Efros DefOps NAC
EFROS DefOps NAC позволяет реализовать централизованное управление цифровыми ресурсами предприятия за счет определения политик и правил доступа в сеть для пользователей и администраторов, осуществлять непрерывный контроль состояния оконечных сетевых устройств на предмет соответствия политикам безопасности.
Функциональные возможности
Efros DefOps NAC
Доступ по протоколу 802.1X
Влияние беспроводного доступа к сети, мобильности, использования собственных устройств на предприятиях (BYOD) и облачных вычислений на ресурсы корпоративной сети огромно. Такая расширенная мобильность увеличивает подверженность сетевым угрозам. Использование стандарта 802.1x помогает повысить безопасность доступа в среде такого типа при одновременном снижении общей стоимости владения. 802.1x обеспечивает управление доступом L2 путем проверки пользователя или устройства, пытающегося получить доступ к физическому порту.
EDO-агент
Отдельное приложение, которое разворачивается на оконечном устройстве и осуществляет проверки системы на соответствие политикам безопасности. С помощью EDO-агента выполняется проверка данных об установленной операционной системе и ее обновлениях, об антивирусных приложениях, процессах, программах, службах и подключенных USB-устройствах. На основе проведенных проверок по критериям корпоративной безопасности принимается решение допустить ли устройство к ресурсам сети.
Ведение журналов событий
При расследовании инцидентов важно видеть историю событий, произошедших в сети. С целью аудита Efros DefOps NAC обеспечивает сбор, запись и хранение::
- Фактов доступа администраторов к активному сетевому оборудованию
- Действий (выполненные команды) администраторов на активном сетевом оборудовании
- Фактов доступа пользователей в корпоративную сеть, время начала и завершения сеанса доступа.
На основании полученных событий формируются отчеты формата CSV, XLS.
Контроль доступа IoT устройств
Практически в каждом офисе можно встретить такие устройства как сетевые принтеры, IP-камеры и т.д. При подключении этих устройств к сети настройки по умолчанию часто оставляют неизменными, в результате чего они становятся легкой мишенью для злоумышленников. EFROS DefOps NAC позволяет создать политику доступа для таких устройств, определяющую сегмент сети, в которой они будут авторизованы.
Профилирование
Профилирование позволяет администраторам системы создавать собственные шаблоны устройств для автоматического обнаружения, классификации и связывания определенных идентификационных данных при подключении оконечных устройств к сети. Так с использованием средств пассивной сетевой телеметрии можно определить дополнительные параметры самого устройства: тип оборудования (IP-телефон, принтер и т.п.), производитель, его MAC-адрес, а также параметры установленного ПО (версия и т.п.).
Change of authorization
CoA – функция, которая может поддерживаться оборудованием и при отправке команды на которое могут меняться параметры текущей сессии пользователя без дополнительного ввода логина и пароля. Она применима при оценке риска изменений процессов на оконечном устройстве, когда происходит проверка на соответствие требованиям безопасности. Если устройство не соответствует требованиям (например, был отключен антивирус или брандмауэр), то его необходимо поместить в карантинную VLAN или полностью заблокировать доступ; или устройство снова соответствует требованиям, поэтому его необходимо установить в рабочую VLAN.
Выгоды от внедрения EFROS DefOps NAC
- Повышение управляемости работы с сетевыми ресурсами и безопасности инфраструктуры сети;
- Исполнение требований законодательства в части импортозамещения и кибербезопасности.
- Поддержание работы инфраструктуры в соответствии с принятой политикой ИБ;
- Ведение журнала системных событий о фактах доступа к оборудованию;
- Центральный пульт управления сетевыми устройствами;
- Оптимизация рабочего времени и ресурсов, снижение нагрузки на администраторов ИТ за счет автоматизации процесса управления ресурсами сети.
Архитектура Efros DefOps NAC
