訊息公告


ISOinsight 「零信任」網路 multi-method 多維度存取管控解決方案(NAC)

產品名稱: ISOinsight NAC edition -  IT/OT存取管控

關鍵字: ISOinsight, 維運監控, 資安監控, 網路監控, 存取管控, IOT管控, 流量分析, 效能管理, 環境監控, ISO27000, ISMS, 風險管理, 無線漫遊, 無線網管, AAA認證, 社群認證, Facebook/LINE/WeChat/Google auth.認證

市場分析: 本土國產 IT/OT存取管控NAC與知名進口品牌功能分析

本文以正邦公司國產ISOinsight NAC edition與 進口品牌ForescoutFortiNAC進行功能面的分析(網路資訊或有疏漏), 可以做為企業/機關「零信任」網路安全解決方案採購參考。

文中以各面向剖析NAC如何藉由網路技術自動化發現與辨識IT/OT場域設備與裝置, 進而管控未授權或異常設備存取政策.  

NAC存取管控功能分析, 包括: 1.系統與UI界面2.可見性、3.封包檢測器、4.辨識手法、5.存取管控方法、6.阻斷策略、7.其他附加功能

如下表:

產品功能

功能說明

ISOinsight

Forescout

FortiNAC

1.系統與UI界面

硬體主機/軟體(VM安裝)

中文/英文

軟體(VM安裝)

中文

硬體主機

英文

硬體主機

英文

2.可見性
  1. 網路與系統設備: OS, 品牌, MAC/IP, 拓樸圖, 營運等級, 位置
  2. 端末裝置(IOT/Client) : OS, 品牌, 軟體資產, MAC/IP, 位置, 異常行為, 未授權
  3. 用戶名: 用戶DB, 認證/802.1X, 在線狀態

V

 

V (軟體資產配合國產軟體)

V

V (無拓樸圖)

 

V

 

V

V (無拓樸圖)

 

V

 

V

3.封包檢測器
  1. Mirror
  2. ARP senser
  3. SNMP/WMI/DHCP/syslog…

V

V

V

V

 

V

V

 

V

4.辨識手法
  1. Vender OUI, Netflow, DHCP Fingerprinting,
  2. HTTP/HTTPS, IP ranges (被動式)
  3. SNMP, SSH, TCP, UDP, NMAP (主動式)
  4. WMI Profile, ONVIF

V

V

V

V

V

V

V

V

V

V

V

V

5.存取管控方法
  1. mirror
  2. DHCP control 裝置認證
  3. ARP 裝置認證
  4. RADUIS, LDAP, 802.1x身分認證

V

V

V

V

V

 

 

V

V

 

 

V

6.阻斷策略
  1. Script 與資安產品協議聯防
  2. 與資安產品協議聯防
  3. TCP reset
  4. DHCP control
  5. ARP spoofing
  6. SNMP port lock

V

 

V

V

V

V

V

V

 

V

V

7.其他附加功能(
  1. 漏洞檢測
  2. Windows安全性更新與軟體資產

須配合3’rd軟體

V

V

須配合3’rd軟體

 

概論

IT/OT智能維運平台, 具備極重要網路邊界資安防護功能模組支援IP裝置多面向Pre-NAC接入網路存取管控, 及智能post-NAC接入後行為稽核與異常分析企業可以依據個別網域需求或全面性防護購置本平台功能模組, 提供最大效益讓管理員在同一Web管理窗口, 可以資安管控企業不同網路情境如下2圖

  • Switch port lock – 交換埠綁定 - 主要應用於OT場域裝置安全保護的存取管控策略軟體授權: IOTguardian 或 ISOinsight NAC edition選配
  • ARP enforcer 固定MAC/IP綁定驗證 - 主要應用於IT/OT場域未授權裝置入侵偵測與固定IP網域MAC/IP存取管控策略佈署軟體授權: ISOinsight NAC edition
  • DHCP enforcer DHCP 強制驗證 - 主要應用於IT/OT場域DHCP IP佈署管控策略軟體授權: ISOinsight NAC edition
  • Identity auth. 身分基礎認證 - 主要應用於IT無線甚至有線場域裝置以身分/802.1x/訪客漫遊角色認證接入網路存取管控策略佈署軟體授權: airPASS 或 ISOinsight NAC edition選配 

