如何才能安全实现无感知BYOD

过不了多久,层出不穷的问题可能就会让IT部门晕头转向:一名员工在自带笔记本上用吸血软件下载高清视频,几名员工用手机点击在线观看连续剧占用大量流量,导致其他员工不能正常访问网页甚至无法登陆;一名员工用手机浏览购物网站不小心被钓鱼软件窃取个人甚至公司信息,或者被恶意软件袭击致使公司无线网络遭受攻击,导致网络瘫痪;一名员工将还未公开的产品信息下载到自己的平板电脑上带回家研究,却在路上不慎遗失,公司核心数据面临被泄露的风险而所有人无计可施……

为无线网络设置严密的防火墙,严格的上网策略,安装复杂的管理设备和认证系统就可以高枕无忧了?可能IT部门还是投诉不断:常规的企业应用与防火墙冲突而被限制使用或阻挡;复杂的账户申请和登陆程序让员工感到头疼,经常更新的密码和忘记了的用户名和密码也让员工感到沮丧;IT部门工作量大幅增加,工作流程更为复杂,IT人员忙的晕头转向。

难道BYOD就不能以更轻松的方式实现么?有没有办法能让IT部门不费太大力气,就能在后台对公司无线网络和网络内的移动设备进行管控,同时员工只需享受网络而不会感到遭受各种束缚呢?

其实,BYOD不应该被简单理解为允许个人携带自己的移动设备接入企业网络,还应考虑到它对企业网络带来的深远影响。在Aruba Networks看来,要真正实施BYOD,其中最重要的也是首先需要解决的就是网络策略(policy)的制定,以确保对终端的管理并保障企业网络的安全。具体来说,安全策略需要区别设备是属于个人还是属于公司,哪种应用是可以使用的,哪种用户行为是被禁止的。

安全策略的制定应该超越有线和无线网络的角度,建立在用户感知、终端感知和应用感知这三个“感知”的基础上,将安全策略延伸至终端和应用,从而加深管理的有效性和安全性。三大感知的执行要在策略里才能得以实现,而网络的这三个感知越完善,终端用户的感知度就会越小,能够让用户处于策略的管理范围内,却对策略和管理几乎毫无察觉,充分享受自由。

除了为BYOD提供可靠的无线网络基础,Aruba在传统的控制器和AP上更新了基础的安全策略功能。为了应对BYOD新趋势,Aruba推出了ClearPass接入管理系统——一个更直接、更全面的BYOD解决方案。ClearPass可以对所有设备提供单一的管理平台Policy Manager。在Policy Manager上,IT部门可以便捷地针对不同类型的用户、设备和应用设定完备的网络策略。

例如,在使用ClearPass的一家银行中,IT部门通过Policy Manager可以制定网络策略,让VIP客户经理能通过自己的iPad访问而不是下载公司内部资料,向客户展示针对特定用户的金融产品;大堂经理能通过移动设备向顾客展示银行的基本服务,而不能上其他网站购物或娱乐;在大厅等待的顾客能够通过自己的智能手机连接银行公用Wi-Fi访问外部网页,但是不能访问银行内网,也不能进行使用大流量的下载或在线游戏等操作。

安全准入是BYOD在策略之后需要考虑的首个问题,也是实现BYOD的首要步骤。过去企业只顾及有线网络中的安全准入,而现如今,对移动终端的维护也就是无线Wi-Fi的安全准入又是BYOD摆在企业面前的新问题。安全准入面对的最大问题是如何同时拥有安全和灵活性。厂商需要让用户对安全准入的操作在几乎降到零的同时又具有足够的安全性,即Zero-Config,安全的零操作准入。在安全准入的基础上,才能实施完整的安全策略,进一步对用户行为、应用和终端进行规范管理。

举例来说,Onboard是可以配备在Aruba ClearPass这一集中管理平台中的软件模块之一,它可以实现安全的零操作准入,而且无需重复操作。员工只需在第一次使用自己的某一移动设备时,进行自助登记,ClearPass通过已设定好的网络策略,对用户身份进行识别并分配策略,自动推送到设备上,员工进行确认后即可在策略内享受BYOD带来的便利。整个过程只需三个步骤,而员工再次使用设备连接公司无线网络时,无需重复登陆,随时随地就可享受到同样的策略和服务。

除了Onboard,通过与Profile、OnGuard、Guest等具备包括分析、状态评估和健康检查、访客准入等功能的模块相结合,ClearPass能实现更完整的BYOD,真正实现用户感知、终端感知和应用感知,让用户“无感知”地尽情享受BYOD。

从Gartner魔力象限今年把有线和无线局域网合并在一起进行考评来看,企业网络乃至BYOD都不仅建立在无线上,它综合了有线和无线领域,实际上已经形成了一个单独的市场。BYOD的根本问题就是如何通过对用户终端和应用的感知,制定安全策略并在自携设备上实施。策略和安全,是Aruba对BYOD的两个最重要的注解。