Vincere le sfide del bring-your-own-device

Transcript

1 Vincere le sfide del bring-your-own-device

2 Table of Contents Una struttura per implementare con successo le iniziative BYOD 3 I limiti delle attuali soluzioni 4 La visione per la gestione degli accessi BYOD 5 Accesso sicuro e differenziato per tutti gli utenti e i dispositivi 6 Identificazione e risoluzione dei problemi dei dispositivi compromessi 8 Gestione delle policy a livello di intera organizzazione 9 La soluzione ClearPass BYOD di Aruba 10 ClearPass Policy Manager 10 ClearPass QuickConnect 12 Rispondere alla sfida del BYOD con Aruba 12 About Aruba Networks, Inc. 13 Aruba Networks, Inc. 2

3 Una struttura per implementare con successo le iniziative BYOD Negli ultimi tempi, la crescente domanda di accesso di rete, disponibile sempre e ovunque, alle risorse aziendali si è ampliata per includere l uso di dispositivi mobili personali come laptop, tablet, smartphone, e-reader e altri. Dai dirigenti che acquistano un iphone per migliorare la produttività personale ai docenti che riorganizzano i piani di studio per potersi avvalere di nuove applicazioni didattiche basate su tablet, gli utenti di organizzazioni di ogni tipo utilizzano sempre più spesso una varietà di dispositivi consumer per lavoro. Ma questi utenti professionali hanno necessità di accedere ad applicazioni e contenuti aziendali, non solo alla rete Internet. In risposta a questa consumerizzazione dell IT, molte organizzazioni consentono ai dipendenti di scegliere i propri laptop e utilizzare dispositivi smartphone e tablet personali per le attività lavorative nell ambito di iniziative di tipo bring-your-own-device (BYOD). Se da un lato le organizzazioni possono continuare a richiedere che l accesso alle risorse riservate avvenga tramite dispositivi di proprietà aziendale, dall altro stanno introducendo policy più flessibili che consentono di accedere anche tramite i dispositivi personali. Di conseguenza, il numero di dispositivi per dipendente sta passando da una rapporto uno a uno a un rapporto uno a molti. Nel corso di una giornata lavorativa, oggi molti utenti si connettono alla rete utilizzando indifferentemente il laptop, lo smartphone e il tablet. Tra i vantaggi per le organizzazioni che accolgono le iniziative BYOD si annoverano la possibilità di rispondere rapidamente alle esigenze degli utenti, favorire l aumento della produttività degli utenti e, in molti casi, la riduzione delle spese. Tuttavia, concedere l accesso aziendale ai dispositivi personali ha implicazioni dirette in termini di sicurezza, controllo della rete e persino risorse dell helpdesk. Per quanto riguarda la sicurezza, le sfide includono la comprensione di chi e cosa sia collegato alla rete, la protezione dai malware, la corretta applicazione di policy di accesso e il mantenimento dei requisiti di conformità e auditing. Analogamente, le risorse dell helpdesk possono venire rapidamente sopraffatte dall aggravio di lavoro che comporta la configurazione dei dispositivi degli utenti per l autenticazione di rete e l uso aziendale sicuri. In mancanza di una soluzione di accesso alla rete che semplifichi adeguatamente l uso dei dispositivi personali, è molto difficile che l IT riesca ad abbracciare completamente la strategia BYOD. Le organizzazioni hanno bisogno di una struttura semplificata per l implementazione sicura del BYOD, in cui trovino spazio tutte le tipologie di dispositivi e in grado di funzionare con l infrastruttura esistente. Any Device Una soluzione BYOD dovrebbe automatizzare il processo di integrazione dei dispositivi per dipendenti e ospiti, oltre all amministrazione e l applicazione delle policy, raccogliendo Galaxy Tab MacBook iphone ipad Droid informazioni contestuali su dispositivo, utente e connessione. Il Any Network BYOD presuppone inoltre visibilità e reportistica in tempo reale per misurare, applicare e soddisfare VPN tempestivamente i mandati di conformità. Figure 1: The Aruba BYOD solution Aruba Networks, Inc. 3

