在15年前,Wi-Fi開始了其漫長而穩步的發展,從家庭到辦公室,最終取代以太網成為很多企業首選網絡接入方式。
現在,在802.11ac的推動下,企業Wi-Fi部署正在進一步發展,2014年,802.11ac占全球1.76億接入點(AP)出貨量的18%。Wi-Fi不僅將改變員工的連接方式,還將改變保護通信的方式。Wi-Fi安全不再是附加品;它必須成為安全政策執行的重要組成部分。在本文中,我們將探討企業應如何面對這種網絡安全轉型。
安全做法
多年前,Wi-Fi部署的安全做法主要是鏈路層加密:首先是有線等效保密(WEP);接著是Wi-Fi保護接入(WPA)和臨時密鑰完整性協議(TKIP)。然後是WPA 2和高級加密標准(AES)。近十年來,所有Wi-Fi認證產品都支持著WPA 2與預先共享密鑰(PSK)或802.11X接入控制。同時,原來是通過Wi-Fi嗅探器和手動現場調查阻止無線攻擊者,而現在完全自動化的無線入侵檢測和防御(WIDS/WIPS)已經成為主流,每個企業級無線LAN(WLAN)產品都包含該技術。
雖然這些技術主要是針對無線網絡,但它們現在已經成為構建網絡的基礎。例如,802.11X為控制局域網(無線和有線)接入奠定了基礎。而WIPS遏制通常會被觸發以在網絡連接點阻止可疑攻擊者,無論是無線連接還是有線連接。現在安全政策不再是關於設備如何連接,而是誰在連接、他們正在做什麼以及他們在哪裡。
Wi-Fi部署和政策執行
Aruba Networks公司產品和解決方案營銷高級主管Ozer Dondurmacioglu表示,很多大型企業在設法創建並執行單個安全政策來解決所有問題。
“當我的醫生在食堂,他可能只需要接入互聯網—僅此而已;當他在辦公室,他可能還要訪問患者數據;而當他在其他高風險地點工作,他可能需要采取額外的保護措施,”Dondurmacioglu表示,“應該有一種方法將所有這些封裝在單個政策中,然後利用工具來執行政策。”
企業可以利用現有工具來幫助他們執行這種統一安全政策,包括身份管理服務、網絡和應用程序防火牆、移動設備和應用程序管理器、安全有線交換機端口和接入點、基於位置的服務、訪客接入服務等。然而,企業最好將實現這種單個政策的工作視為階段性的過程,應該從目標政策開始,使用可用的工具來執行基本工作,然後逐步增加新工具來增強政策、威脅抵御和用戶工作效率。
對於初步部署者來說,身份管理可以推動安全政策,並且,應該捆綁訪問權限和要求到個人和角色,而不是設備或網絡連接點;例如在上述情況中,醫生可以在整個工作日基於政策驅動的標准來被授予不同的訪問權限。
其次,防火牆、交換機和AP可以監控和部署這些訪問權限。廣泛的網絡分段可以通過VLAN和SSID來部署,由交換機和AP來執行。網絡流量也可以通過這些邊緣設備來過濾,例如確定醫生是否可以訪問互聯網或患者數據。然而,基於現在日益復雜的移動應用程序和相關風險,應用程序防火牆可以幫助實現更精細的政策,以降低風險、阻止惡意軟件和防止數據洩露。
第三,政策可能需要考慮設備類型、所有權和信任水平,主要通過利用移動設備和應用程序管理器來實現。例如,醫生可能攜帶智能手機和平板電腦,並在其工作中同時使用。同樣的政策可能對企業發放的平板電腦和BYOD智能手機設置不同的訪問權限,或者可能要求在每台設備安裝安全容器作為訪問患者數據的條件。
另外,政策也開始利用基於位置的服務,利用地理圍欄等技術來限制對特定場所和授權區域的訪問。基於位置的服務正在不斷發展,例如,企業可以利用蘋果公司的iBeacon等新設備來提高精確度(特別是在室內),這可以是單獨運行也可以整合網絡基礎設施。在我們的例子中,醫生的平板電腦可以識別其位置(醫院內部或咖啡廳),並相應地改變其行為,盡管其設備通過這兩個位置的Wi-Fi連接。
最後,訪客接入服務在安全政策執行中也發揮著越來越重要的作用,這不僅僅是對訪客,同時也是針對使用BYOD或其他設備的員工。具體來說,網絡基礎設施可以用來手動或自動重新定向新設備到設備注冊門戶網站,讓員工可以注冊設備、同意服務條款、接受設備證書,並配置為安全Wi-Fi接入。在連接到安全網絡後,還需要采取額外的步驟來實現安全移動性,例如在醫生現已授權和認證的移動設備部署安全容器或應用程序。
現在構建 未來擴展
上文中所描述的可實現靈活移動安全政策的網絡技術已經存在多年:有些技術則相對較新。所有這些技術都可以幫助加強網絡來執行安全政策,發現Wi-Fi部署的固有風險,同時在整體水平(即專注於用戶和滿足其計算需求)內解決這些風險。隨著無線變得更加普遍,企業應該采用這種方式來執行和加強安全移動。