随着移动设备的普及,多数企业都已意识到BYOD(Bring Your Own Device)的重要性,也亟思援引适当解决方案,来满足BYOD环境建置需求。但F5 Networks技术经理林志斌认为,意欲打造BYOD,必须一并就网络架构设计加以考虑,尤其对于制造业来说,与外部供应商、协力伙伴之间经常会有协同作业需求,所以BYOD所需审视的面向更加复杂,除了内部员工外,还掺杂了一些外人,在此情况下,企业总得需要知道存取者是谁,然后根据他的角色,适才适所地赋予正确权限、给予不同资源,才能有效地推展BYOD应用。
林志斌强调,企业要想建立安全可靠的BYOD环境,先决条件就是简化单一签入(SSO)流程,藉由安全、简化、自动登入等简单步骤,好让使用者易于分享虚拟桌面基础架构(Virtual Desktop Infrastructure;VDI)资源。
一直以来,F5所提供的设备,向来介于前端使用者、后端应用服务器等两端之间,其间所有进进出出的封包内容,都可以一目了然,所以想要获悉使用者是何人、从哪里来、采用哪种设备等讯息,无疑是轻而易举;如此一来,企业一旦透过F5设备居间管控,即可根据存取者的IP安全等级、或是欲传送的内容,精确判断应当对此人实施何等安全控制。
比方说,倘若存取者的IP位址,已被系统认定为Botnet IP,此时企业便可将之引入安全区域,仅允许他存取极有限度的资源,而不管他要写入或带出任何资料,都需要严加盘查。
何以F5设备能协助企业善尽严密的存取管控?主因在于,其处在网络之中的关键位置,执行远端存取控制、SSL VPN、应用防火墙等重要任务,由于可做远端存取控制,所以能够对所有造访者进行精细盘查;由于做SSL VPN,因此可以针对后端不同应用系统,连同各个应用系统的认证与授权机制,一并进行深度整合,据此营造SSO之利基;由于做应用防火墙,所以也可充分保障后端服务器的安全,不管它是实体主机、虚拟机器,抑或是时下最夯的云端服务器,安全控管无一例外。
“为了针对不同应用情境,强化使用者登入的安全等级,F5特别提供三层式把关机制,”林志斌说,第一道机制为AD,F5设备可串联企业AD或LDAP等账号认证系统,但是光是做到这样还不够,即使使用者账号无误,但所在位置异常(譬如从国外连结企业网络),就必须适时提高安全等级,此时即可搭配第二道机制-OTA(Over The Air),透过软件Token、简讯Token或E-mail Token进行双因素认证,至于第三道机制,则是ACL控管,可让企业针对某些重要封包,进行更严格的过滤把关。
为呼应企业之于BYOD殷切需求,F5提供BIG-IP Access Policy Manager(APM)解决方案,它是一套集结了SSL VPN、SSO等功能,并支援VDI、Exchange或SharePoint等资源控制的附加模块,可与同为F5所供应的BIG-IP Local Traffic Manager(LTM)系统搭配运用。
林志斌指出,BIG-IP APM最予人深刻印象之处,即在于它的直觉化,有别于传统SSL VPN频频需要切换不同页面,借以配置不同安全政策,BIG-IP APM则能让所有事情在同一页面完成;另值得一提的是,BIG-IP APM比起一般SSL VPN,更能妥善因应云端应用需求,只因其可容纳的同时使用人数高达10万,不管进来或出去的内容,通通都可管控,同时也支援IPv6架构。
一旦采用了BIG-IP APM,则该企业使用者的远端存取情境,就会变成这样:用户在登入企业网络时,除了得接受身分与权限的确认外,他所使用的设备也得经过详细检查,针对特定的防毒软件、防火墙以及更新,“该有都要有”,经过此一深层检查程序后,才可如愿采用企业应用资源。
更重要的是,对于特别讲求资料安全的制造业来说,当员工下班返家后,仍想连线到公司网络执行某些应用操作,原本放行也不是、阻挡也不是,如今受惠于BIG-IP APM,此事便可迎刃而解,它会启动一个虚拟桌面,作为员工执行作业的环境,作业过程中所产生的任何档案资料,皆不得储存在本地设备。
此外,F5考量到使用者若以移动设备执行远端存取,恐囿于3G网络的速度较差、封包遗失率较高,因而产生不甚良好的使用体验,因此也搭配BIG-IP APM悉心提供了BIG-IP Edge Client,其支援iOS与Android等高普及率的移动应用平台,也提供了Client-side的Cache及QoS功能,借以化解上述缺憾。
另一方面,为了简化并强化企业VDI应用环境,BIG-IP APM一方面能与企业现存的MDM或其他资产系统结合,凭借身分、设备等不同维度精确判别使用者为何人,从而实施细腻管控,另可适时扮演SSO Proxy角色,且一举取代Secure Gateway、Web Gateway等惯常见于VDI环境的繁复机制,使得整体架构趋于简洁单纯,让原本复杂VDI架构不利于施行SSO的负面因子,通通一扫而空。