安全策略:如何针对企业iPad终端整合?

随着人们不断地提高笔记本电脑的安全性和集成度,笔记本电脑的功能已经足够强大。那么,如今涌入产业界的下一代网络终端设备的性能又如何呢?平板电脑现在在业界正炙手可热,其中的佼佼者便是苹果的iPad。毫无疑问,在接下来的几个月里,iPad在企业中的应用将会增加。

要高效地使用这款流行的平板电脑,工人需要访问企业的应用程序和数据,但这也意味着企业的程序和数据等资源不能违反相关政策,并且不能对iPad进行“越狱”。接下来让我们讨论讨论,对于那些想要将iPad作为其企业网络终端的人们来说,集成iPad都有哪些方法。

方法1:来宾终端(Guest endpoints)

作为一款支持Wi-Fi的设备,iPad能够接入任何开放的无线局域网(WLAN),包括来宾式无线局域网(guest WLANs)。因此,一种在网络中集成iPad的方式就是默认将员工拥有的iPad当做来宾终端,就像对待其他无法管理的来宾终端一样。

网络访问控制(NAC)产品通常用于控制来宾对网络的访问,如对来宾接入网络的时间进行限制,或者在接入前对其进行安全扫描。但是,NAC服务器无法持续地为iPad布置NAC客户端,也不能强制iPad运行基于浏览器的安全扫描。因此,我们只应给予iPad基于Web或因特网方式的接入权限。

在这种方法中,网络访问控制器和网络入侵监测系统可配合使用,用于识别iPad、监测终端接入系统后的活动以及断开“不守规矩”的设备。虽然这两种技术能够提供可视化功能,并且也能够保护网络,但是仅对iPad设备提供普通的来宾访问权限并不能使其成为一个(真正意义上的)企业用网络终端,相反还会限制该设备的能力。

方法2:远程终端(Remote endpoints)

另外一种方法是将iPad当做远程终端来使用,即便是在本地无线局域网内也可以这样做。例如,已接入英特网的iPad可以通过Exchange ActiveSync(交流同步)检索公司邮件,或者使用由思科系统公司或Juniper网络公司提供的VPN客户端来获得比来宾账户更大的网络接入权限。

我们可以要求iPad的使用者浏览预提供的网络地址,安装配置档案进行批量系统设置,这些设置包括设备的加密和密码要求、数字证书、VPN和Exchange的使用参数及使用限制(如禁用摄像头)。配置档案能够被锁定并加密,以防止共享或者篡改,但关键还是在于强制执行配置档案;安装配置档案也不能够确保每一台iPad都兼容。

要解决这个问题,一个办法是每当电子邮件被阅读时,使用Exchange ActiveSync检测被选择的iPad的配置情况,剔除不兼容的终端。例如,在Exchange ActiveSync的政策设置里我们可以阻止未签名的应用程序阅读公司邮件。同样地,它也能够将政策设置传递给那些拥有Exchange访问权限的iPad,iPad还可以被设置为定期刷新这些政策设置。

另一种办法是安装与iOS兼容并具有整体系统评估能力的VPN客户端。例如,Juniper公司的Junos Pulse Mobile Security Suite,该套件结合了SSL VPN技术与终端安全措施,如反病毒、反垃圾邮件以及接入企业网络所必需的应用程序控制等。该VPN客户端甚至可以在受理相同的身份认证、整体监测或授权策略时自由地在Wi-Fi网络和移动通信网络之间漫游。我们还可以选择使用思科的与iOS兼容的AnyConnect。

方法3:受控终端(Managed endpoints)

最后,我们来讨论控制式的终端。许多企业通过采取某些移动设备管理(MDM)控制措施来实现对iPad的完整集成。这可以在如今运行iOS4的iPad上面实现。

在iOS4中,苹果为供应商如AirWatch、BoxTone、MobileIron、Sybase、Tangoe、Zenprise等提供了远程访问接口。通过这种方法,使用者通过浏览预提供的网络地址在公司的MDM服务器和iPad之间建立连接。然后,MDM的请求和响应由苹果的推进通知服务(Push Notification Service)转发。通过这种渠道,配置档案和企业应用程序将通过无线网络被发送至受控制的iPad,同时终端配置和应用事件也可以发送回MDM服务器。

这些技术能够为系统提供近乎实时的完整评估和执行能力。例如,配置档案可被用于配置企业的VPM或者Exchange访问权限。如果访问权限之后被吊销,MDM可以移除配置档案,删除所有相关的企业数据,包括电子邮件信息、联系人和日历条目。同样地,如果MDM检测到某一iPad被“越狱”了,那么该iPad与MDM服务器之间的协作关系可被解除,之前iPad上所安装的企业应用程序也可以被禁用。

苹果限制了iOS4 MDM能控制的配置以及可执行的命令。具体而言,你不能强制安装受推荐的苹果商店应用,这会使得你可以很方便地安装安全程序如VPN客户端或恶意软件扫描程序。虽然iOS4的版本可以被检测到,但目前还无法通过无线网络进行iOS4的更新;更新仍然必须通过iTunes进行。

然而,MDM产品目前已经开始使用这些接口在iPad上评估和执行某些特定规范。例如,AirWatch能够根据预先提供的黑名单,检查安装在任何iPad商店应用程序,从而采取相应的措施,如警告用户或者远程卸载iPad上的违规程序。MobileIron可以(当然它的功能不止于此)在任何拥有过期的管理策略、被禁用的加密、未授权硬件版本等的iPad上删除Exchange、VPN或者WLAN配置档案。

总结

像iPad这样的平板电脑需要新的工具去实现、评估和执行终端集成。但是,同笔记本电脑和上网本一样,iPad的安全策略控制方法繁多,有高度可视化/触摸类的工具,也有可提供广泛控制的高度集成工具。有些企业可能会根据需要同时采取多种方法,例如,控制管理那些装有企业程序的iPad,同时将那些没有安装企业程序的当做普通来宾。要学习更多有关iPad配置档案和安全设置的内容,请查阅苹果的“iPhone in Business”(PDF文件)指南。