4 Per rispondere a queste sfide, Aruba ha sviluppato ClearPass Access Management System. Componente essenziale dell architettura MOVE (Mobile Virtual Enterprise) di Aruba, ClearPass fornisce una struttura indipendente dall utente e dal dispositivo per gestire iniziative BYOD di ogni tipo e dimensione, assicurando: Applicazione coerente delle policy a reti multifornitori cablate, wireless e VPN. Identificazione dei dispositivi come base per il grooming del traffico e il miglioramento della sicurezza della rete. Provisioning self-service per tutti i principali dispositivi mobili. Accesso controllato e risoluzione dei problemi per i dispositivi compromessi. Accesso guest sicuro alla rete con workflow semplificati. Ottimizzazione di sicurezza, reportistica e conformità alle normative. I limiti delle attuali soluzioni Oggi sono disponibili numerosi prodotti per l accesso alla rete, molti dei quali vengono proposti come soluzioni BYOD. Tuttavia, la maggior parte di questi prodotti non offre la portata necessaria per coprire indifferentemente le infrastrutture cablate, wireless e VPN e supportare dipendenti, appaltatori e ospiti e gli innumerevoli dispositivi personali di cui dispongono. Le soluzioni offerte dai fornitori di infrastrutture, ad esempio, non tengono conto della natura multifornitore di gran parte delle reti aziendali e pertanto creano una copertura parziale che può richiedere l integrazione di altre soluzioni mirate. Varie soluzioni di sicurezza BYOD sono prodotti mirati che offrono una soluzione per i laptop, una per i dispositivi mobili e così via. Questo approccio a silos alla gestione delle policy di accesso alla rete e al BYOD è complesso e comporta costi di implementazione elevati, poiché obbliga il reparto IT ad acquistare e supportare molteplici componenti che potrebbero non interagire correttamente con l infrastruttura di rete esistente. Questa complessità può anche creare difficoltà agli utenti, richiedendo il provisioning manuale dei dispositivi, il che spesso si traduce in raffiche di richieste all helpdesk. Il provisioning deve risultare semplice per gli utenti, per evitare che siano tentati di aggirarlo. Gli utenti devono avere la flessibilità necessaria per poter effettuare da soli il provisioning di un dispositivo in modo sicuro o utilizzare un ruolo di sponsor durante il processo di creazione degli accessi guest, per semplificare l integrazione degli utenti con un intervento minimo o nullo da parte del reparto IT. Il reparto IT deve avere la flessibilità necessaria per poter definire le policy in base a molteplici variabili, tra cui: Quando e dove è autorizzato l uso di un tipo di dispositivo specifico, ad esempio uno smartphone. A quali risorse possono accedere utenti specifici da un determinato tipo di dispositivo. Quali servizi e applicazioni possono eseguire. Quanta larghezza di banda può essere consumata da un determinato dispositivo o una determinata applicazione. Solo un controllo di questa portata permette al reparto IT, ad esempio, di concedere agli studenti di un università l accesso alla stessa rete Wi-Fi da qualsiasi zona del campus e allo stesso tempo differenziare i privilegi di accesso tra studenti, professori o amministratori. Un altro caso di utilizzo in un ambiente aziendale prevede il controllo dinamico di un tablet o uno smartphone che si connette tramite sia Wi-Fi che 4G. In questo caso, le organizzazioni devono mantenere la protezione e il controllo del dispositivo se questo accede alle risorse aziendali. Aruba Networks, Inc. 4

5 Altrettanto importante è il fatto che il reparto IT deve disporre di una soluzione che assicuri visibilità e report sui dispositivi di proprietà aziendale e BYOD dopo che hanno ottenuto accesso alla rete. La visibilità in tempo reale, incluso il profiling dei dispositivi, è un prerequisito fondamentale non solo per il controllo granulare degli accessi, ma anche per la reportistica, la pianificazione, l auditing e la conformità. Solo disponendo di questi strumenti il reparto IT potrà, ad esempio, verificare che uno smartphone smarrito dal CFO non è stato utilizzato per accedere a dati riservati. La semplicità e l automazione sono fondamentali anche ai fini della produttività del personale IT, perché consentono all organizzazione di dedicare più tempo ai progetti di importanza critica anziché alla risoluzione dei problemi e diagnostica manuale. Se in prima battuta supportare il modello BYOD può sembrare complesso, le organizzazioni possono facilmente abbracciare questa tendenza adottando un