Aruba ClearPass OnGuard
Защита конечных точек корпоративного класса, оценка состояния и проверки работоспособности

Лицензия OnGuard Endpoint Health для Aruba ClearPass Policy Manager
Лицензия OnGuard для Aruba ClearPass Policy Manager - 100 устройств# JW568AAE
Прейскурантная цена:2 250,00 долларов США
Наша цена: 2025,00 $
Лицензия OnGuard для Aruba ClearPass Policy Manager - 500 устройств# JW569AAE
Прейскурантная цена:11 250,00 долл. США
Наша цена: 10 125,00 $
Лицензия OnGuard для Aruba ClearPass Policy Manager - 1000 конечных точек# JW570AAE
Прейскурантная цена:18 000 долларов США
Наша цена: 16 200 долларов США

Обзор:

Агенты ClearPass OnGuard выполняют расширенную оценку состояния конечных точек в ведущих компьютерных операционных системах, чтобы обеспечить соответствие требованиям до подключения устройств. Работая на платформе Aruba ClearPass Policy Manager, структура расширенного управления доступом к сети (NAC) в ClearPass OnGuard предлагает исключительную защиту от уязвимостей.

Поддерживаются следующие операционные системы и версии:

• Microsoft - Поддержка Windows 7 и выше.
  - Может работать как услуга.
• Apple - Поддержка Mac OS X 10.7 и выше.
• Linux - поддержка Red Hat Enterprise Linux 4 и выше, Ubuntu 12.x LTS и 14.x LTS, Community Enterprise Operating System (CentOS) 4 и выше, Fedora Core 5 и выше и SUSE Linux 10.x.

Поддерживаемые агенты:

	Постоянный агент OnGuard	Растворимый агент OnGuard	Агент NAP от Microsoft
Microsoft
яблоко
Linux	*

Примечание. Автоматическое исправление поддерживается только постоянными агентами.
* Постоянный агент поддерживается на конечных точках Ubuntu под управлением 12.x LTS или 14.x LTS.

Автоматизируйте проверки здоровья и оценку осанки

Помимо общесистемной защиты NAC для каждого сеанса, вы можете указать, разрешать или запрещать одноранговые приложения или USB-устройства хранения данных. Доступ к сети может быть запрещен, если хранилище не зашифровано, и ИТ-отдел может быть уверен, что на переносных компьютерах, доставленных в службу поддержки, установлены последние исправления и исправления.

Убедитесь, что устройства соответствуют требованиям, прежде чем они подключатся

Вы можете автоматически исправлять или помещать в карантин конечные точки, которые не соответствуют корпоративным политикам состояния. Используя панель администратора, легко отслеживать несовместимые устройства, пользователей и причины несоответствия.

BYOD и устройства, выпущенные IT

Постоянные агенты позволяют автоматизировать исправление для устройств, выпущенных ИТ-отделом, в то время как BYOD и гости могут использовать растворяемый агент, который автоматически удаляется после очистки устройства.

Поддержка операционной системы

ClearPass OnGuard поддерживает широкий спектр операционных систем мобильных устройств, включая Windows, Mac OS X и популярные версии Linux.

Функции:

• Расширенные возможности для соответствия и контроля конечных точек
• Поддерживает операционные системы Microsoft, Apple и Linux
• Антивирус, антишпионское ПО, проверка брандмауэра и многое другое
• Дополнительные возможности автоматического исправления и карантина
• Общесистемный обмен сообщениями конечной точки, уведомления и управление сеансом
• Централизованный просмотр онлайн-статуса всех устройств с платформы ClearPass Policy Manager

Преимущество:

В дополнение к аудитам антивирусов, антишпионского ПО и персональным брандмауэрам, выполняемым традиционными продуктами NAC, агенты OnGuard могут выполнять дополнительные проверки состояния и работоспособности, чтобы гарантировать более высокий уровень соответствия конечным точкам.

