InfoExpress EasyNAC – Giải pháp quản lý truy cập mạng Agentless NAC

Quản lý truy cập mạng đang trở thành yêu cầu quan trọng trong bảo mật doanh nghiệp hiện đại. Mạng nội bộ không còn chỉ gồm máy tính và máy chủ truyền thống. Doanh nghiệp đang phải kiểm soát BYOD, thiết bị khách, camera IP, IoT và cả thiết bị OT.

Nhiều thiết bị trong số này không thể cài phần mềm bảo mật endpoint. Chúng cũng thường khó quản lý bằng các công cụ truyền thống.

Chỉ một thiết bị không được kiểm soát kết nối vào switch nội bộ cũng có thể tạo ra rủi ro lớn. Nếu thiết bị đó chứa mã độc, ransomware có thể lây lan nhanh trong toàn hệ thống.

InfoExpress EasyNAC là giải pháp Agentless Network Access Control (NAC) thế hệ thứ 3. Giải pháp giúp doanh nghiệp phát hiện, phân loại, kiểm soát và cô lập thiết bị rủi ro mà không cần thay đổi hạ tầng mạng hiện có.

Hiện trạng và nhu cầu quản lý truy cập mạng

Trong quá khứ, doanh nghiệp thường tập trung bảo vệ chu vi mạng. Firewall, IDS/IPS và các lớp bảo vệ biên đóng vai trò quan trọng.

Tuy nhiên, mô hình này không còn đủ. Nhiều mối đe dọa hiện nay xuất phát từ bên trong mạng nội bộ.

Thiết bị cá nhân của nhân viên có thể kết nối vào mạng. Khách vãng lai có thể dùng Wi-Fi nội bộ. Camera IP, máy in, thiết bị IoT và OT cũng ngày càng phổ biến.

Các thiết bị này làm mở rộng bề mặt tấn công. Một số thiết bị không được vá lỗi đầy đủ. Một số khác không có phần mềm bảo vệ endpoint.

Nếu không kiểm soát truy cập mạng, doanh nghiệp rất khó biết thiết bị nào đang kết nối. Đội ngũ IT cũng khó xác định thiết bị đó có an toàn hay không.

Đây là lý do các tổ chức cần một giải pháp quản lý truy cập mạng hiệu quả hơn. Giải pháp cần phát hiện thiết bị theo thời gian thực. Đồng thời, giải pháp phải kiểm soát truy cập mà không làm gián đoạn vận hành.

Hạn chế của các giải pháp NAC truyền thống

Nhiều tổ chức đã từng triển khai Network Access Control (NAC) truyền thống. Mục tiêu là kiểm soát thiết bị trước khi cho phép truy cập mạng.

Tuy nhiên, các dự án NAC truyền thống thường rất phức tạp. Doanh nghiệp có thể mất nhiều tháng để triển khai.

Một số giải pháp yêu cầu tái thiết kế kiến trúc mạng. Một số khác cần thay đổi cấu hình VLAN, nâng cấp switch hoặc duy trì hạ tầng xác thực phức tạp.

Điều này tạo ra nhiều rào cản. Dự án triển khai kéo dài. Chi phí tăng cao. Nguy cơ gián đoạn hệ thống cũng lớn hơn.

Với các doanh nghiệp có nhiều chi nhánh, bài toán càng khó hơn. Mỗi văn phòng có thể dùng switch khác nhau. Một số nơi còn dùng switch unmanaged.

Doanh nghiệp cần một cách tiếp cận đơn giản hơn. Giải pháp phải triển khai nhanh, ít phụ thuộc vào hạ tầng mạng và vẫn đảm bảo kiểm soát truy cập hiệu quả.

InfoExpress EasyNAC là gì?

InfoExpress EasyNAC là giải pháp Agentless NAC thế hệ thứ 3 do InfoExpress phát triển.

InfoExpress là hãng an ninh mạng đến từ Thung lũng Silicon, Mỹ. Hãng có hơn 20 năm kinh nghiệm trong lĩnh vực bảo mật mạng và kiểm soát truy cập.