approccio olistico che automatizza i processi e tiene in considerazione i requisiti e le abitudini di lavoro del reparto IT e degli utenti. Figure 2: ClearPass Policy Manager dashboard La visione per la gestione degli accessi BYOD Poiché ogni organizzazione è diversa dalle altre, il BYOD avrà connotazioni diverse a seconda degli utenti e delle situazioni specifiche. Per un medico, ad esempio, BYOD può significare portare al lavoro il proprio laptop o tablet personale e utilizzarlo per accedere a informazioni riservate, come le cartelle cliniche dei pazienti. Per un responsabile commerciale, invece, BYOD può significare accedere a Internet e alle informazioni commerciali relative ai clienti da qualsiasi luogo sul proprio smartphone, mentre per un professore può voler dire organizzare una conferenza, creare rapidamente un accesso guest per ogni partecipante e garantire un accesso sicuro da qualsiasi tipo di dispositivo. Una soluzione di gestione degli accessi BYOD efficace deve essere abbastanza flessibile da adattarsi alla maggior parte dei casi di utilizzo che le organizzazioni desiderano supportare e offrire la possibilità di consentire o negare l accesso BYOD in base al ruolo dell utente o al tipo di dispositivo. Deve essere indipendente dal fornitore, basata su standard aperti e sfruttare l infrastruttura di protezione, di identità e di rete esistente nell organizzazione. Aruba Networks, Inc. 5

6 Mentre le iniziative BYOD possono comprendere numerosi aspetti, le organizzazioni dovrebbero cercare una soluzione BYOD con le seguenti caratteristiche: 1. Un architettura aperta, implementabile su infrastrutture wireless, cablate e remote di qualsiasi fornitore e in grado di supportare una vasta gamma di dispositivi fissi e mobili. 2. Funzionalità di provisioning dei dispositivi che automatizzano la configurazione delle impostazioni di sicurezza e produttività sul dispositivo e forniscono servizi di revoca di facile utilizzo. 3. Un sistema di policy che permette l applicazione coerente dei privilegi di accesso sulla base di trust, ruoli degli utenti e tipi di dispositivo, fornendo al tempo stesso una continua valutazione del rischio e risoluzione dei problemi dei dispositivi. Una soluzione con queste caratteristiche assicura la flessibilità necessaria per rispondere a numerosi casi di utilizzo del modello BYOD. Ad esempio, un università potrà gestire centralmente i privilegi di accesso di studenti, docenti e ospiti alla rete distribuita in varie sedi, indipendentemente dal tipo di dispositivo e dal sistema operativo. Nell esempio citato, è possibile applicare le policy a qualsiasi rete wireless, cablata e VPN, archivio identità, ruolo utente e metodo di autenticazione e aggiornarle quando il sistema di gestione delle policy riceve i dati in tempo reale su profili e visibilità. Analogamente, al personale dell amministrazione e delle risorse umane di un azienda si potranno concedere livelli di accesso differenziati in base al ruolo, ai dispositivi utilizzati, a luoghi, orari e modalità di connessione alla rete: in ufficio tramite wireless o in remoto tramite connessione VPN, durante il normale orario di lavoro o nei fine settimana. Accesso sicuro e differenziato per tutti gli utenti e i dispositivi Fino a oggi, gran parte delle soluzioni di accesso alla rete hanno utilizzato metodi di autenticazione incentrati sull utente o sul dispositivo per fornire l accesso differenziato. Tuttavia, in un ambiente BYOD in cui gli utenti dispongono di vari dispositivi, non è più sufficiente una policy globale applicabile indistintamente a tutti. Indipendentemente dal fatto che i dispositivi vengano forniti dal reparto IT o siano di proprietà dell utente, probabilmente saranno necessarie policy diverse. E queste policy saranno basate sul ruolo dell utente, sul luogo e la modalità di connessione e sul tipo di dispositivo utilizzato. Per applicare questo livello di accesso differenziato in un ambiente BYOD, la soluzione ideale deve includere le seguenti funzionalità: Provisioning e gestione dinamici dei dispositivi: Per alleggerire il carico di lavoro del reparto IT legato al provisioning manuale, la soluzione BYOD deve supportare un integrazione dinamica dei dispositivi in grado di automatizzare la registrazione degli