  • 裝置流量與行為稽核分析 - 主要應用IT/OT場域裝置流量與行為統計分析軟體授權: ISOinsight NPM edition
  • 裝置流量與行為異常分析 - 主要應用IT/OT場域裝置流量與行為異常偵測軟體授權: ISOinsight NPM edition
  • 裝置行為IDS入侵特徵偵測 - 主要應用IT/OT場域裝置行為SNORT/Botnet IP IDS入侵特徵偵測軟體授權: ISOinsight NPM edition 選配

 

產品關鍵特色

豐富IP管理功能 – IP組成與維護、IP屬性與來源整合網路服務、IP使用歷程管理。DHCP服務則提供終端DHCP IP派發、BYOD隔離註冊。

  • 發現與辨識精靈 – 系統自動發現企業IP組織分佈,並提供監聽及掃瞄工具協助企業進行端點或IOT物聯網設備辨識與盤點, 進行白名單管理、屬性管理、MAC/IP管控策略、生命週期管理、MAC/IP/帳號上下線紀錄管理。
  • 增加網路可視度 - 內建ARP Probe關於終端MAC/IP, 主機名稱, 群組名稱, 網卡供應商資訊不僅支援區域網內的ARP收集, 協助管理員透視網路使用。
  • ARP異常行為偵測 – 防範網路惡意偽裝或攻擊活動, 偵測手法:
    1. IP Scan 掃描偵測 –設定IP Scan門檻,可偵測用戶執行 IP scan時,IP Scan值是否累計。
    2. ARP異常偵測 – 偵測器提供區網內ARP欺騙攻擊偵測功能包括:ARP 掃瞄偵測, ARP異常偵測, ARP攻擊偵測。
    3. 廣播風暴偵測 – 可偵測區域內網VLAN是否有超過異常之廣播發生,並通知管理者。
  • IP/TCP行為異常偵測 – 藉由flow設備的佈署, 可對網路服務、網路品質進行監看、分析、整合告警。亦可針對使用者間 或 IP群組之間效能分析與異常行為的偵測。
  • 多元網路安全控管策略 – 支援多種的管控策略, 包括:IP位址發放與收回禁用、VLAN為基礎的MAC, IP, DHCP檢測驗證策略、目的主機訪問保護策略、阻擋策略、警報策略。
  • AD身分帳號整合 - 設備MAC/IP與AD身份認證整合, 達成中文姓名整合與完整的MAC/IP/port/Hostname/身份用戶追蹤記錄, 詳載用戶與使用的設備開機上線、身分認證、關機下線的位置與時間。
  • 角色身份管理(Identity Access Management) – 支援airPASS角色認證管理 – RADIUS AAA目錄服務管理、訪客管理、BYOD自攜設備管理, 搭配交換器或其他設備以802.1x或web-portal、臨時訪客統一身份協同防禦的控管, 並可以匯入或匯出方式整合MAC/IP白名單資料庫, 將MAC作為驗證的身份
  • 設備無關的阻斷策略 – 預設備無關的主機連線阻斷方法,包括: port shutdown、ARP 阻斷、L2/3 ACL、TCP reset、聯合第三方authenticator VSA回應管控策略。

ISOinsight NAC edition – IT設備存取管控

NAC edition 是ISOinsight企業網路服務維運監控延伸授權, 協助IT資安管理員進行企業設備存取網路管控服務維運, 內建與選配(pre-NAC & post-NAC)功能涵蓋的層面有:

