如果只是涉及基于用戶身份�、設(shè)備或位置來(lái)授予網(wǎng)絡(luò)訪問(wèn)權(quán)限,制定BYOD安全計(jì)劃是很簡(jiǎn)單的事情�。但全面的BYOD網(wǎng)絡(luò)安全應(yīng)用將需要考慮所有這些因素,這是一個(gè)艱巨的任務(wù)����。
從這一點(diǎn)來(lái)看,由于目前并沒(méi)有單一的有效的解決方案,IT部門正在混合使用各種工具�����,從移動(dòng)設(shè)備管理(MDM)到網(wǎng)絡(luò)訪問(wèn)控制(NAC)�,甚至還包括帶外管理系統(tǒng)。
為此�,我們采訪了四個(gè)教育機(jī)構(gòu)的管理人員,他們都希望能使用自動(dòng)的方式來(lái)控制數(shù)百甚至數(shù)千臺(tái)個(gè)人設(shè)備�,這樣他們就不需要辛苦地在每個(gè)客戶端安裝軟件。他們想要基于身份和設(shè)備的綜合因素來(lái)細(xì)細(xì)致地控制訪問(wèn)權(quán)限�����,每個(gè)高管實(shí)現(xiàn)這個(gè)目標(biāo)的方法不盡相同�����。
MDM工具很有潛力���,但并不是全面的解決方案 這四名接受采訪的高管都已經(jīng)在使用或者評(píng)估MDM工具�。不同的供應(yīng)商提供功能不同的MDM工具��,但一般這些工具都會(huì)追蹤網(wǎng)絡(luò)中的移動(dòng)設(shè)備��,并能根據(jù)企業(yè)的政策來(lái)限制哪些用戶可以訪問(wèn)特定應(yīng)用或者網(wǎng)絡(luò)區(qū)域?����?傮w而言�,企業(yè)都在涌向MDM工具。在2010到2011年����,Nemertes Research 調(diào)查的企業(yè)中�����,21.2%的企業(yè)在使用MDM.根據(jù)分析師Philip Clarke表示�,該公司預(yù)計(jì)在2014年年底,這個(gè)數(shù)字將會(huì)增加到84%.
然而�,單靠MDM并不能管理?yè)碛卸鄠€(gè)設(shè)備并使用相同身份登錄信息將所有設(shè)備連接到無(wú)線局域網(wǎng)(WLAN)的用戶。如果WLAN本身不能區(qū)分經(jīng)過(guò)審查的設(shè)備和可能受感染的設(shè)備�����,網(wǎng)絡(luò)將處于危險(xiǎn)之中�。IT部門必須能夠識(shí)別用戶的多臺(tái)設(shè)備,并對(duì)不同的用戶及其設(shè)備授予基于角色的訪問(wèn)權(quán)限�。這通常需要與其他工具整合�,包括身份管理(IDM)和NAC產(chǎn)品�����。
BYOD安全:使用帶外管理 美國(guó)北卡羅來(lái)納州的Rowan-Salisbury學(xué)校系統(tǒng)的技術(shù)執(zhí)行主管Philip Hardin表示����,該學(xué)校系統(tǒng)需要基于一系列的變量來(lái)控制移動(dòng)設(shè)備網(wǎng)絡(luò)訪問(wèn),包括設(shè)備類型���、位置和應(yīng)用等��。然而�����,Hardin的團(tuán)隊(duì)需要以自動(dòng)化的方式來(lái)支持軟件安裝以及跨多設(shè)備執(zhí)行政策���。
因此,該學(xué)校采用了Aerohive的HiveManager—帶外網(wǎng)絡(luò)管理系統(tǒng)����,以及JAMF Software的iOS MDM套件。Aerohive的HiveManager讓企業(yè)可以為每個(gè)用戶身份和設(shè)備類型組合配置個(gè)性化的政策——政策管理網(wǎng)絡(luò)接入����、防火墻�、允許特定訪問(wèn)的時(shí)間以及針對(duì)安全VPN接入的通道政策��。
Hardin表示:“HiveManager提供中央數(shù)據(jù)收集�,并提醒我們流氓客戶端的存在。它使用設(shè)備指紋基于策略來(lái)應(yīng)用特定安全功能����,并為單個(gè)和組群設(shè)備監(jiān)控設(shè)備的運(yùn)行狀況,以圖形方式直觀地顯示��。”
