Привяжите пользователей к политике безопасности

Предприятия продолжают использовать веб и сетевые приложения, которые повышают эффективность работы. В таких условиях большое значение имеет осведомленность о действиях пользователей в сети.

Межсетевые экраны, работающие на основе портов, в значительной степени полагаются на IP-адреса в качестве средств идентификации и контроля активности пользователей. Однако такой контроль стал неэффективен. Традиционные механизмы больше не справляются. Причины тому —применение динамических IP-адресов, а также удаленный доступ для сотрудников и гостей.

User-ID — это стандартная функция нашей корпоративной платформы безопасности, которая интегрируется с рядом служб каталогов и терминалов. User-ID позволяет компаниям расширить набор инструментов. Вы получаете представление о шаблонах использования, независимо от типа устройства. Кроме того, вы получаете возможность устанавливать политики безопасности, получать отчеты и проводить расследования инцидентов, основываясь на пользователях и группах, а не только на IP-адресах. Сочетание App-ID и Content-ID позволяет специалистам полагаться на три основы безопасности  — приложения, пользователей и контент. Такой подход укрепляет общее состояние безопасности.

Предприятия становятся все более мобильными, следом появляются проблемы мониторинга. Сотрудники могут получить доступ к сети практически из любой точки мира, при этом пользователи не всегда являются сотрудниками компании. В результате IP-адрес стал ненадёжным механизмом для мониторинга и контроля активности пользователей.

User-ID предоставляют вам улучшенный контроль с помощью политик, а также детальные возможности для логирования данных, генерирования отчетов и анализа.

Интеграция пользовательской информации в инфраструктуру безопасности

Идентификационные данные пользователя, в отличие от IP-адреса, является неотъемлемым компонентом инфраструктуры. Зная, какие приложения запущены в сети и кто передает файлы, вы можете усиливать политики безопасности и сокращать время реагирования на инциденты. User-ID позволяет использовать пользовательскую информацию для следующих целей:

  • Мониторинг. Усовершенствованный мониторинг использования приложений на основе информации о пользователях и группах поможет получить точную картину сетевой активности.
  • Контроль на основе политик. Привязка пользовательской информации к политике для безопасного использования приложений или их определенных функций. Благодаря такому подходу сокращаются административные усилия.
  • Логирование, отчетность и анализ. Своевременный анализ и получение отчетности с информацией о пользователе помогают составить полную картину инцидента.

Как работает User-ID

User-ID объединяет функциональность межсетевого экрана следующего поколения с широким спектром служб каталогов и терминалов. В зависимости от требований вашей сети, можно настроить несколько методов для сопоставления идентификатора пользователя с IP-адресом. Методы сопоставления пользователей включают:

  • мониторинг случаев
  • аутентификации;
  • аутентификацию
  • пользователя с помощью сервисов;
  • мониторинг клиентов и хостов Windows;
  • интеграцию служб каталогов;
  • API-интерфейс XML.


После того, как приложение и пользователь будут идентифицированы, вы получите полный контроль Application Command Center (ACC) и совершенные механизмы для редактирования политик, логирование и генерирования отчетов.

Мониторинг случаев аутентификации

User-ID может быть настроен для мониторинга случаев аутентификации для Microsoft Active Directory, Microsoft Exchange и Novell eDirectory. Мониторинг случаев аутентификации в сети позволяет решению User-ID связывать пользователя с IP-адресом устройства, с которого он входит в систему, и тем самым обеспечивать соблюдение политики безопасности.

  • Microsoft Exchange Server. Решение User-ID можно настроить на постоянный мониторинг случаев входа в Microsoft Exchange, которые производят клиенты для получения доступа к электронной почте. Используя эту технику, можно обнаружить и идентифицировать клиентские системы MAC OS X, Apple iOS, Linux / UNIX, которые не проходят прямую аутентификацию в Microsoft Active Directory.
  • Novell eDirectory. User-ID может запрашивать и отслеживать информацию о входе в систему для идентификации пользователей с помощью стандартных запросов LDAP на серверах Novell eDirectory.
  • Microsoft Active Directory. User-ID может идентифицировать пользователя при входе в домен. Когда пользователь входит в домен Windows, новое событие аутентификации записывается на соответствующий контроллер. Благодаря удаленному мониторингу User-ID может распознавать случаи аутентификации, чтобы идентифицировать пользователей в сети.

Аутентификации пользователя с помощью сервисов

Метод позволяет настроить аутентификацию вызов-ответ для сбора информации о пользователе и его IP-адресе.

