如果只是涉及基於用戶身份、設備或位置來授予網絡訪問權限,制定BYOD安全計劃是很簡單的事情。但全面的BYOD網絡安全應用將需要考慮所有這些因素,這是一個艱巨的任務。
從這一點來看,由於目前並沒有單一的有效的解決方案,IT部門正在混合使用各種工具,從移動設備管理(MDM)到網絡訪問控制(NAC),甚至還包括帶外管理系統。
為此,我們采訪了四個教育機構的管理人員,他們都希望能使用自動的方式來控制數百甚至數千台個人設備,這樣他們就不需要辛苦地在每個客戶端安裝軟件。他們想要基於身份和設備的綜合因素來細細致地控制訪問權限,每個高管實現這個目標的方法不盡相同。
MDM工具很有潛力,但並不是全面的解決方案 這四名接受采訪的高管都已經在使用或者評估MDM工具。不同的供應商提供功能不同的MDM工具,但一般這些工具都會追蹤網絡中的移動設備,並能根據企業的政策來限制哪些用戶可以訪問特定應用或者網絡區域。總體而言,企業都在湧向MDM工具。在2010到2011年,Nemertes Research 調查的企業中,21.2%的企業在使用MDM.根據分析師Philip Clarke表示,該公司預計在2014年年底,這個數字將會增加到84%.
然而,單靠MDM並不能管理擁有多個設備並使用相同身份登錄信息將所有設備連接到無線局域網(WLAN)的用戶。如果WLAN本身不能區分經過審查的設備和可能受感染的設備,網絡將處於危險之中。IT部門必須能夠識別用戶的多台設備,並對不同的用戶及其設備授予基於角色的訪問權限。這通常需要與其他工具整合,包括身份管理(IDM)和NAC產品。
BYOD安全:使用帶外管理 美國北卡羅來納州的Rowan-Salisbury學校系統的技術執行主管Philip Hardin表示,該學校系統需要基於一系列的變量來控制移動設備網絡訪問,包括設備類型、位置和應用等。然而,Hardin的團隊需要以自動化的方式來支持軟件安裝以及跨多設備執行政策。
因此,該學校采用了Aerohive的HiveManager—帶外網絡管理系統,以及JAMF Software的iOS MDM套件。Aerohive的HiveManager讓企業可以為每個用戶身份和設備類型組合配置個性化的政策——政策管理網絡接入、防火牆、允許特定訪問的時間以及針對安全VPN接入的通道政策。
Hardin表示:“HiveManager提供中央數據收集,並提醒我們流氓客戶端的存在。它使用設備指紋基於策略來應用特定安全功能,並為單個和組群設備監控設備的運行狀況,以圖形方式直觀地顯示。”
與此同時,JAMF Software會測試蘋果設備以確保它們安裝了蘋果MDM客戶端。該軟件會將新設備導向到一個端口來接受設備的配置文件,從而確定其訪問權限和特權。Hardin補充說:“這種整合的解決方案使學校能夠管理應用訪問,以及設備上的安裝和軟件更新。”該解決方案可以完成配置文件管理和訪問控制,而不需要個人設備安裝NAC客戶端。
身份管理:BYOD安全的核心 紐約州的Hartwick學院使用IDM工具和下一代防火牆來處理其設備管理和訪問。Meru身份管理器(Identity Manager)通過Smart Connect和Guest Connect模塊來同時控制訪客和員工設備的網絡訪問。當該學院的新員工首次嘗試打開一個網頁時,他將被重定向到Meru IDM設備上的強制門戶頁。
Hartwick學院IT執行主管Davis Conley表示,“我們的IDM設備有2048位VeriSign證書,該證書用於加密該強制門戶網站的網頁,然後員工下載SmartConnect作為applet或者網絡配置文件。”
SmartConnect配置該設備使用加密的網絡,自動驗證用戶,讓設備將其作為首選網絡,然後從設備的SSID列表移除開放式網絡。而訪客用戶可以在Guest Connect注冊Guest SSID.Smart Connect和 Guest Connect都有自動化基於角色和政策的BYOD配置。Conley稱,“Guest Connect要求用戶填寫真實的姓名、電話號碼以及他們所要訪問的校園內的人,如果有問題的話,我們可以關閉他們的網絡訪問。”然後,Meru IDM使用一個機制來收集設備MAC地址用於未來的設備識別。
然而,Hartwick學院沒有使用Meru解決方案的活動監控、政策管理和政策執行部分。Conley稱:“我們已經有了自己的政策管理,我們使用Bluecoat數據包成型器、Palo Alto下一代防火牆和Tipping Point設備來查看哪些設備在傳輸帶有病毒的內容,然後我們會要求用戶解決這個問題。”
BYOD管理:帶有NAC的WLAN分析工具 密歇根州的Central Michigan大學使用Lancope的StealthWatch網絡分析儀來檢測WLAN上的行為以及跟蹤用戶活動。該大學網絡管理人員Ryan Laus表示,“我們使用StealthWatch來查找異常行為,並找出用戶正視圖做什麼。然後,我們使用NAC設備(來自Bradford Networks)來識別用戶,這是一個手動過程。”
通過StealthWatch,Central Michigan大學能夠發現外部發起的僵屍網絡攻擊、蠕蟲和高級持續攻擊,以及內部濫用、違反政策的行為和數據洩露,無論設備類型。NetFlow為StealthWatch的分析提供數據。
現在該大學正在測試來自不同供應商的MDM工具用以執行政策。MDM將可以使用政策來控制用戶可以在設備上的行為,這與Active Directory使用組策略來控制有些類似。它將阻止未經授權的軟件安裝,並能使管理員為BYOD部署設置配置和權限。
Central Michigan大學預計將使用StealthWatch來支持新的MDM工具包。Laus表示:“如果用戶知道如何繞過MDM來安裝未經批准的應用,StealthWatch可以查找超出政策范圍的流量,並向NAC設備發出警報,這會將用戶/設備轉移到隔離的網絡。”
BYOD安全:整合IDM與NAC 田納西州的地區醫療中心正在使用Aruba Networks的ClearPass集成移動管理和NAC軟件來為BYOD創建一個自配置系統。醫療中心的用戶將使用標准的登錄名和密碼來登錄,而ClearPass將基於預先確定的政策來進行配置。該醫療中心的IT主管Tony Alphier表示:“我們不需要讓他們帶來他們的設備以及手動安裝安全/網絡配置文件。”經過這個過程,NAC控制器將可以防止設備沒注冊和確保安全就登錄到網絡。
“目前我們不允許員工BYOD(內部訪問),除非他們是醫生,並帶來一台筆記本,這樣我們將手動在其設備上配置文件,”Alphier表示,“當我們添加Aruba的NAC模塊時,我們將能夠允許所有員工的BYOD訪問。”
該醫療中心還使用Aruba的AirWave來記錄和監控設備活動,Aruba技術允許Alphier提供訪客網絡。Alphier表示:“我們曾使用Aruba的Amogopod訪客解決方案,Aruba現在還把AirWave與Clear Pass結合。我們可以讓家人、病人和朋友訪問我們的網絡,同時保持安全。”訪客現在可以自我配置,接收代碼連接到互聯網,同時保持與內部網絡的隔離。