Visão geral do Aryaka SmartSecure Private Access

A solução SmartSecure Private Access da Aryaka aproveita o desempenho da rede central global da Aryaka com sua abordagem arquitetônica que prioriza a nuvem para fornecer a solução ideal para empresas que buscam uma abordagem “melhor dos dois mundos” para a conectividade de trabalhadores remotos: uma solução que combina a utilização flexível de recursos de rede dedicados e determinísticos para filiais e trabalhadores remotos em uma rede de alto desempenho.
Essa arquitetura sempre oferece o máximo de desempenho, independentemente das mudanças de tráfego entre a filial e o tráfego do trabalhador remoto, com visibilidade consolidada do desempenho da rede e dos aplicativos em toda a conectividade central da empresa, bem como nos domínios de VPN. imagem A solução Private Access da Aryaka é uma solução de rede privada virtual altamente flexível e totalmente gerenciada.
Ela aproveita a arquitetura global HyperScale PoPs da Aryaka para conectividade e gerenciamento unificados para usuários em qualquer lugar para recursos no local e na nuvem.
Além disso, os usuários do Aryaka Private Access podem aproveitar todos os recursos do Aryaka Unified SASE com a integração do nosso Next Generation Firewall/Secure Web Gateway (NGFW-SWG) para expandir o tráfego da Web e a inspeção e segurança de aplicativos.

O SmartSecure Private Access é baseado na solução Enterprise VPN da NCP Engineering, um dos principais fornecedores de VPN.

O SmartSecure Private Access consiste nos seguintes elementos arquitetônicos:

Clientes do SmartSecure Private Access

A solução SmartSecure Private Access oferece um conjunto de clientes gerenciados centralmente para todos os principais sistemas operacionais móveis ou de desktop, incluindo:

Os SmartSecure Private Access Clients da Aryaka permitem que os dispositivos do usuário final selecionem o PoP da Aryaka mais próximo para obter acesso à rede ideal e de alto desempenho e acessá-lo com o protocolo de tunelamento mais eficaz.
O SmartSecure Private Access Client garante uma conformidade robusta e unificada do endpoint.
Ele protege a integridade da rede corporativa por meio de um rigoroso controle de acesso VPN, que primeiro termina no Aryaka SmartSecure Private Access Node mais próximo e, em seguida, segue para o destino DC público ou privado apropriado.
O tráfego trafega pelo Aryaka FlexCore, oferecendo os benefícios de desempenho da rede central de Camada 2 e Camada 3 da Aryaka.
Os recursos Zero Trust também são compatíveis.
O SmartSecure Private Access Client é um produto de software de comunicação para implementação universal em qualquer ambiente de VPN de acesso remoto.
Ele permite que os funcionários remotos acessem aplicativos e dados de forma transparente e segura, no local ou na nuvem, de qualquer local, como se estivessem no escritório corporativo.
O roaming contínuo fornece uma conexão opcional segura e sempre ativa com a rede corporativa, selecionando automaticamente o meio mais rápido de acesso à Internet.
Quando o ponto de acesso ou o endereço IP muda, o roaming Wi-Fi ou o roaming IPsec mantém a conexão VPN.
Mesmo atrás de firewalls cujas configurações sempre bloqueiam as conexões de dados IPsec, o Private Access Client garante que o acesso remoto esteja disponível ao encontrar um caminho desbloqueado.
O cliente oferece suporte ao logon de domínio usando um provedor de serviços de credenciais depois de estabelecer uma conexão VPN com a rede da empresa.
Uma função de desvio no Private Access Client permite que o administrador de TI configure o cliente para que determinados aplicativos sejam isentos da VPN e os dados sejam enviados pela Internet, mesmo quando o túnel dividido estiver desativado.
Isso evita que aplicativos como o streaming de vídeo sobrecarreguem desnecessariamente a infraestrutura da empresa.
Todas as configurações de cliente podem ser bloqueadas pelo administrador, o que significa que o usuário não pode alterar as configurações bloqueadas.
O Private Access Client é simples de instalar e simples de operar.
Uma interface de usuário gráfica e intuitiva fornece informações sobre todos os estados de conexão e segurança.
Além disso, as informações detalhadas do registro permitem uma assistência eficaz do help desk.

