NACVIEW zapewnia wszystkie dostępne sposoby autoryzacji 802.1x, pełną widzialność infrastruktury sieciowej, monitoring urządzeń sieciowych po SNMP oraz różne sposoby realizacji dostępu gościnnego (w tym Captive Portal i konta czasowe). Do dyspozycji są też aplikacje wspomagające kontrolę pracy infrastruktury – agent dla urządzeń końcowych, autokonfiguratory czy też mechanizm jednorazowych haseł (OTP) do sieci VPN.

Dzięki tak szerokiej funkcjonalności NACVIEW zapewnia wsparcie dla środowisk wielodomenowych, jak i możliwość rozbudowy przez dodawanie kolejnych węzłów bez konieczności zakupu dodatkowych licencji. Rozwiązanie sprawdzi się także w małych i średnich firmach, które docenią wbudowany serwer DHCP (dostępny bez dodatkowych kosztów), wbudowany Urząd Certyfikacji, integrację z OpenVPN, jak też moduł inwentaryzacji.

Łatwe i przejrzyste licencjonowanie

Producent NACVIEW postawił na prosty i przejrzysty mechanizm licencjonowania, dzięki czemu wszystkie funkcje oferowane są w cenie podstawowej licencji.

– W konkurencyjnych rozwiązaniach często agenty, Captive Portal, mechanizm BYOD, protokół TACACS, funkcje wysokiej dostępności, opcja wdrożenia w środowisku rozproszonym czy moduł OTP dla VPN są dodatkowo płatne. W przypadku NACVIEW wybór odpowiedniej licencji dla klienta jest bardzo prosty, a cały cennik mieści się na jednej stronie A4. Jedyne, co wystarczy zrobić na etapie doboru rozwiązania, to oszacować liczbę urządzeń w środowisku zamawiającego – mówi Maciej Salamoński, Business Development Manager w Scan IT.

Istnieje możliwość zakupu zarówno licencji dożywotniej, jak i subskrypcji, a ewentualna zmiana na wyższą licencję odbywa się na preferencyjnych warunkach (pokrycie różnicy w cenie). Dostępna jest także licencja operatorska multi-tenant oraz upusty na zakup systemu dla jednostek edukacyjnych.

Każdy partner ma znaczenie

Partnerzy, którzy oferują klientom rozwiązanie NACVIEW mogą liczyć na wsparcie na każdym etapie projektu – od procesu działań marketingowych (np. wspólny webinar lub konferencja), poprzez indywidualne prezentacje dla klienta, testy, wdrożenie, aż po szkolenia dla użytkowników. Za każdym razem forma wsparcia partnera dostosowana jest do jego wiedzy i oczekiwań.

Systemem NACVIEW mogą zainteresować się także początkujący w branży bezpieczeństwa IT resellerzy z wartością dodaną i integratorzy. Nawet jeśli mają niewielkie doświadczenie, producent może wspomóc partnera w prezentacji i testach, a podczas pierwszych wspólnych wdrożeń doszkalać go z wiedzy praktycznej. Sprzedawcy bardzo szybko nabierają wprawy dzięki maksymalnie uproszczonemu procesowi wdrożenia, w ramach którego konfiguracja systemu odbywa się za pomocą intuicyjnych konfiguratorów.

– Wśród globalnych dostawców ciężko znaleźć takiego, który pochyli się nad problemami jednej firmy, na zamówienie umożliwi integrację z innym rozwiązaniem zabezpieczającym lub stworzy dodatkową funkcję, kluczową w danym projekcie. Indywidualne podejście, wsparcie w języku polskim oraz chęć pomocy przy rozwiązywaniu  nawet  najmniejszego problemu to cechy, które klienci i partnerzy cenią sobie najbardziej – podsumowuje Maciej Salamoński.

Dodatkowe informacje: Maciej Salamoński, Business Development Manager, Scan IT, maciej.salamonski@nacview.com, nacview.com.

Artykuł NACVIEW: dojrzały system NAC z Polski pochodzi z serwisu CRN.

