Dynamic segmentation เพื่อการทำงานร่วมกัน

ทุกวันนี้ IoT ขยายแทรกซึมไปทั่วทุกหนทุกแห่ง เปลี่ยนแปลงทุกสิ่งทุกอย่าง จาก smart lighting ไปจนถึงอุปกรณ์เชื่อมต่ออินเทอร์เน็ต จากการใช้คลื่นแม่เหล็กในการถ่ายภาพ (MRI) ไปจนถึงเพื่อให้ความร้อน การระบายอากาศ และเครื่องปรับอากาศ (HVAC) ไปจนถึงกล้องรักษาความปลอดภัย และเครื่องอ่านตราสัญลักษณ์ต่างๆ ทั้งนี้จะเห็นว่าเทคโนโลยีการดำเนินงาน (OT) กำลังผสานเข้ากับเทคโนโลยีสารสนเทศ (IT) เพื่อเพิ่มประสิทธิภาพในการดำเนินธุรกิจให้มากขึ้น

ประมาณครึ่งหนึ่งของอุปกรณ์ IoT เป็นแบบใช้สาย แต่มันต่างจากอุปกรณ์เคลื่อนที่อย่างแล็ปท็อป และโทรศัพท์มือถือ ที่ IoT มีความหลากหลายมาก และโดยมากแล้วมันไม่ได้มาพร้อมกับการเสริมความปลอดภัย เช่น ซอฟต์แวร์ป้องกันไวรัส อุปกรณ์เหล่านี้ไม่ได้อยู่ในระดับเดียวการตรวจสอบความปลอดภัยชั้นเดียวกับอุปกรณ์เคลื่อนที่ แต่เมื่อมันมีการเชื่อมต่ออินเทอร์เน็ตออนไลน์มากขึ้นๆ การ authenticate และ authorize กลายเป็นสิ่งสำคัญอย่างยิ่ง

ลองมาเปรียบเทียบกับการรักษาความปลอดภัยในสนามบิน เมื่อถึงสนามบินคุณจะต้องระบุตัวตนด้วยหนังสือเดิน หรือการสแกนม่านตา จากนั้นกระเป๋าเดินทางของคุณจะได้รับการตรวจสอบ จากนั้นคุณจะเข้าถึงพื้นที่ใกล้ๆกับประตูขึ้นเครื่องบิน ทั้งหมดนี้จะมีกล้องและยามติดอาวุธบางครั้งติดตามคุณอยู่ทุกขณะ เมื่อสิ่งน่าสงสัยเกิดขึ้นคุณอาจต้องถูกสอบถามหรือขอให้อยู่ในพื้นที่จำกัด

นโยบายและการจัดการแบบครบวงจรเพื่อความปลอดภัยของ IoT Networks

เมื่อองค์กรต้องการรวมระบบ IT และ OT เข้าด้วยกัน การรวมการ authenticate และ authorize สำหรับอุปกรณ์แบบมีสาย ไร้สาย และ IoTด้วยโมเดลการใช้งานไอทีที่มีอยู่สามารถจัดการได้ นอกจากนี้เจ้าหน้าที่ด้านไอทีต้องการเครื่องมือที่ช่วยให้งานการกำหนดนโยบาย และบังคับใช้กฎเป็นไปโดยอัตโนมัติ นี่คือเรื่องราวของ Aruba’s Better Together สำหรับศูนย์บริการแบบมีสาย,ไร้สายและ IoT เรื่อง “Unified Policy, One Network Management System (NMS)”

ClearPass จัดเป็นระบบจัดการนโยบายแบบครบวงจรของ Aruba ที่มาพร้อมกับความสามารถในการจัดการและบังคับใช้นโยบายการเข้าถึงจากส่วนกลาง โดยการใช้เทคโนโลยีที่ได้มาตรฐานเพื่อสร้างเครือข่ายแบบมีสาย ไร้สาย และ IoTโดยอัตโนมัติและปลอดภัย หน้าที่หลักคือการกำหนดโปรไฟล์อุปกรณ์การ authenticate และ authorize นอกจากนี้ ClearPass ยังระบุการเปลี่ยนแปลงของอุปกรณ์ หรือพฤติกรรมของอุปกรณ์ได้

Aruba IntroSpect เป็นโซลูชันสำหรับวิเคราะห์พฤติกรรมผู้ใช้และ entity (UEBA) โดยตรวจสอบวิธีการที่ผู้ใช้และ entity ทำงานในขณะที่อยู่ในเครือข่ายหรือขณะที่ผู้ใช้เดินไปมาระหว่างสถานที่ต่างๆ IntroSpect มีคะแนนความเสี่ยงที่คล้ายกับคะแนนเครดิตของคุณ เช่น ในสนามบิน เมื่อระบบสังเกตเห็นพฤติกรรมแปลกๆ IntroSpect สามารถขอให้ ClearPass ดำเนินการกักกันหรือแม้กระทั่งใช้ขึ้นบัญชีดำอุปกรณ์ต้องสงสัยไว้

