携带自己网络现象让携带自己设备到工作场所(BYOD)环境的安全更复杂化。大多数安全专家都在努力应付携带自己设备到工作场所(BYOD)现象,最终用户将自己的移动设备带到企业环境的同时,也带来了一系列的安全隐患。然而,BYOD安全环境被另一个新兴趋势更加复杂化:携带自己网络(BYON)。
BYON安全问题是一种越来越普遍的技术的副产品,即帮助用户创建自己的移动网络的技术。这种动态区域网络(DAN)通常通过移动无线热点功能来创建,对于这种网络,企业需要采取新的安全方法,在新安全方法中,不仅要将内部设备视为不可信任设备,而且还应将内部网络视为不可信网络。
与BYOD一样,BYON安全问题不能简单地通过单点解决方案来解决,这需要结合人力、流程和技术多方面因素。
在BYOD浪潮出现以前,企业定义了网络外围,并且相应地架构其内部网络。然而,现在,企业必须接受这样的现实,即所有网络和所有设备都应该当做敌人来对待,而不管你部署了多少技术安全控制。
这样做的原因很多。随着新威胁的演变,基于签名技术的有效性逐渐下降;用户具有越来越高的移动性,并且他们需要同时连接到内部和外部网络。
在BYOD和BYON的世界,企业必须创建新的服务模式,假设网络是敌人,设备是难以管理,数据被用于多种技术平台。
企业必须在现场安排人员来帮助部署这种新安全方法。还必须制定一系列流程来支持BYOD和BYON,包括政策、标准、指令和准则等。这些流程不仅要考虑数据因素(哪些数据需要保护,在哪里执行安全控制以及数据该如何被保护),而且当涉及BYOD/BYON技术时,还要定义可接受的业务行为。
传统上来讲,IT的安全做法都是基于员工使用受企业管理的系统。那么不受管理的BYOD和BYON系统应该放在哪里呢?企业必须制定一个认可的BYOD流程来定义企业应该如何处理这些不受管理的系统。
Forrester研究公司最近讨论了“扩展企业”的概念,企业必须控制对关键资源的访问权限,而无论连接设备、使用的网络或者数据存储情况如何。
为了让企业适应当前用户移动性及其后续发展的状态,Forrester表示,企业必须将重点放在对重要数据的安全控制上,而不是放在网络或设备上。
与BYOD一样,没有哪个单点技术可以作为BYON的整体解决方案来部署。作为企业部署技术控制的起点,第一步是建立一个以数据为中心的安全模式。以数据为中心的安全已经存在相当长一段时间,对于BYOD等趋势,它是让企业为用户提供移动性的“先行者”,企业主要通过围绕数据存储的网络控制以及在应用层建立适当的安全控制来提供用户移动性。
下一步是转向整个基础设施的网络安全控制,将它们转移到入站,创建一个外围来保护数据。这种方法帮助企业消除了对与不受管理设备位于相同“敌对”网络的数据资源安全的焦虑。
通过瓦解围绕数据源的网络外围(作为静态数据控制),我们现在可以将注意力放在数据访问方法上,即对动态数据的控制,方法之一是部署下一代防火墙(NGFW)。
传统防火墙最多只能在传输层执行安全控制,它们并不清楚谁在访问数据以及数据时如何被访问。通过下一代防火墙,企业获得了对数据使用情况的进一步能见度,包括应用类型以及用户身份等。这可以确保移动用户随时随地访问数据,同时筛选出异常或恶意内容。
最后一步是设计、开发和部署能够支持随时随地访问的应用程序(对使用中数据的控制),在部署这种移动应用程序时,企业可以采取两种方法。
第一种方法扩展安全软件开发的行业最佳做法,即向应用程序嵌入安全过滤控制附加层,例如数据屏蔽或者基于角色的身份验证。
第二种方法是使用应用程序虚拟化软件来保护移动设备内的数据。
通过这些方法,企业可以允许用户随时随地访问数据,并且确保数据被存储在预定位置,通过经认可的方法来传输。
BYOD和BYOD趋势还将继续发展,它们将创建不受管理且日益敌对的业务和IT环境。作为安全专业人员,我们必须摈弃传统的安全做法,并创建提供安全数据访问的服务模式,无论设备、网络或来源如何。