Identity Awareness Software Blade

Check Point Identity Awareness Software Blade – программный блейд Check Point, обеспечивающий интеграцию MS Active Directory пользователей, групп и устройств, а также контроль доступа через создание политики на основе идентификации пользователе AD. Данный функционал по умолчанию входит во все аплаинсы Check Point и позволяет в политиках использовать учетные записи и\или группы пользователей AD.

Видимость действий пользователей

• Централизованное управление доступом пользователей к ресурсам компании и интернет-приложениям
• Возможность применения индивидуальной политики для каждого пользователя/ группы/ устройства MS AD
• Простота определения пользователей — сотрудников компании или других лиц (гостей и подрядчиков)

Усиление контроля над корпоративными ресурсами

• Индивидуальный доступ к центрам обработки данных, приложениям и сетевым сегментам для пользователей, отделов или устройств
• Предотвращение несанкционированного доступа к ресурсам, совмещённое с возможностью удалённой работы
• Предотвращение угроз и потери данных путем ограничения доступа к ресурсам для пользователей и устройств
• Централизованное управление и мониторинг позволяют управлять политикой посредством единой консоли.

Простота развёртывания в любой организации

• Интеграция Identity Awareness в архитектуру программных блейдов CheckPoint
• Обеспечение масштабируемого обмена данными о аутентификации пользователей между шлюзами
• Identity Awareness Software Blade обеспечивает несколько способов получения идентификационных данных пользователя, включая: AD Query, Browser-Based (через браузер) и IdentityAgents.
• Идентификационная информация может использоваться соответствующими программными блейдами для применения индивидуальной политики.

Настраиваемый доступ

Identity Awareness Software Blade позволяет легко добавлять пользователей, группы и устройства MS AD для их идентификации, обеспечивая тем самым безопасность вашей компании и удобство построение политик безопасности.

Identity Awareness Software Blade обеспечивает несколько способов получения идентификационных данных пользователя, включая: AD Query, Browser-Based (через браузер) и Identity Agents. Идентификационная информация может использоваться соответствующими программными блейдами для применения индивидуальной политики.

AD Query — Запрос к контроллерам домена.Легко разворачиваемый, основанный на интеграции с Active Directory, полностью прозрачный для пользователя и clientless метод.

Browser-Based Authentication — Проверка подлинности на основе браузера.Для обеспечения идентификации неизвестных пользователей Вы можете использовать следующие методы:

1. Captive Portal — простой метод, заключающийся в проверке подлинности пользователей через веб-интерфейс до предоставления ему доступа к ресурсам внутренней сети. Когда пользователь пытается получить доступ к защищенному ресурсу, он переходит на веб-страницу, в которой необходимо заполнить поля логин и пароль для дальнейшей работы.
2. Transparent Kerberos Authentication — «прозрачная» проверка подлинности пользователей посредством браузера, включающая проверку информации о личности до открытия им страницы имени пользователя / пароля в Captive Portal. При настройке этого параметра Captive Portal запрашивает данные аутентификации из браузера. После успешной аутентификации пользователь перенаправляется к своей первоначальной цели. Если проверка не прошла, пользователь должен ввести учетные данные в Captive Portal.

Identity Agents – Агент на ПК или терминальный сервер.Данный метод требует установки агента на машину пользователя.Два типа Identity Agents:

1. Endpoint Identity Agents – специализированные клиентские агенты, установленные на компьютерах пользователей, которые задают и передают идентификационные данные на шлюз безопасности Security Gateway.
2. Terminal Servers Identity Agent – агент, установленный на терминальном сервере приложений, где размещены сервисы Citrix / MS Terminal. Там и происходит идентификация пользователей, использующих в качестве источника общий IP адрес сервера.

Что даёт использование Endpoint Identity Agents:

• Идентификация пользователей и устройств
• Минимальное вмешательство пользователя — все необходимые настройки выполняются администратором и не требуют ввода данных пользователем.
• Безупречное подключение – простая аутентификация с использованием Kerberos Single Sign-On (SSO) при регистрации пользователя в домене. В случае нежелания использования SSO, пользователи могут вводить свои учетные данные вручную. Вы можете открыть им доступ к данной функции.
• Возможность подключения через роуминг — пользователям остаются идентифицированными, даже когда перемещаются между сетями, так как клиент обнаруживает данные перемещения и подключения.
• Повышенная безопасность — Вы можете использовать запатентованную технологию « packet tagging » для предотвращения подмены IP адресов. Endpoint Identity Agents также даёт возможность надёжной аутентификации пользователей и устройств через Kerberos.

RADIUS Accounting — идентификация на базе RADIUS сервера.
RADIUS Accounting получает идентификационные данные пользователей из запросов, которые генерируются клиентом RADIUS. Identity Awareness использует данные из этих запросов для получения информации о пользователях и группе устройств с сервера LDAP.

Удалённый доступ (VPN SSO).
Идентификация доступна для удалённого пользования через мобильные устройства и IPSec VPN, настроенных на работу в офисном режиме Office Mode и в случае подключения к шлюзу Security Gateway.

Добавление идентификационных данных пользователя через Identity Awareness осуществляется легко и быстро благодаря встроенному мастеру развёртывания. Проделав всего несколько простых шагов, Вы сможете добавить пользователя, группу пользователей или устройство, а также получить ценную информацию для настройки политики безопасности во всей системе.

Информация идентификации может быть легко распределена на один шлюз или по всей сети. В случае развертывания нескольких шлюзов, например, нескольких филиалов или нескольких шлюзов, защищающих внутренние ресурсы, идентификационная информация может быть перемещена с одного шлюза на другой/другие.

Программный блейд Identity Awareness интегрирован в архитектуру программных блейдов и может быть легко и просто активирован на существующих шлюзах безопасности Check Point, что позволяет сэкономить время и снизить затраты за счёт использования существующей системы безопасности.