  • Captive portal. Сервис применяется в тех случаях, когда администраторам необходимо установить правила, в соответствии с которыми пользователи должны проходить аутентификацию в сетевом экране для доступа в интернет. Captive portal позволяет идентифицировать пользователя, если нет возможности использовать другие механизмы. В дополнение к получению имени пользователя и пароля, портал авторизации может быть настроен для отправки запроса сетевой аутентификации NTLM.
  • GlobalProtect. Удаленные пользователи, которые входят в сеть с помощью GlobalProtect, предоставляют сетевому экрану необходимую для контроля информацию.

Мониторинг клиентов и хостов Windows для сбора информации о пользователе

Метод позволяет настроить User-ID, чтобы производить мониторинг клиентов или хостов Windows для сбора данных о пользователе и сопоставления их с IP-адресом. В средах, где личность пользователя скрывается с помощью Citrix XenApp или служб терминалов Microsoft, агент User-ID может определить, к каким приложениям обращаются пользователи.

  • Проверка клиента. Если пользователь не может быть идентифицирован с помощью мониторинга случаев аутентификации, User-ID активно проверяет клиентов Microsoft Windows на предмет информации о вошедшем в систему пользователе. С помощью данного механизма мы можем идентифицировать пользователей ноутбуков, которые переключаются с проводных на беспроводные сети.
  • Проверка хоста. User-ID настраивается для проверки серверов Microsoft Windows на наличие активных сетевых сеансов пользователя. Как только пользователь получает доступ к общему сетевому ресурсу на сервере, User-ID идентифицирует исходный IP-адрес и сопоставляет его с предоставленным для сеанса именем пользователя.

Интеграция служб терминалов

User-ID Terminal Services Agent позволяет определить, к каким приложениям обращаются пользователи в средах, если идентификационные данные скрываются с помощью агента Citrix XenApp или служб терминалов Microsoft. Каждому сеансу пользователя назначается определенный диапазон портов на сервере. Это позволяет файрволу связывать сетевые подключения с пользователями и группами, совместно использующими один хост в сети.

Интеграция служб каталогов

Для того, чтобы отделы безопасности могли задавать политики безопасности на основе групп пользователей и автоматически принимать решение по каждому члену группы, User-ID интегрируется практически с каждой службой каталогов. После настройки сетевой экран получает и обновляет информацию о пользователях и группах и автоматически приспосабливается к изменениям в базе.

Syslog Listener и XML API

В некоторых случаях у вас может быть установлено приложение для хранения информации о пользователях и их текущих IP-адресах. Если это так, межсетевой экран будет принимать сигнал от этой службы, а агент User-ID будет узнавать о случаях аутентификации из журналов. Заданные фильтры позволяют User-ID анализировать сообщения и получать IP-адреса и имена пользователей, которые прошли аутентификацию во внешней службе. В настоящее время решение поддерживает BlueCoat Proxy, Citrix Access Gateway, Aerohive, Cisco ASA, Juniper SA Net Connect и контроллер Juniper Infranet.

  • XML API. В тех случаях, когда Syslog Listener не применяется, XML API User-ID позволяет получить информацию о пользователе из других каталогов, служб терминалов и механизмов аутентификации.

Мониторинг активности приложений пользователей

Сила User-ID становится очевидной, когда App-ID обнаруживает в вашей сети неизвестное приложение. Используя ACC или просмотр журнала логов, ваш отдел безопасности может определить тип приложения, его пропускную способность, источник и назначение трафика приложения, а также любые связанные с ним угрозы.

Обзор активности приложений на уровне пользователя, а не только на уровне IP-адреса, позволяет более эффективно контролировать пересекающие сеть приложения. Вы можете согласовать использование приложений с требованиями других отделов. Если необходимо, вы сообщите пользователю, что он нарушает корпоративную политику, или напрямую заблокируете использование приложения.

Управление политиками на основе пользователей

Политики могут использоваться для безопасного допуска приложений на основе пользователей в исходящем или входящем направлении. Примеры пользовательских политик:

  • разрешить только ИТ-отделу использовать на своих стандартных портах такие инструменты, как SSH, Telnet и FTP;
  • разрешить службе поддержки использовать Yahoo Messenger;
  • разрешить Facebook для всех пользователей, но разрешить только маркетологам создавать публикации и заблокировать использование приложений для всех пользователей.

Основанные на пользователях анализ, отчетность и расследования

Решение позволяет получать предварительно подготовленные отчеты или создавать настраиваемые отчеты, параметры которых вы задаете по своему усмотрению. Настраиваемые отчеты могут быть быстро созданы с нуля или путем изменения предварительно подготовленного отчета. Любой из отчетов, предварительно подготовленный или настраиваемый, может быть экспортирован в CSV или PDF, а также быт доставлен по расписанию по электронной почте заинтересованному менеджеру или в отдел по работе с персоналом.