EasyNAC được thiết kế theo mô hình Plug-and-Protect. Doanh nghiệp có thể triển khai nhanh mà không cần thay đổi lớn trong hệ thống mạng.

Điểm khác biệt của EasyNAC là kỹ thuật ARP Enforcement. Kỹ thuật này hoạt động out-of-band tại Layer 2.

Nhờ đó, EasyNAC có thể phát hiện và cô lập thiết bị lạ gần như ngay lập tức. Giải pháp không yêu cầu cấu hình lại switch quản trị. Giải pháp cũng có thể hoạt động với cả switch unmanaged.

Kiến trúc Agentless NAC thế hệ thứ 3

EasyNAC không yêu cầu cài agent trên từng thiết bị đầu cuối. Đây là lợi thế lớn trong môi trường có nhiều loại thiết bị khác nhau.

Nhiều thiết bị như camera IP, máy in, thiết bị IoT hoặc OT không thể cài agent. Một số thiết bị khách cũng không phù hợp để cài phần mềm quản lý.

Với kiến trúc Agentless, EasyNAC vẫn có thể phát hiện và phân loại thiết bị. Giải pháp thực hiện kiểm soát ở lớp mạng thay vì phụ thuộc vào phần mềm trên endpoint.

Điều này giúp doanh nghiệp bao phủ nhiều nhóm thiết bị hơn. Từ laptop, máy chủ, thiết bị mạng đến IoT, OT và thiết bị khách.

Kiến trúc này cũng giúp giảm gánh nặng vận hành. Đội ngũ IT không cần triển khai agent thủ công trên toàn bộ hệ thống.

ARP Enforcement: Kiểm soát truy cập không cần thay đổi hạ tầng

ARP Enforcement là cơ chế cốt lõi của EasyNAC.

Kỹ thuật này hoạt động ở Layer 2 và theo mô hình out-of-band. Nhờ đó, EasyNAC không nằm trực tiếp trên đường truyền dữ liệu như thiết bị inline.

Điểm mạnh của ARP Enforcement là khả năng triển khai nhanh. Doanh nghiệp không cần thay đổi VLAN. Cũng không cần nâng cấp toàn bộ switch.

Khi một thiết bị lạ kết nối vào mạng, EasyNAC có thể phát hiện ngay. Nếu thiết bị không được tin cậy, hệ thống sẽ cô lập thiết bị đó.

Cách tiếp cận này giúp giảm rủi ro gián đoạn. Doanh nghiệp vẫn có thể tăng cường quản lý truy cập mạng mà không phải tái thiết kế toàn bộ kiến trúc.

Real-time Visibility & Device Profiling

Real-time Visibility giúp EasyNAC phát hiện thiết bị ngay khi chúng kết nối vào mạng.

Giải pháp thu thập thông tin ở Layer 2. Sau đó, hệ thống phân loại thiết bị bằng nhiều kỹ thuật khác nhau.

EasyNAC kết hợp cả passive profiling và active profiling. Các kỹ thuật có thể gồm DHCP fingerprinting, HTTP User-Agent, NMAP, WMI và SNMP.

Nhờ đó, hệ thống có thể nhận diện hệ điều hành và loại thiết bị chính xác hơn. Doanh nghiệp có thể biết thiết bị là laptop, máy chủ, camera IP, máy in, IoT hay thiết bị khách.

Khả năng hiển thị theo thời gian thực rất quan trọng. Đội ngũ IT có thể biết thiết bị nào đang kết nối. Họ cũng có thể nhanh chóng phát hiện thiết bị lạ hoặc thiết bị không tuân thủ.

Agentless Posture Enforcement

Agentless Posture Enforcement giúp EasyNAC kiểm tra trạng thái tuân thủ của thiết bị mà không cần cài agent.

Giải pháp có thể tích hợp qua API với Active Directory. EasyNAC cũng có thể kết nối với hệ thống quản lý bản vá và các nền tảng AV/XDR.

