![行動裝置管理
• Personally owned
• Registered
• OS up-to-date
存取地點
• Hansen, Jon [Sales]
• Title – COO
• Dept – Executive office
• City – London • Location – Bldg 10
• Floor – 3
• Bandwidth – 10Mbps
存取資源管理
• Samsung SM-G950U
• Android
• “Jons-Galaxy”
• Hansen, Jon [Sales]
• MDM enabled = true
• In-compliance = true
終端設備自動辨識
設備自動辨識及授權 不需要再使用MAC清單](https://image.slidesharecdn.com/arubazerotrust-dynamicsegmentation-250731020504-7f443180/85/Aruba_Zero-Trust-Dynamic_Segmentation-pdf-18-320.jpg)
Aruba_Zero Trust-Dynamic_Segmentation.pdf
- 2. 現今的網路威脅
- 3. 現今的網路威脅 因為行動設備以及數位轉型,網路資訊依賴度提高,內部潛藏威脅 3 以前 桌上電腦 & 有線網路 基本 AAA 使用者認證 網路埠啟用 Windows 弱點修補 出口網路安全防火牆 IT 人員花時間親自處理 所有需求 現在 行動式設備、BYOD & 無線網路、IoT 多重因子的存取政策管理 &可視化 多重威脅漏洞 無線、ATP、Botnet C&C 協同防禦,透過 其他資安系統的資訊分享 用戶自我服務,自動化流程
- 8. 問題在哪裡?
- 9. Core Switch Edge Switch CEO Distribution Switch 數位行動/IoT設備/APT,打破安全邊界 同網段內部網路沒有 安全存取控管機制 檔案伺服器 Endpoint Security Agent 問題: 管理維護、使用不便、仍然會中毒 IoT 物聯網設備 漏洞後門怎麼辦?
- 11. 勒索病毒受害客戶經驗 1. 內部主機(檔案伺服器、Windows AD 等) 檔案被加密。 2. 製造機台系統被癱瘓 (Windows 出現致命藍屏、系統變慢) 3. 用戶端個人電腦/筆電檔案被加密。 4. 機台系統或 IOT設備無法安裝防毒軟體。 5. 用戶端安裝防毒軟體,還是中勒索病毒。 6. 機台與機台、或檔案伺服器與用戶端電腦位於同網段,內網防火 牆僅過濾不同網段,無法阻止病毒擴散,造成全員中毒,工作停 擺之狀態。
- 12. 怎麼解決?!
- 13. 現今網路需求:Zero Trust Network 1. 零信任模型並不認為公司防火牆內部的網路就是安全的。 2. 而是假設有缺口並驗證每個要求,就像它是來自開放網路一樣, 無論要求來自何處或存取什麼資源。 3. 零信任教導我們「絕不相信,一律驗證。」每個存取要求都必須 經過完整驗證、授權並加密之後,才會授與存取權。 4. 套用微區隔方法和最低特殊權限存取原則以最小化橫向移動。 5. 豐富的情報和分析功能可用於即時偵測和回應異常狀況。
- 14. Aruba Edge Service Platform 有線及無線網路規劃 依據使用者角色,自動套用使用者 VLAN 及 user role (存取政策 Firewall/ACL) 任何 VLAN 變動,用戶權限改變、查修,只須於 Aruba ClearPass Policy Manager 單一 窗口進行,不用接觸網路設備端的設定。 2. CPPM 依據使用者角色 回應 VLAN、User Role 及 Policy(存取政策) 1. 設備連接網路 送出認證訊息 PC/Laptop 3. VLAN, User Role, Policy 推送至 Aruba 有線及無線網 Aruba ClearPass Policy Manager IoT 網路基礎架構 LAN/WLAN Aruba AP Aruba Switch Aruba Controller
- 15. 回應特定事件 緩解阻擋威脅 Event-triggered actions 一個存取原則,一個網路 Wired, Wireless and Remote Access 提供存取權限 Identity and context-based rules 終端設備辨識與歸類 Custom Fingerprinting 可見性 Visibility 授權 Authorization 強制派送權限 Enforcement 認證 Authentication 最佳解決方案 Aruba Dynamic Segmentation
- 16. 行為異常分析 動態區隔+去標化 Edge Service Platform 防護三步曲 病毒偵測及阻擋 基礎防護 進階防護 360°度防護 病毒防護
- 17. 17 • 先辨識、再管理,且全程自動化 • 具備”移動式防火牆”達到端點防禦(水平防護) • 跨平台不受終端設備OS限制 • 不需要安裝任何程式 • 即有網路架構無需變動 第一步:基礎防護
