Sự bùng nổ về số lượng và loại thiết bị tiếp tục tăng vọt đáng kể. Nhiều mạng không thể quản lý bằng các phương pháp dựa trên công cụ kiểm soát truy cập mạng (Network Access Control – NAC) truyền thống, nó cho phép các thiết bị trái phép truy cập vào hệ thống mạng của tổ chức và thăm dò các lỗ hổng! Bạn đang cần một giải pháp NAC giúp tìm thấy tài sản mạng ẩn náu dưới các điểm mù trong mạng của tổ chức, đánh giá trạng thái tuân thủ, kích hoạt quy trình khắc phục và thực thi biện pháp kiểm soát truy cập trên các mạng thuộc mọi hình dạng và kích cỡ? Hãy khám phá Modern NAC cùng Mi2 và Forescout ở bài viết bên dưới nhé!
Đầu tiên, kiểm soát truy cập mạng là gì?
Câu hỏi này dường như tưởng chừng là một câu hỏi đơn giản, phải không? Trên thực tế, NAC (Network Access Control) là một thuật ngữ rất rộng trong thế giới an ninh mạng đang phát triển nhanh chóng. Nói một cách tổng quan, NAC mô tả chính sách bảo mật trong đó các thiết bị cụ thể được phép truy cập mạng theo từng cấp độ khác nhau dựa trên điều kiện nhất định.
Các giải pháp NAC ban đầu chỉ sử dụng việc xác thực trước theo tiêu chuẩn 802.1X và chỉ có các tùy chọn cơ bản để triển khai kiểm soát truy cập – thường dưới dạng công tắc bật/tắt. Những giải pháp này không còn phù hợp trên môi trường CNTT hiện đại, với sự gia tăng đáng kể về số lượng thiết bị Internet of Things (IoT) không dây trên mạng ở khắp mọi nơi.
Các giải pháp NAC hiện đại thông minh hơn rất nhiều. Chúng có khả năng xác định các điểm cuối duy nhất, thu thập lượng lớn dữ liệu từ nhiều nguồn khác nhau và sử dụng dữ liệu đó để đưa ra quyết định sáng suốt, từ đó triển khai các biện pháp kiểm soát tốt nhất.
Những thách thức mà đội ngũ triển khai NAC đang đối mặt
Mạng doanh nghiệp ngày nay phục vụ rất nhiều thiết bị truyền thống và phi truyền thống cũng như các thiết bị đầu cuối. Từ máy tính cá nhân, máy tính bảng, điện thoại di động đến thiết bị điều khiển công nghiệp, máy chủ ảo hóa, điểm truy cập không dây và ứng dụng trên đám mây. Chắc chắn rằng, phạm vi của các thách thức liên quan đến thiết bị sẽ mở rộng khi BYOD (Bring Your Own Device), IoT (Internet of Things), các công nghệ vận hành (OT), môi trường IT kết hợp và sự tinh vi của các cuộc tấn công đang tiếp tục gia tăng.
Kiểm soát tất cả các nguồn có thể kết nối với mạng doanh nghiệp là một điều khó khăn. Các kiến trúc sư CNTT và bảo mật triển khai hệ thống này phải đối mặt với những thách thức bao gồm:
- Các giải pháp NAC trước đó không thành công do tính phức tạp hoặc rủi ro tác động tiêu cực đến hoạt động kinh doanh.
- Các thiết bị IoT và OT ngày càng phổ biến trên mạng doanh nghiệp không thể được xác thực hoặc kiểm soát bằng các tác nhân truyền thống.
- Các điều khiển dựa trên 802.1X không khả thi trên mạng của nhiều nhà cung cấp.
- Quét mạng theo lịch không tính đến các nỗ lực giả mạo và các mối đe dọa khác có thể xuất hiện bất kỳ lúc nào.
- Nhiều lựa chọn thay thế truy cập Zero Trust quá tốn kém và/hoặc đòi hỏi quá nhiều nỗ lực thủ công.
