生产厂商:OPSWAT产品类别:网络管理
SafeConnect NAC 通过获得可见性和控制来保护您的网络
所有组织都面临着越来越多的未知设备试图访问其关键网络基础架构的攻击。在网络安全方面,每个员工,承包商,客户或供应商及其设备都是潜在的威胁媒介。此外,对于CISO,董事和IT经理而言,日常的挑战是在不妨碍其员工,承包商和客户进行访问的情况下,实施网络访问特权和安全合规性策略。这些高管,经理和他们的员工还面临着艰巨的任务,即将设备信息和用户身份相关联以实现法规遵从和安全取证。
SafeConnect NAC的价值就是这样-通过确保每个连接的设备可见,实时检查是否符合要求以及实时分别阻止或允许,可以大大减少安全事故。请勿通过暴露组织和数据的声誉来冒险–而是要确保网络,成员个人信息和知识产权的安全性保持不变。
设备发现和分析
SafeConnect NAC发现尝试访问网络的新物联网和用户设备
SafeConnect NAC可以以被动方式配置文件(确定设备类型)或隔离设备,直到明确知道设备类型为止
SafeConnect NAC使用以下技术来确定设备类型:
- 深度设备指纹
- DHCP服务器
- Web浏览器用户代理标识
- URL指纹
- MAC地址OID指纹
- 来自外部来源的输入,例如
- 串联网络设备(无线访问点,防火墙)
- 数据库资源
-
控制物联网或无浏览器的设备访问
无论是打印机和VOIP电话,恒温器和照明灯等智能设备,还是您所在行业专用的OT设备,控制和监视这些设备都是一个真正的挑战。这些设备可能会给您的环境带来很大的风险,许多组织正在通过网络分段解决此问题。SafeConnect NAC提供了传统系统,移动和IoT设备以及现在的运营技术(OT)系统的整合视图;使您能够使用ACL或从单个仪表板分配给特定VLAN来分割IoT设备。
SafeConnect NAC允许设计多种选项来满足您对这些类型的设备的不同要求:
- 被动启用 – SafeConnect可以选择识别某些设备类型并被动允许它们访问。
- 批量上传 –您可以选择将一组MAC地址(可能在资产管理系统中维护)的设备列入白名单,以确保只有这些特定的MAC地址才能进入网络。
- 自我注册 –如果您所在的环境中有需要绑定身份的特定IoT设备,则可以通过强制门户进行自我注册。
-
评估设备的全面合规性
无论是组织的可接受使用策略(AUP)还是法规要求,SafeConnect均可确保网络上的设备符合并符合要求。在授予网络访问权限之前,将对Windows,macOS和移动设备进行深度端点评估,以确保该设备遵守您的AUP,并且在它们跨网络移动时也进行了实时检查。
满足法规合规性要求(例如GDPR,HIPAA,PCI DSS,SOX或GLBA)的工作围绕着了解网络上的设备和用户的“谁,什么,何时何地”以及控制对公司需要确保安全的数据的访问。SafeConnect NAC可帮助您实现可见性,安全性和控制-并自动执行可验证问责制,减轻漏洞和阻止不断发展的威胁的策略-确保您遵守定期审核。
验证您的用户
根据您的环境,您可以使用多种方法/协议对用户进行身份验证。最终用户AD / LDAP / SAML身份验证可防止未经授权的用户访问网络资源。SafeConnectNAC支持以下身份验证类型:EAP-PEAP(基于凭据),EAP-PEAP(基于计算机),EAP-TLS(基于证书)以及域和802.1X单一登录(SSO)。访客,供应商和第三方的安全访问,最终用户强制门户,用于通过广泛的商标/定制功能对BYOD设备进行身份验证。
访客自我注册可自动为访客配置临时网络访问的过程。为需要访问网络的访客,供应商或其他第三方设置不同的访问级别和批准流程。SafeConnect标配有完整配置的SMS网关,可立即提供国际SMS支持。具有批量上载MAC地址的设备注册功能可对无浏览器的设备(例如打印机,VOIP电话,IP摄像机或任何其他支持IOT的设备)进行正确的身份验证,包括可选的网络访问分配(VLAN,ACL,角色,配置文件等)。
查看实时或历史管理报告
SafeConnect NAC收集了大量称为上下文智能的实时和历史上下文感知设备信息,例如用户名,IP地址,MAC地址,角色,位置,时间,所有权甚至法规遵从状态。此信息允许更及时,更明智的安全决策。
使用实时报告仪表板可查看网络中的人员和内容,以及内置的报告界面,可提供30天的详细设备信息和6个月的历史信息。这些报告可以按计划运行,按需运行或导出到其他工具。
此外,内置的报告界面通过易于使用的界面提供30天的详细客户信息和6个月的历史会话信息,该界面可以按需运行,也可以安排每天,每周或每月通过电子邮件发送报告基础。也可以将此数据导出到SIEM等外部源,以保留更长的数据时间。
整合以增强当前的安全投资
SafeConnect NAC与其他安全解决方案(例如基于身份的防火墙,Web内容过滤器,SIEM和带宽管理解决方案)共享所收集的上下文智能信息,以增强其功能,使其远远超出传统域设备的范围。
此功能是双向的,可以接收来自高级威胁检测系统的警报,以对严重警报实施实时隔离。不会丢失在整个公司中传播的午夜紧急警报的事件,因为它将立即被阻止。