Universal ZTNA van Extreme Networks

Universal ZTNA van Extreme Networks

In de huidige digitale wereld is cybersecurity een absolute topprioriteit voor bedrijven van elke omvang. Met de komst van de NIS2-richtlijn worden de eisen op het gebied van cybersecurity nog strenger. Een van de grootste uitdagingen voor organisaties is het bieden van veilige toegang tot bedrijfssystemen, zowel voor medewerkers op kantoor als voor remote workers. Extreme Networks biedt met hun Universal ZTNA (UZTNA) de ideale oplossing. In deze blogpost bespreken we deze oplossing van Extreme Networks in meer detail.

De uitdagingen

De komst van de NIS2-richtlijn is zeer belangrijk. Deze wetgeving bepaalt de krijtlijnen waarbinnen bedrijven moeten opereren om te voldoen aan de cybersecuritymaatregelen die door overheden worden opgelegd. Dit vormt een grote uitdaging voor netwerk- en security engineers, die de IT-omgevingen moeten inrichten zodat iedereen binnen de organisatie op een veilige en efficiënte manier verbonden kan worden met de benodigde applicaties, of deze nu on-premise of in de cloud draaien. Binnen dit connectiviteit luik zit je met twee uitdagingen.

Binnen het domein van connectiviteit zijn er twee belangrijke uitdagingen:

  1. Veilige verbinding op kantoor of on-site: Hoe zorg ik ervoor dat mijn gebruikers die zich on-site bevinden op een veilige manier geauthenticeerd worden en verbinding maken met het netwerk?
  2. Veilige verbinding op afstand: Hoe zorg ik ervoor dat mijn gebruikers, ongeacht hun locatie (thuis, bij klanten, in een koffiebar, etc.), veilig verbinding kunnen maken met de benodigde applicaties?

Voor deze uitdagingen bestaan er reeds oplossingen zoals Network Access Control (NAC) en Zero Trust Network Access (ZTNA). Het probleem is echter dat deze vaak losse producten zijn, zonder mogelijkheid tot het implementeren van een uniforme policy die beide uitdagingen oplost en vanuit één centraal punt beheerd kan worden.

Universal Zero Trust Network Access (Universal ZTNA)

Universal Zero Trust Network Access of Universal ZTNA zorgt ervoor dat er 1 policy wordt geïntroduceerd voor gebruikers, ongeacht waar deze zich bevinden.

Dit is echter een term die door heel wat vendoren op een andere manier wordt belicht. Sommige vendoren hanteren het principe dat gebruikers, ongeacht hun locatie, verbinding maken via een client met een centraal punt (full-tunnel), waarbij al het netwerkverkeer door die tunnel wordt geleid. Centraal wordt het verkeer geïnspecteerd en verwerkt volgens een reeks policies, waarna het wordt gerouteerd naar het desbetreffende netwerk (IPSec, SaaS, etc.). Andere leveranciers, waaronder Extreme Networks, combineren een Cloud NAC-oplossing voor de campus met ZTNA voor remote workers.

Extreme Networks heeft recentelijk Universal ZTNA in zijn portfolio opgenomen. Deze oplossing maakt de combinatie van Cloud NAC voor de campus met ZTNA voor remote workers. Hieronder meer in detail hoe de verschillende oplossingen in elkaar zitten en hoe de unified policy er juist in detail uitziet.

Cloud NAC

In bovenstaand diagram zie je hoe de Cloud NAC juist werkt en welke componenten er aanwezig zijn.

Binnen de Cloud NAC zijn er verschillende componenten:

  • Identity Providers: Een Identity Provider is nodig om de users te importeren die gebruik zullen maken van de UZTNA oplossing. Binnen Cloud NAC worden die gebruikt als backend authentication server voor 802.1X Radius. Een user die verbindt met het netwerk (of dit nu wireless of wired is), wordt via de Radius service geauthenticeerd ten op zichte van de credentials die gekend zijn binnen de Identity Provider (Entra ID, Google Workspace, Onprem AD).
  • ExtremeCloud: Binnen ExtremeCloud heb je twee applicaties:
    • ExtremeCloud IQ: De SaaS Network Management oplossing van Extreme Networks waar switches en access points in beheerd worden. Voor deze oplossing configureer je binnen ExtremeCloud IQ de koppeling tussen LAN/WLAN en de UZTNA Cloud NAC
    • ExtremeCloud Universal ZTNA: Dit is de UZTNA applicatie waar je alle policies, regels,… in gaat configureren.
  • Campus: Binnen de campus draaien de switches en APs. Deze maken een RADSEC tunnel naar ExtremeCloud die vervolgens de authenticatie verwerkt en een antwoord terug stuurt. Er zijn switches en APs die rechtstreeks RADSEC sturen naar ExtremeCloud, oudere switches en later 3rd party switches sturen eerst Radius naar een Radius Proxy die lokaal staat, welke op zijn beurt RADSEC stuurt naar ExtremeCloud.

