解决方案优势
产品概述
Juniper Mist Access Assurance 是一项基于云的服务,可通过端到端的用户体验可见性确保零信任、基于身份的网络访问以及全栈策略和分段分配。该服务提供一套接入控制功能,并为访客、物联网、BYOD 和企业设备入网提供灵活而简单的授权策略框架。客户端连接基于用户和设备身份进行控制,从而规范连接到网络的设备的访问。Juniper Mist Access Assurance 还为利用 802.1X 身份验证和对非 802.1X 允许名单和有线物联网设备的 MAC 地址旁路 (MAB) 的设备提供访问控制服务。
产品说明
Juniper Mist Access Assurance 是一种基于微服务的云网络访问控制 (NAC) 服务,使企业能够轻松实施零信任安全模型。Access Assurance 通过以下方式解决了与传统 NAC 产品相关的许多复杂挑战:
- 删除本地服务器硬件
- 提供本身高度可用且具有弹性的服务
- 启用运行时自动功能更新、安全性和漏洞修复
Access Assurance 超越了 Juniper Mist IoT Assurance 的功能,简化了无外设 IoT 和 BYOD 设备的上线。借助 Access Assurance,IT 团队可以使用 802.1X 身份验证或 MAB 方法将有线和无线设备上线,即使是非 802.1X 设备也是如此。
Access Assurance 使用数百种不同的向量来匹配用户和设备的身份,例如 X.509 证书属性、用户组成员身份、设备合规性和状态指标以及位置上下文。这些向量有助于确定基于身份的网络准入标准,例如设备应连接到的网段或微分段,以及应动态应用于用户的网络策略。
最重要的是,Access Assurance 从客户端、网络基础架构和接入控制的角度,在统一的视图中提供端到端连接故障排除,显著简化了第 2 天的支持。IT 管理员可以全面了解最终用户体验,并可以确定不良体验是由于客户端配置、网络基础架构、身份验证还是服务造成的。
架构和关键组件
Access Assurance 通过Juniper Mist™云提供,并由 Mist AI™ 提供支持。微服务架构将高可用性、冗余和自动扩展结合在一起,以实现跨有线、Wi-Fi 和 WAN 的最佳网络访问。Access Assurance 使用地理感知,自动将来自不同区域的身份验证请求重定向到最近的 Access Assurance 实例,以提供最小的延迟和最佳的最终用户体验。
Access Assurance 通过集成外部目录服务(如 Google Workspace、Microsoft Azure AD、Okta Identity 等)提供身份验证服务。它还集成了外部公钥基础架构 (PKI) 和移动设备管理 (MDM) 提供程序(如 Jamf、Microsoft Intune 等),以提供精细的用户和设备标识,以实施基于身份的零信任网络访问控制。
功能与优势
优先考虑客户体验
Access Assurance 提供客户端连接体验的统一视图,可以轻松识别问题并进行根本原因分析。所有客户端事件,包括连接和身份验证的成功和失败,都由云Juniper Mist捕获。有了这些数据,Juniper Mist云就可以轻松识别最终用户连接问题是由客户端配置错误、网络基础架构和服务问题,还是身份验证策略配置问题引起的,从而帮助简化日常运维。有线和无线客户端的Juniper Mist服务级别预期 (SLE) 已得到增强,以包括网络访问事件,例如身份验证事件、证书验证等。
提供单一管理平台,实现管理和运维
Access Assurance 与Juniper Mist云紧密集成,在一个仪表板中为 Wi-Fi Assurance、 Wired Assurance、 SD-WAN 保证 和 Access Assurance 提供全栈管理和日常运维,以实现端到端的可见性。 Marvis® 虚拟网络助手 利用来自多个来源的数据进行异常检测,从而提供可执行的指标。通过仪表板,用户可以:
- 创建并应用访问策略,确保仅允许授权设备和用户进行网络访问
- 将用户和设备分配到正确的网段
- 阻止用户和设备访问受限的资源
- 添加和修改证书和证书颁发机构
- 配置身份提供程序
- 监控整个组织的客户端活动
精细的用户和设备标识
