Identity Awareness Software Blade — Check Point

idawareness_web

Check Point Identity Awareness Software Blade – программный блейд Check Point, обеспечивающий интеграцию MS Active Directory пользователей, групп и устройств, а также контроль доступа через создание политики на основе идентификации пользователе AD. Данный функционал по умолчанию входит во все аплаинсы Check Point и позволяет в политиках использовать  учетные записи и\или группы пользователей AD.

ПРЕИМУЩЕСТВА

Видимость действий пользователей

  • Централизованное управление доступом пользователей к ресурсам компании и интернет-приложениям
  • Возможность применения индивидуальной политики для каждого пользователя/ группы/ устройства MS AD
  • Простота определения пользователей — сотрудников компании или других лиц (гостей и подрядчиков)

Усиление контроля над корпоративными ресурсами

  • Индивидуальный доступ к центрам обработки данных, приложениям и сетевым сегментам для пользователей, отделов или устройств
  • Предотвращение несанкционированного доступа к ресурсам, совмещённое с возможностью удалённой работы
  • Предотвращение угроз и потери данных путем ограничения доступа к ресурсам для пользователей и устройств
  • Централизованное управление и мониторинг позволяют управлять политикой  посредством единой консоли.

Простота развёртывания в любой организации

  • Интеграция Identity Awareness в архитектуру программных блейдов CheckPoint
  • Обеспечение масштабируемого обмена данными о аутентификации пользователей  между шлюзами
  • Identity Awareness Software Blade обеспечивает несколько способов получения идентификационных данных пользователя, включая: AD Query, Browser-Based (через браузер) и IdentityAgents.
  • Идентификационная информация может использоваться соответствующими программными блейдами для применения индивидуальной политики.

Настраиваемый доступ

Identity Awareness Software Blade позволяет легко добавлять пользователей, группы и устройства MS AD для их идентификации, обеспечивая тем самым безопасность вашей компании и удобство построение политик безопасности.

1

Возможные методы идентификации пользователя

Identity Awareness Software Blade обеспечивает несколько способов получения идентификационных данных пользователя, включая: AD Query, Browser-Based (через браузер) и Identity Agents. Идентификационная информация может использоваться соответствующими программными блейдами для применения индивидуальной политики.

  AD Query Запрос к контроллерам домена.
Легко разворачиваемый, основанный на интеграции с Active Directory,  полностью прозрачный для пользователя и clientless метод.

 Browser-Based Authentication — Проверка подлинности на основе браузера.
Для обеспечения идентификации неизвестных пользователей Вы можете использовать следующие методы:

  1. Captive Portal — простой метод, заключающийся в проверке подлинности пользователей через веб-интерфейс до предоставления ему доступа к ресурсам внутренней сети. Когда пользователь пытается получить доступ к защищенному ресурсу, он переходит на веб-страницу, в которой необходимо заполнить поля логин и пароль для дальнейшей работы.
  2. Transparent Kerberos Authentication — «прозрачная» проверка подлинности пользователей посредством браузера, включающая проверку информации о личности до открытия им страницы имени пользователя / пароля в Captive Portal. При настройке этого параметра Captive Portal запрашивает данные аутентификации из браузера. После успешной аутентификации пользователь перенаправляется к своей первоначальной цели. Если проверка не прошла, пользователь должен ввести учетные данные в Captive Portal.

  Identity Agents – Агент на ПК или терминальный сервер.
Данный метод требует установки агента на машину пользователя.
Два типа Identity Agents:

  1. Endpoint Identity Agents – специализированные клиентские агенты, установленные на компьютерах пользователей, которые задают и передают идентификационные данные на шлюз безопасности Security Gateway.
  2. Terminal Servers Identity Agent – агент, установленный на терминальном сервере приложений, где размещены сервисы Citrix / MS Terminal. Там и происходит идентификация пользователей, использующих в качестве источника общий IP адрес сервера.

