如果只是涉及基于用戶身份���、設(shè)備或位置來授予網(wǎng)絡(luò)訪問權(quán)限,制定BYOD安全計劃是很簡單的事情�。但全面的BYOD網(wǎng)絡(luò)安全應(yīng)用將需要考慮所有這些因素�,這是一個艱巨的任務(wù)��。
從這一點來看����,由于目前并沒有單一的有效的解決方案�����,IT部門正在混合使用各種工具���,從移動設(shè)備管理(MDM)到網(wǎng)絡(luò)訪問控制(NAC)����,甚至還包括帶外管理系統(tǒng)���。
為此����,我們采訪了四個教育機構(gòu)的管理人員����,他們都希望能使用自動的方式來控制數(shù)百甚至數(shù)千臺個人設(shè)備��,這樣他們就不需要辛苦地在每個客戶端安裝軟件�。他們想要基于身份和設(shè)備的綜合因素來細細致地控制訪問權(quán)限��,每個高管實現(xiàn)這個目標的方法不盡相同�����。
MDM工具很有潛力�����,但并不是全面的解決方案 這四名接受采訪的高管都已經(jīng)在使用或者評估MDM工具���。不同的供應(yīng)商提供功能不同的MDM工具����,但一般這些工具都會追蹤網(wǎng)絡(luò)中的移動設(shè)備���,并能根據(jù)企業(yè)的政策來限制哪些用戶可以訪問特定應(yīng)用或者網(wǎng)絡(luò)區(qū)域����?�?傮w而言,企業(yè)都在涌向MDM工具����。在2010到2011年,Nemertes Research 調(diào)查的企業(yè)中�����,21.2%的企業(yè)在使用MDM.根據(jù)分析師Philip Clarke表示�,該公司預(yù)計在2014年年底����,這個數(shù)字將會增加到84%.
然而,單靠MDM并不能管理擁有多個設(shè)備并使用相同身份登錄信息將所有設(shè)備連接到無線局域網(wǎng)(WLAN)的用戶�����。如果WLAN本身不能區(qū)分經(jīng)過審查的設(shè)備和可能受感染的設(shè)備����,網(wǎng)絡(luò)將處于危險之中。IT部門必須能夠識別用戶的多臺設(shè)備�����,并對不同的用戶及其設(shè)備授予基于角色的訪問權(quán)限。這通常需要與其他工具整合�,包括身份管理(IDM)和NAC產(chǎn)品。
BYOD安全:使用帶外管理 美國北卡羅來納州的Rowan-Salisbury學校系統(tǒng)的技術(shù)執(zhí)行主管Philip Hardin表示����,該學校系統(tǒng)需要基于一系列的變量來控制移動設(shè)備網(wǎng)絡(luò)訪問,包括設(shè)備類型��、位置和應(yīng)用等�����。然而���,Hardin的團隊需要以自動化的方式來支持軟件安裝以及跨多設(shè)備執(zhí)行政策��。
因此�����,該學校采用了Aerohive的HiveManager—帶外網(wǎng)絡(luò)管理系統(tǒng)����,以及JAMF Software的iOS MDM套件�。Aerohive的HiveManager讓企業(yè)可以為每個用戶身份和設(shè)備類型組合配置個性化的政策——政策管理網(wǎng)絡(luò)接入��、防火墻�����、允許特定訪問的時間以及針對安全VPN接入的通道政策��。
Hardin表示:“HiveManager提供中央數(shù)據(jù)收集����,并提醒我們流氓客戶端的存在����。它使用設(shè)備指紋基于策略來應(yīng)用特定安全功能�,并為單個和組群設(shè)備監(jiān)控設(shè)備的運行狀況,以圖形方式直觀地顯示����。”
與此同時,JAMF Software會測試蘋果設(shè)備以確保它們安裝了蘋果MDM客戶端����。該軟件會將新設(shè)備導向到一個端口來接受設(shè)備的配置文件,從而確定其訪問權(quán)限和特權(quán)���。Hardin補充說:“這種整合的解決方案使學校能夠管理應(yīng)用訪問�����,以及設(shè)備上的安裝和軟件更新���。”該解決方案可以完成配置文件管理和訪問控制��,而不需要個人設(shè)備安裝NAC客戶端��。
身份管理:BYOD安全的核心 紐約州的Hartwick學院使用IDM工具和下一代防火墻來處理其設(shè)備管理和訪問�。Meru身份管理器(Identity Manager)通過Smart Connect和Guest Connect模塊來同時控制訪客和員工設(shè)備的網(wǎng)絡(luò)訪問���。當該學院的新員工首次嘗試打開一個網(wǎng)頁時�����,他將被重定向到Meru IDM設(shè)備上的強制門戶頁�����。
Hartwick學院IT執(zhí)行主管Davis Conley表示����,“我們的IDM設(shè)備有2048位VeriSign證書,該證書用于加密該強制門戶網(wǎng)站的網(wǎng)頁����,然后員工下載SmartConnect作為applet或者網(wǎng)絡(luò)配置文件。”
SmartConnect配置該設(shè)備使用加密的網(wǎng)絡(luò)���,自動驗證用戶����,讓設(shè)備將其作為首選網(wǎng)絡(luò)�,然后從設(shè)備的SSID列表移除開放式網(wǎng)絡(luò)。而訪客用戶可以在Guest Connect注冊Guest SSID.Smart Connect和 Guest Connect都有自動化基于角色和政策的BYOD配置���。Conley稱,“Guest Connect要求用戶填寫真實的姓名�、電話號碼以及他們所要訪問的校園內(nèi)的人,如果有問題的話����,我們可以關(guān)閉他們的網(wǎng)絡(luò)訪問。”然后�,Meru IDM使用一個機制來收集設(shè)備MAC地址用于未來的設(shè)備識別。
然而,Hartwick學院沒有使用Meru解決方案的活動監(jiān)控�、政策管理和政策執(zhí)行部分。Conley稱:“我們已經(jīng)有了自己的政策管理�����,我們使用Bluecoat數(shù)據(jù)包成型器��、Palo Alto下一代防火墻和Tipping Point設(shè)備來查看哪些設(shè)備在傳輸帶有病毒的內(nèi)容���,然后我們會要求用戶解決這個問題�����。”
BYOD管理:帶有NAC的WLAN分析工具 密歇根州的Central Michigan大學使用Lancope的StealthWatch網(wǎng)絡(luò)分析儀來檢測WLAN上的行為以及跟蹤用戶活動���。該大學網(wǎng)絡(luò)管理人員Ryan Laus表示,“我們使用StealthWatch來查找異常行為�����,并找出用戶正視圖做什么����。然后,我們使用NAC設(shè)備(來自Bradford Networks)來識別用戶,這是一個手動過程�����。”