Nó de acesso privado SmartSecure

Os clientes de acesso privado da Aryaka se conectam ao nó de acesso privado da Aryaka mais próximo a eles.
O nó de acesso privado da Aryaka é um serviço virtual hospedado nos PoPs HyperScale globais da Aryaka, que fornecem uma rampa de acesso abaixo de 30 ms à rede principal da Aryaka para 95% dos trabalhadores do conhecimento em todo o planeta.
Os PoPs HyperScale da Aryaka hospedam serviços que vão além da conectividade básica de rede: aceleração de rede e aplicativos, separação rigorosa de recursos dedicados ao cliente e criptografia segura de tráfego, entre outros.
Os recursos de segurança de aplicativos e da Web também são reforçados com a combinação do Private Access com o Aryaka NextGen Firewall e o Secure Web Gateway.
Depois que as conexões seguras são estabelecidas, a função do Secure Private Access Node recebe o tráfego de todos os clientes que o acessam e o encaminha pela rede Global Aryaka FlexCore de alto desempenho para a sede/DC da empresa ou para um local de serviço do SmartCloud que seja compatível com a localização do usuário.
O SmartSecure Private Access Node baseia-se em uma arquitetura multilocatário e em um sistema operacional Linux reforçado, que é otimizado para a máxima segurança.
Além disso, a arquitetura Aryaka HyperScale PoP garante desempenho determinístico e alta disponibilidade.
O SmartSecure Private Access Node pode lidar com um número altamente escalável de conexões com a rede da empresa por meio de uma VPN IPsec.
Os usuários dos clientes de acesso privado podem receber o mesmo endereço IP privado de um pool atribuído pela empresa sempre que se conectarem à rede.
Isso facilita muito a administração remota, pois cada usuário pode ser identificado por seu endereço IP.
Se o endereço IP for atribuído dinamicamente a partir de um pool, ele será reservado para o usuário por um período definido (tempo de concessão).
O DNS dinâmico (DynDNS) garante que o Gateway de VPN continue acessível se o dispositivo receber um endereço IP dinâmico.

SmartSecure Private Access Manager

O SmartSecure Private Access Manager fornece a função de configuração e gerenciamento de todos os componentes da solução Aryaka Private Access.
Juntamente com o Private Access Node, ele também é responsável pela autenticação do usuário por meio da comunicação com os sistemas IAM (Identity & Access Management) existentes nas empresas.
O Private Access Manager do SmartSecure permite que a Aryaka provisione e gerencie os clientes de acesso privado e o nó de acesso privado nos PoPs.
Ele também estabelece a conectividade com os sistemas IAM abrangentes das empresas para a autenticação dos clientes de acesso privado.
Com esse mecanismo, o status de segurança dos dispositivos finais móveis e fixos é verificado antes de o dispositivo obter acesso à rede corporativa.
Todos os parâmetros são definidos centralmente pela Aryaka em nome da empresa, e os funcionários remotos recebem direitos de acesso com base em sua conformidade com eles.
O SmartSecure Private Access Manager é um componente essencial para fornecer uma solução VPN fácil de estabelecer e operar.
O Private Access Manager se integra ao gerenciamento de identidade existente da empresa (por exemplo, Microsoft Active Directory) e solicita atualizações regulares.
Assim que um novo funcionário é listado nesse banco de dados, o Private Access Manager cria uma configuração individual para esse usuário, de acordo com modelos definidos.
Se um ex-funcionário tiver sido removido do banco de dados, o Private Access Manager bloqueia imediatamente esse acesso à VPN.
Isso elimina a necessidade de configurar manualmente os computadores de todos os funcionários móveis.
O Private Access Manager também permite a rápida implementação de muitos usuários e certificados de software.

O Private Access Manager oferece as seguintes funções:

Configuração do cliente

O Private Access Manager fornece a configuração e o gerenciamento de todos os componentes da solução Aryaka Private Access.
Isso inclui os clientes Private Access para Windows, macOS, iOS e Android.
Todos os parâmetros relevantes são predefinidos e armazenados em modelos.

Processo de atualização automática

O processo de atualização totalmente automático permite que o administrador forneça centralmente a todos os clientes remotos do Private Access atualizações de configuração e de certificados.
Assim que o cliente se conecta à rede corporativa, o sistema o atualiza automaticamente.
Se ocorrerem problemas de funcionamento durante a transmissão, a configuração existente anteriormente não será afetada.

Gerenciamento de licenças (usado apenas pelos operadores da Aryaka)

As licenças de todos os componentes conectados são armazenadas de forma centralizada no PAM e gerenciadas pela Aryaka para clientes corporativos.
O sistema as transfere para um pool de licenças e as gerencia automaticamente de acordo com as diretrizes especificadas.
Essa transferência de licenças pode ser usada para: transferir para uma configuração por cliente remoto ou gateway, devolver a licença ao pool de licenças quando um funcionário deixa a empresa ou acionar um aviso quando não houver mais licenças disponíveis.