ผลิตภัณฑ์แบบมีสายและไร้สายของ Aruba สามารถได้รับการจัดการได้โดย Aruba AirWave หรือ Aruba Central network management systems (NMS) ทำให้ NMSหนึ่งเดียวก็สามารถการจัดการทั้งอุปกรณ์แบบใช้สาย และแบบไร้สาย และองค์กรยังมีเครื่องมือสำหรับการจัดการอุปกรณ์ทั้งในสถานที่ (ด้วย AirWave) หรือ ในระบบ Cloud (ด้วยCentral)

Aruba คู่กันไปได้ดีกว่า

ระบบ Aruba MobilityController เป็นส่วนสำคัญของโซลูชันเพราะทำหน้าที่เป็นตัวบังคับใช้นโยบายสำหรับการเข้าใช้งาน และนโยบาย firewall, bandwidth contract และข้อจำกัดของ trafficอื่นๆ ของอุปกรณ์ มีสาย ไร้สาย และ IoT ทั้งหมด

บังคับใช้นโยบายโดยอัตโนมัติด้วย Dynamic Segmentation

โซลูชันโดยรวมที่ประกอบด้วย switch, Mobility Controller, ClearPass Policy Manager และ AirWave หรือ Central โดย Aruba นับเป็นการทำ Dynamic Segmentation โดยการแบ่งกลุ่มโดยอัตโนมัติตามโปรไฟล์ของอุปกรณ์ และการถ่ายโอน traffic จากอุปกรณ์หนึ่งๆไปยัง controller เพื่อตรวจสอบและบังคับใช้นโยบายต่อไป

คุณลักษณะสองประการที่สำคัญต่อ Dynamic Segmentation ได้แก่ Downloadable User Roles และTunnel Nodeโดยที่ Downloadable User Role ช่วยให้ ClearPass ทำหน้าที่เป็นจุดกำหนดนโยบายแบบรวมศูนย์ ทำให้ ClearPass สามารถสั่งสวิตช์ของ Aruba ว่า traffic ของอุปกรณ์ควรได้รับการประมวลผลในตัวเองหรือ tunnel ผ่านไปยัง Mobility Controller เพื่อการตรวจสอบต่อไปหรือไม่ ทั้งนี้ช่วยให้สวิทช์สามารถโหลดนโยบายเพื่อระบุโปรไฟล์และตรวจสอบความถูกต้องของอุปกรณ์ที่เชื่อมต่อได้โดยอัตโนมัติ

Access switch ของ Aruba ใช้โหนดอุโมงค์ (Tunnel Node) ซึ่งเป็นคุณสมบัติที่ช่วยให้ traffic แบบใช้สายเข้าสู่พอร์ตสวิทซ์แล้วถูกส่งไปยัง Aruba Mobility Controllerใน GRE-encapsulated tunnel เมื่อใช้ร่วม Downloadable User Role แล้ว Tunnel Node เป็นเป็นกลไกที่ทำให้การทำ segmentation ของอุปกรณ์ที่ต้องการเป็นไปโดยอัตโนมัติเพื่อเปลี่ยนเส้นทาง traffic ในการเข้าถึงคอนโทรลเลอร์ ซึ่งช่วยให้ stateful firewall ประมวลผล traffic นั้นได้และยังใช้ controller ที่มีระบบการวิเคราะห์ขั้นสูงในการตรวจสอบ traffic เมื่อจำเป็น IntroSpect สามารถวิเคราะห์พฤติกรรมของ traffic และระบุความผิดปกติในอุปกรณ์เหล่านี้เพื่อหยุดพฤติกรรมที่ผิดปกติไม่ให้เกิดขึ้น

การประหยัดต้นทุนและเวลาในการจัดการนโยบายและบทบาทของผู้ใช้โดยอัตโนมัติระหว่างการเชื่อมต่อของผู้ใช้หรืออุปกรณ์ IOT ในเครือข่ายขององค์กรเป็นเรื่องสำคัญ การกำหนดค่าด้วยตนเองใช้เวลานานและมีข้อผิดพลาดง่าย แต่การทำ dynamic segmentation ช่วยลดความผิดพลาดและประหยัดต้นทุนดังกล่าว

จะใช้ Dynamic Segmentation อย่างไร

ธุรกิจต่างๆกำลังใช้ไฟ LED ประเภทที่เชื่อมต่อกับ PoE ใน holographic workstation และเครื่องพิมพ์ 3 มิติ เพื่อสร้างสถานที่ทำงานแบบดิจิตอลที่สร้างแรงบันดาลใจให้เกิดความคิดสร้างสรรค์และนวัตกรรม โรงพยาบาลกำลังหันไปใช้อุปกรณ์ทางการแพทย์ที่เชื่อมต่อกันเพื่อปรับปรุงการดูแลผู้ป่วยและติดตั้งเครื่อง MRI ที่เชื่อมต่อได้เพื่อทำให้การบำรุงรักษามีประสิทธิภาพมากขึ้น และโรงเรียนกำลังใช้สมาร์ททีวีและ augmented reality / virtual reality เพื่อดึงดูดนักเรียนและสร้างการเรียนรู้ที่ลึกซึ้งยิ่งขึ้น