Access Assurance 支持基于 X.509 证书属性进行精细化身份指纹认证。它还使用 IdP 信息(如群组成员身份、用户帐户状态、MDM 合规状态、客户端列表和用户位置)进行指纹识别。生成的用户和设备指纹为在零信任原则范围内进行准确的策略分配提供了身份向量。
网络策略实施和微分段
根据用户身份和设备标识,Access Assurance 可以指示网络将用户分配到特定的网段(VLAN 或基于组的策略标签),并通过分配用户角色来实施网络策略。此类角色可在 Juniper Mist WxLAN 策略框架或交换机策略中加以利用。
已应用 GBP 标记的切换策略
内置高可用性和地缘关系
借助 Access Assurance,组织可以在单站点和多站点部署中获得可靠且低延迟的网络访问控制。瞻博网络在多个区域位置部署了其网络接入控制云服务的云实例。在多站点部署中,来自网络基础架构的身份验证流量会自动定向到最近的 Access Assurance 实例。延迟降至最低,用户可以享受到卓越的无线体验。此自动化流程对用户完全透明,无需 IT 团队参与。无论最近的区域实例处于何种状态,组织都可以确保客户端设备进行可靠、冗余的网络访问。
自动功能和安全更新
基于微服务的Juniper Mist云架构使用最先进的技术保持 Access Assurance 处于最优状态。Access Assurance 每两周自动添加一次新功能、安全补丁和更新,添加过程中不会中断或暂停服务。此功能可极大地简化和改进网络 IT 管理员的服务运维,从而消除冗长的软件升级和服务停机时间。瞻博网络可以轻松地将新特性和功能部署到其基于云的服务中,从而更快地将进步推向市场,并持续改善您的客户端到云端体验。
Access Assurance 扩展Juniper Mist IoT Assurance
Access Assurance 与 Juniper Mist IoT Assurance 配合使用,可通过 802.1X 身份验证以及非 802.1X IoT 和 BYOD 设备的无 MAC 入网来构建企业设备入网和管理控制。IoT Assurance 功能使用多预共享密钥 (MPSK) 机制简化无外设 IoT 和 BYOD 设备的 IT 运维和安全连接。它整合了一整套访问控制功能,利用 MPSK 或私有预共享密钥 (PPSK) 作为一种新型的身份和策略载体。
IoT Assurance 还提供预共享密钥 (PSK) 门户创建功能,通过根据用户身份自动生成 PSK,利用安全断言标记语言 (SAML) 实现 BYOD 载入工作流程,以获得 SSO 体验。无需安装客户端软件,即可使用移动二维码或键入个性化密码短语,实现无缝客户端设备接入。
Access Assurance 订阅包含 IoT Assurance 功能,可对网络上的所有客户端和设备(无论它们如何连接)进行简单的访问控制。
Marvis 虚拟网络助手
Marvis 虚拟网络助手使用 Mist AI 帮助 IT 团队与网络进行交互和接洽。Marvis AI 引擎将 Access Assurance Juniper Mist与其他基于云的服务(如 Wired Assurance、Wi-Fi Assurance 和 WAN 保证)绑定在一起,通过简化的故障排除和性能分析,帮助运维团队更接近实现 The 自我驱动型网络™。
借助 Mist AI 提供的功能,帮助台员工和网络管理员只需使用自然语言提出问题,即可通过 Marvis 对话界面获得切实可行的洞察,从而帮助他们识别并解决网络问题。Marvis 在 SLE 仪表板中实现了主动异常检测。借助 Marvis 操作,员工可以获得具指导作用的主动洞察,以识别全栈网络接入问题,并为用户连接问题提供建议。这为我们的客户提供了跨整个网络堆栈和身份验证服务的简单根本原因分析。
API 驱动型架构
Access Assurance 服务 100% 基于公共表述性状态转移 (REST) API,允许与外部安全信息和事件管理 (SIEM) 或 IT 服务管理系统或其他平台轻松集成,进行配置和策略分配。这些 API 提供基于用户或外部事件调用作的功能,以及使用云原生 Webhook 框架的功能。总体而言,Juniper Mist 平台是 100% 可编程的,使用开放 API,可以实现全面自动化,并与互补的瞻博网络接入、有线、无线、WAN、安全性、用户参与和资产可见性解决方案无缝集成。