České Radiokomunikace

Network Access Control: Bezpečnost sítě začíná u připojení uživatelů

Přehled o všech zařízeních připojených do sítě, řízený přístup podle pravidel a automatické reakce na rizika.

Network Access Control (NAC) je nekompromisní strážce firemní sítě. Kontroluje připojená zařízení, jejich oprávnění i pohyb v síti. Minimalizuje bezpečnostní rizika a zajišťuje plnou kontrolu nad síťovým přístupem.

Chcete vědět víc?

Řízení přístupu a ochrana sítě

Identifikace a autentizace zařízení
Identifikace a autentizace zařízení

Připojované zařízení se nejprve bezpečně ověří a identifikuje. Neznámé nebo rizikové zařízení se do sítě nepřipojí.

Centrální správa přístupových politik
Centrální správa přístupových politik

Definice a správa přístupu podle uživatelů, zařízení a kontextu připojení z jednoho místa.

Automatická segmentace sítě
Automatická segmentace sítě

Zařízení jsou automaticky zařazena do segmentů, např. firemní, host, IoT. Zvyšuje se bezpečnost, kontrola provozu a přehled o síti.

Nepřetržitá bezpečnostní kontrola
Nepřetržitá bezpečnostní kontrola

Monitorování a ověřování stavu zařízení v reálném čase, s automatickými reakcemi na nesoulad s přístupovými politikami.

Široká podpora autentizačních metod
Široká podpora autentizačních metod

Kompatibilita s různými přístupovými protokoly jako 802.1X nebo MAC autentizace pro maximální flexibilitu.

Podpora plnění legislativních nařízení
Podpora plnění legislativních nařízení

Auditovatelné záznamy o přístupech do sítě a přehled o aktivitách napomáhají plnit požadavky NIS2 a dalších bezpečnostních standardů.

Portál služby
Portál služby

Přehledné dashboardy poskytují online informace o stavu infrastruktury, o autentizacích, připojených zařízeních, čerpaných licencích atd.

Reporting
Reporting

Pravidelné přehledy o všech důležitých událostech v síti.

Vyberte si provozní scénář

  • „S“ Essential
    • Varianta s jedním řídícím uzlem (Publisher).
    • Základní instance služby provozovaná v cloudu CRA nebo organizace.
    • Doporučeno pro organizace do 1 000 ověřovaných zařízení.
  • „M“ Professional
    • Varianta služby s jedním řídícím uzlem (Publisher) a jedním replikačním uzlem (StandBy Publisher).
    • Redundantní architektura služby s automatickým přepnutím v případě výpadku.
    • Doporučeno pro organizace do 5 000 ověřovaných zařízení.
  • „L“ Enterprise
    • Varianta služby s jedním řídícím a replikačním uzlem typu Publisher a možností více uzlů typu Subscriber.
    • Vysoce škálovatelné řešení pro více lokalit, možnost georedundance.
    • Doporučeno pro organizace do 15 000 ověřovaných zařízení.
  • „XL“ Mission Critical
    • Služba je definována podle individuálních požadavků organizace.
    • Doporučeno pro organizace nad 15 000 ověřovaných zařízení.