RadSec is de afkorting van “Radius Security”. Dit is een protocol dat wordt gebruikt om RADIUS communicatie (Remote Authentication Dial-In User Service) te beveiligen door een extra versleuteling te voorzien.

RADIUS wordt veel gebruikt in netwerkomgevingen voor het authenticeren en autoriseren van gebruikers vooraleer ze toe te laten op het netwerk. Voornamelijk voor draadloze toepassingen (zoals wij ook met de KappaData wifi authenticeren), maar ook voor bedrade toepassingen (met een netwerkkabel naar een switch). Daarnaast wordt het ook vaak gebruikt om authenticatie te voorzien op bijvoorbeeld VPN toepassingen.

De standaard RADIUS die niet versleuteld is verzendt gegevens in platte tekst, wat het kwetsbaar maakt voor verschillende aanvallen zoals man-in-the-middle aanvallen of replay-attacks. Door gebruik van TLS (wat ook gebruikt wordt voor HTTPS webverkeer), worden RADIUS-berichten versleuteld en zijn ze beter beschermd tegen aanvallen.

UZTNA – Application access

Het tweede luik binnen UZTNA is de application access. Hiermee geef je remote workers toegang tot applicaties, waar deze ook staan.

Policies

In de voorgaande delen hebben we de connectiviteit besproken. Het belangrijkste aan een ZTNA oplossing is uiteraard het definiëren van Policies. Hieronder zullen we stap voor stap bespreken hoe Universal ZTNA van Extreme Networks ingericht kan worden:

Extreme Universal ZTNA Flow

Step 1:

Homescreen

Homescreen

Wanneer we inloggen op ExtremeCloud Universal ZTNA zien we een algemeen scherm dat ons inzichten heeft in wat er momenteel gaande is. Hier zie je de health status van de applicaties, de service connectors en de Radsec proxies, samen met het algemene gebruik van de applicaties die via Universal ZTNA beschikbaar gesteld worden.
Onboarding

Onboarding

Via “Onboarding” krijg je een wizard om policies te genereren en achterliggende NAC en Application configuratie uit te voeren. In dit geval kiezen we voor “Secure Hybrid Access” omdat we een policy willen introduceren die zowel van toepassing is voor onze on-site medewerkers als remote medewerkers.
Definition IDP

Definition IDP

We hebben momenteel nog geen IdP gedefinieerd, deze zullen we hier gaan definiëren. We kunnen kiezen uit ExtremeCloud Universal ZTNA (dit is wanneer je geen IdP hebt, maar deze is voorlopig enkel van toepassing voor Application Access, niet voor Cloud NAC). In dit geval kiezen we voor Entra ID.
Integration Entra ID

Integration Entra ID

Vervolgens krijgen we het scherm om de integratie met Entra ID op te zetten. We maken een App registratie binnen Entra ID en configureren deze met de juiste waardes zodat er een connectie is tussen Entra ID en ExtremeCloud UZTNA.

Omdat Cloud NAC geen MFA kan ondersteunen, moeten we binnen Entra ID een Conditional Access regel aanmaken die voor die specifieke applicatie MFA bypasst.

Vervolgens kan je een SCIM sync opzetten door een Enterprise Application aan te maken in Entra ID zodat alle groepen en users automatisch gesynct zijn tussen UZTNA en Entra ID.

Import users by SCIM

Import users by SCIM

Wanneer SCIM voltooid is, zal je zien dat de users succesvol geïmporteerd zijn.
Adding Devices

Adding Devices

Nu kunnen we Devices toevoegen. Devices zijn MAC adressen die we via MAC based authenticatie willen laten authenticeren ten opzichte van de Cloud NAC.
Definition Users Groups

Definition Users Groups

Vervolgens kunnen we User Groups gaan maken waarin onze users zich bevinden.
Definition Device Groups

Definition Device Groups

En als laatste Device Groups waarin we onze devices plaatsen.

