Extreme Identity and Access Control Air Traffic Control Airtime Fairness ExtremeAnalytics Single Channel Meru Networks Virtual Cell Enterasys Microcell ClearPass ExtremeCo Fortinet Extreme AirWave D-Link Aruba BYOD 數位轉型 HPE 物聯網 IoT 網路

單一介面即時政策管控 確保網路層安全性

2016-03-02
因應企業面臨BYOD應用模式與新興物聯網時代,Extreme在2013年併購Enterasys(凱創)之後,整合有線與無線網路技術,提供基於Extreme IAC(Identity Access Control)單一視窗管理介面,集中管控有線、無線、虛擬主機等任何具連網能力的節點,只要經過MAC/IP位址認證,可即時派送動態控管政策。
Extreme技術顧問蘇俊銘指出,坊間廠商大多以VLAN、來源IP位址作為政策派送的條件,行為模式則是透過網路設備內建的ACL機制予以管控。但Extreme IAC則可提供動態政策,畢竟行動裝置取得的IP位址隨著不同區域有不同配置,因此無法綁定VLAN,若改以連線情境為判斷基礎,即可免除VLAN限制,達到即時變更存取規則。

至於BYOD應用模式,不僅要控管設備,應用程式亦必須有所掌握。IAC平台也可整合市面上專業的MDM方案,例如MobileIron、AirWatch等,藉此取得更多行動裝置的相關資訊,以便在網路層進行更精確的控管,例如QoS、安全政策等配置,同時亦可讓IT人員掌握行動裝置在內網的位置與連線狀態,輔助優化政策規範。

▲Extreme技術顧問蘇俊銘認為,現階段的有線與無線集中控管,除了傳統桌機、筆電,以及各式不同種類的行動裝置,包含未來的物聯網裝置,皆屬於此範疇,必須一併納入整合。
針對使用者連線行為,或內部應用服務運行狀態,則可透過ExtremeAnalytics(前稱為Purview)的統計與分析數據來查看,包含異常流量的監看。蘇俊銘舉例,萬一物聯網裝置出現漏洞被植入木馬程式,可能除了Port 80以外也會出現其他連接行為,藉此即可得知。

ExtremeAnalytics之所以有能力掌握網路連線行為,主要是運用Mirror封包後再予以解析來取得資訊,但僅在閘道端部署建置,無法綜觀端到端的連線行為,除非在不同存取層區域皆佈建感知器。「Extreme較獨特之處,即是在無線控制器與基地台內建NetFlow輸出,讓ExtremeAnalytics進行分析。除非Edge端設備並非Extreme提供,才需要佈建感知器,將流量透過Mirror轉化為資訊。」蘇俊銘強調。

除了分析統計數據,企業端最關注的資安問題,Extreme亦有提供SIEM資安事件監控管理平台,搭配整合ExtremeControl(前稱為NetSight),在資安事件發生時,派送動態控管政策,以建立區域聯防,防止攻擊行為持續擴大。他舉例,當SIEM發現內網出現BitTorrent Sync,發出告警通知IT人員,即可透過ExtremeAnalytics查看執行此連線的裝置。並且在SIEM已事先定義超過流量上限時發出告警通知ExtremeControl,自動觸發指令派送到交換器,將該裝置搬移到隔離區,以避免非法流量佔用內部頻寬。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!