Стойкие и растворимые агенты

Разница между ними заключается в том, что постоянный агент обеспечивает непрерывный мониторинг и автоматическое исправление и контроль. При запуске постоянных агентов OnGuard ClearPass Policy Manager может централизованно отправлять общесистемные уведомления и предупреждения, а также разрешать или запрещать доступ к сети. Постоянный агент также поддерживает автоматическое и ручное исправление.

В качестве альтернативы, растворимый агент на основе Интернета идеально подходит для личных устройств, не связанных с ИТ, которые подключаются через портал авторизации и не позволяют устанавливать агенты на постоянной основе. Единовременная проверка при входе в систему гарантирует соответствие политике. Устройства, не соответствующие требованиям, могут быть перенаправлены на портал авторизации для исправления вручную.

После закрытия страницы браузера, используемой во время аутентификации, растворяемый агент удаляется, не оставляя следов.

Автоматическое исправление

Если неработоспособные конечные точки не соответствуют требованиям соответствия, пользователь получает сообщение о состоянии конечной точки и инструкции о том, как достичь соответствия, если автоматическое исправление не используется.

Сообщения могут включать причины исправления, ссылки на полезные URL-адреса и контактную информацию службы поддержки. Постоянные агенты ClearPass предоставляют одинаковые возможности сообщений и исправлений для 802.1X и комбинированных сред.

Стойкие и растворимые агенты могут использоваться для проверки работоспособности конечных точек.

Соответствие конечным точкам под управлением ИТ и BYOD

Постоянные и растворяемые агенты OnGuard могут использоваться вместе в средах, где конечные точки принадлежат организации, сотрудникам и посетителям. Это гарантирует, что все устройства оценены и предоставлены надлежащие привилегии перед доступом к сети.

Подробные сообщения карантина Mac OS X.

Полная видимость конечной точки

Чтобы упростить устранение неполадок, контроль конечных точек и создание отчетов о соответствии, ClearPass Policy Manager предлагает возможность централизованно управлять настройками и политиками проверки работоспособности. В обзорах активности ClearPass OnGuard, включая данные пользователей и устройств, отображается информация о каждом устройстве, которое подключается с помощью агентов OnGuard.

Централизованный просмотр активности OnGuard на конечных точках.

Соответствие конечной точки в реальном времени

В зависимости от типа операционной системы OnGuard выполняет следующие уровни проверки состояния и состояния.

	Окна	Mac OS X	Linux
Установленные приложения
Антивирус
Антишпионское ПО
Брандмауэр
Шифрование диска
Сетевые соединения
Процессы
Управление исправлениями
Пиринговый
Услуги
Виртуальные машины
Исправления Windows
USB-устройства
Проверка файлов

* Диаграмма представляет функциональные возможности ClearPass версии 6.6.
** Отказ от ответственности: не все проверки поддерживаются в разных операционных системах и типах агентов.

Комплексные оценки конечных точек:

Полная защита конечных точек

• Автоматическое исправление гарантирует актуальность защиты от вирусов и шпионского ПО.
• Проверяет состояние брандмауэра с дополнительным автоматическим исправлением.
• Гарантирует, что автоматические обновления Windows запущены.
• Поддерживает подключаемый модуль Windows Health Validator.
• Отпечатки операционной системы подтверждают, что утвержденные образы установлены.

Продвинутая оценка осанки

• Выполняет проверки на наличие вирусов, антишпионского ПО и брандмауэра для версий продукта, ядра и данных, а также проверяет, когда сканирование выполнялось в последний раз.
• Определяет утвержденные одноранговые приложения, ключи реестра и системные процессы.
• Разрешает использование USB-накопителей.
• Проверяет наличие последних пакетов обновления и исправлений Microsoft.
• Используйте с внешними приложениями для управления исправлениями - Altiris, BigFix, Creston, Lumension, Microsoft, Norman и Shavlik.
• Ограничивает использование клиентских приложений виртуальных машин.
• Сеансами удаленного рабочего стола можно управлять (разрешено / запрещено).
• Предоставляет разрешение на использование программного обеспечения точки доступа на стороне клиента.

