针对企业iPad终端整合的安全策略

安全 移动安全
随着人们不断地提高笔记本电脑的安全性和集成度,笔记本电脑的功能已经足够强大。那么,如今涌入产业界的下一代网络终端设备的性能又如何呢?平板电脑现在在业界正炙手可热,其中的佼佼者便是苹果的iPad。

随着人们不断地提高笔记本电脑的安全性和集成度,笔记本电脑的功能已经足够强大。那么,如今涌入产业界的下一代网络终端设备的性能又如何呢?平板电脑现在在业界正炙手可热,其中的佼佼者便是苹果的iPad。毫无疑问,在接下来的几个月里,iPad在企业中的应用将会增加。

要高效地使用这款流行的平板电脑,工人需要访问企业的应用程序和数据,但这也意味着企业的程序和数据等资源不能违反相关政策,并且不能对iPad进行“越狱”。接下来让我们讨论讨论,对于那些想要将iPad作为其企业网络终端的人们来说,集成iPad都有哪些方法。

方法1:来宾终端(Guest endpoints)

作为一款支持Wi-Fi的设备,iPad能够接入任何开放的无线局域网(WLAN),包括来宾式无线局域网(guest WLANs)。因此,一种在网络中集成iPad的方式就是默认将员工拥有的iPad当做来宾终端,就像对待其他无法管理的来宾终端一样。

网络访问控制(NAC)产品通常用于控制来宾对网络的访问,如对来宾接入网络的时间进行限制,或者在接入前对其进行安全扫描。但是,NAC服务器无法持续地为iPad布置NAC客户端,也不能强制iPad运行基于浏览器的安全扫描。因此,我们只应给予iPad基于Web或因特网方式的接入权限。

在这种方法中,网络访问控制器和网络入侵监测系统可配合使用,用于识别iPad、监测终端接入系统后的活动以及断开“不守规矩”的设备。虽然这两种技术能够提供可视化功能,并且也能够保护网络,但是仅对iPad设备提供普通的来宾访问权限并不能使其成为一个(真正意义上的)企业用网络终端,相反还会限制该设备的能力。

方法2:远程终端(Remote endpoints)

另外一种方法是将iPad当做远程终端来使用,即便是在本地无线局域网内也可以这样做。例如,已接入英特网的iPad可以通过Exchange ActiveSync(交流同步)检索公司邮件,或者使用由思科系统公司或Juniper网络公司提供的VPN客户端来获得比来宾账户更大的网络接入权限。

我们可以要求iPad的使用者浏览预提供的网络地址,安装配置档案进行批量系统设置,这些设置包括设备的加密和密码要求、数字证书、VPN和Exchange的使用参数及使用限制(如禁用摄像头)。配置档案能够被锁定并加密,以防止共享或者篡改,但关键还是在于强制执行配置档案;安装配置档案也不能够确保每一台iPad都兼容。

要解决这个问题,一个办法是每当电子邮件被阅读时,使用Exchange ActiveSync检测被选择的iPad的配置情况,剔除不兼容的终端。例如,在Exchange ActiveSync的政策设置里我们可以阻止未签名的应用程序阅读公司邮件。同样地,它也能够将政策设置传递给那些拥有Exchange访问权限的iPad,iPad还可以被设置为定期刷新这些政策设置。

另一种办法是安装与iOS兼容并具有整体系统评估能力的VPN客户端。例如,Juniper公司的Junos Pulse Mobile Security Suite,该套件结合了SSL VPN技术与终端安全措施,如反病毒、反垃圾邮件以及接入企业网络所必需的应用程序控制等。该VPN客户端甚至可以在受理相同的身份认证、整体监测或授权策略时自由地在Wi-Fi网络和移动通信网络之间漫游。我们还可以选择使用思科的与iOS兼容的AnyConnect。

方法3:受控终端(Managed endpoints)

最后,我们来讨论控制式的终端。许多企业通过采取某些移动设备管理(MDM)控制措施来实现对iPad的完整集成。这可以在如今运行iOS4的iPad上面实现。

在iOS4中,苹果为供应商如AirWatch、BoxTone、MobileIron、Sybase、Tangoe、Zenprise等提供了远程访问接口。通过这种方法,使用者通过浏览预提供的网络地址在公司的MDM服务器和iPad之间建立连接。然后,MDM的请求和响应由苹果的推进通知服务(Push Notification Service)转发。通过这种渠道,配置档案和企业应用程序将通过无线网络被发送至受控制的iPad,同时终端配置和应用事件也可以发送回MDM服务器。

这些技术能够为系统提供近乎实时的完整评估和执行能力。例如,配置档案可被用于配置企业的VPM或者Exchange访问权限。如果访问权限之后被吊销,MDM可以移除配置档案,删除所有相关的企业数据,包括电子邮件信息、联系人和日历条目。同样地,如果MDM检测到某一iPad被“越狱”了,那么该iPad与MDM服务器之间的协作关系可被解除,之前iPad上所安装的企业应用程序也可以被禁用。

苹果限制了iOS4 MDM能控制的配置以及可执行的命令。具体而言,你不能强制安装受推荐的苹果商店应用,这会使得你可以很方便地安装安全程序如VPN客户端或恶意软件扫描程序。虽然iOS4的版本可以被检测到,但目前还无法通过无线网络进行iOS4的更新;更新仍然必须通过iTunes进行。

然而,MDM产品目前已经开始使用这些接口在iPad上评估和执行某些特定规范。例如,AirWatch能够根据预先提供的黑名单,检查安装在任何iPad商店应用程序,从而采取相应的措施,如警告用户或者远程卸载iPad上的违规程序。MobileIron可以(当然它的功能不止于此)在任何拥有过期的管理策略、被禁用的加密、未授权硬件版本等的iPad上删除Exchange、VPN或者WLAN配置档案。

总结

像iPad这样的平板电脑需要新的工具去实现、评估和执行终端集成。但是,同笔记本电脑和上网本一样,iPad的安全策略控制方法繁多,有高度可视化/触摸类的工具,也有可提供广泛控制的高度集成工具。有些企业可能会根据需要同时采取多种方法,例如,控制管理那些装有企业程序的iPad,同时将那些没有安装企业程序的当做普通来宾。

【编辑推荐】

  1. 想采用iPhone,iPad?请先考虑网络安全
  2. 任子行企业单位终端安全解决方案
  3. 2011年终端管理系统市场预测
  4. 和信创天:解读终端管理误区
责任编辑:佟健 来源: TechTarget中国
相关推荐

2014-05-09 11:19:15

大数据云安全

2010-01-05 11:00:54

2012-11-09 10:55:44

2013-09-17 11:07:22

2011-01-24 13:51:46

信息安全策略安全管理

2013-12-10 13:26:51

移动安全MDM

2009-10-22 09:49:44

IT安全安全策略网络安全

2022-07-27 11:26:55

数据安全企业

2021-12-14 16:02:30

API安全漏洞网络攻击

2022-02-13 00:29:57

云安全云计算安全

2010-01-27 10:30:32

2011-03-23 10:58:52

2009-08-05 10:49:50

信息安全策略安全管理

2010-09-17 14:50:06

2010-09-27 17:02:00

2013-03-29 10:44:00

移动设备BYOD移动安全

2024-10-24 14:23:03

2015-09-02 10:21:55

2014-04-21 10:24:06

2022-02-16 10:44:34

数据安全网络攻击数据泄露
点赞
收藏

51CTO技术栈公众号