Monitor do sistema (usado pelos operadores do Aryaka)

A Aryaka pode oferecer às empresas uma visão imediata de todos os eventos importantes da solução SmartSecure Private Access.
O administrador pode usar o monitor do sistema conforme necessário para chamar informações de status em tempo real ou para acessar repositórios de dados salvos anteriormente para o ambiente de acesso remoto.

Benefícios do SmartSecure Private Access

Melhore drasticamente o desempenho da VPN global aproveitando o Global Aryaka FlexCore

Melhore a experiência e a produtividade do usuário final com o comportamento determinístico da rede

Visibilidade imediata da rede, do desempenho dos aplicativos e da experiência do usuário

Especificações técnicas

Cliente do SmartSecure Private Access

Suíte de clientes VPN universal e centralmente administrável para Windows, macOS, iOS e Android

Sistemas operacionais Microsoft Windows, macOS, iOS, Android
Capacidades Zero Trust
  • Firewall L3/L4/Aplicativo incorporado
  • Acesso menos privilegiado com base no ID do usuário, na postura do dispositivo e no local da rede com recursos Zero Trust
  • Proteção do usuário sempre ativa com acesso à rede somente após a autenticação do usuário
  • Zero-Touch Zero-Trust baseado em certificados e autenticação de dispositivos
  • Políticas rigorosas de controle de admissão que reforçam a conformidade do dispositivo com as políticas de segurança com opção de quarentena
  • Integração com soluções existentes de MFA (autenticação multifatorial) e OTP (senha de uso único)
  • Recursos de prevenção de ameaças de última geração com o Aryaka Unified SASE
Recursos de segurança O Enterprise Client é compatível com todos os principais padrões IPsec, de acordo com as RFCs
Contorno de VPN A função VPN Bypass permite que o administrador defina aplicativos que podem se comunicar diretamente pela Internet, apesar de desativar o tunelamento dividido na conexão VPN.
Também é possível definir quais domínios ou endereços de destino podem contornar o túnel VPN
Rede privada virtual
  • IPsec (Tunelamento de camada 3), as propostas de IPsec podem ser determinadas por meio do gateway IPsec (IKEv1/IKEv2, IPsec Fase 2)
  • Registro de eventos
  • Comunicação somente no túnel
  • Fragmentação e remontagem de tamanho de MTU, DPD, NAT-Traversal (NAT-T); modo de túnel IPsec
Criptografia
  • Processos simétricos: AES 128,192,256 bits; Blowfish 128,448 bits; Triple-DES 112,168 bits
  • Processos dinâmicos para troca de chaves: RSA até 2048 bits; rechaveamento contínuo (PFS)
  • Algoritmos de hash: SHA-1, SHA-256, SHA-384, SHA-512, MD5, grupo DH 1,2,5,14-21, 25-30
Processos de autenticação
  • IKE (modo agressivo e modo principal, modo rápido); XAUTH para autenticação de usuário estendida
  • Modo de configuração IKE para atribuição dinâmica de um endereço virtual do pool de endereços internos (IP privado)
  • PFS
  • PAP, CHAP, MS CHAP V.2
  • IEEE 802.1x: EAP-MD5 (Extensible Authentication Protocol): Autenticação estendida relativa a switches e pontos de acesso (camada 2)
  • Segredos pré-compartilhados, senhas de uso único e sistemas de resposta a desafios; pronto para o RSA SecurID.
Recursos de rede Emulação de LAN: Adaptador Ethernet com interface NDIS, suporte completo a WLAN (Wireless Local Area Network) e WWAN (Wireless Wide Area Network)
Roaming contínuo Se ocorrer um erro no meio de comunicação, a alternância automática do túnel VPN para outro meio de comunicação com a Internet (LAN/WWAN/3G/4G) sem alterar o endereço IP garante que os aplicativos que se comunicam pelo túnel VPN não sejam interrompidos e que a sessão para o nó de acesso privado não seja desconectada
Localizador de caminhos de VPN IPsec/ HTTPS de fallback (porta 443) se a porta 500 (encapsulamento UDP) não for possível
Alocação de endereços IP DHCP (Dynamic Host Control Protocol), DNS: Discagem para o gateway central com alteração de endereços IP públicos por meio de consulta de endereço IP por meio de um servidor DNS
Mídia de comunicação Internet, LAN, Wi-Fi, GSM (incluindo HSCSD), GPRS, 3G, LTE, HSDPA, PSTN
Gerenciamento de linha
  • DPD com intervalo de tempo configurável; modo de espera curta
  • Roaming de Wi-Fi (handover)
  • Tempo limite (controlado por tempo e cobranças); Gerente de orçamento
  • Modos de conexão: automático, manual, variável
APN do cartão SIM O APN (Access Point Name) define o ponto de acesso de uma conexão de dados móveis em um provedor.
Se o usuário mudar de provedor, o sistema usará automaticamente os dados de APN do cartão SIM para configurar o Secure Client
Compactação de dados IPCOMP (lzs), deflate
Qualidade de serviço Priorização da largura de banda de saída configurada no túnel VPN (pode variar de acordo com o sistema operacional do cliente)
Recursos adicionais Encapsulamento UDP, suporte a WISPr, roaming IPsec, roaming Wi-Fi, Split Tunneling
Protocolos ponto a ponto PPP sobre ISDN, PPP sobre GSM, PPP sobre Ethernet; LCP, IPCP, MLP, CCP, PAP, CHAP, ECP
RFCs e rascunhos da Internet Society
  • RFC 2401 -2409 (IPsec), RFC 3947 (negociações NAT-T), RFC 3948 (encapsulamento UDP)
  • Arquitetura de segurança IP, ESP, ISAKMP/Oakley, IKE, XAUTH, IKECFG, DPD, NAT Traversal (NAT-T), encapsulamento UDP, IPCOMP; RFC 7427: IKEv2-Authentication (Padding-method)
Client Monitor Interface gráfica e intuitiva do usuário
  • Multilíngue (inglês, espanhol, francês, alemão); operação intuitiva
  • Configuração, gerenciamento e monitoramento de conexão, estatísticas de conexão, arquivos de registro, teste de disponibilidade da Internet, ferramenta de rastreamento para diagnóstico de erros
  • Exibição do status da conexão
  • Suporte integrado a cartões Mobile Connect, incorporados
  • O Client Monitor pode ser adaptado para incluir o nome da empresa ou informações de suporte
  • Gerenciamento de configuração e de perfil protegido por senha, bloqueio de parâmetros de configuração
Nó de acesso privado SmartSecure