Видимость и контроль

• Обеспечение соблюдения конечной точки через назначение статического маршрута.
• Отправляйте уведомления на конечные точки или группы
  конечных точек.
• Устройства могут быть отключены от сети или отказано в доступе.

Решения:

Вопросы безопасности для доступа к сети нового поколения и соответствия конечным точкам

Опасности подключения конечных точек к сети перед сканированием состояния устройства. Оценка соответствия конечных точек имеет решающее значение для современной среды мобильных сотрудников. Сотрудники, подрядчики и гости относятся к ноутбукам, выпущенным ИТ-отделом, как к своим владельцам. Между тем использование собственного устройства (BYOD) стало популярным благодаря удобству, экономии средств и разгрузке ИТ. К сожалению, поведение пользователей и подключение этих устройств к корпоративным сетям вызывает растущую озабоченность, которая увеличивает потенциальные угрозы.

Устаревшая система управления доступом к сети (NAC) требовала от ИТ-специалистов установки соискателей и агентов на компьютеры, выпущенные ИТ-специалистами, чтобы обеспечить обновление и сканирование новейшего программного обеспечения для аудио / видео. Соответствие оконечным устройствам нового поколения позволяет автоматизировать настройку устройств с минимальными затратами на ИТ, а также с улучшенными возможностями создания и применения политик. Тип конечной точки будет включать ноутбуки и настольные компьютеры, смартфоны и планшеты.

В этом документе мы обсудим, как и где необходимо обеспечить соответствие конечных точек нового поколения, а также дополнительные соображения, которые имеют решающее значение для обеспечения безопасности сети.

NAC изобретен заново

Проблемы с развертыванием NAC на раннем этапе остались в прошлом - по сути, больше нет необходимости распространять соискатели. Устройства поставляются с пригодными для использования соискателями, а распространение агентов сегодня автоматизировано.

Соответствие конечных точек следующего поколения - это «IT lite», потому что агенты могут быть автоматически отправлены клиенту. Сегодняшние решения NAC обычно используются для распределения агентов на компьютеры, а решения для корпоративного управления мобильными устройствами (EMM) используются для распределения агентов на смартфоны и планшеты. В обоих сценариях компонент управления политиками в решении NAC будет использоваться для обеспечения прав доступа к сети. Цель состоит в том, чтобы выполнить оценку до того, как будут предоставлены права полного доступа.

Такая простота развертывания сняла значительную нагрузку с ИТ, которая в противном случае помешала бы внедрению. Что еще более важно, сегодня в решении NAC доступно множество функций, которые решают проблемы безопасности мобильных сотрудников.

Основные функции решения соответствия конечной точки

Сегодня соответствие конечной точки означает гораздо больше, чем просто проверку статуса традиционного антивируса и брандмауэра. Теперь ИТ-специалисты могут требовать и контролировать использование многих других переменных, которые были причастны к нарушениям. Это может включать управление портами USB, блокировку общих файловых ресурсов P2P, обновления шпионского ПО, управление исправлениями / исправлениями и многое другое.

Кроме того, современные решения NAC можно настроить так, чтобы функции работали в фоновом режиме. Оценки в реальном времени могут запускать автоматическое исправление для изменения состояния конечной точки, которое делает ее несовместимой. Когда автоматическое исправление не является вариантом, решение NAC также может передавать инструкции конечному пользователю о том, как решать проблемы несоответствия, с помощью SMS, электронной почты или звонка в службу поддержки.

Связывание этих функций с возможностями AAA решения политик позволяет создавать гораздо более детализированные и надежные политики, которые могут использовать подробный контекст пользователя и устройства, доступный сегодня. Отпечатки устройства, статус сертификата или учетных данных, а также данные о местоположении пользователя теперь могут быть собраны и использованы для определения того, следует ли подключать устройство к сети.

Это упрощает участие ИТ-специалистов и улучшает взаимодействие с конечными пользователями, поскольку самостоятельное управление их устройствами упрощает соблюдение меняющихся требований политик.

Различия между решениями NAC

Не все решения NAC одинаковы. Наиболее важно то, что при подходе к контролю доступа с точки зрения безопасности, когда проверка работоспособности устройства часто является наиболее упускаемым из виду пробелом.