utenti e l assegnazione delle credenziali e che, allo stesso tempo, consenta al reparto IT di revocare in modo semplice e automatico i privilegi e i certificati dei dispositivi. Una soluzione BYOD completa deve includere funzionalità di profiling, provisioning, registrazione, integrazione e revoca dei dispositivi. Gli strumenti di provisioning devono semplificare la configurazione degli identificatori del set di servizi (SSID) e del tipo di Extensible Authentication Protocol (EAP), la distribuzione dei certificati e l abilitazione di impostazioni sul comportamento. I meccanismi di registrazione dei dispositivi devono consentire agli utenti di caricare informazioni, come indirizzi MAC e versioni dei sistemi operativi, in un sistema di gestione delle policy. In alcuni casi, come gli ambienti di enti pubblici e governativi con requisiti di sicurezza elevati, il controllo dell integrazione dei dispositivi deve essere mantenuto dal reparto IT. Tuttavia, nella maggior parte dei casi di utilizzo, è possibile utilizzare il provisioning dinamico per consentire agli utenti di configurare da soli i dispositivi per l accesso sicuro. Aruba Networks, Inc. 6

7 ~100% Accuracy ipad ios Provisioning Plus (Onboard, QuickConnect, OnGuard) Identity-based Profiling (AD, ActiveSync) Identified as ios devices Network Heuristics Profiling (RADIUS, Web Auth) Identified as Apple devices Events Fingerprinting (SNMP Traps & Queries, IF-MAP) BaselineFingerprinting (DHCP, MAC OUI, Browser Detection) Figure 3. ClearPass profile accuracy Profiling affidabile dei dispositivi: Una soluzione BYOD deve essere in grado di identificare ogni dispositivo, rilevare da dove si connette alla rete e chi lo utilizza. Allo stesso tempo, il reparto IT deve essere in grado di creare policy di accesso diverse per il laptop fornito dall azienda e l ipad personale usati da uno stesso dipendente. Vista l ampia varietà di dispositivi consumer disponibili e la rapidità con cui si evolvono, il profiling dinamico dei dispositivi fornisce la visibilità necessaria per capire se un nuovo dispositivo o una nuova versione del sistema operativo sta causando problemi. L acquisizione dinamica delle informazioni sui dispositivi consente inoltre di ottenere il set completo di attributi dei dispositivi, che potrà essere utilizzato per creare policy più granulari rispetto all uso dei soli indirizzi MAC. I metodi utilizzati devono comprendere il fingerprinting DHCP (Dynamic Host Configuration Protocol) di base e il rilevamento browser, oltre alla raccolta di informazioni dettagliate da origini quali agenti, server di autenticazione RADIUS e dati di Active Directory. Il grooming del traffico e l implementazione di parametri di sicurezza personalizzati per i dispositivi offrono alle aziende un controllo sulla rete notevolmente superiore. Analogamente, la possibilità di ottenere istantaneamente i profili dei dispositivi può risultare di grande aiuto all helpdesk IT, che potrà così sapere se un dispositivo è un iphone, un laptop Windows o un Kindle Fire e se il sistema operativo è ios, Mac OS X, Windows 7 o Android. Accesso guest Wi-Fi: Rispetto al passato, la definizione di utente guest è oggi molto più complessa e può essere riferita a varie categorie di utenti, dai dipendenti di un azienda con contratto a termine ai clienti di un centro commerciale. Di conseguenza, anche le esigenze di questi utenti guest della rete sono cambiate e la soluzione di gestione degli accessi BYOD deve offrire le stesse funzionalità agli utenti guest come ai dipendenti, ad esempio il provisioning dinamico, il profiling e la differenziazione dei ruoli, necessari per assicurare il rispetto dei requisiti di conformità. Aruba Networks, Inc. 7

