เปิดมุมมอง Cloud App กับ ClearPass Device Insight

ในช่วงปี 2021 ที่กฏหมายกำลังบังคับให้มีการทำเรื่องของความปลอดภัยของข้อมูลส่วนบุคคล หรือกฏหมาย PDPA ทำให้สิ่งหนึ่งที่สำคัญมากคือการบริหารจัดการและเก็บข้อมูลการเข้าถึงเครือข่ายของผู้ใช้งานแต่ละคน

การบริหารจัดการเรื่องระบบจัดการควบคุมการเข้าถึงระบบเครือข่ายขององค์กร ไม่ว่าจะเป็นระบบ Wire, Wireless หรือ VPN จะมีเรื่องของนโยบายเข้ามาควบคุม ติดตาม ถึงระดับอุปกรณ์และผู้ใช้งาน สิ่งที่เราควรคำนึงถึงก่อนที่เราจะทำการ deploy ระบบ จะมีดังต่อไปนี้

1.การยืนยันตัวตน (Authentication Types)
อุปกรณ์ในเครือข่ายมีหลากหลายมากขึ้น เราต้องมีการแบ่งแยก กำหนดสิทธิ์ให้แต่ละอุปกรณ์ เพราะฉะนั้นต้องมีการตรวจสอบอุปกรณ์ก่อนที่จะเข้า access ในระบบเครือข่ายขององค์กรได้

วิธีการตรวจสอบ หรือการทำ policy ก่อนเข้าในงาน มีวิธีการดังนี้
1.1 Mac Authentication เลขฐาน 16 แต่ละอุปกรณ์
1.2 Captive Portal เป็น Authentication หน้า Web Portal
1.3 Certificate จะต้องมี Cert ที่ตรงกันก่อนถึงจะสามารถเข้าได้
– Certification เหมือนบัตรประชาชน เป็นตัวที่ยืนยันได้ว่าเราเป็นคนไทย มีตัว expired date เปรียบเทียบกับเราเป็น client หากเรามี cert ที่ตรงกับ server เราก็สามารถเข้าใช้งานได้
1.4 802.1x จะเป็น feature ที่ตั้งใช้ user/psw ในการ authentication ก่อนที่จะได้สิทธิ์เข้าถึงระบบเครือข่ายขององค์กร
– การทำ Authentication, Policy จะใช้ Aruba Clearpass Policy Manager เป็นผู้กำหนดสิทธิ์ ผู้ควบคุมสิทธิ์ ของแต่ละอุปกรณ์ว่าสามารถทำอะไรได้บ้าง หรือเข้าถึงอะไรได้บ้างนั่นเอง

2.รู้ได้อย่างไรว่าอุปกรณ์อะไรบ้างเข้ามา
– อุปกรณ์ Clearpass device insight เป็นตัวแยกอุปกรณ์แต่ละประเภทให้ มี Machine Learning หรือ AI ในการแยกอุปกรณ์ เช่น IOT, IOS, Android
– เมื่อมีอุปกรณ์เข้ามาในระบบ มันจะทำการไป check กับ Clearpass Device Insight ว่าเป็นอุปกรณ์อะไร
– เป็นรูปแบบของ Cloud service
– Devices :: PC, Notebook, Smartphone, Tablet, Printer, IP Phone, IOT
– Roles :: Staff, Guest, VIP, Manager, IOT

3.จะจัดการกับอุปกรณ์ที่เข้ามาอย่างไร
– เราสามารถทำ Access Control List (ACL) สำหรับ user คนนี้เข้า ออกส่วนไหนได้บ้าง วิธีทำคือ ทำที่ port หรือ interface เช่น ip address นี้ให้เข้าถึง Server ใดได้บ้าง
– VLAN บางคน login ตึก A ได้ vlan 10 ไปตึก B ก็ได้ vlan 10 เช่นกัน ตัวอย่างเช่นนี้ก็สามารถทำได้เช่นกัน
– มีการใช้ Dynamic Segmentation โดยใช้การ authentication ของ clearpass ในการกำหนดสิทธิ์ และสามารถใช้ Policy Enforcement ในการแบ่ง user และ device แต่ละอุปกรณ์ สามารถ control ในระดับ application ได้เลย
– คำถามเราต้องถามก่อนว่าใน network เรามีใครบ้าง และอุปกรณ์อะไรบ้าง เช่น Executive/Staff, Guest, IOT Devices แต่ละคนมีอุปกรณ์อะไร เช่น smartphone, iPad

และนี่คือขีดความสามารถและความปลอดภัยให้ระบบเครือข่ายของ Aruba ClearPass แบบคร่าว ๆ นั่นเองครับ

รายละเอียดเพิ่มเติม: https://www.arubanetworks.com/techdocs/ClearPassDeviceInsight/Content/Online_Help/Getting_Started/Overview.htm
https://blogs.arubanetworks.com/solutions/introducing-clearpass-device-insight-cloud-enabled-ai-powered-device-discovery-and-profiling