Step 2:

Adding Resources

Adding Resources

Nu is het tijd om resources te gaan toevoegen. Je ziet meteen al dat de Sites uit ExtremeCloud IQ geïmporteerd zijn binnen ExtremeCloud Universal ZTNA.
Deploy Service Connector

Deploy Service Connector

Vervolgens kunnen we een Service Connector gaan deployen. Een Service Connector is een stukje software die ervoor zorgt dat er een tunnel is tussen het netwerk waarin de applicatie leeft die je wil ter beschikking stellen, en ExtremeCloud.
Choosing name of Service Connector

Choosing name of Service Connector

Je kiest een naam voor de Service Connector die je wil gaan deployen.
Choosing Deployment Method

Choosing Deployment Method

Vervolgens kan je de deployment methode kiezen. Ofwel draai je de service connector in een docker container, ofwel als package op een Linux machine, ofwel als dedicated virtuele machine via een OVA die Extreme Networks ter beschikking stelt.
Status Service Connector

Status Service Connector

Wanneer deze geïnstalleerd is, zie je de status op “Up” staan.
Installation Radsec

Installation Radsec

Nu kunnen we optioneel de Radsec proxy installeren.
Command Radsec for Linux

Command Radsec for Linux

Wanneer je deze installeert zie je ook het commando staan die je op een Linux machine kan meegeven om de Radsec proxy te deployen.
Successfull Deployment Radsec

Successfull Deployment Radsec

Ook hier zien we terugkeren dat deze succesvol gedeployed is en in “running state” staat
CloudNAC & UZTNA Connection

CloudNAC & UZTNA Connection

Binnen de devices zien we de APs en/of switches staan die momenteel in aanmerking komen om met de Cloud NAC te communiceren. Dit is ook een sync tussen ExtremeCloud IQ en UZTNA. Momenteel communiceren de APs nog met een Radsec proxy, en de SSID is dus geconfigureerd met de Radsec proxy als Radius server.
Connection Successfull

Connection Successfull

Check de connectie tussen CloudNAC en UZTNA

Step 3:

Definition Applications

Definition Applications

In de volgende stap kunnen we de applicaties definiëren die we ter beschikking willen stellen via UZTNA.
Choice of Site Engine

Choice of Site Engine

In dit geval zullen we een Site Engine beschikbaar maken via UZTNA.
Adding Application & Monitoring

Adding Application & Monitoring

De applicatie wordt toegevoegd en ook gemonitord op uptime.
Adding Application to Group

Adding Application to Group

We voegen de applicatie toe aan een applicatie groep. Deze groep kunnen we dan verder gebruiken in de policies.

Step 4:

Definition Hybrid Policy

Definition Hybrid Policy

Nu is het tijd om een hybrid policy te gaan definiëren. Deze zullen we nu specifiek voor de groep Solution Engineers maken.

Hierin definieer je een aantal zaken

  • Naam van de policy
  • User groep
  • Device groep
  • Applicatie groep
  • Network (VLAN of Fabric I-SID)
  • Network resource groep (bepaalde IP/subnet/poort combinaties die geblokkeerd moeten worden)

Adding Hybrid Policy

Adding Hybrid Policy

Toevoegen van de Hybrid Policy en condities
Hybrid Policy

Hybrid Policy

Super! Bij deze is de eerste hybrid policy gecreëerd, is er een service connector en radsec proxy geïnstalleerd, een eerste applicatie aangemaakt en Cloud NAC regels toegevoegd.

Conditions

Er zit ook een vorm van Conditional Access voor Cloud NAC in UZTNA ingebouwd. Op die manier kan toegang geweigerd/toegestaan worden op basis van:

  • Locatie
  • Tijd
  • Authenticatie (EAP-TLS, EAP-TTLS, MBA,…)

Device Posture

Toegang tot applicaties kan geweigerd worden als de agent merkt dat een aantal zaken niet in orde zijn.

MDM

Er is ook een integratie met Microsoft Intune zodat je enkel compliant devices toegang kan geven via UZTNA

Switch Configuratie

Binnen ExtremeCloud IQ kan je de “Instant Secure Port” selecteren om van de switchpoort een “NAC” poort te maken. Op deze manier worden Radius requests op die poort doorgestuurd naar UZTNA.

Benieuwd hoe Universal ZTNA van Extreme Networks uw organisatie kan helpen om te voldoen aan de strengere eisen van de NIS2-richtlijn en tegelijkertijd veilige toegang te bieden aan uw medewerkers?

Neem gerust contact op met [email protected] als u meer informatie wenst.

Geen reacties

Geef een reactie