Disponujeme nezbytnými certifikacemi a bezpečnost je u nás na první místě

  • Fyzická bezpečnost
    Fyzická bezpečnost na úrovni BT3 podle metodiky NBÚ.
  • Prověřené technologie
    Používáme a nabízíme jen prověřené a aktuální technologie.
  • Aktivní podpora
    Aktivní podporu poskytujeme 24 hodin denně.
  • ANSI-TIA942
    Technologie provozujeme v datovém centru DC TOWER s certifikací ANSI-TIA942
  • Common Criteria Certification for Information Technology (IT) Security (ISO/IEC 15408)
    Certifikace na úrovni CC EAL 4+
  • ISO 9001
    Systémy managementu kvality
  • ISO 14001
    Systémy environmentálního managementu
  • ISO 19011
    Norma pro certifikaci interních auditorů
  • ISO/IEC 20 000-1
    Informační technologie – požadavky na systém managementu služeb
  • ISO/IEC 27001
    Systémy řízení bezpečnosti informací
  • ISO/IEC 27017
    Informační technologie – Bezpečnostní techniky – Soubor pokynů pro zabezpečení cloudového prostředí a minimalizaci potenciálního rizika bezpečnostních incidentů
  • ISO/IEC 27018
    Informační technologie – Bezpečnostní techniky – Soubor postupů na ochranu osobně identifikovatelných informací (PII) ve veřejných cloudech vystupujících jako zpracovatelé PII
  • SOC Type 1 a Type 2
    Certifikáty SOC 2 Type 1 a Type 2, vydávané podle standardů a požadavků AICPA (American Institute of Certified Public Accountants), se týkají řízení a bezpečnosti informací v organizacích
  • ISO 50 001
    Systém managementu hospodaření s energií
  • PCI-DSS
    Soulad s požadavky PCI-DSS pro provozovatele datových center
  • NBÚ
    Osvědčení pro umožnění přístupu k utajované informaci do stupně utajení TAJNÉ
  • Soulad s GDPR
    Infrastruktura plně odpovídá požadavkům GDPR

Network Access Control v detailu

  • Historicky byly lokální sítě považovány za důvěryhodné prostředí. NAC reaguje na realitu, kdy se do interní infrastruktury běžně připojují Wi-Fi zařízení, BYOD, IoT prvky, externí uživatelé i kompromitované koncové stanice, a tento předpoklad již neplatí.
  • Základní princip NAC je „ověř identitu a stav zařízení, teprve pak umožni přístup“. To jde dál než jednoduché heslo k Wi-Fi – kontroluje, kdo se připojuje, z jakého zařízení a zda splňuje bezpečnostní požadavky.
  • Co NAC řídí? Přístup uživatelů a zařízení, jejich umístění v síti a oprávnění. NAC neslouží primárně k blokování připojení, ale k segmentaci sítě a kontrolovanému omezení pohybu zařízení.
  • NAC výrazně snižuje riziko, že útočník po průniku do sítě a získání základního přístupu začne pronikat i do dalších systémů, účtů a sítí.
  • NAC není antivirus, EDR ani detekce útoků. Je to nástroj pro definici a vynucování přístupových politik podle vámi nastavených pravidel.

Aruba ClearPass, jakožto základní komponenta služby, je Policy manager, který provádí autentizaci uživatelů a zařízení. Rozhoduje, jaká práva pak zaměstnanec, host, tiskárna nebo kamera dostanou.

Architektura služby rozlišuje role „Publisher“, „StandBy Publisher“ a „Subscriber“. Jedná se o jednotlivé uzly v prostředí s více instancemi ClearPassu – typicky v HA clusteru nebo distribuovaném prostředí. Publisher je primární (řídicí) uzel v clusteru ClearPass, který obsahuje hlavní databázi (Policy Manager DB). Je zodpovědný za správu konfigurace, licencí, replikaci nastavení do Subscriberů a autentizaci. Subscriber (Standby Publisher) je peplikační (podřízený) uzel, který si stahuje konfiguraci z Publisheru. Slouží ke škálování autentizačního výkonu (např. pro více lokalit) a záložnímu provozu při výpadku hlavního uzlu. Subscriber, stejně jako Publisher, může obsluhovat autentizace a přístupové politiky.

ClearPass jako virtuální appliance může být provozována v cloudovém prostředí CRA, organizace nebo ve veřejném prostředí MS Azure či Amazon AWS. 

V rámci služby dokážeme ověřovat zařízení jako PC/notebooky, mobilní zařízení, AP, Tiskárny nebo BYOD zařízení. Ověřovat dokážeme pomocí switchů, AP, ClearPass nebo Active Directory.

Služba poskytuje řadu autentizačních metod, jako 802.1X, MAC Authentitacation nebo TACACS+ / Radius autentizace) a širokou škálu integrací bezpečnostních produktů od různých vendorů (např. Active Directory, MDM, Firewall, SIEM apod.).

Službu NAC lze nasadit v klasických metalických LAN sítích, Wi-Fi sítích i v sítích se vzdáleným přístupem.

