Aruba Clearpass NAC Solution
Merhabalar!
Bu yazımda sizlere clearpass lisanslama mantığı hakkında bilgi vereceğim.
ClearPass karşımıza ilk olarak platform lisansı ile çıkmaktadır. Bu lisans ClearPassin üzerinde çalışması için bir ortam sağlamaktadır. Platform lisansı sanal ve fiziksel sunucu olarak iki farklı şekilde satın alınabilir.
ClearPass Policy Manager Platform License
Best practise açısından sanal platform lisanslarını iki farklı sunucuya yedekli olarak kurulmasını önermekteyiz.
1. ClearPass Fiziksel Sunucu
Fiziksel sunucu olarak clearpass 3 farklı tipte satın alınabilmektedir.
· Aruba ClearPass C3010 DL360 Gen10 HW-Based Appliance
· Aruba ClearPass C2000 DL20 Gen10 HW-Based Appliance
· Aruba ClearPass S-1200 R4 HW-Based Appliance
C3010 ve C2000 serilerinde yedekli power supply seçimi yapılabilmektedir. Fiziksel sunucu seçimi yapılırken kapasite göz önünde bulundurulmalıdır.
Aşağıda C3010 DL360 Gen10 ön ve arka yüzünü görebilirsiniz.
Platform lisansları sunucu seri numaraları üzerinden aktif edilmektedir. Fiziksel sunucular için aşağıdaki tabloda karşılaştırma yapabilirsiniz.
2. ClearPass Sanal Sunucu
Sanal sunucu olarak Aruba ClearPass Cx000V VM-Based Appliance E-LTU ürününü satın almalısınız. Bu lisansı gereksinimlerin sağlandığı bir sunucuya kurarak açılışını sağlayabilirsiniz. Bu lisans modelinde herhangi bir kapasite büyüklüğü yoktur.
Yedekleme yapılmak istenirse çift lisans verilmelidir. Çift platform lisansı olması bu lisans altına verilecek application lisanslarını yedekli olarak verilmesine gerek yoktur. Lisanslar bir platforma yüklenecektir, herhangi bir t anında platform lisansı down olduğu senaryoda lisanslar otomatik olarak yedek verdiğimiz platform üzerine geçecektir.
ClearPass Policy Manager New Licenses
1. Aruba ClearPass Access
Access lisans temel olarak 802.1x protokolü için verilmektedir. 802.1x kısaca istemci cihazlara kimlik doğrulama mekanizması sağlamaktadır. Access lisansı aynı zamanda aşağıdaki özellikleri de sağlamaktadır.
· MAC-Authentication
· Web Based User Registration and Authentication (captive portal authentication)
· Multi-Factor Authentication (MFA)
· TACACS+ for Device Administration (e.g. Router, Switch, Controller, Firewall, etc.)
· OnConnect
· System APIs
· 360 Security Exchange (previously ClearPass Exchange)
· Standard endpoint visibility (also known as device fingerprinting)
Bu lisanslama ClearPass için temel lisanstır diyebiliriz. Perpetual (ömür boyu) lisans ve 1, 3, 5 yıllık subscription (abonelik) modelleri de mevcuttur.
Access lisansları 100’den 100.000 aboneliğe kadar sipariş edilebilir olarak düzenlenmiştir.
Access lisansı muadili olarak ClearPass Entry ve ClearPass Access Upgrade lisans olarak satın alınabilir.
Access Lisans = ClearPass Entry + ClearPass Access Upgrade
Access lisansın maliyetini kısmak amacıyla ClearPass Entry lisans verilebilir. Sonrasında lisans modelini yükseltmek ve OnGuard yapmak istenirse Access Upgrade lisans alınıp üzerine lisans eklemeleri yapılmalıdır.
