如果只是涉及基于用户身份、设备或位置来授予网络访问权限,制定BYOD安全计划是很简单的事情。但全面的BYOD网络安全应用将需要考虑所有这些因素,这是一个艰巨的任务。
从这一点来看,由于目前并没有单一的有效的解决方案,IT部门正在混合使用各种工具,从移动设备管理(MDM)到网络访问控制(NAC),甚至还包括带外管理系统。
为此,我们采访了四个教育机构的管理人员,他们都希望能使用自动的方式来控制数百甚至数千台个人设备,这样他们就不需要辛苦地在每个客户端安装软件。他们想要基于身份和设备的综合因素来细细致地控制访问权限,每个高管实现这个目标的方法不尽相同。
MDM工具很有潜力,但并不是全面的解决方案
这四名接受采访的高管都已经在使用或者评估MDM工具。不同的供应商提供功能不同的MDM工具,但一般这些工具都会追踪网络中的移动设备,并能根据企业的政策来限制哪些用户可以访问特定应用或者网络区域。总体而言,企业都在涌向MDM工具。在2010到2011年,Nemertes Research 调查的企业中,21.2%的企业在使用MDM。根据分析师Philip Clarke表示,该公司预计在2014年年底,这个数字将会增加到84%。
然而,单靠MDM并不能管理拥有多个设备并使用相同身份登录信息将所有设备连接到无线局域网(WLAN)的用户。如果WLAN本身不能区分经过审查的设备和可能受感染的设备,网络将处于危险之中。IT部门必须能够识别用户的多台设备,并对不同的用户及其设备授予基于角色的访问权限。这通常需要与其他工具整合,包括身份管理(IDM)和NAC产品。
BYOD安全:使用带外管理
美国北卡罗来纳州的Rowan-Salisbury学校系统的技术执行主管Philip Hardin表示,该学校系统需要基于一系列的变量来控制移动设备网络访问,包括设备类型、位置和应用等。然而,Hardin的团队需要以自动化的方式来支持软件安装以及跨多设备执行政策。
因此,该学校采用了Aerohive的HiveManager—带外网络管理系统,以及JAMF Software的iOS MDM套件。Aerohive的HiveManager让企业可以为每个用户身份和设备类型组合配置个性化的政策——政策管理网络接入、防火墙、允许特定访问的时间以及针对安全VPN接入的通道政策。
Hardin表示:“HiveManager提供中央数据收集,并提醒我们流氓客户端的存在。它使用设备指纹基于策略来应用特定安全功能,并为单个和组群设备监控设备的运行状况,以图形方式直观地显示。”
与此同时,JAMF Software会测试苹果设备以确保它们安装了苹果MDM客户端。该软件会将新设备导向到一个端口来接受设备的配置文件,从而确定其访问权限和特权。Hardin补充说:“这种整合的解决方案使学校能够管理应用访问,以及设备上的安装和软件更新。”该解决方案可以完成配置文件管理和访问控制,而不需要个人设备安装NAC客户端。
身份管理:BYOD安全的核心
纽约州的Hartwick学院使用IDM工具和下一代防火墙来处理其设备管理和访问。Meru身份管理器(Identity Manager)通过Smart Connect和Guest Connect模块来同时控制访客和员工设备的网络访问。当该学院的新员工首次尝试打开一个网页时,他将被重定向到Meru IDM设备上的强制门户页。
Hartwick学院IT执行主管Davis Conley表示,“我们的IDM设备有2048位VeriSign证书,该证书用于加密该强制门户网站的网页,然后员工下载SmartConnect作为applet或者网络配置文件。”
SmartConnect配置该设备使用加密的网络,自动验证用户,让设备将其作为首选网络,然后从设备的SSID列表移除开放式网络。而访客用户可以在Guest Connect注册Guest SSID。Smart Connect和 Guest Connect都有自动化基于角色和政策的BYOD配置。Conley称,“Guest Connect要求用户填写真实的姓名、电话号码以及他们所要访问的校园内的人,如果有问题的话,我们可以关闭他们的网络访问。”然后,Meru IDM使用一个机制来收集设备MAC地址用于未来的设备识别。
然而,Hartwick学院没有使用Meru解决方案的活动监控、政策管理和政策执行部分。Conley称:“我们已经有了自己的政策管理,我们使用Bluecoat数据包成型器、Palo Alto下一代防火墙和Tipping Point设备来查看哪些设备在传输带有病毒的内容,然后我们会要求用户解决这个问题。”
BYOD管理:带有NAC的WLAN分析工具
密歇根州的Central Michigan大学使用Lancope的StealthWatch网络分析仪来检测WLAN上的行为以及跟踪用户活动。该大学网络管理人员Ryan Laus表示,“我们使用StealthWatch来查找异常行为,并找出用户正视图做什么。然后,我们使用NAC设备(来自Bradford Networks)来识别用户,这是一个手动过程。”
通过StealthWatch,Central Michigan大学能够发现外部发起的僵尸网络攻击、蠕虫和高级持续攻击,以及内部滥用、违反政策的行为和数据泄露,无论设备类型。NetFlow为StealthWatch的分析提供数据。
现在该大学正在测试来自不同供应商的MDM工具用以执行政策。MDM将可以使用政策来控制用户可以在设备上的行为,这与Active Directory使用组策略来控制有些类似。它将阻止未经授权的软件安装,并能使管理员为BYOD部署设置配置和权限。
Central Michigan大学预计将使用StealthWatch来支持新的MDM工具包。Laus表示:“如果用户知道如何绕过MDM来安装未经批准的应用,StealthWatch可以查找超出政策范围的流量,并向NAC设备发出警报,这会将用户/设备转移到隔离的网络。”
BYOD安全:整合IDM与NAC
田纳西州的地区医疗中心正在使用Aruba Networks的ClearPass集成移动管理和NAC软件来为BYOD创建一个自配置系统。医疗中心的用户将使用标准的登录名和密码来登录,而ClearPass将基于预先确定的政策来进行配置。该医疗中心的IT主管Tony Alphier表示:“我们不需要让他们带来他们的设备以及手动安装安全/网络配置文件。”经过这个过程,NAC控制器将可以防止设备没注册和确保安全就登录到网络。
“目前我们不允许员工BYOD(内部访问),除非他们是医生,并带来一台笔记本,这样我们将手动在其设备上配置文件,”Alphier表示,“当我们添加Aruba的NAC模块时,我们将能够允许所有员工的BYOD访问。”
该医疗中心还使用Aruba的AirWave来记录和监控设备活动,Aruba技术允许Alphier提供访客网络。Alphier表示:“我们曾使用Aruba的Amogopod访客解决方案,Aruba现在还把AirWave与Clear Pass结合。我们可以让家人、病人和朋友访问我们的网络,同时保持安全。”访客现在可以自我配置,接收代码连接到互联网,同时保持与内部网络的隔离。