С точки зрения безопасности, сила вашей защиты обратно пропорциональна удобству конечного пользователя и / или ИТ-отдела. Иногда подходит «достаточно хороший» подход - например, некоторые веб-сайты не требуют длинных или сложных паролей, но для более важных учетных записей, таких как брокерские счета, могут потребоваться надежные пароли и двухфакторная аутентификация. Однако в случае соответствия конечных точек и проверок работоспособности в мобильном мире требуются несколько более сложные задачи, учитывая последствия крупного нарушения, потери данных или зараженной сети.

Некоторые поставщики считают, что удобство во-первых, а во-вторых, безопасность, - позволить устройству подключиться к сети перед выполнением политики или проверки работоспособности. И вместо использования 802.1X, RADIUS и других протоколов аутентификации и принудительного применения они пытаются сканировать устройства после того, как им было предоставлено подключение к сети. Таким образом, элементы устройства можно сканировать быстрее, чем если бы агент был направлен на устройство и сначала был надежно просканирован и аутентифицирован.

Хотя приращение времени может быть небольшим до обнаружения угрозы в этой модели, этого может быть достаточно времени, чтобы подвергнуть вашу сеть вредоносному программному коду или потере данных, чем при принудительной оценке и авторизации до того, как устройство получит IP-адрес. Другими словами, простое разрешение устройству сначала получить IP-адрес, а затем сканировать пакеты, по-прежнему дает достаточно времени для компрометации вашей сети.

Кроме того, скорость, с которой устройство может быть сканировано перед получением IP-адреса, сводится на нет из-за навязчивой производительности, которую устройство будет принимать, пока конечный пользователь работает с приложением. Еще одно соображение - размер организации. Устройства, расположенные дальше от того места, где находится решение NAC, будут иметь доступ к ресурсам дольше, чем хотелось бы.

Доверие к устройству до применения политик соответствия сродни запиранию входной двери, когда вы уходите на работу утром - после того, как оставляете дверь открытой на ночь. Вы оставляете себя уязвимым в самый критический и уязвимый момент. То же верно и для управления конечными точками. Прежде чем разрешать ненадежным устройствам подключаться к сети, имеет смысл применить политику. То, что устройства известны, не означает, что им следует доверять.

Последствия модели доступа до принудительного исполнения

Истории о взломах и потере корпоративных данных все чаще попадают в новостные ленты. Некоторым из крупнейших компаний в мире пришлось раскрыть серьезные нарушения, потому что кто-то принес в сеть устройство, которое не было выпущено ИТ, и вошел в сеть без проверки состояния. После того, как вредоносный код внедряется в сеть за доли секунды, когда пользователь входит в систему, практически невозможно остановить распространение инфекции по сети - ущерб уже нанесен. А теперь с законами, требующими публичного раскрытия информации и уведомления о нарушениях, затраты огромны - не говоря уже о потенциально личных юридических последствиях для руководителей высшего звена.

Предварительная проверка и проверка после проверки работоспособности

Хотя доступ к сети после проверки политики работоспособности устройства имеет решающее значение с точки зрения безопасности, предварительная и последующая оценка и принудительное применение идеально подходят для обеспечения надежной безопасности. Допустим, у вас есть предварительное решение и политика, а удаленный сотрудник хочет использовать свой личный ноутбук в сети. Они необходимы для загрузки агента, который затем сканирует политику. Если устройство чистое, они разрешены в сети. Если есть устаревшая антивирусная программа, ее можно исправить автоматически.

Но что, если пользователь что-то делает после того, как он находится в сети? Скажем, они нажимают на вредоносную ссылку, которая обходит их текущее антивирусное приложение, отключая их брандмауэр. Постоянный агент продолжит проверку устройства и либо автоматически исправит, либо заблокирует доступ пользователя к сети, если брандмауэр является компонентом ИТ-политики. Если бы не было постоянного агента, не было бы возможности автоматически исправлять или отмечать и блокировать любые изменения в проверке состояния устройства после публикации устройства.