8 Molte organizzazioni limitano l accesso a un segmento isolato della rete, tramite l assegnazione di un SSID diverso dal SSID aziendale, e forniscono agli ospiti solo l accesso a Internet. Tuttavia, la soluzione di accesso BYOD deve offrire al reparto IT la flessibilità necessaria per creare regole di accesso differenti per tipi di visitatori diversi. Inoltre, la soluzione di accesso BYOD deve essere semplice da utilizzare, supportare l amministrazione su più livelli e le funzionalità di sponsorizzazione, oltre ad automatizzare la possibilità di includere nelle policy elementi contestuali per assegnare privilegi differenziati in base all orario di accesso e al giorno della settimana. Ad esempio, quando un ospite inserisce la richiesta di accesso, la soluzione di accesso BYOD deve consentire la creazione di un account che rimarrà disabilitato fino a quando uno sponsor autorizzato non avrà verificato e approvato la richiesta. Inoltre, devono esistere metodi di autenticazione che concedono le credenziali di accesso dopo che l approvazione è stata ricevuta dal sistema. Successful Authentication Failed Policy Figure 4. Automated posture and health remediation Identificazione e risoluzione dei problemi dei dispositivi compromessi Il provisioning dei dispositivi endpoint deve includere la possibilità di attivare controlli di comportamento e integrità durante la procedura di configurazione per individuare eventuali dispositivi compromessi che costituiscono un rischio per la sicurezza. Idealmente, dovrebbe trattarsi di una procedura automatica una tantum che utilizza un pacchetto di provisioning generato dal reparto IT anziché richiedere la configurazione manuale su ogni dispositivo. La soluzione di accesso BYOD deve fornire funzionalità di valutazione del comportamento e risoluzione dei problemi di classe enterprise superiori a quelle offerte dai comuni prodotti per il controllo dell accesso alla rete (NAC) che, oltre a effettuare i tradizionali controlli di integrità, esaminino anche la configurazione di runtime e le applicazioni dei singoli dispositivi o rilevino se sono consentiti i dispositivi di storage USB. Anche la capacità di inviare al dispositivo un richiedente o agente completo di tutte le funzionalità è importante durante il provisioning degli endpoint per il BYOD perché i richiedenti nativi consentono solo i controlli di base dei software antivirus, antispyware e firewall. La possibilità di eseguire valutazioni del comportamento in un ambiente BYOD utilizzando agenti permanenti ed eliminabili è importante in quanto l amministrazione di molti di questi dispositivi sarà gestita dall utente. Gli agenti eliminabili riducono il carico amministrativo in quanto vengono scaricati durante il login al portale controllato e rimossi dopo la chiusura della pagina Web. Aruba Networks, Inc. 8

9 Inoltre, le soluzioni di valutazione del comportamento di classe enterprise in genere confrontano i dati di comportamento/integrità con le policy definite in un PDP (Policy Decision Point) centralizzato. Affinché la soluzione di gestione degli accessi BYOD risulti efficace, il PDP deve poter mettere automaticamente in quarantena i dispositivi personali e aziendali non conformi, utilizzando meccanismi basati su ruoli o metodi di controllo della VLAN (VLAN steering). Nell ambito di una valutazione globale del comportamento, la soluzione di accesso BYOD deve: Eseguire controlli automatici mediante agenti persistenti ed eliminabili. Verificare la presenza di software antivirus, antispyware e firewall aggiornati. Verificare la presenza di storage USB e applicazioni e servizi peer-to-peer come Skype e BitTorrent. Fornire opzioni di controllo, compresi accesso protetto alla rete, risoluzione dei problemi manuale e automatica tramite URL controllati e interruzione della disponibilità del servizio. In conclusione, correlando i dati sul comportamento con le informazioni sull identità e altri dati contestuali, le organizzazioni possono applicare policy differenziate a seconda delle esigenze aziendali. Gestione delle policy a livello di intera organizzazione Le funzionalità di gestione delle policy di classe enterprise sono essenziali ai fini di un implementazione del BYOD efficace. L unificazione delle policy per tutte le infrastrutture cablate, wireless e VPN consente al reparto IT di consolidare molteplici soluzioni di gestione delle policy isolate in un unica piattaforma per migliorare la coerenza della gestione delle policy a livello di intera organizzazione e soddisfare i requisiti di conformità. Una soluzione di gestione degli accessi BYOD efficace deve fornire funzionalità di implementazione, applicazione e gestione delle policy su larga scala, tra cui: Gestione centralizzata delle policy: Il reparto IT deve definire e gestire le policy da una posizione centrale e al