CLEARPASS LİSANSLAMA
Policy Manager Platform License
Best practise açısından sanal platform lisanslarını iki farklı sunucuya yedekli olarak kurulmasını önermekteyiz.
1. ClearPass Fiziksel Sunucu
Fiziksel sunucu olarak clearpass 3 farklı tipte satın alınabilmektedir.
- Aruba ClearPass C3010 DL360 Gen10 HW-Based Appliance
- Aruba ClearPass C2000 DL20 Gen10 HW-Based Appliance
- Aruba ClearPass S-1200 R4 HW-Based Appliance
C3010 ve C2000 serilerinde yedekli power supply seçimi yapılabilmektedir. Fakat fiziksel sunucu seçimi yapılırken kapasite göz önünde bulundurulmalıdır.
Aşağıda C3010 DL360 Gen10 ön ve arka yüzünü görebilirsiniz.
Platform Lisansı Aktifleştirme
Platform lisansları sunucu seri numaraları üzerinden aktif edilmektedir. Fiziksel sunucular için aşağıdaki tabloda karşılaştırma yapabilirsiniz.
2. ClearPass Sanal Sunucu
Sanal sunucu olarak Aruba ClearPass Cx000V VM-Based Appliance E-LTU ürününü satın almalısınız. Bu lisansı gereksinimlerin sağlandığı bir sunucuya kurarak açılışını sağlayabilirsiniz. Bu lisans modelinde herhangi bir kapasite büyüklüğü yoktur.
Yedekleme yapmak istenirse çift lisans verilmelidir. Bu lisans altına verilmesi planlanan application lisanslarını yedekli olarak verilmesine gerek yoktur. Lisanslar bir platforma yüklenecektir, herhangi bir t anında platform lisansı down olduğu senaryoda lisanslar otomatik olarak yedek verdiğimiz platform üzerine geçecektir.
Policy Manager New Licenses
1. Aruba ClearPass Access
Access lisans temel olarak 802.1x protokolü için verilmektedir. Ek olarak 802.1x prokolü istemci cihazlara kimlik doğrulama mekanizması sağlamaktadır. Gelgelelim Access lisans aşağıdaki özellikleri de sağlar.
- MAC-Authentication
- Web Based User Registration and Authentication (captive portal authentication)
- Multi-Factor Authentication (MFA)
- TACACS+ for Device Administration (e.g. Router, Switch, Controller, Firewall, etc.)
- OnConnect
- System APIs
- 360 Security Exchange (previously ClearPass Exchange)
- Standard endpoint visibility (also known as device fingerprinting)
Bu lisanslama ClearPass için temel lisanstır diyebiliriz. Üstelik Perpetual (ömür boyu) lisans ve 1, 3, 5 yıllık subscription (abonelik) modelleri de mevcuttur.
Ayrıca kullanıcılar Access lisansları 100’den 100.000 aboneliğe kadar sipariş edilebilirler.
Hatırla!
RADIUS accounting process, kullanıcıya RADIUS sunucusuna erişim izni verildiğinde başlar. Erişim verildiği zaman, Ağ Erişim Sunucusu (başka bir deyişleNAS), kullanıcının ağa erişiminin başladığını belirten bir RADIUS Accounting Request paketini RADIUS sunucusuna gönderir. Kısaca bu paket kullanıcının kimliğini, erişim noktasını ve ağ adresini ek olarak da benzersiz bir oturum tanımlayıcısını içerir.
Dikkat !
Doğru çalışmayan bir RADIUS accounting süreci lisanslarınızın fazla kullanımına sebep olabilir.
Access lisansı muadili olarak ClearPass Entry ve ClearPass Access Upgrade lisans olarak satın alabilirsiniz.
Access Lisans = ClearPass Entry + ClearPass Access Upgrade
Bu lisansın maliyetini kısmak amacıyla ClearPass Entry lisans tercih edebilirsiniz. Sonrasında lisans modelini yükseltmek ve OnGuard yapmak istenirse Access Upgrade lisans alınıp üzerine lisans eklemeleri yapılmalıdır.
