TS Solution
TS Solution

Identity Awareness Software Blade

5 АВГУСТА 2014
Check Point Identity Awareness Software Blade – программный блейд Check Point, обеспечивающий интеграцию MS Active Directory пользователей, групп и устройств, а также контроль доступа через создание политики на основе идентификации пользователе AD. Данный функционал по умолчанию входит во все аплаинсы Check Point и позволяет в политиках использовать учетные записи и\или группы пользователей AD.

ПРЕИМУЩЕСТВА

Видимость действий пользователей

  • Централизованное управление доступом пользователей к ресурсам компании и интернет-приложениям
  • Возможность применения индивидуальной политики для каждого пользователя/ группы/ устройства MS AD
  • Простота определения пользователей — сотрудников компании или других лиц (гостей и подрядчиков)
Усиление контроля над корпоративными ресурсами

  • Индивидуальный доступ к центрам обработки данных, приложениям и сетевым сегментам для пользователей, отделов или устройств
  • Предотвращение несанкционированного доступа к ресурсам, совмещённое с возможностью удалённой работы
  • Предотвращение угроз и потери данных путем ограничения доступа к ресурсам для пользователей и устройств
  • Централизованное управление и мониторинг позволяют управлять политикой посредством единой консоли.
Простота развёртывания в любой организации

  • Интеграция Identity Awareness в архитектуру программных блейдов CheckPoint
  • Обеспечение масштабируемого обмена данными о аутентификации пользователей между шлюзами
  • Identity Awareness Software Blade обеспечивает несколько способов получения идентификационных данных пользователя, включая: AD Query, Browser-Based (через браузер) и IdentityAgents.
  • Идентификационная информация может использоваться соответствующими программными блейдами для применения индивидуальной политики.
Настраиваемый доступ

Identity Awareness Software Blade позволяет легко добавлять пользователей, группы и устройства MS AD для их идентификации, обеспечивая тем самым безопасность вашей компании и удобство построение политик безопасности.

Возможные методы идентификации пользователя

Identity Awareness Software Blade обеспечивает несколько способов получения идентификационных данных пользователя, включая: AD Query, Browser-Based (через браузер) и Identity Agents. Идентификационная информация может использоваться соответствующими программными блейдами для применения индивидуальной политики.

AD Query Запрос к контроллерам домена.Легко разворачиваемый, основанный на интеграции с Active Directory, полностью прозрачный для пользователя и clientless метод.

Browser-Based Authentication — Проверка подлинности на основе браузера.Для обеспечения идентификации неизвестных пользователей Вы можете использовать следующие методы:

  1. Captive Portal — простой метод, заключающийся в проверке подлинности пользователей через веб-интерфейс до предоставления ему доступа к ресурсам внутренней сети. Когда пользователь пытается получить доступ к защищенному ресурсу, он переходит на веб-страницу, в которой необходимо заполнить поля логин и пароль для дальнейшей работы.
  2. Transparent Kerberos Authentication — «прозрачная» проверка подлинности пользователей посредством браузера, включающая проверку информации о личности до открытия им страницы имени пользователя / пароля в Captive Portal. При настройке этого параметра Captive Portal запрашивает данные аутентификации из браузера. После успешной аутентификации пользователь перенаправляется к своей первоначальной цели. Если проверка не прошла, пользователь должен ввести учетные данные в Captive Portal.
Identity Agents – Агент на ПК или терминальный сервер.Данный метод требует установки агента на машину пользователя.Два типа Identity Agents:

  1. Endpoint Identity Agents – специализированные клиентские агенты, установленные на компьютерах пользователей, которые задают и передают идентификационные данные на шлюз безопасности Security Gateway.
  2. Terminal Servers Identity Agent – агент, установленный на терминальном сервере приложений, где размещены сервисы Citrix / MS Terminal. Там и происходит идентификация пользователей, использующих в качестве источника общий IP адрес сервера.
Что даёт использование Endpoint Identity Agents:

  • Идентификация пользователей и устройств
  • Минимальное вмешательство пользователя — все необходимые настройки выполняются администратором и не требуют ввода данных пользователем.
  • Безупречное подключение – простая аутентификация с использованием Kerberos Single Sign-On (SSO) при регистрации пользователя в домене. В случае нежелания использования SSO, пользователи могут вводить свои учетные данные вручную. Вы можете открыть им доступ к данной функции.
  • Возможность подключения через роуминг — пользователям остаются идентифицированными, даже когда перемещаются между сетями, так как клиент обнаруживает данные перемещения и подключения.
  • Повышенная безопасность — Вы можете использовать запатентованную технологию « packet tagging » для предотвращения подмены IP адресов. Endpoint Identity Agents также даёт возможность надёжной аутентификации пользователей и устройств через Kerberos.
RADIUS Accounting — идентификация на базе RADIUS сервера.
RADIUS Accounting получает идентификационные данные пользователей из запросов, которые генерируются клиентом RADIUS. Identity Awareness использует данные из этих запросов для получения информации о пользователях и группе устройств с сервера LDAP.

Удалённый доступ (VPN SSO).
Идентификация доступна для удалённого пользования через мобильные устройства и IPSec VPN, настроенных на работу в офисном режиме Office Mode и в случае подключения к шлюзу Security Gateway.

Настройка Identity Awareness — Deployment Wizard

Добавление идентификационных данных пользователя через Identity Awareness осуществляется легко и быстро благодаря встроенному мастеру развёртывания. Проделав всего несколько простых шагов, Вы сможете добавить пользователя, группу пользователей или устройство, а также получить ценную информацию для настройки политики безопасности во всей системе.

Обмен идентификационными данными

Информация идентификации может быть легко распределена на один шлюз или по всей сети. В случае развертывания нескольких шлюзов, например, нескольких филиалов или нескольких шлюзов, защищающих внутренние ресурсы, идентификационная информация может быть перемещена с одного шлюза на другой/другие.

Преимущества распределения личных данных:

    • Единовременная аутентификации пользователя – данные идентификации пользователя распределяются между шлюзами, что позволяет пользователям получать доступ к определенным ресурсам сразу в нескольких местах одновременно.
    • Предотвращение нагрузки на сеть из нескольких поисковых запросов Active Directory.
    • Упрощённое внедрение и синхронизация серверов Active Directory.

    Интегрированная в Check Point архитектура программных блейдов

    Программный блейд Identity Awareness интегрирован в архитектуру программных блейдов и может быть легко и просто активирован на существующих шлюзах безопасности Check Point, что позволяет сэкономить время и снизить затраты за счёт использования существующей системы безопасности.

    Технические характеристики:

    Читайте также: