Secure Access vereinfacht die Bereitstellung mit epo, nutzt den einzelnen ToPS-Advanced-Agenten und verwendet McAfee IPS-Geräte für die Netzwerkdurchsetzung. Es bietet signifikante Vorteile in Bezug auf Sicherheit und Compliance ohne zusätzlichen Footprint. Setzen Sie sich noch heute mit McAfee in Verbindung, um zu erfahren, wie Unified Secure Access die niedrigsten Gesamtbetriebskosten aller auf dem Markt erhältlichen NAC-Lösungen bietet. Über McAfee, Inc. McAfee, Inc. mit Hauptsitz in Santa Clara, Kalifornien, USA, ist das weltweit größte, auf Sicherheitstechnologie spezialisierte Unternehmen. McAfee ist stets bestrebt, die weltweit größten Sicherheitsherausforderungen kompromisslos zu bewältigen. Das Unternehmen bietet präventive und bewährte Lösungen und Dienstleistungen an, die weltweit sowohl Systeme als auch Netzwerke schützen und Benutzern das sichere Surfen sowie Shoppen im Internet ermöglichen. Dank seines mehrfach ausgezeichneten Forschungsteams entwickelt McAfee innovative Produkte, die es Privatbenutzern, Unternehmen, dem öffentlichen Sektor und Service-Providern ermöglichen, Vorschriften einzuhalten, Daten zu schützen, Ausfälle zu vermeiden, Schwachstellen zu erkennen und die Sicherheit fortlaufend zu überwachen und zu verbessern. McAfee, Inc Freedom Circle Santa Clara, CA 95054, USA McAfee und/oder weitere hierin erwähnte oder enthaltene McAfee-Produkte sind eingetragene Marken oder Marken von McAfee, Inc. und/oder seinen verbundenen Unternehmen in den USA und/oder anderen Ländern. McAfee Red in Verbindung mit Sicherheit kennzeichnet McAfee-Markenprodukte. Alle anderen nicht zu McAfee gehörenden Produkte sowie eingetragene und/oder nicht eingetragene Marken in diesem Dokument werden nur als Referenz genannt und sind Eigentum ihrer jeweiligen Rechtsinhaber McAfee, Inc. Alle Rechte vorbehalten. 6132wp_nts_unified-source-access_0409_de_fnl