Acesso remoto à rede corporativa, aproveitando a rede central global da Aryaka

Geral
Localizações dos PoPs do Aryaka HyperScale A Aryaka tem PoPs de serviço em mais de 40 locais em todo o mundo, a uma distância de <30ms de 95% de todos os trabalhadores do conhecimento em todo o mundo.
Gerenciamento O Aryaka Private Access Manager fornece o portal de provisionamento e operações – os administradores da empresa podem obter insights imediatos sobre a implantação da VPN
Alta disponibilidade Os PoPs do Aryaka HyperScale são construídos em uma arquitetura e topologia altamente redundantes para garantir a alta disponibilidade
DNS dinâmico (DynDNS) Conexão configurada via Internet com endereços IP dinâmicos.
Registro de cada endereço IP atual com um provedor de DNS dinâmico externo.
Nesse caso, o túnel VPN é estabelecido por meio da atribuição de nomes
DDNS Os clientes VPN conectados são registrados no servidor de nomes de domínio por meio do DNS dinâmico (DDNS), o que significa que os clientes VPN com IPs dinâmicos podem ser acessados por meio de um nome (permanente)
Administração de usuários Administração de usuários locais; servidor OTP; RADIUS; LDAP, Novell NDS, MS Active Directory Services
Estatísticas e registro em log Estatísticas detalhadas, funcionalidade de registro em log, envio de mensagens SYSLOG
FIPS Inside O cliente IPsec integra algoritmos criptográficos com base no padrão FIPS.
O módulo criptográfico incorporado, que contém os algoritmos correspondentes, foi validado como compatível com o FIPS 140-2 (Certificado nº 1747). A conformidade com o FIPS sempre será mantida quando os seguintes algoritmos forem usados para a configuração e a criptografia de uma conexão VPN:

  • Grupo Diffie Hellman: Grupo 2 ou superior (DH a partir de um comprimento de 1024 bits)
  • Algoritmos de hash: SHA1, SHA 256, SHA 384 ou SHA 512 bits
  • Algoritmos de criptografia: AES 128, 192 e 256 bits ou Triple DES
Processos de autenticação de cliente/usuário Token OTP, nome de usuário e senha (XAUTH)
Gerenciamento de conexões
Gerenciamento de linha Dead Peer Detection (DPD) com intervalo de tempo configurável; Timeout (controlado por duração e taxas)
Protocolos ponto a ponto LCP, IPCP, MLP, CCP, PAP, CHAP, ECP
Gerenciamento de endereços de pool Reserva de um endereço IP de um pool por um período de tempo definido (tempo de concessão)
VPN IPsec
Rede privada virtual
  • IPsec (tunelamento de camada 3), compatível com RFC
  • Ajuste automático do tamanho do MTU, fragmentação e remontagem; DPD
  • NAT Traversal (NAT-T)
  • Modos IPsec: Modo de túnel, modo de transporte, rechaveamento contínuo; PFS
RFCs e rascunhos da Internet Society
  • RFC 2401 -2409 (IPsec), RFC 3947 (negociações NAT-T), RFC 3948 (encapsulamento UDP),
  • Arquitetura de segurança IP, ESP, ISAKMP/Oakley, IKE, IKEv2 (inclusive MOBIKE), autenticação de assinatura IKEv2, XAUTH, IKECFG, DPD, NAT Traversal (NAT-T), encapsulamento UDP, IPCOMP, autenticação IKEv2 em conformidade com a RFC 7427 (processo de preenchimento)
Criptografia
  • Processos simétricos: AES (CBC/CTR/GCM) 128, 192, 256 bits
  • Blowfish 128, 448 bits; Triple-DES 112, 168 bits; Processos dinâmicos para troca de chaves: RSA até 4096 bits; Diffie-Hellman Grupos 1, 2, 5, 14-21, 25-30
  • Algoritmos de hash: SHA-1, SHA 256, SHA 384 ou SHA 512
Localizador de caminhos de VPN Retorno para HTTPS do IPsec (porta 443) se nem a porta 500 nem o encapsulamento UDP estiverem disponíveis
Roaming contínuo O sistema pode transferir automaticamente o túnel VPN para um meio de comunicação diferente (LAN / Wi-Fi / 3G / 4G) sem alterar o endereço IP para evitar a interrupção da comunicação por meio do túnel VPN ou a desconexão de sessões de aplicativos.
Processos de autenticação
  • IKEv1 (modo agressivo e principal), modo rápido; XAUTH para autenticação de usuário estendida
  • IKEv2, EAP-PAP / MD5 / MS-CHAP v2 / TLS
  • Senhas de uso único e sistemas de resposta a desafios
Alocação de endereços IP
  • DHCP (Dynamic Host Control Protocol) sobre IPsec
  • DNS: Seleção do gateway central com endereços IP públicos dinâmicos, consultando o endereço IP por meio de um servidor DNS
  • Modo de configuração IKE para atribuição dinâmica de um endereço virtual a clientes do intervalo de endereços internos (IP privado)
  • Diferentes pools podem ser atribuídos dependendo do meio de conexão (Client VPN IP)
Compactação de dados IPCOMP (lzs), Deflate
SmartSecure Private Access Manager

VPN as a Service gerenciada centralmente com operação totalmente automática de uma VPN de acesso remoto

Funções suportadas Atualização automática, configuração de firewall do cliente, monitor do sistema
Administração de usuários LDAP, Novell NDS, MS Active Directory Services
Estatísticas e registro em log Estatísticas detalhadas, funcionalidade de registro em log, envio de mensagens SYSLOG
Processos de autenticação de cliente/usuário Token OTP, nome de usuário e senha (XAUTH)
RFCs e rascunhos compatíveis
  • RFC 2138 Remote Authentication Dial In User Service (RADIUS); RFC 2139 RADIUS
  • Contabilidade; RFC 2433 Microso CHAP
  • RFC 2759 Microso CHAP V2
  • RFC 2548 Atributos RADIUS específicos do fornecedor da Microso
  • RFC 3579 Suporte RADIUS para protocolo de autenticação extensível (EAP); RFC 2716
  • Protocolo de autenticação PPP EAP TLS
  • Protocolo TLS RFC 2246
  • RFC 2284 PPP Extensible Authentication Protocol (EAP); RFC 2716 Certificate
  • Protocolo de gerenciamento
  • Formato de mensagem de solicitação de certificado RFC 2511

Sobre Aryaka

A Aryaka é a líder e a primeira a fornecer SASE unificada como serviço, a única solução de SASE projetada e desenvolvida para oferecer desempenho, agilidade, simplicidade e segurança sem compensações.
A Aryaka atende aos clientes onde eles estão em suas jornadas SASE exclusivas, permitindo que eles modernizem, otimizem e transformem perfeitamente seus ambientes de rede e segurança.
As opções flexíveis de fornecimento da Aryaka permitem que as empresas escolham sua abordagem preferida para implementação e gerenciamento.
Centenas de empresas globais, incluindo várias da Fortune 100, dependem da Aryaka para serviços de rede e segurança definidos por software baseados em nuvem. Para obter mais informações sobre a Aryaka, acesse www.aryaka.com.