如何安全實現(xiàn)無感知BYOD
來源:CNW
作者:Aruba Networks中國區(qū)技術(shù)總監(jiān) 梁益民
摘要: 如果你認(rèn)為BYOD就是在公司部署無線網(wǎng),裝上幾個無線接入點,能讓所有員工使用自己的移動設(shè)備連接無線網(wǎng)就大功告成,那你就錯了。
Abstract:
Key words :
如果你認(rèn)為BYOD就是在公司部署無線網(wǎng),裝上幾個無線接入點,能讓所有員工使用自己的移動設(shè)備連接無線網(wǎng)就大功告成,那你就錯了。過不了多久,層出不窮的問題可能就會讓IT部門暈頭轉(zhuǎn)向:一名員工在自帶筆記本上用吸血軟件下載高清視頻,幾名員工用手機點擊在線觀看連續(xù)劇占用大量流量,導(dǎo)致其他員工不能正常訪問網(wǎng)頁甚至無法登陸;一名員工用手機瀏覽購物網(wǎng)站不小心被釣魚軟件竊取個人甚至公司信息,或者被惡意軟件襲擊致使公司無線網(wǎng)絡(luò)遭受攻擊,導(dǎo)致網(wǎng)絡(luò)癱瘓;一名員工將還未公開的產(chǎn)品信息下載到自己的平板電腦上帶回家研究,卻在路上不慎遺失,公司核心數(shù)據(jù)面臨被泄露的風(fēng)險而所有人無計可施……
為無線網(wǎng)絡(luò)設(shè)置嚴(yán)密的防火墻,嚴(yán)格的上網(wǎng)策略,安裝復(fù)雜的管理設(shè)備和認(rèn)證系統(tǒng)就可以高枕無憂了?可能IT部門還是投訴不斷:常規(guī)的企業(yè)應(yīng)用與防火墻沖突而被限制使用或阻擋;復(fù)雜的賬戶申請和登陸程序讓員工感到頭疼,經(jīng)常更新的密碼和忘記了的用戶名和密碼也讓員工感到沮喪;IT部門工作量大幅增加,工作流程更為復(fù)雜,IT人員忙的暈頭轉(zhuǎn)向。
難道BYOD就不能以更輕松的方式實現(xiàn)么?有沒有辦法能讓IT部門不費太大力氣,就能在后臺對公司無線網(wǎng)絡(luò)和網(wǎng)絡(luò)內(nèi)的移動設(shè)備進(jìn)行管控,同時員工只需享受網(wǎng)絡(luò)而不會感到遭受各種束縛呢?
其實,BYOD不應(yīng)該被簡單理解為允許個人攜帶自己的移動設(shè)備接入企業(yè)網(wǎng)絡(luò),還應(yīng)考慮到它對企業(yè)網(wǎng)絡(luò)帶來的深遠(yuǎn)影響。在Aruba Networks看來,要真正實施BYOD,其中最重要的也是首先需要解決的就是網(wǎng)絡(luò)策略(policy)的制定,以確保對終端的管理并保障企業(yè)網(wǎng)絡(luò)的安全。具體來說,安全策略需要區(qū)別設(shè)備是屬于個人還是屬于公司,哪種應(yīng)用是可以使用的,哪種用戶行為是被禁止的。
安全策略的制定應(yīng)該超越有線和無線網(wǎng)絡(luò)的角度,建立在用戶感知、終端感知和應(yīng)用感知這三個“感知”的基礎(chǔ)上,將安全策略延伸至終端和應(yīng)用,從而加深管理的有效性和安全性。三大感知的執(zhí)行要在策略里才能得以實現(xiàn),而網(wǎng)絡(luò)的這三個感知越完善,終端用戶的感知度就會越小,能夠讓用戶處于策略的管理范圍內(nèi),卻對策略和管理幾乎毫無察覺,充分享受自由。