Vì vậy, giải pháp kiểm soát truy cập mạng (NAC) của tổ chức bạn phải quản lý chặt chẽ các thiết bị do công ty kiểm soát cũng như số lượng ngày càng tăng của các thiết bị không được giám sát. Với tư cách là người quản lý hệ thống bảo mật hoặc CNTT, bạn phải nắm rằng liệu các thiết bị và hệ thống đang cố truy cập vào mạng của tổ chức có đáp ứng các tiêu chuẩn bảo mật mà tổ chức đưa ra hay không.
Những điều cần tìm ở một giải pháp NAC
Chính sách bảo mật, thiết kế hệ thống mạng và yêu cầu về công nghệ thông tin giữa các tổ chức rất khác nhau. Đó là lý do tại sao bạn muốn tìm kiếm giải pháp cung cấp nhiều tùy chọn và tính linh hoạt nhất để xử lý những tình huống tồn tại trên mạng lưới doanh nghiệp. Dưới đây là một số khả năng quan trọng mà bạn cần xem xét:
Khả năng hiển thị dữ liệu trên điểm cuối
Bạn cung cấp càng nhiều dữ liệu vào giải pháp NAC của mình thì nó càng đưa ra nhiều quyết định sáng suốt và bạn dễ dàng tự động hóa chính sách kiểm soát truy cập mạng của mình.
Ngoài ra, hãy tìm kiếm các điểm tích hợp giữa mạng hiện tại của bạn và các công cụ bảo mật, như trình quét lỗ hổng hoặc giải pháp quản lý thiết bị di động. Những tích hợp như thế này sẽ cho phép giải pháp NAC của bạn chia sẻ dữ liệu với các công cụ này, giúp cả hai đưa ra quyết định bảo mật thông minh hơn.
Cuối cùng, hãy đảm bảo bạn có thể tạo tích hợp tùy chỉnh của riêng mình. Đây có thể là chìa khóa để tự động hoá các biện pháp kiểm soát truy cập trong bất kỳ môi trường cụ thể nào.
Inline vs. Out-of-Band
Một giải pháp nội tuyến (inline) có thể quan sát lưu lượng truy cập mạng theo thời gian thực, đưa ra quyết định về các thuộc tính và thực hiện các hành động tại lớp mạng và truyền tải để ngăn chặn lưu lượng truy cập không mong muốn.
Nhược điểm là mất thêm thời gian để tất cả lưu lượng truy cập mạng của bạn vào hoặc thoát khỏi mạng nội bộ. Với giải pháp ngoài băng tần (out-of-band), không có tác động nào đến lưu lượng truy cập vào hoặc ra khỏi mạng của bạn, tuy nhiên việc có thể xem lưu lượng truy cập mạng theo thời gian thực trở nên khó khăn hơn.
Hãy tìm một sản phẩm cung cấp lợi ích cho cả hai. Ngoài ra, hãy đảm bảo rằng nó không hoàn toàn phụ thuộc vào khả năng hiển thị lưu lượng truy cập mạng để thực hiện các chức năng chính của nó. Vì ở một doanh nghiệp lớn, khó có một giải pháp có thể nhìn thấy tất cả lưu lượng truy cập ở tất cả các vị trí.
Trước khi kết nối (Pre-Connect) và Sau khi kết nối (Post-Connect)
Một cách tổng quan, trước khi kết nối (pre-connect) có nghĩa là quyết định kiểm soát quyền truy cập được đưa ra trước khi thiết bị được cấp quyền truy cập vào tài nguyên. Phương pháp này ưu tiên bảo mật hơn trải nghiệm người dùng vì giải pháp NAC phải xác thực, kiểm tra hoặc khẳng định sự an toàn của hệ thống trong khi người dùng phải chờ đợi. Các giải pháp 802.1X cổ điển sử dụng xác thực nghiêm ngặt thuộc loại này.
Sau khi kết nối (post-connect) thì ngược lại và là cách tiếp cận hiện đại, phổ biến hơn, đặc biệt đối với mạng có dây. Các thiết bị được phép vào mạng sản xuất và ngay lập tức được kiểm tra. Nếu chúng không đáp ứng yêu cầu, một phần hoặc toàn bộ quyền truy cập của họ sẽ bị gỡ bỏ. Cách tiếp cận này ưu tiên trải nghiệm người dùng và thời gian hoạt động hơn là bảo mật tối đa.