tempo stesso garantire la coerenza dell esperienza dell utente, indipendentemente dal punto di accesso alla rete. Ad esempio, il personale IT della sede italiana di un azienda deve poter definire le policy per i dipendenti remoti in India o in Cina. Questo permette di risparmiare tempo e denaro evitando di occupare risorse e sostenere spese di trasferta per supportare nuovi utenti e casi di utilizzo o risolvere i problemi. Inoltre, un sistema di gestione delle policy centralizzato deve fornire accesso a molteplici archivi identità e database per poter eseguire l autenticazione e fornire le autorizzazioni in modo indipendente. Ad esempio, per ragioni di sicurezza, un azienda potrebbe archiviare i dati relativi agli utenti in Active Directory e le informazioni sui dispositivi in un database SQL. Molteplici livelli di amministrazione e accesso basato su ruoli. Se da un lato occorre una gestione centralizzata delle policy per garantire la coerenza, dall altro le organizzazioni devono disporre della flessibilità necessaria per amministrare la gestione delle policy in maniera distribuita. La soluzione di accesso BYOD deve supportare diversi livelli di amministrazione e l amministrazione basata su ruoli per i reparti che si occupano di sicurezza, IT e helpdesk. Gestione basata sul Web: La disponibilità al personale IT di un accesso basato sul Web all intero sistema di gestione delle policy che non richiede appliance o licenze dedicate garantisce semplicità d uso e un costo totale di gestione più basso. I privilegi amministrativi su più livelli consentono al personale IT e dell helpdesk di vedere e gestire determinati aspetti del sistema nell area di loro competenza senza mettere a rischio la sicurezza generale del sistema. Aruba Networks, Inc. 9

10 Strumenti di analisi e reportistica sugli accessi: La visibilità sulle attività di accesso è essenziale per soddisfare i requisiti di conformità e ottimizzare l efficacia delle policy di accesso alla rete. La soluzione di accesso BYOD deve fornire al reparto IT funzionalità di reportistica avanzate per consentire il monitoraggio delle attività di accesso attuali e archiviate, la generazione di varie tipologie di report e l analisi dei dati in base ai parametri di accesso, tra cui ruolo, classe del dispositivo e ubicazione. Il reparto IT deve anche avere la possibilità di aggregare i dati, applicare filtri ed espandere i risultati ottenendo viste dettagliate. Opzioni per hardware e macchine virtuali (VM): La soluzione BYOD deve adattarsi al fattore di forma scelto dalle organizzazioni e offrire la possibilità di combinare liberamente appliance basate su hardware e implementazioni VM senza discrepanze tra caratteristiche o funzionalità. L impiego delle macchine virtuali può, ad esempio, ridurre i costi e la complessità grazie ai minori consumi energetici per l alimentazione e il raffreddamento e alla semplificazione dei cablaggi. Analogamente, le appliance hardware possono rappresentare la scelta ottimale per i data center di grandi dimensioni, mentre l opzione VM può essere aggiunta ai server presso le sedi remote per contenere i costi. Ridondanza e failover: L elevata disponibilità è un requisito obbligatorio per qualsiasi policy server aziendale. Anziché dedicare un appliance completamente ridondante allo standby passivo nell ambito di un modello attivo/ passivo, la soluzione di gestione degli accessi ideale deve supportare la tolleranza di errore attraverso il modello publisher-subscriber. In questo modello, il server primario replica o pubblica tutte le modifiche su uno o più server secondari. Questo approccio è più flessibile rispetto ad altri modelli di configurazione cluster. La soluzione ClearPass BYOD di Aruba Aruba Networks conosce le sfide che le organizzazioni affrontano quando implementano una soluzione di accesso che deve essere al tempo stesso affidabile e sufficientemente flessibile da abbracciare la tendenza del BYOD in rapida espansione. Aruba ClearPass è l unica soluzione BYOD basata su standard che fornisce il controllo degli accessi come rete sovrapposta, senza alcun impatto sulla rete esistente. Di conseguenza, l organizzazione può sfruttare l infrastruttura di rete, identità e sicurezza esistente, attivando la funzionalità ClearPass all