如何安全實現(xiàn)無感知BYOD
來源:CNW
作者:Aruba Networks中國區(qū)技術總監(jiān) 梁益民
摘要: 如果你認為BYOD就是在公司部署無線網(wǎng),裝上幾個無線接入點,能讓所有員工使用自己的移動設備連接無線網(wǎng)就大功告成,那你就錯了。
Abstract:
Key words :
如果你認為BYOD就是在公司部署無線網(wǎng),裝上幾個無線接入點,能讓所有員工使用自己的移動設備連接無線網(wǎng)就大功告成,那你就錯了。過不了多久,層出不窮的問題可能就會讓IT部門暈頭轉向:一名員工在自帶筆記本上用吸血軟件下載高清視頻,幾名員工用手機點擊在線觀看連續(xù)劇占用大量流量,導致其他員工不能正常訪問網(wǎng)頁甚至無法登陸;一名員工用手機瀏覽購物網(wǎng)站不小心被釣魚軟件竊取個人甚至公司信息,或者被惡意軟件襲擊致使公司無線網(wǎng)絡遭受攻擊,導致網(wǎng)絡癱瘓;一名員工將還未公開的產(chǎn)品信息下載到自己的平板電腦上帶回家研究,卻在路上不慎遺失,公司核心數(shù)據(jù)面臨被泄露的風險而所有人無計可施……
為無線網(wǎng)絡設置嚴密的防火墻,嚴格的上網(wǎng)策略,安裝復雜的管理設備和認證系統(tǒng)就可以高枕無憂了?可能IT部門還是投訴不斷:常規(guī)的企業(yè)應用與防火墻沖突而被限制使用或阻擋;復雜的賬戶申請和登陸程序讓員工感到頭疼,經(jīng)常更新的密碼和忘記了的用戶名和密碼也讓員工感到沮喪;IT部門工作量大幅增加,工作流程更為復雜,IT人員忙的暈頭轉向。
難道BYOD就不能以更輕松的方式實現(xiàn)么?有沒有辦法能讓IT部門不費太大力氣,就能在后臺對公司無線網(wǎng)絡和網(wǎng)絡內(nèi)的移動設備進行管控,同時員工只需享受網(wǎng)絡而不會感到遭受各種束縛呢?
其實,BYOD不應該被簡單理解為允許個人攜帶自己的移動設備接入企業(yè)網(wǎng)絡,還應考慮到它對企業(yè)網(wǎng)絡帶來的深遠影響。在Aruba Networks看來,要真正實施BYOD,其中最重要的也是首先需要解決的就是網(wǎng)絡策略(policy)的制定,以確保對終端的管理并保障企業(yè)網(wǎng)絡的安全。具體來說,安全策略需要區(qū)別設備是屬于個人還是屬于公司,哪種應用是可以使用的,哪種用戶行為是被禁止的。
安全策略的制定應該超越有線和無線網(wǎng)絡的角度,建立在用戶感知、終端感知和應用感知這三個“感知”的基礎上,將安全策略延伸至終端和應用,從而加深管理的有效性和安全性。三大感知的執(zhí)行要在策略里才能得以實現(xiàn),而網(wǎng)絡的這三個感知越完善,終端用戶的感知度就會越小,能夠讓用戶處于策略的管理范圍內(nèi),卻對策略和管理幾乎毫無察覺,充分享受自由。
除了為BYOD提供可靠的無線網(wǎng)絡基礎,Aruba在傳統(tǒng)的控制器和AP上更新了基礎的安全策略功能。為了應對BYOD新趨勢,Aruba推出了ClearPass接入管理系統(tǒng)——一個更直接、更全面的BYOD解決方案。ClearPass可以對所有設備提供單一的管理平臺Policy Manager。在Policy Manager上,IT部門可以便捷地針對不同類型的用戶、設備和應用設定完備的網(wǎng)絡策略。
例如,在使用ClearPass的一家銀行中,IT部門通過Policy Manager可以制定網(wǎng)絡策略,讓VIP客戶經(jīng)理能通過自己的iPad訪問而不是下載公司內(nèi)部資料,向客戶展示針對特定用戶的金融產(chǎn)品;大堂經(jīng)理能通過移動設備向顧客展示銀行的基本服務,而不能上其他網(wǎng)站購物或娛樂;在大廳等待的顧客能夠通過自己的智能手機連接銀行公用Wi-Fi訪問外部網(wǎng)頁,但是不能訪問銀行內(nèi)網(wǎng),也不能進行使用大流量的下載或在線游戲等操作。
安全準入是BYOD在策略之后需要考慮的首個問題,也是實現(xiàn)BYOD的首要步驟。過去企業(yè)只顧及有線網(wǎng)絡中的安全準入,而現(xiàn)如今,對移動終端的維護也就是無線Wi-Fi的安全準入又是BYOD擺在企業(yè)面前的新問題。安全準入面對的最大問題是如何同時擁有安全和靈活性。廠商需要讓用戶對安全準入的操作在幾乎降到零的同時又具有足夠的安全性,即Zero-Config,安全的零操作準入。在安全準入的基礎上,才能實施完整的安全策略,進一步對用戶行為、應用和終端進行規(guī)范管理。
舉例來說,Onboard是可以配備在Aruba ClearPass這一集中管理平臺中的軟件模塊之一,它可以實現(xiàn)安全的零操作準入,而且無需重復操作。員工只需在第一次使用自己的某一移動設備時,進行自助登記,ClearPass通過已設定好的網(wǎng)絡策略,對用戶身份進行識別并分配策略,自動推送到設備上,員工進行確認后即可在策略內(nèi)享受BYOD帶來的便利。整個過程只需三個步驟,而員工再次使用設備連接公司無線網(wǎng)絡時,無需重復登陸,隨時隨地就可享受到同樣的策略和服務。
除了Onboard,通過與Profile、OnGuard、Guest等具備包括分析、狀態(tài)評估和健康檢查、訪客準入等功能的模塊相結合,ClearPass能實現(xiàn)更完整的BYOD,真正實現(xiàn)用戶感知、終端感知和應用感知,讓用戶“無感知”地盡情享受BYOD。
從Gartner魔力象限今年把有線和無線局域網(wǎng)合并在一起進行考評來看,企業(yè)網(wǎng)絡乃至BYOD都不僅建立在無線上,它綜合了有線和無線領域,實際上已經(jīng)形成了一個單獨的市場。BYOD的根本問題就是如何通過對用戶終端和應用的感知,制定安全策略并在自攜設備上實施。策略和安全,是Aruba對BYOD的兩個最重要的注解。
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權禁止轉載。