  1. 完整企業IP組織與IT網路設備的資料庫與報表 – 以企業組織、網路拓樸為基礎建構企業完整IT網路服務網路運作的設備全貌與端點裝置資產清冊, 甚至包括IP、聯外電路、環控設備等
  2. 自動化資源與資產的學習程序 – 具備網路自動化的學習精靈,協助IT人員建構與評估現在及未來企業內部網路裝置合法性與變更,包括相關端點設備、屬性等基本資料
  3. TCP行為與效能異常偵測 – 藉由flow設備的佈署, 可對端點網路會談進行監看、分析、整合告警。亦可針對使用者間 或 IP群組之間效能分析與異常行為的偵測。
  4. 異常網路行為安全檢測 內建評估的精靈, 依據組織評估內網安全存取政策,藉由這些政策, 獲取用戶不當或異常的存取行為, 進而啟動防衛的機制, 保護企業資訊的安全。
    • 基於用戶網路訪問不當訪問的偵測,可偵測不明程序、後門或木馬等malware。
    • 支援外部網路訪問黑名單的機制,藉由這些探測及時發現網路可疑的間諜活動。
    • 學習與評估的機制,因應企業長期發展調整網路存取安全政策。
  5. 終端MAC、IP 位址管理查詢列表 
    • MAC、IP、埠、主機名、身份姓名在線列表 – 列表與排序設備(MAC、IP)與用戶(結合ADelite身份認證)目前在網路上交換器的位置(switch-IP, 埠)與認證上線的時間。
    • MAC、IP、埠、主機名、身份姓名上下線歷史記錄  – 列表設備(MAC、IP)與用戶(結合ADelite身份認證)曾經在網路上交換器的位置與認證上線與下線的時間。
    • 未授權位址(未知設備名稱)列表 – 針對不在白名單新的節點、MAC、IP進行列表,這些未授權之MAC或MAC、IP配對會事先被執行封鎖的策略,但是也可以在此被授權加入白名單,這對資產異動管理很有幫助。
    • 終端機台MAC,IP異動與IP使用列表 – 紀錄與列表關於終端MAC,IP的異動(新增,修改,刪除)。針對IP使用進行評估作業,列出組織內的IP使用歷史狀況,列表IP期限關於哪些IP不曾被使用、禁用、即將到期、逾期,或者IP多久前曾經使用的過。
    • 終端機台MAC,IP事件列表 – 紀錄與列表關於IP禁用事件、終端違反IP使用策略事件、手動與自動封鎖列表, IP衝突阻隔保護。
  6. 位置追蹤 location tracking - 位置追蹤最主要的用途是要協助管理員找出問題者的來源, 當測到異常事件或從其他的入侵偵測設備接受到網路異常syslog時,管理員最需要的就是根據syslog上的IP或MAC地址來搜尋問題位置,進而加以處理以阻止網絡的傷害漫延擴大。
    • ISOinsight 可以依據MAC或IP逐一搜尋比對網絡組織設備表內SNMP switch  並找出該MAC,IP來自那個switch的那個介面端口。
    • 位置追蹤的結果可以顯示在網路拓樸圖及交換器面板上 ,並可以獲取該埠傳輸與廣播封包的狀態,管理員並可以採取關閉埠的動作。

應用介紹

  • 營運中心 ISO 流程自動化

透過營運中心進行安全風險與事件集中管理,藉由關聯式分析、關鍵識別及 ISO 流程自動化,即時識別安全事件快速做出回應,解決系統架構上的安全性與法規遵循減少出錯機率,並將資源集中到最需要的地方,為企業改善 IT 營運效能。

  • 稽核報表與鑑識分析

主要報表類別依 ISO27001 政策稽核控制重點,分為資產清冊、營運狀態週期性報表、存取控制、特定異常事件、組態異動、端點行為軌跡紀錄、風險評鑑報告與一般原始日誌資料報表。同時,整合 「ISOshaper 第七層應用行為 QoS 流空管理系統」、「VCRinsight 內容鑑識」進行個資存取及外包商維護行為側錄,以降低資訊安全風險並符合政府法規與國際標準規範 (例:個資保護法及ISO27001 稽核等) 主管機關及組織內部要求。

  • IT 營運與業務無縫整合
  1. 從 IT 營運核心層與業務面著手,優化「應用層」、「控制層」及「基礎層」,更具體將「 雲」到「端」融合 SDN (Software-Defined Networking) 進行
  2. 智能管理措施;包括管控 「IT 使用風險」、監控 「IT 營運風險」、稽核 「IT 風險評估」、事件「IT 風險管理」。
  3. ISOinsight 採用一致性的網路管控、智慧偵錯、事件同步,自動執行安全法規遵循原則,集中處理安全資訊與事件,優異的延展彈性,優化企業 IT 動態
  4. 基礎架構,協助客戶透視企業 IT 核心層面的安全風險態勢,提升商業運營服務質量,奠定企業 IT 營運效率的發展根基。