Aruba ClearPass - решение для обеспечения соответствия требованиям конечных точек, ориентированное на безопасность

Aruba ClearPass OnGuard, компонент платформы управления политиками Aruba ClearPass, может использоваться для оценки устройств на любом компьютере или портативном компьютере, подключенном к сети. Policy Manager также может извлекать атрибуты из системы EMM, чтобы гарантировать, что только совместимые смартфоны и планшеты подключены к Wi-Fi и проводным сетям.

С помощью постоянного агента ИТ-отдел может проверять наличие антивирусов, шпионского ПО, брандмауэров, исправлений и прочего в режиме реального времени, прежде чем предоставлять права авторизации в сети. Если есть услуга или требование, которые нельзя исправить автоматически, например, если необходимо включить шифрование диска, пользователь может быть уведомлен о том, что он не может получить доступ к сети и должен восстановить свое шифрование, прежде чем он будет подключен к сеть.

ClearPass не только гарантирует соответствие ноутбуков и компьютеров, не относящихся к ИТ, до того, как им будет разрешен доступ к сети, но и может сделать это в «облегченной ИТ-среде» как в проводной, так и в беспроводной сети до того, как будет выдан IP-адрес.

Легкий растворимый веб-агент также доступен для пользователей, сегментированных в менее критическом сегменте сети, например, в гостевой сети. Персональные устройства не позволяют устанавливать агентов на постоянной основе в большинстве случаев и будут подключаться через перехватывающий портал, который использует собственный растворяемый агент. Растворимый агент полностью удаляется с устройства после закрытия браузера.

 

Лицензия OnGuard Endpoint Health для Aruba ClearPass Policy Manager
Лицензия OnGuard для Aruba ClearPass Policy Manager - 100 устройств# JW568AAE Свяжитесь с нами, чтобы узнать
цены!
Лицензия OnGuard для Aruba ClearPass Policy Manager - 500 устройств# JW569AAE Свяжитесь с нами, чтобы узнать
цены!
Лицензия OnGuard для Aruba ClearPass Policy Manager - 1000 конечных точек# JW570AAE Свяжитесь с нами, чтобы узнать цену
!
Лицензия OnGuard для Aruba ClearPass Policy Manager - 2500 конечных точек# JW571AAE Свяжитесь с нами, чтобы узнать
цены!
Лицензия OnGuard для Aruba ClearPass Policy Manager - 5000 конечных точек# JW572AAE Свяжитесь с нами, чтобы узнать цену
!
Лицензия OnGuard для Aruba ClearPass Policy Manager - 10 000 конечных точек# JW573AAE Свяжитесь с нами, чтобы узнать
цены!
Для более чем 10 000 конечных точек используйте нашу  форму запроса предложения!
Услуги HPE Aruba
Ежегодный базовый уход Aruba 24x7 ClearPass OnGuard 100# H2XM3E
Добавить в корзину по нашей цене
Ежегодный базовый уход Aruba 24x7 ClearPass OnGuard 500# H2XS3E
Добавить в корзину по нашей цене
Aruba 1 год Foundation Care 24x7 ClearPass OnGuard 1000# H2XL3E
Добавить в корзину по нашей цене
Aruba 1 год Foundation Care 24x7 ClearPass OnGuard 2500# H2XQ3E
Добавить в корзину по нашей цене
Ежегодный базовый уход Aruba 24x7 ClearPass OnGuard 5K# H2XU3E
Добавить в корзину по нашей цене
Aruba 1 год Foundation Care 24x7 ClearPass OnGuard 10K# H2XP3E
Добавить в корзину по нашей цене
Ежегодный базовый уход Aruba 24x7 ClearPass OnGuard 25K EP# H2XR3E
Добавить в корзину по нашей цене
Aruba 1 год Foundation Care 24x7 ClearPass OnGuard 50K# H2XT3E
Добавить в корзину по нашей цене
Aruba 1 год Foundation Care 24x7 ClearPass OnGuard 100K# H2XN3E
Добавить в корзину по нашей цене