เวลาในการเชื่อมต่ออุปกรณ์มีสาย ไร้สาย และ IoT เหล่านี้อาจเหมือนกัน แต่การตั้งนโยบายด้วยตนเองในทุกๆสวิตช์เป็นเรื่องเสียเวลามาก ความเสี่ยงด้านความปลอดภัยนั้นเป็นเรื่องที่น่าเป็นห่วง อุปกรณ์ IOT มักถูกสร้างขึ้นสำหรับงานเฉพาะด้าน ราคาไม่แพง และบำรุงรักษาง่าย อุปกรณ์เหล่านี้ไม่ได้สร้างขึ้นด้วยความปลอดภัยข้อมูลที่ดีพอสำหรับใช้ในองค์กร ทำให้ต้องอาศัยเทคโนโลยีของเครือข่ายเพื่อให้การรักษาความปลอดภัย

การใช้ dynamic segmentation ของ Aruba สามารถให้การรักษาความปลอดภัยและการควบคุมดังกล่าวได้

ClearPass ทำหน้าที่เป็นพื้นที่เก็บข้อมูลหลักของนโยบายที่สามารถนำเข้าและส่งออกโพรไฟล์ผู้ใช้งานไปยังเครือข่ายแบบมีสาย และไร้สายได้ทั้งหมด สวิตช์แบบใช้สายจะใช้นโยบายเหล่านี้ในการ authenticate โดยใช้ 802.1X หรือ MACAuth และกันผู้ใช้ที่ไม่ได้รับอนุญาตในพอร์ทัลกักกัน

ความสามารถนี้เป็นประโยชน์อย่างยิ่งเมื่อใช้อุปกรณ์ IoT แบบมีสาย เช่น กล้องรักษาความปลอดภัย เครื่องอ่านป้ายสัญลักษณ์ เครื่องพิมพ์ 3 มิติ หรือไฟ LED PoE โดย traffic จากอุปกรณ์เหล่านี้สามารถเปลี่ยนเส้นทางไปยัง Mobility Controller ซึ่งมีการบังคับใช้นโยบายอย่างถูกต้องจึงไม่มีการเชื่อมต่อโดยไม่ได้รับอนุญาตหรือหลอกลวง ตัวอย่างเช่น หากไฟ LED PoE พยายามเปิด TCP session มากถึง 1,000 session จะถูกกักกันไว้ ไม่ได้รับอนุญาตให้เข้าถึงระบบERP ขององค์กร

ลองคำนวนหาผลประโยชน์จากการติดตั้งกล้องรักษาความปลอดภัยเพิ่มเติม

จะเห็นว่าใช้เวลา 10 นาทีสำหรับแต่ละอุปกรณ์ IoT เมื่อคิดถึงว่าอุปกรณ์ IoT กำลังใช้กันอย่างแพร่หลายมาก กระบวนการตั้งค่าด้วยตนเองจะใช้เวลานานและอาจเกิดความประมาท ความผิดพลาดได้ง่าย และเมื่อเกิดขึ้นแล้วจะทำให้ต้องเสียเวลาเพิ่มในการแก้ไขอีกหลายเท่า การทำ dynamic segmentation ช่วยลดความผิดพลาดในเครือข่าย IoTของคุณและกำจัดการทำงานซ้ำซ้อนทั้งหมด และลดความเสี่ยงต่อความผิดพลาดของมนุษย์

ใช้ IoT ด้วยความมั่นใจ

การใช้งาน IoT จะช่วยเพิ่มประสิทธิภาพและประสบการณ์ใหม่ๆแก่ผู้ใช้ แต่สิ่งสำคัญคือองค์กรต้องมีการควบคุมอุปกรณ์หลากหลายประเภทที่เชื่อมต่อกับเครือข่ายอย่างเข้มงวด การระบุอุปกรณ์ที่เชื่อมต่อ การ authenticate และ authorize ก่อนทำการเชื่อมต่อกับเครือข่าย ทั้งแบบใช้สายและไร้สาย เป็นสิ่งสำคัญเพื่อให้แน่ใจได้ว่าการดำเนินงานจะราบรื่นและลดความเสี่ยงด้านความปลอดภัย

แนวคิดจาก Aruba Better Together ช่วยให้มั่นใจถึงความปลอดภัยนี้และ Dynamic Segmentation เป็นนวัตกรรมและเทคโนโลยีในในการรวม NMS, การจัดการนโยบาย และการบังคับใช้ สำหรับอุปกรณ์แบบมีสาย ไร้สาย และแบบ IoT ช่วยให้องค์กรสามารถก้าวไปสู่ความคิดริเริ่มใหม่ๆจาก IoT ได้อย่างมั่นใจ

Leave a Comment

Your email address will not be published. Required fields are marked *