- 18. 行動裝置管理 • Personally owned • Registered • OS up-to-date 存取地點 • Hansen, Jon [Sales] • Title – COO • Dept – Executive office • City – London • Location – Bldg 10 • Floor – 3 • Bandwidth – 10Mbps 存取資源管理 • Samsung SM-G950U • Android • “Jons-Galaxy” • Hansen, Jon [Sales] • MDM enabled = true • In-compliance = true 終端設備自動辨識 設備自動辨識及授權 不需要再使用MAC清單
- 19. Aruba Colorless Port 去標籤化 印表機VLAN Printer-ACL IP電話 VLAN Phone-ACL 員工電腦 VLAN Employee-ACL 訪客電腦 VLAN Guest-ACL • 設備及佈線去標籤 • 自動識別設備、自動給予存取權限 • 達到Switch設備最大利用率 1- 24
- 20. 智慧化動態端點防護 DYNAMIC SEGMENTATION ✓ 每個終端都具備 行動式防火牆 ✓ 不管移動到哪裡 隨時隨地保護 ✓ L4-L7 role-based Firewall Corp BYOD IOT Guest Office 365 Academic Records n0tma1ware .biz AirGroup Users and Devices Applications and Destinations ClearPass Mobility Controller Aruba Switch Aruba AP
- 21. 條件A 人… 條件C 時… 條件E 物… 條件D 地… 條件B 事… 是什麼 Aruba Role-based Firewall? 提供 人、事、時、地、物條件式管理 ✓ 不需要安裝任何程式及軟體 ✓ 支援任何作業系統
- 22. Employees Guests IoT … Protection Any Time!! AP Switch DIST CORE Dynamic Policy Continuous Monitoring Management and Assurance ROLE-BASED PROTECTED TRAFFIC TO LAYER 7 安全。簡單。自動化 邊際有線網路到無線網路 一致性的網路存取經驗 原本網路架構無需異動!! No Change!! No Change!!
- 23. Access Aggregation Core Aruba Hardware (有線無線區域網路) 自動化方便管理 有線無線整合 彈性建置支援虛擬化 10G 40G/100G 1G/10G Aruba 6400 Aruba 6300F/M Aruba 8325 Aruba AP Aruba Mobility Controller Edge Service Platform Core/Data Center
- 24. 24 • 結合防毒牆,清洗異常流量 • 機台設備不停機 • 勒索病毒無所遁形 • 端點病毒防護 第二步:基礎防護+防毒牆
- 25. IoT-ROLE Per-User Firewall Aruba Switch 設備識別 LAN AD Aruba CPPM 外部防毒資安設備 (Anti-Virus/IPS) RD-Server 出口主要防火牆 Internet 設備機台 Aruba Controller Aruba 有線及無線網路:即時偵測和回應並阻擋異常狀況 ✓ 機台服務不停擺 未感染檔案或服務可正常傳送 ✓ 受感染檔案或服務被及時阻擋 不會橫向擴散 ✓ 同網段亦可掃毒阻擋威脅,達到終端設備水平防護 設備機台 Aruba AP 同網段 機台Server
- 26. 26 • 結合行為分析SIEM • 開方式平台整合 • 達到360度防禦 第三步:進階360°度防護
- 27. 閘道資訊安全防護 Firewall / IPS/UTM/NGFW IT/OT/IoT 網路終端設備 SIEM → API → Aruba ClearPass 用戶端威脅設備黑名單 4 Aruba + SIEM/UEBA 整合網路基礎架構與網路資安應用 透過整合網路Flow、資安設備流量(session log)、事件(security log) 、網管(SNMP) 及使用者行為分析,更精準的偵測威脅,及時防禦 網路基礎架構 LAN/WLAN 2 SIEM/UEBA 整合關聯分析 ✓ 整合AV/IPS/NGFW 威脅事件 ✓ IP 信譽資料庫 ✓ 網路設備 流量分析 ✓ UEBA 使用者行為分析 ✓ 自訂關聯分析政策 3 Aruba AP Aruba Switch 網管與流量記錄 sFlow/syslog/SNMP Aruba ClearPass 設備識別,可視化 1 流量與資安事件 Session log/Security log Aruba ClearPasse 主動隔離用戶端威脅設備 5 Aruba Controller
- 28. Aruba :資安防護解決方案 資安聯合防禦整合,隔離威脅用戶 Internet Firewall /UTM Aruba ClearPass Aruba Controller/Switch/AP 觸發威脅事件 Syslog REST API 標記威脅設備 用戶端 正常用戶端 IDENTITY 認證資訊 威脅用戶端 自動隔離 使用者及登入資訊 Syslog/SNMP RADIUS CoA 自動斷線用戶 • 單一窗口 • 安全•簡單•智慧 • 與資安設備共享威脅 • 最為阻斷、隔離、與恢復之總控制窗口 SIEM 資安事件分析系統 AI/ML/UEBA 流量紀錄 Flow