除了為BYOD提供可靠的無線網(wǎng)絡(luò)基礎(chǔ),Aruba在傳統(tǒng)的控制器和AP上更新了基礎(chǔ)的安全策略功能。為了應(yīng)對BYOD新趨勢,Aruba推出了ClearPass接入管理系統(tǒng)——一個更直接、更全面的BYOD解決方案。ClearPass可以對所有設(shè)備提供單一的管理平臺Policy Manager。在Policy Manager上,IT部門可以便捷地針對不同類型的用戶、設(shè)備和應(yīng)用設(shè)定完備的網(wǎng)絡(luò)策略。
例如,在使用ClearPass的一家銀行中,IT部門通過Policy Manager可以制定網(wǎng)絡(luò)策略,讓VIP客戶經(jīng)理能通過自己的iPad訪問而不是下載公司內(nèi)部資料,向客戶展示針對特定用戶的金融產(chǎn)品;大堂經(jīng)理能通過移動設(shè)備向顧客展示銀行的基本服務(wù),而不能上其他網(wǎng)站購物或娛樂;在大廳等待的顧客能夠通過自己的智能手機連接銀行公用Wi-Fi訪問外部網(wǎng)頁,但是不能訪問銀行內(nèi)網(wǎng),也不能進(jìn)行使用大流量的下載或在線游戲等操作。
安全準(zhǔn)入是BYOD在策略之后需要考慮的首個問題,也是實現(xiàn)BYOD的首要步驟。過去企業(yè)只顧及有線網(wǎng)絡(luò)中的安全準(zhǔn)入,而現(xiàn)如今,對移動終端的維護(hù)也就是無線Wi-Fi的安全準(zhǔn)入又是BYOD擺在企業(yè)面前的新問題。安全準(zhǔn)入面對的最大問題是如何同時擁有安全和靈活性。廠商需要讓用戶對安全準(zhǔn)入的操作在幾乎降到零的同時又具有足夠的安全性,即Zero-Config,安全的零操作準(zhǔn)入。在安全準(zhǔn)入的基礎(chǔ)上,才能實施完整的安全策略,進(jìn)一步對用戶行為、應(yīng)用和終端進(jìn)行規(guī)范管理。
舉例來說,Onboard是可以配備在Aruba ClearPass這一集中管理平臺中的軟件模塊之一,它可以實現(xiàn)安全的零操作準(zhǔn)入,而且無需重復(fù)操作。員工只需在第一次使用自己的某一移動設(shè)備時,進(jìn)行自助登記,ClearPass通過已設(shè)定好的網(wǎng)絡(luò)策略,對用戶身份進(jìn)行識別并分配策略,自動推送到設(shè)備上,員工進(jìn)行確認(rèn)后即可在策略內(nèi)享受BYOD帶來的便利。整個過程只需三個步驟,而員工再次使用設(shè)備連接公司無線網(wǎng)絡(luò)時,無需重復(fù)登陸,隨時隨地就可享受到同樣的策略和服務(wù)。
除了Onboard,通過與Profile、OnGuard、Guest等具備包括分析、狀態(tài)評估和健康檢查、訪客準(zhǔn)入等功能的模塊相結(jié)合,ClearPass能實現(xiàn)更完整的BYOD,真正實現(xiàn)用戶感知、終端感知和應(yīng)用感知,讓用戶“無感知”地盡情享受BYOD。
從Gartner魔力象限今年把有線和無線局域網(wǎng)合并在一起進(jìn)行考評來看,企業(yè)網(wǎng)絡(luò)乃至BYOD都不僅建立在無線上,它綜合了有線和無線領(lǐng)域,實際上已經(jīng)形成了一個單獨的市場。BYOD的根本問題就是如何通過對用戶終端和應(yīng)用的感知,制定安全策略并在自攜設(shè)備上實施。策略和安全,是Aruba對BYOD的兩個最重要的注解。
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。