  1. Identifikace a ověření. Každý pokus o připojení do sítě se automaticky analyzuje:
     
    • uživatel (ověření identity),
    • zařízení (typ, operační systém, „otisk prstu“),
    • lokalita a způsob připojení,
    • bezpečnostní stav zařízení.
  2. Vyhodnocení podle politik. Na základě definovaných bezpečnostních politik systém rozhodne:
     
    • zda bude přístup povolen,
    • v jakém rozsahu bude povolen,
    • či bude zařízení omezeno nebo zcela odmítnuto.
  3. Dynamické řízení a reakce:
     
    • přístupová práva se mohou měnit v reálném čase a
    • systém segmentuje síť, izoluje riziková zařízení a může automaticky reagovat na bezpečnostní incident.

Službu NAC je možné ve všech provozních scénářích realizovat ve dvou variantách. Základní varianta Standard poskytuje základní funkcionality, tj. analýzu přístupových politik a autentizace. Znamená to, že kontroluje kdo, co a kam se do sítě připojuje.

Rozšířená varianta Advanced doplňuje řešení o kontrolu bezpečnostního stavu zařízení před přístupem a v průběhu připojení do sítě. Zjišťuje tedy, zda má zařízení např. aktivní a aktuální antivirus apod., a podle toho rozhoduje o přístupu do sítě.

Všechna zařízení v sítí organizace musí být provozována ve stejné variantě, nelze tedy v rámci jedné služby varianty Standard a Advanced kombinovat.

Dokumenty ke stažení

Network Access Control - technický list Network Access Control - produktový list
Tato část je určená k ochraně proti spam robotům. Vidíte-li tento text, vyplňte pole uvedené za otázkou. Tlačítko jsem robot ignorujte.
Kolik je dvě plus tři

Kontaktujte nás

Telefon (volitelné)

Ostatní také zaujalo

Datová centra
Datová centra
Umístěním svých serverů a dalších IT zařízení do datového centra si uchováte plnou kontrolu nad svými technologiemi a získáte bezpečný prostor pro jejich provoz s vysokou dostupností.
Cloud
Cloud
Moderní a bezpečné řešení firemní IT infrastruktury. Cloud computing vám dá k dispozici neomezené množství výpočetního výkonu při zajištění vysoké dostupnosti a redundance celé architektury. Pro jednoduchou a plně automatizovanou správu všech služeb je k dispozici samoobslužný cloud portál VIRTIX.
Telco a infrastruktura
Telco a infrastruktura
Konektivita od CRA poskytuje vysoce kvalitní propojení lokalit se sítí internet s nepřetržitou dostupností. Prostřednictvím našich zabezpečených sítí se služby, informace či multimediální obsah dostanou k vašim klientům spolehlivě a včas.
IoT - Internet věcí
IoT - Internet věcí
Prostřednictvím naší infrastruktury LoRaWAN můžete připojit svá zařízení, senzory, měřiče a jiné prvky přímo z terénu do vaší aplikace či systému. IoT Cloud CRA je pak ideální a univerzální platformou pro integrovaný IoT multinetwork s obrovským synergickým potenciálem.
AI Cloud
AI Cloud
Umělá inteligence jako služba Umělá inteligence (AI) přináší firmám a organizacím vyšší efektivitu práce, úsporu administrativních činností, lepší zákaznickou zkušenost i podporu při analýzách, plánování a rozhodování. AI Cloud vám jako službu poskytne jak prostor pro provoz vlastních AI řešení, tak i řadu předem natrénovaných AI modelů připravených pro nejrůznější aplikace.
Streamingové a OTT služby
Streamingové a OTT služby
Digitální televize a multimediální služby nejsou jen obsah. Zpracovat třeba video a doručit je příjemci tak, aby to odpovídalo soudobým požadavkům, je velice náročné. Streamovací a OTT služby Českých Radiokomunikací Media Cloud a HbbTV nabízejí pro provoz multimediálních služeb ekonomicky velmi efektivní řešení postavené na jedinečné cloudové infrastruktuře.