- 31. Internet of Things (IoT) BYOD and corporate owned REST API, Syslog Security monitoring and threat prevention Device management and multi- factor authentication Helpdesk and voice/SMS service in the cloud Wired switching Wireless Aruba ClearPass with Exchange Ecosystem Aruba ClearPass 開放的生態系統整合
- 32. 實機展示
- 33. Aruba Dynamic Segmentation 展示架構圖 Aruba ClearPass Aruba Controller Cluster 7008-2 Aruba Mobility Master Core Switch Aruba 2930F Switch 無線網路使用者 IoT (Webcam) Aruba Airwave 7008-1 Aruba AP FortiGate Firewall Tagged Port : VLAN 31 / Native VLAN 30 LLT Office Demo 現場 Port 22 Aruba Remote AP Tunneled to LLT LAN 有線網路使用者 Internet 172.16.30.253 Tagged Port : VLAN 31 / Native VLAN 30 FortiGate Firewall VLAN 33, 34 Port 21 FortiSIEM
- 36. RD-ROLE Per-user Firewall Aruba Switch/AP 角色設備識別 RD-ROLE LAN AD Aruba CPPM Core Switch 骨幹交換器 DHCP Server 出口主要防火牆 Internet RD User 192.168.0.0/24 Aruba Controller • 無限制存取
- 37. SI-ROLE Per-user Firewall Aruba Switch/AP 角色設備識別 SI-ROLE LAN AD Aruba CPPM Core Switch 骨幹交換器 DHCP Server 出口主要防火牆 Internet SI User 192.168.0.0/24 Aruba Controller • SI-ROLE 限制存取 192.168.0.0/24 • SI-ROLE 限制存取 RD-ROLE • RD-ROLE 可以存取 SI-ROLE RD User
- 38. quarantine Per-user Firewall Aruba Switch/AP 角色設備識別 Quarantine Device LAN AD Aruba CPPM Core Switch 骨幹交換器 DHCP Server 出口主要防火牆 Internet Sony Mobile Aruba Controller • 限制手機廠牌存取 (本例為Sony 智慧手機)
- 39. Quarantine Device • 限制手機廠牌存取 (本例為Sony 智慧手機) • 相同帳號使用者:Windows 可以連線,Sony 手機隔離
- 40. RD-ROLE Per-user Firewall Aruba Switch 角色設備識別 Wired Dynamic Segmentation and Roaming LAN AD Aruba CPPM Core Switch 骨幹交換器 DHCP Server 出口主要防火牆 Internet 192.168.0.0/24 Aruba Controller • RD User 接任何 Port :取得 RD 存取權限 RD User Port 2
- 41. IoT-ROLE Per-user Firewall Aruba Switch 角色設備識別 Wired Dynamic Segmentation and Roaming LAN AD Aruba CPPM Core Switch 骨幹交換器 DHCP Server 出口主要防火牆 Internet 192.168.0.0/24 Aruba Controller • IoT/Camera 接任何Port :取得 IoT 存取權限 IoT/Camera Port 2
- 42. Device Conflict – IoT Device Fingerprint
- 43. Device Conflict:Conflict Detected, MAC Impersonation (Deny All)
- 44. Device Conflict:Ignore MAC Impersonation Client Fingerprint