與此同時(shí)��,JAMF Software會(huì)測(cè)試蘋果設(shè)備以確保它們安裝了蘋果MDM客戶端����。該軟件會(huì)將新設(shè)備導(dǎo)向到一個(gè)端口來(lái)接受設(shè)備的配置文件��,從而確定其訪問(wèn)權(quán)限和特權(quán)��。Hardin補(bǔ)充說(shuō):“這種整合的解決方案使學(xué)校能夠管理應(yīng)用訪問(wèn)���,以及設(shè)備上的安裝和軟件更新��。”該解決方案可以完成配置文件管理和訪問(wèn)控制�����,而不需要個(gè)人設(shè)備安裝NAC客戶端�����。
身份管理:BYOD安全的核心 紐約州的Hartwick學(xué)院使用IDM工具和下一代防火墻來(lái)處理其設(shè)備管理和訪問(wèn)�����。Meru身份管理器(Identity Manager)通過(guò)Smart Connect和Guest Connect模塊來(lái)同時(shí)控制訪客和員工設(shè)備的網(wǎng)絡(luò)訪問(wèn)����。當(dāng)該學(xué)院的新員工首次嘗試打開(kāi)一個(gè)網(wǎng)頁(yè)時(shí),他將被重定向到Meru IDM設(shè)備上的強(qiáng)制門戶頁(yè)���。
Hartwick學(xué)院IT執(zhí)行主管Davis Conley表示���,“我們的IDM設(shè)備有2048位VeriSign證書,該證書用于加密該強(qiáng)制門戶網(wǎng)站的網(wǎng)頁(yè)��,然后員工下載SmartConnect作為applet或者網(wǎng)絡(luò)配置文件�����。”
SmartConnect配置該設(shè)備使用加密的網(wǎng)絡(luò),自動(dòng)驗(yàn)證用戶����,讓設(shè)備將其作為首選網(wǎng)絡(luò),然后從設(shè)備的SSID列表移除開(kāi)放式網(wǎng)絡(luò)����。而訪客用戶可以在Guest Connect注冊(cè)Guest SSID.Smart Connect和 Guest Connect都有自動(dòng)化基于角色和政策的BYOD配置。Conley稱�����,“Guest Connect要求用戶填寫真實(shí)的姓名�、電話號(hào)碼以及他們所要訪問(wèn)的校園內(nèi)的人,如果有問(wèn)題的話��,我們可以關(guān)閉他們的網(wǎng)絡(luò)訪問(wèn)�。”然后�����,Meru IDM使用一個(gè)機(jī)制來(lái)收集設(shè)備MAC地址用于未來(lái)的設(shè)備識(shí)別���。
然而��,Hartwick學(xué)院沒(méi)有使用Meru解決方案的活動(dòng)監(jiān)控�、政策管理和政策執(zhí)行部分。Conley稱:“我們已經(jīng)有了自己的政策管理����,我們使用Bluecoat數(shù)據(jù)包成型器、Palo Alto下一代防火墻和Tipping Point設(shè)備來(lái)查看哪些設(shè)備在傳輸帶有病毒的內(nèi)容���,然后我們會(huì)要求用戶解決這個(gè)問(wèn)題���。”
BYOD管理:帶有NAC的WLAN分析工具 密歇根州的Central Michigan大學(xué)使用Lancope的StealthWatch網(wǎng)絡(luò)分析儀來(lái)檢測(cè)WLAN上的行為以及跟蹤用戶活動(dòng)。該大學(xué)網(wǎng)絡(luò)管理人員Ryan Laus表示���,“我們使用StealthWatch來(lái)查找異常行為�,并找出用戶正視圖做什么���。然后�,我們使用NAC設(shè)備(來(lái)自Bradford Networks)來(lái)識(shí)別用戶����,這是一個(gè)手動(dòng)過(guò)程���。”