occorrenza. Grazie a questo approccio estremamente economico e adattabile, le organizzazioni possono implementare una soluzione BYOD personalizzata in base alle loro esigenze specifiche. Il sistema di gestione degli accessi ClearPass Access Management System include ClearPass Policy Manager e ClearPass QuickConnect. ClearPass Policy Manager è una piattaforma centralizzata che definisce e controlla le policy di accesso alla rete basate sull identità degli utenti e il tipo di dispositivi, in infrastrutture cablate, wireless e VPN. ClearPass QuickConnect consente agli utenti di configurare in modo semplice l autenticazione 802.1X sui loro dispositivi Windows, Mac OS X, ios, Android e Linux per un accesso alla rete più sicuro. ClearPass Policy Manager ClearPass Policy Manager combina tutte le funzionalità di una soluzione BYOD affidabile in un unica piattaforma. Questo policy server centralizzato fornisce un controllo degli accessi differenziato e basato sul contesto, oltre a utility operative progettate per ridurre il carico di lavoro del personale IT. ClearPass Policy Manager consente al reparto IT di automatizzare ed estendere in modo semplice le policy di autenticazione e autorizzazione in tutta l organizzazione per applicazioni wireless, cablate, VPN o di accesso guest. Aruba Networks, Inc. 10

11 Oltre ai server RADIUS e TACACS+ integrati per il supporto AAA, ClearPass Policy Manager può leggere i dati da molteplici archivi identità e database, inclusi quelli basati su Microsoft Active Directory, LDAP, SQL e Kerberos, e quindi offre un modello di policy unificato che garantisce l applicazione coerente dei controlli degli accessi in tutta l organizzazione. ClearPass Policy Manager permette di differenziare gli accessi in base a vari attributi, tra cui ruolo dell utente, dispositivo, orario e ubicazione. Per garantire il rispetto dei requisiti di conformità e normativi, raccoglie i dati transazionali di ogni sessione utente e consente al reparto IT e ai dirigenti aziendali di generare vari tipi di report. La piattaforma ClearPass Policy Manager supporta numerose funzionalità aggiuntive mediante una serie di avanzati moduli software per il BYOD: ClearPass Onboard: Il modulo software di provisioning aziendale per ClearPass Policy Manager automatizza completamente l integrazione dei dispositivi tramite un interfaccia di amministrazione integrata. ClearPass Onboard offre funzionalità di provisioning self-service complete per dispositivi Windows, Mac OS X, ios e Android comprendenti la configurazione delle impostazioni 802.1X, la distribuzione e la revoca di credenziali univoche per i dispositivi. Tra le altre funzionalità si annoverano la possibilità di distribuire le applicazioni richieste tramite Push e impostazioni di configurazione per la posta elettronica mobile con client Exchange ActiveSync e VPN per alcuni tipi di dispositivi. ClearPass Profile: Il modulo software di profiling dei dispositivi per ClearPass Policy Manager utilizza un sistema a cinque livelli comprendente DHCP e altri metodi avanzati oltre a fingerprinting dei dispositivi e degli utenti finali e informazioni sui profili. Le informazioni a livello di dispositivo includono dettagli quali versione del sistema operativo, produttore e categoria del dispositivo. Queste informazioni contestuali vengono quindi archiviate e utilizzate per ottimizzare le decisioni relative alle policy e per identificare le modifiche intervenute nel profilo di un dispositivo per aggiornare in modo dinamico i privilegi di autorizzazione. Ad esempio, le policy possono essere utilizzate per concedere privilegi di accesso differenziati a seconda che uno stesso dipendente utilizzi un dispositivo aziendale o un dispositivo personale. ClearPass Guest: Il modulo software ClearPass Guest per ClearPass Policy Manager consente al personale IT e non tecnico di gestire gli account Wi-Fi guest e le attività di integrazione relative ai requisiti di accesso alla rete per i visitatori di ambienti di qualsiasi dimensione. Oltre a consentire a dipendenti e visitatori di registrare da soli i propri dispositivi, ClearPass Guest supporta il controllo degli accessi basato su ruoli, il monitoraggio delle attività a scopo di conformità e auditing e funzionalità esclusive come pubblicità e servizi hotspot commerciali. Figure 5. ClearPass Onboard Aruba Networks, Inc. 11

