如何安全實(shí)現(xiàn)無(wú)感知BYOD
來(lái)源:CNW
作者:Aruba Networks中國(guó)區(qū)技術(shù)總監(jiān) 梁益民
摘要: 如果你認(rèn)為BYOD就是在公司部署無(wú)線網(wǎng),裝上幾個(gè)無(wú)線接入點(diǎn),能讓所有員工使用自己的移動(dòng)設(shè)備連接無(wú)線網(wǎng)就大功告成,那你就錯(cuò)了。
Abstract:
Key words :
如果你認(rèn)為BYOD就是在公司部署無(wú)線網(wǎng),裝上幾個(gè)無(wú)線接入點(diǎn),能讓所有員工使用自己的移動(dòng)設(shè)備連接無(wú)線網(wǎng)就大功告成,那你就錯(cuò)了。過(guò)不了多久,層出不窮的問(wèn)題可能就會(huì)讓IT部門暈頭轉(zhuǎn)向:一名員工在自帶筆記本上用吸血軟件下載高清視頻,幾名員工用手機(jī)點(diǎn)擊在線觀看連續(xù)劇占用大量流量,導(dǎo)致其他員工不能正常訪問(wèn)網(wǎng)頁(yè)甚至無(wú)法登陸;一名員工用手機(jī)瀏覽購(gòu)物網(wǎng)站不小心被釣魚(yú)軟件竊取個(gè)人甚至公司信息,或者被惡意軟件襲擊致使公司無(wú)線網(wǎng)絡(luò)遭受攻擊,導(dǎo)致網(wǎng)絡(luò)癱瘓;一名員工將還未公開(kāi)的產(chǎn)品信息下載到自己的平板電腦上帶回家研究,卻在路上不慎遺失,公司核心數(shù)據(jù)面臨被泄露的風(fēng)險(xiǎn)而所有人無(wú)計(jì)可施……
為無(wú)線網(wǎng)絡(luò)設(shè)置嚴(yán)密的防火墻,嚴(yán)格的上網(wǎng)策略,安裝復(fù)雜的管理設(shè)備和認(rèn)證系統(tǒng)就可以高枕無(wú)憂了?可能IT部門還是投訴不斷:常規(guī)的企業(yè)應(yīng)用與防火墻沖突而被限制使用或阻擋;復(fù)雜的賬戶申請(qǐng)和登陸程序讓員工感到頭疼,經(jīng)常更新的密碼和忘記了的用戶名和密碼也讓員工感到沮喪;IT部門工作量大幅增加,工作流程更為復(fù)雜,IT人員忙的暈頭轉(zhuǎn)向。
難道BYOD就不能以更輕松的方式實(shí)現(xiàn)么?有沒(méi)有辦法能讓IT部門不費(fèi)太大力氣,就能在后臺(tái)對(duì)公司無(wú)線網(wǎng)絡(luò)和網(wǎng)絡(luò)內(nèi)的移動(dòng)設(shè)備進(jìn)行管控,同時(shí)員工只需享受網(wǎng)絡(luò)而不會(huì)感到遭受各種束縛呢?
其實(shí),BYOD不應(yīng)該被簡(jiǎn)單理解為允許個(gè)人攜帶自己的移動(dòng)設(shè)備接入企業(yè)網(wǎng)絡(luò),還應(yīng)考慮到它對(duì)企業(yè)網(wǎng)絡(luò)帶來(lái)的深遠(yuǎn)影響。在Aruba Networks看來(lái),要真正實(shí)施BYOD,其中最重要的也是首先需要解決的就是網(wǎng)絡(luò)策略(policy)的制定,以確保對(duì)終端的管理并保障企業(yè)網(wǎng)絡(luò)的安全。具體來(lái)說(shuō),安全策略需要區(qū)別設(shè)備是屬于個(gè)人還是屬于公司,哪種應(yīng)用是可以使用的,哪種用戶行為是被禁止的。
安全策略的制定應(yīng)該超越有線和無(wú)線網(wǎng)絡(luò)的角度,建立在用戶感知、終端感知和應(yīng)用感知這三個(gè)“感知”的基礎(chǔ)上,將安全策略延伸至終端和應(yīng)用,從而加深管理的有效性和安全性。三大感知的執(zhí)行要在策略里才能得以實(shí)現(xiàn),而網(wǎng)絡(luò)的這三個(gè)感知越完善,終端用戶的感知度就會(huì)越小,能夠讓用戶處于策略的管理范圍內(nèi),卻對(duì)策略和管理幾乎毫無(wú)察覺(jué),充分享受自由。