Lý tưởng nhất là bạn muốn một hệ thống có thể làm được cả hai điều đó. Ví dụ: mạng không dây chỉ nên có hệ thống người dùng trên đó, vì vậy phương pháp xác thực 802.1X kết nối trước phù hợp nhất với yêu cầu. Nhưng mạng có dây có cơ sở hạ tầng quan trọng hoặc cơ sở người dùng cần duy trì hoạt động hiệu quả 100% thời gian. Vì vậy việc đánh giá sau kết nối mà không bị gián đoạn có thể là cách tiếp cận tốt hơn. Hãy tìm một sản phẩm không bó buộc bạn vào một cách tiếp cận duy nhất cho tất cả các mạng của bạn.
Agent vs. Kiểm tra từ xa
Bạn không muốn làm tắc nghẽn các điểm cuối của mình bằng một phần mềm khác (có thể là của khách hàng) mà phải chạy liên tục để có quyền truy cập vào mạng. Hãy tìm một giải pháp có khả năng kiểm tra và quản lý các điểm cuối từ xa, mà không cần phải sử dụng phần mềm của khách hàng, trên càng nhiều hệ điều hành càng tốt.
Kiểm soát
Hãy tìm kiếm một giải pháp NAC có thể hạn chế quyền truy cập ở nhiều cấp độ của mô hình OS (Open Systems Interconnection), ít nhất là từ lớp 1 đến lớp 4. Ngoài ra, việc kiểm tra sâu các điểm cuối được quản lý cho phép thực hiện bất kỳ số lượng kiểm tra tuân thủ nào và mỗi biện pháp kiểm soát dựa trên tuân thủ có thể đại diện cho một hạn chế mạng rất khác so với bất kỳ hạn chế nào khác.
Để làm được điều này, bạn muốn một bộ điều khiển đủ chi tiết để nhắm mục tiêu riêng biệt và hiệu quả cho tất cả các trường hợp sử dụng mà không cần phải loại bỏ thêm quyền truy cập mạng và không làm cản trở năng suất đội ngũ của bạn.
Forescout: giải pháp NAC hiện đại hàng đầu
Bây giờ là thời điểm tuyệt vời để đánh giá khả năng kiểm soát truy cập mạng từ Forescout. Forescout có thể đáp ứng nhu cầu của tổ chức bạn và vượt qua mong đợi của bạn thông qua:
- Tầm nhìn toàn diện nhất
Có được khả năng hiển thị 100% tất cả các thiết bị được kết nối với mạng mở rộng của bạn, trong thời gian thực, nhờ vào hơn 20 kỹ thuật chủ động và thụ động của Forescout.
- Zero Trust cho tất cả các thiết bị kết nối
Ngăn chặn tác động của vi phạm thông qua việc tự động giám sát liên tục và một công cụ quản lý chính thống có khả năng tự động phân đoạn và cô lập tất cả những thiết bị kết nối với mạng doanh nghiệp của bạn.
- Triển khai không gián đoạn, mang lại giá trị nhanh chóng cho mạng của bạn
Đạt được khả năng hiển thị đầy đủ trong vài ngày và kiểm soát tự động trong vài tuần nhờ phần mềm không cần tác nhân – không cần nâng cấp cơ sở hạ tầng hoặc cấu hình 802.1X.
- Đã được chứng minh cho các mạng mở rộng cấp doanh nghiệp
Hàng nghìn khách hàng thuộc danh sách Fortune 1000 hài lòng về sản phẩm NAC của Forescout, một số có 2 triệu điểm cuối, đảm bảo khả năng mà Forescout mang lại cho họ trong việc giữ an toàn mạng của tổ chức họ.
Đọc thêm: Forescout được vinh danh là Nhà lãnh đạo Đổi mới NAC trong Frost Radar™ NAC 2023
Nền tảng Forescout bao gồm các mô-đun plug and play giúp mở rộng khả năng hiển thị và kiểm soát để:
- Chia sẻ bối cảnh thiết bị theo thời gian thực với các công cụ quản lý CNTT và bảo mật của tổ chức bạn.