Các nền tảng được hỗ trợ có thể gồm CrowdStrike, SentinelOne và Palo Alto Cortex XDR.

EasyNAC có thể kiểm tra nhiều điều kiện. Ví dụ, thiết bị đã join domain hay chưa. Phần mềm diệt virus có đang bật không. Thiết bị có thiếu bản vá quan trọng không.

Nếu thiết bị không đáp ứng chính sách, hệ thống có thể tự động cách ly. Điều này giúp giảm nguy cơ thiết bị không an toàn truy cập vào mạng nội bộ.

Deception: Phát hiện hành vi dò quét và lây lan mã độc

EasyNAC tích hợp tính năng Deception, còn được mô tả là Hacking Detection.

Hệ thống tự động rải các honeypot phân tán trên mọi subnet. Các honeypot này giả lập nhiều dịch vụ thường bị kẻ tấn công dò quét.

Ví dụ gồm SSH, FTP và Telnet giả mạo.

Khi một thiết bị có hành vi quét mạng hoặc thử truy cập dịch vụ giả, EasyNAC có thể phát hiện ngay. Sau đó, hệ thống có thể khóa thiết bị đó.

Cách tiếp cận này giúp phát hiện sớm hành vi tấn công nội bộ. Nó cũng hữu ích trong việc phát hiện ransomware đang cố gắng lây lan theo chiều ngang.

Theo tài liệu gốc, cơ chế Deception này có tỷ lệ false positive gần như bằng không. Đây là lợi thế lớn với đội ngũ vận hành bảo mật.

Anti-Spoofing Protection

Kẻ tấn công có thể cố giả mạo địa chỉ MAC để vượt qua cơ chế kiểm soát truy cập. Đây là một kỹ thuật phổ biến trong môi trường mạng nội bộ.

EasyNAC cung cấp Anti-Spoofing Protection để bảo vệ hệ thống trước rủi ro này.

Hệ thống lập hồ sơ fingerprint riêng cho từng thiết bị. Hồ sơ có thể dựa trên IP, hệ điều hành, hostname và port mở.

Nếu có sai lệch so với hồ sơ gốc, EasyNAC có thể kích hoạt khóa thiết bị. Điều này giúp ngăn kẻ tấn công giả mạo thiết bị hợp lệ.

Tính năng này đặc biệt quan trọng với môi trường có nhiều thiết bị không cài agent. Nó giúp tăng độ tin cậy khi kiểm soát truy cập dựa trên nhận diện thiết bị.

BYOD & Guest Registration Portal

Doanh nghiệp hiện đại cần hỗ trợ thiết bị cá nhân và thiết bị khách. Tuy nhiên, nếu không kiểm soát tốt, BYOD và guest access có thể tạo ra nhiều rủi ro.

EasyNAC cung cấp BYOD & Guest Registration Portal. Đây là cổng Captive Portal tự phục vụ.

Người dùng có thể đăng ký thiết bị cá nhân hoặc thiết bị khách theo quy trình được thiết lập sẵn.

Quản trị viên có thể giới hạn quyền truy cập theo nhóm thiết bị. Thiết bị BYOD chỉ được truy cập tài nguyên cần thiết. Thiết bị khách có thể chỉ được cấp quyền ra Internet.

Cách tiếp cận này giúp doanh nghiệp cân bằng giữa bảo mật và trải nghiệm người dùng. Người dùng vẫn có thể kết nối thuận tiện, nhưng quyền truy cập được kiểm soát rõ ràng.

Automated Threat Response

Automated Threat Response (ATR) giúp EasyNAC tự động phản hồi khi phát hiện mối đe dọa.

Giải pháp có thể tiếp nhận cảnh báo từ SIEM, firewall hoặc IPS. Các cảnh báo có thể được gửi qua Syslog hoặc Email.

Khi nhận được cảnh báo, EasyNAC có thể tự động quarantine thiết bị chứa mã độc ở Layer 2.

Điều này giúp rút ngắn thời gian phản hồi sự cố. Thiết bị nguy hiểm có thể bị cô lập gần như ngay lập tức.