Warto zastanowić się, co w tym kontekście dla konkretnej firmy oznacza sformułowanie „odpowiednie bezpieczeństwo”? Przede wszystkim trzeba założyć, że kluczowym wyzwaniem dla przedsiębiorstw jest bezpieczne przechowywanie danych osobowych. Do tego niezbędne są stabilne i wydajne serwery połączone z systemami gromadzenia, przesyłania i udostępniania danych, a także ich odtworzenia w przypadku awarii. Konieczna staje się wiedza o tym, jakie dane osobowe są wytwarzane oraz gdzie są one przechowywane. Z pomocą przychodzą nowoczesne rozwiązania zapewniające lokalizowanie, przeszukiwanie i monitorowanie danych osobowych znajdujących się w zasobach serwerowych oraz pamięci masowej. Zaawansowane raportowanie i wizualizacja umożliwiają zaś przedsiębiorcom zrozumienie tego, jakie dane przechowują i w jaki sposób są one wykorzystywane.

Z kolei podstawą bezpieczeństwa sieciowego są rozwiązania klasy NGFW/UTM. W tym przypadku wiele firm korzysta ze starych urządzeń, niemających aktualnych subskrypcji i zmuszających administratorów do stosowania ograniczonych polityk bezpieczeństwa. Trudno byłoby udowodnić, że taka infrastruktura zapewnia zgodność z nowymi przepisami. Warto szczególnie zwrócić uwagę na problem deszyfracji SSL, a więc element, bez którego ogromna część komunikacji pozostaje praktycznie bez kontroli. W zależności od szacowanego poziomu ryzyka rozwiązania NGFW/UTM warto uzupełnić o specjalistyczne systemy proxy dla ruchu http i https.

Ochronę przed nieznanymi zagrożeniami może znacząco podnieść zastosowanie systemów typu sandbox/ATP (razem z deszyfracją ruchu SSL). O kontrolę dostępu do sieci w warstwie fizycznej można zaś zadbać dzięki produktom typu Network Access Control (NAC). Przy czym skuteczna ochrona powinna być uzupełniona o cykliczny audyt polityk bezpieczeństwa oraz o analizę logów.

Kolejnym ważnym elementem jest ochrona stacji końcowych, szczególnie tych, które mają dostęp do danych poufnych. Współczesne rozwiązania łączą w sobie moduły, które nie tylko chronią przed znanymi i nieznanymi atakami, ale także zapewniają zgodność z regulacjami, wykrywają potencjalne anomalie i wycieki danych. Warto pamiętać, że podobne środki ochrony można zastosować w przypadku serwerów, również w środowiskach wirtualnych.

Przetwarzanie danych osobowych jest nieodłącznie związane z aplikacjami, gdzie interfejsem użytkownika jest zwykle przeglądarka internetowa. Niezależnie od tego, czy są one dostępne tylko wewnętrznie, czy również dla klientów – wymagają szczególnej ochrony. Zastosowanie rozwiązań Web Application Firewall (WAF) w znaczący sposób podnosi bezpieczeństwo aplikacji, równocześnie zapewniając ochronę przed atakami typu DDoS.

Istotnym obszarem bezpieczeństwa jest także zapewnienie odpowiedniego poziomu uwierzytelniania. Statyczne hasło nie jest już skutecznym zabezpieczeniem, szczególnie w przypadku celów administracyjnych oraz zdalnego dostępu. Odpowiednie w tej sytuacji są produkty zapewniające uwierzytelnianie i autoryzację w oparciu o hasła dynamiczne (tokeny) lub certyfikaty.

Niezależnie od tego, czy chodzi o stacje końcowe czy serwery, warto rozważyć szyfrowanie dysków i przenośnych mediów. Może to uchronić przed wyciekiem danych w przypadku fizycznej kradzieży sprzętu. Osobnym tematem jest też szyfrowanie i pseudonimizacja danych realizowana już na poziomie aplikacji. Z drugiej strony systemy typu Data Loss Prevention (DLP) mogą kontrolować różne kanały komunikacyjne i przeciwdziałać wyciekom poufnych informacji, zarówno na poziomie sieciowym, jak i urządzeń końcowych.

W większości przedsiębiorstw można znaleźć obszary, które wymagają poprawy, ale żaden pojedynczy produkt nie zapewni pełnej zgodności z rozporządzeniem. Dlatego, traktując RODO jako możliwość zwrócenia uwagi na problem zarządzania, audytowania i monitorowania infrastruktury IT, warto zaprezentować klientowi niezbędne rozwiązania z szerokiej gamy urządzeń dostępnych na rynku.

Artykuł Jak zabezpieczać dane w kontekście RODO pochodzi z serwisu CRN.