12 ClearPass OnGuard: Il modulo software ClearPass OnGuard per ClearPass Policy Manager abilita valutazioni globali del comportamento che minimizzano il rischio di infezioni da virus e uso improprio di applicazioni e servizi prima che i dispositivi vengano connessi alla rete. Grazie al supporto di agenti persistenti ed eliminabili, inclusi agenti di fornitori specifici come supplicant nativi di Microsoft Windows, ClearPass OnGuard effettua valutazioni del comportamento su dispositivi che eseguono i sistemi operativi Windows, Mac OS X e Linux, verificando la presenza di software antivirus, antispyware e firewall di oltre 80 fornitori. Inoltre, ClearPass OnGuard verifica i servizi, i processi e le applicazioni peer-to-peer consentiti come Skype, dispositivi di storage USB, client VM e hotspot e fornisce le funzionalità di risoluzione automatica dei problemi e quarantena specificate dalle policy dell organizzazione. ClearPass QuickConnect ClearPass QuickConnect è un servizio basato sul cloud che fornisce semplici opzioni di configurazione 802.1X self-service per dispositivi Windows, Mac OS X, ios e Android, riducendo il carico di lavoro del reparto IT. Il reparto IT configura le variabili degli endpoint e crea i pacchetti di autenticazione di rete, mentre gli utenti visualizzano una configurazione guidata tramite un portale Web controllato, un oggetto criteri di gruppo (GPO) di Active Directory, un dispositivo USB o un CD. Gli utenti avviano la procedura guidata, inseriscono le loro credenziali e si connettono alla rete in pochi minuti. Rispondere alla sfida del BYOD con Aruba Con la progressiva proliferazione delle iniziative BYOD, le organizzazioni avvertono la pressante esigenza di semplificare il processo di connessione di nuovi utenti e dispositivi, mantenendo un livello di sicurezza elevato. ClearPass Access Management System di Aruba è la prima soluzione di sicurezza BYOD del settore ad adottare un approccio incentrato sugli utenti e i dispositivi mobili per offrire una soluzione completa, basata su standard e indipendente dal fornitore per l applicazione di policy di accesso a qualsiasi rete, dispositivo o utente. Con funzionalità quali l integrazione automatica dei dispositivi, l applicazione di controlli di comportamento, l applicazione di policy di accesso differenziate e la generazione di report pronti per l auditing, ClearPass di Aruba fornisce un approccio semplice ed economico alla connessione e alla protezione degli utenti e dei dispositivi BYOD gestiti dal reparto IT. Funzionalità come l auto-registrazione riducono il carico di lavoro per il personale IT, rendono gli utenti più autonomi e accelerano la consumerizzazione dell IT a sostegno del modello BYOD. Le organizzazioni beneficiano della possibilità di sfruttare l infrastruttura esistente e la flessibilità di implementare le strategie BYOD in maniera graduale, in base alle esigenze aziendali e ai requisiti dei casi di utilizzo. Aruba Networks, Inc. 12

13 About Aruba Networks, Inc. Aruba Networks is a leading provider of next-generation network access solutions for the mobile enterprise. The company s Mobile Virtual Enterprise (MOVE) architecture unifies wired and wireless network infrastructures into one seamless access solution for corporate headquarters, mobile business professionals, remote workers and guests. This unified approach to access networks dramatically improves productivity and lowers capital and operational costs. Listed on the NASDAQ and Russell 2000 Index, Aruba is based in Sunnyvale, California, and has operations throughout the Americas, Europe, Middle East, and Asia Pacific regions. To learn more, visit Aruba at For real-time news updates follow Aruba on Twitter and Facebook Crossman Avenue. Sunnyvale, CA ARUBA Tel Fax info@arubanetworks.com 2012 Aruba Networks, Inc. Aruba Networks trademarks include AirWave, Aruba Networks, Aruba Wireless Networks, the registered Aruba the Mobile Edge Company logo, Aruba Mobility Management System, Mobile Edge Architecture, People Move. Networks Must Follow, RFProtect, and Green Island. All rights reserved. All other trademarks are the property of their respective owners. WP_BYOD_DE_120217