ATR đặc biệt hữu ích trong các tình huống mã độc lây lan nhanh. Thay vì chờ quản trị viên xử lý thủ công, hệ thống có thể tự động chặn rủi ro ngay tại lớp truy cập mạng.

Lợi ích khi sử dụng InfoExpress EasyNAC

EasyNAC mang lại nhiều giá trị kỹ thuật và kinh doanh cho doanh nghiệp. Giải pháp giúp triển khai nhanh, kiểm soát tốt hơn và giảm chi phí vận hành.

Triển khai nhanh, không gián đoạn

Nhờ kiến trúc ARP Enforcement, EasyNAC không yêu cầu cấu hình lại toàn bộ hạ tầng mạng.

Doanh nghiệp không cần thay đổi VLAN. Cũng không cần nâng cấp hàng loạt switch.

Điều này giúp rút ngắn thời gian triển khai từ nhiều tháng xuống chỉ còn vài ngày.

Triển khai nhanh là lợi thế lớn. Doanh nghiệp có thể tăng cường quản lý truy cập mạng mà vẫn đảm bảo tính liên tục của hệ thống kinh doanh.

Phù hợp với doanh nghiệp đa chi nhánh

EasyNAC hỗ trợ kiến trúc linh hoạt cho doanh nghiệp có nhiều chi nhánh.

Giải pháp sử dụng Enforcer Sensor để mở rộng khả năng hiển thị Layer 2 và thực thi chính sách.

Enforcer Sensor có thể cài trên Windows, Linux hoặc Raspberry Pi. Điều này giúp triển khai tại các văn phòng nhỏ dễ dàng hơn.

Toàn bộ hệ thống được quản lý tập trung qua Central Visibility Manager.

Nhờ đó, doanh nghiệp có thể kiểm soát truy cập mạng tại nhiều địa điểm mà không cần đội IT lớn tại từng chi nhánh.

Hỗ trợ tuân thủ quy định

EasyNAC tự động thu thập nhật ký truy cập và trạng thái thiết bị.

Các dữ liệu này giúp doanh nghiệp cung cấp bằng chứng phục vụ kiểm toán và tuân thủ.

Giải pháp hỗ trợ các tiêu chuẩn như ISO 27001, PCI-DSS, HIPAA và GDPR.

EasyNAC cũng phù hợp với các khung an ninh mạng của Ngân hàng Nhà nước.

Khả năng ghi nhận trạng thái thiết bị và lịch sử truy cập giúp doanh nghiệp chứng minh chính sách kiểm soát mạng đã được thực thi.

Cơ chế tính license của EasyNAC

Một điểm mạnh của EasyNAC là mô hình cấp phép minh bạch và tối ưu chi phí.

Tính theo Concurrent Device

License EasyNAC được tính theo Concurrent Device.

Cụ thể, hệ thống tính theo số lượng địa chỉ MAC đồng thời xuất hiện trên mạng trong vòng 5 phút gần nhất.

Cách tính này phù hợp với thực tế vận hành. Doanh nghiệp không phải mua license theo tổng số thiết bị từng xuất hiện trong lịch sử.

Không tính phí thiết bị lạ

EasyNAC không tính phí cho Untrusted Devices.

Các thiết bị lạ bị hệ thống khóa hoặc cách ly sẽ không tiêu tốn license.

Đây là điểm cộng lớn. Doanh nghiệp không phải trả phí cho các thiết bị xâm nhập trái phép hoặc thiết bị không được tin cậy.

Grace Amount linh hoạt

EasyNAC cho phép vượt mức license lên đến 10%.

Mức đệm này giúp doanh nghiệp xử lý các tình huống thiết bị tăng đột biến trong ngắn hạn.

Nhờ đó, dịch vụ không bị gián đoạn khi số lượng thiết bị tạm thời vượt ngưỡng.

Đánh giá của các tổ chức quốc tế

InfoExpress EasyNAC đã được ghi nhận bởi nhiều tổ chức đánh giá và chuyên trang bảo mật.