Uniwersalne przełączniki

Podstawę sieci kampusowych stanowią przełączniki sieciowe – zapewniają niezbędną liczbę portów dla urządzeń dostępowych oraz infrastrukturę do budowy sieci bezprzewodowych. Jako bazę takich sieci (o dowolnej skali)można wykorzystać rodzinę przełączników sieciowych L2/L3 Brocade ICX7x50. Podstawowym modelem jest ICX7250 – z 24 lub 48 portami dostępowymi 10/100/1000 Mb (PoE, PoE+, a w modelu 7450 nawet PoH). Mają też do ośmiu uniwersalnych portów SFP 1 Gb/s (ich wydajność może zostać zwiększona do 10 Gb/s za pomocą licencji Port on Demand). Model ICX7450 jest przeznaczony do bardziej wymagających zastosowań – przełączniki te mają trzy gniazda rozszerzeń, w których można zainstalować moduły z portami 10 Gb/s oraz 40 Gb/s, wykorzystywane do stworzenia „uplinku” lub łączenia w stos.

Wszystkie modele urządzeń z rodziny ICX7x50 mogą być łączone w stosy (w ramach swojej serii) liczące do 12 przełączników. Pojedynczy stos, który zawiera nawet 575 portów 1 Gb/s, jest zarządzany jak pojedyncze urządzenie, z jednym adresem IP. Przełączniki te mogą również pracować w architekturze Campus Fabric, która daje wspólnie zarządzaną strukturę składającą się nawet z ponad 30 przełączników. Urządzenia ICX7x50 są zgodne ze standardem OpenFlow 1.3 i można je stosować w środowisku Software Defined Network, którym zarządza się za pomocą Brocade SDN Controller.

Sieć Wi-Fi w dowolnej skali

Pomimo braku kabla użytkownicy urządzeń klienckich w sieci bezprzewodowej żądają takich samych parametrów jakościowych jak w przypadku połączeń przewodowych (dużej przepustowości, wysokiej dostępności, QoS itd.). Oczekiwania te można spełnić dzięki unikalnym rozwiązaniom stosowanym w punktach dostępowych Ruckus. Jednym z nich jest BeamFlex+ – zapewnia maksymalizację zasięgu sygnału, większą niż zwykle wydajność oraz pojemność sieci. Natomiast funkcja ChannelFly optymalizuje zarządzanie kanałami radiowymi w celu zwiększenia pojemności sieci Wi-Fi.

Punktami dostępowymi Ruckus można zarządzać na kilka sposobów: jako pojedynczymi, niezależnymi urządzeniami; w trybie „unleashed”, w przypadku którego maksymalnie 25 punktów jest zarządzanych z interfejsu jednego z nich, za pomocą systemu zarządzania w chmurze (Ruckus Cloud Wi-Fi) lub stosując specjalnie przystosowany do tego celu kontroler (nawet tysiące punktów dostępowych).

Bezpieczeństwo w sieci

Podstawowym mechanizmem zapewniającym bezpieczeństwo sieci kampusowych jest grupowanie i separacja użytkowników w ramach różnych sieci (VLAN, SSID), a następnie określenie reguł zezwalających na komunikację między tymi sieciami. Kolejnym, bardziej zaawansowanym systemem jest rozwiązanie kontroli dostępu do sieci – Network Access Control. Do uwierzytelniania urządzeń i użytkowników podłączających się do sieci system ten wykorzystuje standard 802.1x. Jest on zaimplementowany zarówno po stronie przełączników LAN, jak i sieci Wi-Fi, a jego główne zadanie to przydzielanie odpowiednich profili sieciowych (VLAN, ACL, QoS i innych).  W roli kontrolera NAC można wykorzystać rozwiązanie Cloudpath Enrollment System, które również zapewnia obsługę dowolnych urządzeń mobilnych (BYOD), lub dowolny inny system NAC zgodny ze standardem 802.1x.

Bezpieczeństwo danych przesyłanych za pośrednictwem przełączników ICX7450 zapewnia moduł IPSec, charakteryzujący się m.in. bardzo wydajnym (10 Gb/s) szyfrowaniem i zgodnością ze standardem IPSec Suite-B.

Więcej informacji o produktach marki Brocade: www.brocade.com.

Dodatkowe informacje:

Radosław Rafiński, Channel Manager, Brocade,

radoslaw.rafinski@brocade.com

Artykuł powstał we współpracy z firmami Brocade i Avnet.

Artykuł Kompleksowe sieci kampusowe pochodzi z serwisu CRN.