Erişim lisansı tüketimi, uç nokta başına eşzamanlı oturum modeline dayanır. 360 Security Exchange, standart uç nokta görünürlüğü (aygıt parmak izi olarak da bilinir) ve TACACS+, en az 100 Access lisansı yüklendiğinde etkinleştirilir, ancak kullanıldığında herhangi bir Access lisansı tüketmez. Bir uç noktanın kimliği doğrulandığında/yetkilendirildiğinde ve ağa aktif olarak bağlandığında bir oturum etkin olarak kabul edilir. Yeni bir uç nokta bir oturum oluşturduğunda, havuzdan bir Erişim lisansı kaldırılır. Uç nokta oturumu sonlandırdığında, havuza bir Erişim lisansı döndürülür. Seans kontrolleri her 15 dakikada bir yapılır. Oturumun sonu tespit edilemezse (örneğin, hesap yok), lisans, uç noktanın doğrulandığı/yetkilendirildiği ve ağa bağlandığı andan itibaren 24 saatlik bir süre için havuzdan kaldırılacaktır. Etkin bir oturumu belirleme yöntemi, aşağıdaki tabloya göre erişim yöntemine bağlıdır.
1.1.Entry Licenses
Temel NAC kullanım durumları için tasarlanmış özellikler içerir.
· 802.1X
· MAC-Authentication
· Web Based User Registration and Authentication (captive portal authentication)
· Multi-Factor Authentication (MFA)
· OnConnect
· System APIs
Bir endpoint ağa katıldığında bir oturum etkin kabul edilir ve bir lisans kullanır. Yeni bir endpoint ağa katıldığında havuzdan bir entry license kullanır. Endpoint oturumu sonlandırdığında ise havuza bir entry lisansı döndürülür. Session kontrolleri 15 dakika da bir yapılır.
100’den 100.000’e kadar lisanslama yapılabilir ve abonelik modeli bulunmamaktadır. Entry lisansları Access lisansa yükseltilmek istenirse entry lisans adeti kadar Access Upgrade lisans satın alınır. Access’e yükseltme ile aşağıdaki özellikler de beraberinde gelir.
· TACACS+ for Device Administration (e.g. Router, Switch, Controller, Firewall, etc.)
· 360 Security Exchange (previously ClearPass Exchange)
·Standard endpoint visibility (also known as device fingerprinting)
2. Aruba ClearPass OnBoard
BYOD özelliğini kullanabilmek amacıyla opsiyonel olarak satın alabileceğimiz lisans modelidir. Tüm Windows, macOS, iOS, Android, ChromeOS ve Linux cihazları için benzersiz cihaz kimlik sertifikalarının oluşturulmasını sağlamak için kullanılır.
ClearPass 6.7 ile başlayan OnBoard lisans tüketimi, kullanıcı başına etkin bir sertifika modeline dayanmaktadır. Örneğin belirli bir kullanıcının her biri etkin sertifikaya sahip dört cihazı varsa, yalnızca bir OnBoard lisans gerekir. Zamanla dört cihazdan üçü kullanımdan kaldırılır ve ilgili sertifikaları iptal edilirse, etkin olan dördüncü cihaz sertifikası, kullanıcıyla ilişkili Onboard lisansını yine koruyacaktır.
Ömür boyu ve abonelik modelli (1, 3, 5 yıl) satın alma mevcuttur. Lisans adetleri kaç kullanıcı için sertifika üretileceğine karar verdikten sonra belirlenebilir. Örneğin; bir kullanıcı üç cihaz için sertifika üretecekse buradaki lisans ihtiyacı birdir, eğer on kullanıcı yirmi cihaz için sertifika üretecek ise buradaki lisans ihtiyacı ondur.
3. Aruba ClearPass OnGuard
ClearPass OnGuard, kablosuz, kablolu ve VPN bağlantıları üzerinden gelişmiş endpoint değerlendirmeleri gerçekleştirmek için kalıcı ve çözülebilir aracılardan yararlanır. OnGuard’ın sağlık denetimi yetenekleri, cihazlar bağlanmadan önce uyumluluk ve ağ korumaları sağlar. OnGuard lisans tüketimi, endpoint başına bir modeli temel alır. Örneğin OnGuard kalıcı aracısı 24 saatlik bir süre içinde beş endpointte kurulacaksa, beş OnGuard lisansı gerekir. OnGuard, yalnızca Access modunda çalışan sisteme kurulabilir. Access lisansları olmadan doğrudan bir cihaza kurulamaz. OnGuard lisansları, 100’den 100.000’e eşzamanlı endpoint ömür boyu veya aboneliğe dayalı lisanslar olarak mevcuttur.
Yorum gönder