Что даёт использование Endpoint Identity Agents:

  • Идентификация пользователей и устройств
  • Минимальное вмешательство пользователя — все необходимые настройки выполняются администратором и не требуют ввода данных пользователем.
  • Безупречное подключение – простая аутентификация с использованием Kerberos Single Sign-On (SSO) при регистрации пользователя в домене. В случае нежелания использования SSO, пользователи могут вводить свои учетные данные вручную. Выможетеоткрытьимдоступкданнойфункции.
  • Возможность подключения через роуминг — пользователям остаются идентифицированными, даже когда перемещаются  между сетями, так как клиент обнаруживает данные перемещения и подключения.
  • Повышенная безопасность — Вы можете использовать запатентованную технологию « packet tagging » для предотвращения подмены IP адресов.   Endpoint Identity Agents также даёт возможность надёжной аутентификации пользователей и устройств через Kerberos.

  RADIUS Accounting — идентификация на базе RADIUS сервера.
RADIUS Accounting получает идентификационные данные пользователей из запросов, которые генерируются клиентом RADIUS.  Identity Awareness использует данные из этих запросов для получения информации о пользователях и группе устройств с сервера LDAP.

  Удалённый доступ (VPN SSO).
Идентификация доступна для удалённого пользования через мобильные устройства и IPSec VPN, настроенных на работу в офисном режиме Office Mode и в случае подключения к шлюзу Security Gateway.

Настройка Identity Awareness — Deployment Wizard.

Добавление идентификационных данных пользователя через Identity Awareness осуществляется легко и быстро благодаря встроенному мастеру развёртывания. Проделав всего несколько простых шагов, Вы сможете добавить пользователя, группу пользователей или устройство, а также получить ценную информацию для настройки политики безопасности во всей системе.

Шаг 1: Обеспечение корпоративного доступа для конкретных групп или пользователей. 

2

Шаг 2: Введение учетных данных в Active Directory для требуемого домена.

3

Шаг 3: Создание правил  для получения идентификационной информации через адаптивный портал.

4

Вот и все, что необходимо. Программный блейд Identity Awareness будет получать идентификационные данные. При желании Вы можете изменить параметры, установленные Вами в мастере, а также добавить другие методы, например, «identity agents» (идентификация агентов).

5

Обмен идентификационными данными.

Информация идентификации может быть легко распределена на один шлюз или по всей сети. В случае развертывания нескольких шлюзов, например, нескольких филиалов или нескольких шлюзов, защищающих внутренние ресурсы, идентификационная информация может быть перемещена с одного шлюза на другой/другие.

Преимущества распределения личных данных:

  • Единовременная аутентификации пользователя – данные идентификации пользователя распределяются между шлюзами, что позволяет пользователям получать доступ к определенным ресурсам сразу в нескольких местах одновременно.
  • Предотвращение нагрузки на сеть из нескольких поисковых запросов Active Directory.
  • Упрощённое внедрение и синхронизация серверов Active Directory.

Интегрированная в Check Point архитектура программных блейдов.

Программный блейд  Identity Awareness интегрирован в архитектуру программных блейдов и  может быть легко и просто активирован на существующих шлюзах безопасности Check Point, что позволяет сэкономить время и снизить затраты за счёт использования существующей системы безопасности.

Технические характеристики:

Поддерживаемые устройства
Check Point 2012 Appliances
Check Point Power-1
Check Point IP Appliances
Check Point UTM-1
Check Point IAS
Поддерживаемы операционные системы
GAiA
SecurePlatform
IPSO 6.2 Disk-based
IPSO 6.2 Flash-based
Взаимодействие с программными блейдами
Firewall
Application Control
DLP
Antivirus
URL Filtering
Поддержка платформы идентификации пользователей (Identity Agent Platform)
Windows XP Home (SP3, 32-bit)
Windows XP Pro (SP3, 32-bit)
Vista (SP1, 32 and 64-bit)
Windows 7 Professional/Enterprise/Ultimate (32 and 64-bit)
Windows 8
Windows Server 2003 (SP1-2, 32 and 64-bit)
Windows Server 2008 (SP1-2, 32 and 64-bit)
Windows Server 2012
Mac OS X