Erişim Lisans Tüketimi
Erişim lisansı tüketimi, uç nokta başına eşzamanlı oturum modeline dayanır. 360 Security Exchange, standart uç nokta görünürlüğü (başka bir deyişle aygıt parmak izi olarak da bilinir) ve TACACS+, en az 100 Access lisansı yüklediğinizde etkinleşir. Ayrıca, kullandığınızda herhangi bir Access lisansı tüketmez. Bir uç noktanın kimliğini doğruladığınızda / yetkilendirdiğinizde ve ağa aktif olarak bağladığınızda bir oturumu etkin olarak kabul eder. Yeni bir uç nokta bir oturum oluşturduğu zaman, havuzdan bir Erişim lisansı kalkar. Uç nokta oturumu sonlandığı zaman, havuza bir Erişim lisansı döner. Ek olarak Seans kontrolleri her 15 dakikada bir yapılmaktadır. Oturumun sonu tespit edilemezse (örneğin, hesap yok), lisans, uç noktanın doğrulandığı/yetkilendirildiği ve ağa bağlandığı andan itibaren 24 saatlik bir süre için havuzdan kaldırılacaktır. Etkin bir oturumu belirleme yöntemi, aşağıdaki tabloya göre erişim yöntemine bağlıdır.
1.1. Entry Licenses
Temel NAC kullanım durumları için tasarlanmış özellikleri içerir.
- 802.1X
- MAC-Authentication
- Web Based User Registration and Authentication (captive portal authentication)
- Multi-Factor Authentication (MFA)
- OnConnect
- System APIs
Bir endpoint ağa katıldığında bir oturum etkin kabul edilir ve bir lisans kullanır. Yeni bir endpoint ağa katıldığında havuzdan bir entry license kullanır. Endpoint oturumu sonlandırdığında ise havuza bir entry lisansı döndürülür. Session kontrolleri 15 dakika da bir yapılır.
100’den 100.000’e kadar lisanslama yapabilirsiniz ve abonelik modeli bulunmamaktadır. Entry lisansları Access lisansa yükseltmek isterseniz entry lisans adeti kadar Access Upgrade lisans satın almalısınız. Ayrıca access’e yükseltme ile aşağıdaki özellikler de beraberinde gelir.
- TACACS+ for Device Administration (e.g. Router, Switch, Controller, Firewall, etc.)
- 360 Security Exchange (previously ClearPass ExchangeStandard endpoint visibility (also known as device fingerprinting)
- Standard endpoint visibility (also known as device fingerprinting)
Dikkat!
Entry lisansı alınan bir sisteme OnGuard lisansı eklemelisiniz. Lisansı OnGuard olarak yapabilmeniz için başlangıç lisans tipi Access lisans olmalıdır.
2. OnBoard
BYOD özelliğini kullanmak için alternatif olarak satın alabileceğimiz lisans modelidir. Tüm Windows, macOS, iOS, Android, ChromeOS ve Linux cihazları için benzersiz cihaz kimlik sertifikalarının oluşturulmasını sağlamak için kullanılır.
ClearPass 6.7 ile başlayan OnBoard lisans tüketimi, kullanıcı başına etkin bir sertifika modeline dayanmaktadır. Örneğin belirli bir kullanıcının her biri etkin sertifikaya sahip dört cihazı varsa, yalnızca bir OnBoard lisans gerekir. Ayrıca zamanla dört cihazdan üçü kullanımdan kalkması ve ilgili sertifikaları iptal edilirse, etkin olan dördüncü cihaz sertifikası, kullanıcıyla ilişkili Onboard lisansını yine koruyacaktır.
Ömür boyu ve abonelik modelli (1, 3, 5 yıl) satın alma mevcuttur. İlk olarak kaç kullanıcı için sertifika üretileceğine karar vermelisiniz. Sonrasında adetlerinizi belirleyebilirsiniz. Örnek olarak; bir kullanıcı üç cihaz için sertifika üretecekse buradaki lisans ihtiyacı birdir, başka bir deyişle on kullanıcı yirmi cihaz için sertifika üretecek ise buradaki lisans ihtiyacı ondur.
3. OnGuard
ClearPass OnGuard, kablosuz, kablolu ve VPN bağlantıları üzerinden gelişmiş endpoint değerlendirmelerini gerçekleştirmek için kalıcı aracılardan yararlanabilirsiniz. OnGuard’ın sağlık denetimi yetenekleri, cihazlar bağlanmadan önce uyumluluk ve ağ korumaları sağlar. OnGuard lisans tüketimi, endpoint başına bir modeli temel alır. Örneğin, OnGuard kalıcı aracısını 24 saatlik bir süre içinde beş endpointte kuracaksınız, beş OnGuard lisansına ihtiyaç vardır. OnGuard’ı, yalnızca Access modunda çalışan sisteme kurabilirsiniz. Access lisansları olmadan doğrudan bir cihaza kurulamaz. OnGuard lisansları, 100’den 100.000’e eşzamanlı endpoint ömür boyu ya da aboneliğe dayalı lisanslar olarak mevcuttur.