- Sắp xếp quy trình công việc và tự động hóa các hành động phản hồi.
- Liên tục đánh giá tình trạng bảo mật và thực thi tuân thủ đối với các thiết bị tự động khắc phục.
Modern NAC – Bảo mật Zero Trust không cần cài đặt, linh hoạt và không gây gián đoạn
03 tính năng vượt trội mà Modern NAC mang lại sự an toàn cho mạng của tổ chức bạn!
NHẬN DIỆN: Khám phá, phân loại và kiểm kê tất cả các thiết bị được kết nối
Với nền tảng Forescout, các nhóm vận hành CNTT và bảo mật có được khả năng hiển thị 100% theo thời gian thực của tất cả các thiết bị được kết nối IP ngay khi họ truy cập mạng – để kiểm kê tài sản theo thời gian thực, chính xác.
- Chọn từ hơn 20 phương pháp khám phá và xác định tính năng hoạt động và tính năng tiềm ẩn của thiết bị để phù hợp với môi trường kinh doanh của bạn và giúp đảm bảo tính khả dụng của mạng liên tục.
- Hơn 12 triệu dấu vân tay thiết bị trong Đám mây thiết bị Forescout mang đến cho bạn khả năng phân loại thiết bị ba chiều, có độ chính xác cao để xác định chức năng, hệ điều hành, nhà cung cấp và kiểu máy của thiết bị, v.v.
- Đạt được phạm vi phủ sóng hoàn toàn/ toàn diện trên tất cả các vị trí, mạng và loại thiết bị – không có điểm mù – có hoặc không có xác thực 802.1X.
TUÂN THỦ: Đánh giá tình trạng bảo mật và tuân thủ
Các công cụ bảo mật dựa trên tác nhân không thể phát hiện được các thiết bị được quản lý có tác nhân bị thiếu, hỏng hoặc không hoạt động. Ngoài ra, vì các thiết bị IoT không thể hỗ trợ các tác nhân bảo mật nên các công cụ này không thể đánh giá chúng – tiếp tục mở rộng bề mặt tấn công. Nhưng với nền tảng Forescout, bạn có thể tự động hóa việc đánh giá tình trạng và khắc phục tất cả các thiết bị dựa trên IP khi kết nối và liên tục sau đó.
- Tìm kiếm và khắc phục các thiết bị được quản lý có tác nhân bị thiếu, hỏng hoặc không hoạt động từ các công cụ bảo mật hiện có của bạn.
- Phát hiện sự không tuân thủ của thiết bị, thay đổi trạng thái, lỗ hổng, thông tin xác thực yếu, IoC, nỗ lực giả mạo và các chỉ báo rủi ro cao khác, tất cả đều không có tác nhân.
- Đánh giá và liên tục giám sát các thiết bị không được quản lý, bao gồm cả những thiết bị không thể chấp nhận tác nhân, để thực thi việc tuân thủ bảo mật.
Đọc thêm: 05 thiết bị kết nối mạng có rủi ro nhất 2023
KẾT NỐI: Thực thi chính sách truy cập trên các mạng không đồng nhất
Nền tảng Forescout thực thi bảo mật Zero Trust dựa trên danh tính thiết bị và người dùng, vệ sinh thiết bị và trạng thái tuân thủ theo thời gian thực mà không yêu cầu nâng cấp phần cứng hoặc phần mềm lên cơ sở hạ tầng.
- Cung cấp quyền truy cập có đặc quyền thấp nhất vào tài nguyên doanh nghiệp dựa trên vai trò của người dùng, loại thiết bị và tình hình bảo mật.
- Ngăn chặn các thiết bị trái phép, lừa đảo và mạo danh kết nối.
- Thực thi các biện pháp kiểm soát linh hoạt trên cơ sở hạ tầng có dây, không dây và VPN – có hoặc không có 802.1X.
Modern NAC – Bảo mật Zero Trust không cần tác nhân, linh hoạt và không gây gián đoạn cho Enterprise of Things của tổ chức!