除了為BYOD提供可靠的無(wú)線網(wǎng)絡(luò)基礎(chǔ),Aruba在傳統(tǒng)的控制器和AP上更新了基礎(chǔ)的安全策略功能。為了應(yīng)對(duì)BYOD新趨勢(shì),Aruba推出了ClearPass接入管理系統(tǒng)——一個(gè)更直接、更全面的BYOD解決方案。ClearPass可以對(duì)所有設(shè)備提供單一的管理平臺(tái)Policy Manager。在Policy Manager上,IT部門可以便捷地針對(duì)不同類型的用戶、設(shè)備和應(yīng)用設(shè)定完備的網(wǎng)絡(luò)策略。
例如,在使用ClearPass的一家銀行中,IT部門通過(guò)Policy Manager可以制定網(wǎng)絡(luò)策略,讓VIP客戶經(jīng)理能通過(guò)自己的iPad訪問(wèn)而不是下載公司內(nèi)部資料,向客戶展示針對(duì)特定用戶的金融產(chǎn)品;大堂經(jīng)理能通過(guò)移動(dòng)設(shè)備向顧客展示銀行的基本服務(wù),而不能上其他網(wǎng)站購(gòu)物或娛樂(lè);在大廳等待的顧客能夠通過(guò)自己的智能手機(jī)連接銀行公用Wi-Fi訪問(wèn)外部網(wǎng)頁(yè),但是不能訪問(wèn)銀行內(nèi)網(wǎng),也不能進(jìn)行使用大流量的下載或在線游戲等操作。
安全準(zhǔn)入是BYOD在策略之后需要考慮的首個(gè)問(wèn)題,也是實(shí)現(xiàn)BYOD的首要步驟。過(guò)去企業(yè)只顧及有線網(wǎng)絡(luò)中的安全準(zhǔn)入,而現(xiàn)如今,對(duì)移動(dòng)終端的維護(hù)也就是無(wú)線Wi-Fi的安全準(zhǔn)入又是BYOD擺在企業(yè)面前的新問(wèn)題。安全準(zhǔn)入面對(duì)的最大問(wèn)題是如何同時(shí)擁有安全和靈活性。廠商需要讓用戶對(duì)安全準(zhǔn)入的操作在幾乎降到零的同時(shí)又具有足夠的安全性,即Zero-Config,安全的零操作準(zhǔn)入。在安全準(zhǔn)入的基礎(chǔ)上,才能實(shí)施完整的安全策略,進(jìn)一步對(duì)用戶行為、應(yīng)用和終端進(jìn)行規(guī)范管理。
舉例來(lái)說(shuō),Onboard是可以配備在Aruba ClearPass這一集中管理平臺(tái)中的軟件模塊之一,它可以實(shí)現(xiàn)安全的零操作準(zhǔn)入,而且無(wú)需重復(fù)操作。員工只需在第一次使用自己的某一移動(dòng)設(shè)備時(shí),進(jìn)行自助登記,ClearPass通過(guò)已設(shè)定好的網(wǎng)絡(luò)策略,對(duì)用戶身份進(jìn)行識(shí)別并分配策略,自動(dòng)推送到設(shè)備上,員工進(jìn)行確認(rèn)后即可在策略內(nèi)享受BYOD帶來(lái)的便利。整個(gè)過(guò)程只需三個(gè)步驟,而員工再次使用設(shè)備連接公司無(wú)線網(wǎng)絡(luò)時(shí),無(wú)需重復(fù)登陸,隨時(shí)隨地就可享受到同樣的策略和服務(wù)。
除了Onboard,通過(guò)與Profile、OnGuard、Guest等具備包括分析、狀態(tài)評(píng)估和健康檢查、訪客準(zhǔn)入等功能的模塊相結(jié)合,ClearPass能實(shí)現(xiàn)更完整的BYOD,真正實(shí)現(xiàn)用戶感知、終端感知和應(yīng)用感知,讓用戶“無(wú)感知”地盡情享受BYOD。
從Gartner魔力象限今年把有線和無(wú)線局域網(wǎng)合并在一起進(jìn)行考評(píng)來(lái)看,企業(yè)網(wǎng)絡(luò)乃至BYOD都不僅建立在無(wú)線上,它綜合了有線和無(wú)線領(lǐng)域,實(shí)際上已經(jīng)形成了一個(gè)單獨(dú)的市場(chǎng)。BYOD的根本問(wèn)題就是如何通過(guò)對(duì)用戶終端和應(yīng)用的感知,制定安全策略并在自攜設(shè)備上實(shí)施。策略和安全,是Aruba對(duì)BYOD的兩個(gè)最重要的注解。
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。