BYOD并不只是移动设备安全策略
发布时间:2021-01-04 04 来源: 互联网

不论是IT消费化还是BYOD运动,人们使用自有移动设备访问公司资源的趋势是不可阻挡的。有些用户仅仅是想用一用自己的社交网络,而企业员工则是连接到企业销售应用和其他业务应用上。许多企业也尝试过阻止这些行为,但却以失败告终。

  实话说,用户现在其实掌控着IT安全的局势。他们希望在上班的时候可以使用自己的设备以及上面的应用。显然,供应商和企业都已经意识到这一点并起着推波助澜的作用,因为BYOD或许可以节省资金或赚钱。

  允许员工把自己的设备带到工作场所意味着为企业节约成本,因为这样企业可以免去购买活借出设备。尽管可以节约成本,但是仍然要对个人设备进行管理。

  设备数量很快就可能超出控制,要在企业内部进行整体管理。在一项报告中,Gartner预测90%的企业将在2014年支持员工在移动设备上使用企业应用。而Cisco的调查数据也显示到2015年的时候,每个人将持有3.47个设备,而2020年有望达到6.58个设备。这就提出了一个问题:一个人持有的移动设备达到多少时,企业就需要进行管理了呢?

  在这个问题的引导下,让我们看一下应对BYOD现象的基本选项。对架构和流程增加少量投资以及简单的改变,企业可以选择如下操作:

  1.阻止所有未在企业备案的设备。

  2.不论设备来自哪里都不进行拦截(注意:此处不对设备进行拦截是因为它更好地诠释了让所有设备都接入网络所存在的风险。)

  3.控制部分设备的接入,按照需要和风险程度进行接入评级或拦截。

  自主解决BYOD的作用不明显,因为BYOD其实并非商业意图而是一种运动。因此,BYOD的营销措辞会在短短几年内失去其吸引力,如果没有的话,则会带给我们真实的挑战:安全的移动性。真正的需求是仅允许接受管理的设备从安全的接入点对相关资料进行安全的访问。换言之,虽然企业需要管理接入网络的设备,但是在设备进行访问时,规定其能做什么不能做什么,这种方法结合了“移动设备管理(MDM)”和“移动应用管理(MAM)”。

  在此基础上,更有必要意识到安全的移动性并非仅限于这些员工,合作伙伴或客户的所持有的设备;它还包括企业备案过的家庭办公电脑和其他目前可联网设备(Amazon Kindle,Apple TV甚至是索尼PlayStation)。

  还需要意识到BYOD和MDM/MAM是两种不同事物,二者相辅相成。BYOD与移动设备有关,而MDM/MAM为给这些移动设备以及应用联网或离线状态时创建粒度化管理提供了选择。

  保护企业网络,防止数据受到攻击与滥用不能纸上谈兵;创建安全的移动操作需要提供移动访问控制程序,这种程序应该为经企业备案的,被企业认可的员工或合作伙伴所持有设备以及不受管理的客户设备提供相应的管理方案。

  那么,什么是端到端的安全移动需求呢?下面是笔者的建议:

  1.控制访问:为不同设备、不同的操作系统、不同的连接以及不同用户配备不一样的访问级别。

  2.对设备进行验证管理以确保设备不被滥用。

  3.确保设备有相应的策略——验证的项目包括设备的全球唯一移动设备识别号(IMEI)、OS版本、是否被越狱、已安装指定应用或缺少的应用等。

  4.保障与故障解决策略的特例。

  5.为最高级别的评估和控制开发应用,利用与抽象平台截然不同的原有OS应用开发方法。

  6.设备和应用一旦联网就要使用MDM工具和MAM工具进行管理。

  7.即便是部署了SSL加密对话,也要进行深层数据包检测,这样才能保护网络不受根植于设备和应用的恶意代码攻击。

  8.保护设备不在3G/4G网络中和公共网络/热点受到攻击。

  9.保护私密数据和敏感数据不出现丢失和被盗(SSL加密对话和应用控制)。

  “企业有必要采用整体方法,确保移动安全,包括设备管理和保护,网络和数据访问控制以及网络保护。”Dell SonicWALL产品管理总监Dmitriy Ayrapetov说。

  遗憾的是,技术上的复杂性使得只有少数供应商有能力提供综合堆栈满足端到端的移动安全需求。而能够为主流移动操作系统(安卓、黑莓、iOS和Windows)提供本地支持的供应商则更少。所以,接下来的六到十二个月,市场的演化值得期待。

  Hitachi-ID技术传道者ChengWei Cheng表示,BYOD与十年前的笔记本浪潮有着太多不同,还存在一个新的平台问题那就是控制问题。基于设备的验证确实也需要以身份信息为基础的访问控制,这样当有人拿到这个设备的时候,就可以亮明设备主人的身份。

  与此同时,企业应该正视这种挑战。他们应为移动安全部署路线图以满足企业和环境需求。下面是一种可行的策略。

  1.定义业务策略和需求:你是运营一家允许医生使用个人iPad的医院吗?还是提供安卓平板服务的航空公司?

  2.访问当前操作环境:你是否已经部署居家员工和笔记本访问控制程序?个人用户的移动设备持有量在两个以上时,你的架构可以从容应对吗?

  3.设计、研究和试验:找到能满足你需求以及可扩展架构的大量方案。先选两到三个产品对少量用户群进行测试。

  4.分阶段部署:按照业务使用、业务风险、设备类型、用户成熟度、物理定位和其他用户/设备/业务/属性等安排识别要素,然后对这些要素的优先级别进行排序,部署和验证。

  “消费级设备访问网络给IT管理人员带来的压力与日俱增,这也迫使他们从传统的立场变得更加积极。”Ayrapetov说。他的公司最近发布了SRA EC9000装置和移动连接客户端,为Windows,Windows Mobile,苹果Mac和iOS,谷歌安卓和Linux用户提供安全访问。“在大多数网络中,设备认证会急剧缩短,因此IT安全行业将不可避免地要一步一步满足IT管理人员的需求。”

  如果企业持续接受BYOD,而且认识到需要部署一个综合的移动安全计划,那么不久的将来我们可以见证IT安全的成功。当然,还有这些设备的厂商的推动作用以及安全厂商对管理和保护起到的帮助。  

移动信息化交流QQ群:一号群:211029692 二号群:344692795 CIO交流群:316076815(需认证)

Copyright © 2012-2021  www.irhp.cn 版权所有   
声明:本站部分资源内容为站内原创著作,也有部分基于互联网公开分享整理,版权归原作者所有。如侵犯到您的权益,请联系本站,我们会尽快处理,谢谢!