Gartner

EasyNAC từng được nhắc đến trong báo cáo Gartner Market Guide for Network Access Control năm 2018.

Sự xuất hiện trong Market Guide cho thấy EasyNAC là một giải pháp đáng chú ý trong lĩnh vực NAC.

eSecurityPlanet và Gartner Peer Insights

EasyNAC nhận được đánh giá tích cực trên các chuyên trang như eSecurityPlanet và Gartner Peer Insights.

Các đánh giá tập trung vào khả năng hiển thị mạng xuyên suốt và thao tác quản trị liền mạch.

Đây là hai yếu tố quan trọng với giải pháp NAC. Doanh nghiệp cần vừa kiểm soát tốt, vừa đảm bảo vận hành đơn giản.

InfoExpress EasyNAC phù hợp với tổ chức nào?

InfoExpress EasyNAC phù hợp với các doanh nghiệp cần quản lý truy cập mạng nhanh, hiệu quả và ít gián đoạn.

Giải pháp đặc biệt hữu ích với tổ chức có nhiều BYOD, thiết bị khách, IoT, camera IP hoặc thiết bị OT.

EasyNAC cũng phù hợp với doanh nghiệp đa chi nhánh. Các tổ chức có switch unmanaged hoặc hạ tầng mạng không đồng nhất cũng có thể triển khai.

Các lĩnh vực phù hợp gồm tài chính, ngân hàng, sản xuất, giáo dục, y tế, bán lẻ, logistics, chính phủ và hạ tầng trọng yếu.

EasyNAC có giá trị lớn với doanh nghiệp muốn triển khai Zero Trust theo cách thực tế. Giải pháp giúp kiểm soát thiết bị mà không cần tái thiết kế toàn bộ mạng.

Kết luận

Chuyển đổi sang kiến trúc Zero Trust không nhất thiết phải phức tạp, đắt đỏ hoặc gây gián đoạn.

InfoExpress EasyNAC cho thấy quản lý truy cập mạng có thể được triển khai theo cách thông minh và đơn giản hơn.

Với kiến trúc Agentless NAC, ARP Enforcement, Device Profiling, Posture Enforcement, Deception, Anti-Spoofing và Automated Threat Response, EasyNAC giúp doanh nghiệp kiểm soát thiết bị ngay từ lớp truy cập mạng.

Giải pháp cũng có mô hình license tối ưu. Việc không tính phí thiết bị lạ giúp doanh nghiệp kiểm soát chi phí tốt hơn.

InfoExpress EasyNAC là lựa chọn phù hợp cho các tổ chức muốn tăng khả năng hiển thị, kiểm soát truy cập mạng và giảm rủi ro từ thiết bị không tin cậy.

NTSHN – Đối tác chiến lược của InfoExpress tại Việt Nam

Công ty Cổ phần Nam Trường Sơn Hà Nội (NTSHN) là đối tác chiến lược của InfoExpress tại Việt Nam.

NTSHN chuyên tư vấn, phân phối và hỗ trợ triển khai các giải pháp an toàn thông tin cho doanh nghiệp, tổ chức và hạ tầng trọng yếu.

Với kinh nghiệm trong bảo mật mạng, NAC, Zero Trust và kiểm soát truy cập, NTSHN sẵn sàng đồng hành cùng doanh nghiệp.

Đội ngũ chuyên gia của NTSHN có thể hỗ trợ đánh giá hiện trạng mạng, xác định điểm rủi ro và tư vấn mô hình triển khai InfoExpress EasyNAC phù hợp.

Quý khách hàng quan tâm đến InfoExpress EasyNAC vui lòng liên hệ NTSHN. Đội ngũ chuyên gia sẽ tư vấn chuyên sâu, demo thực tế và xây dựng lộ trình triển khai tối ưu.

Nguồn tham khảo

• Xem thêm về InfoExpress EasyNAC: https://www.easynac.com/
• Tìm hiểu thêm các giải pháp khác của NTSHN tại: https://ntshanoi.com.vn/chuyen-muc-san-pham/san-pham