- 46. Guest- ROLE Per-user Firewall Aruba Switch 角色設備識別 Wired Dynamic Segmentation and Roaming LAN AD Aruba CPPM Core Switch 骨幹交換器 DHCP Server 出口主要防火牆 Internet 192.168.0.0/24 Aruba Controller • 訪客接 Port 2:Web Portal 認證,自註冊取得訪客權限 (禁止內部網路) Guest User Port 2
- 47. ClearPass 應用- Guest: 訪客自我註冊連線 1. 3. 連線網路 2. 申請表單自動 email 給受訪者,受訪 者確認訪客申請 ClearPass Policy Manager Guest 訪客帳號啟用,訪客透過 Portal 畫面告知已經可以登入使用該 帳號 訪客連線網路,透過Web Portal 填寫申請表單 (可客製化欄位) 訪客 Sponsor
- 48. Demo 3 3rd Party 資安聯合防禦整合 開放式 API 整合 SIEM
- 49. Aruba 360 Secure Fabric:資安聯合防禦整合 Aruba ClearPass Adaptive Trust Internet Firewall /UTM Aruba ClearPass AD Aruba Switch/AP 觸發威脅事件 Syslog REST API 標記威脅設備 用戶端 正常用戶端 IDENTITY 認證資訊 威脅用戶端 自動隔離 使用者及登入資訊 Syslog/SNMP SIEM/資安事件分析系統 AI/ML/UEBA RADIUS CoA 自動斷線用戶
- 51. Quarantined Client (Endpoint) Attribute Added in ClearPass
- 52. Demo 4 3rd Party 資安聯合防禦整合 整合外部UTM 防毒/IPS
- 53. Redirect Specific Traffic Aruba Switch 角色設備識別 OA AD Aruba CPPM ESI Firewall 外部防毒資安設備 (Anti-Virus/IPS) Internet 防火牆 Internet Prober Aruba User(Device) 之間有應用流量需求:即時偵測和回應並阻擋異常狀況 Aruba External Service Interface (ESI) • 使用者(設備)之間有傳送檔案需求:未感染檔案可正常傳送 • 受感染檔案被及時阻擋,不會橫向擴散 • 內部網路同網段亦可掃毒阻擋威脅,解決終端設備控管問題 Handler L3 Aggregate Switch Internal Segment 防火牆 Tunnel to Controller Machine Role Firewall
- 54. Demo 5 RADIUS (ClearPass) 認證失聯備援機制 Critical VLAN/User Role
- 55. Aruba 2930F 依據 Interface 設定 critical user role (包含 ACL 及 VLAN) RADIUS(ClearPass) 失聯 • 新連線使用者:critical user-role(port1/port3) • 已經連線使用者:不受影響 (port 2)
- 56. Aruba 6300M 依據 Interface 設定 critical user role (包含 ACL 及 VLAN) RADIUS(ClearPass) 失聯 • 新連線使用者:critical user-role(port1/port3) • 已經連線使用者:不受影響 (port 2)
- 57. Demo 6 單一 Switch Port 依據不同設備角色授與不同 VLAN 及 ACL 或 Tunneled Node
- 58. 單一 Switch Port 依據不同設備角色授與不同 User-Role VLAN 及 ACL 或 Tunneled Node • 同一個 Switch Port 底下串接 Hub • 2 clients 連線 • User-based Tunnel • 取得 Tunnel VLAN • Local User VLAN
- 59. Demo 7 Aruba Controller ACL Resource Utilization (Stateful Firewall Policy) For Wired and Wireless Tunneled Clients
- 60. 同一個 User Role 只占用一份 ACL 資源 • 一個 user 時的 ACL 資源 • 新增一個 user 時 ACL 資源不變
- 61. 單一 Policy 資源之使用 • Policy 包含 5 條 Rules • Policy 包含 6 條 Rules
- 62. Demo 8 Aruba 6300M Switch Resource Utilization
- 63. Initial Resource
- 64. One download role Client
- 65. Two Download Role Clients
- 66. Three Download Role Clients
- 67. Add ONE Tunneled Client (Download Role)
- 68. Add TWO Tunneled Client (Download Role)
- 69. 71 Thanks