不管你叫它消费化的或者是自带设备(BYOD)运动,人们使用自己的移动设备访问公司资源的趋势是不可阻挡的。一些用户(客人)只是想检查他们的社交网络,而另一些用户(员工)想连接到他们组织的销售应用程序以及其他商业应用程序。许多组织都试图逆流而上,但这是一场失败的战斗。
让我们诚实地说——用户正在控制IT安全议程,喜欢还是不喜欢。他们热爱他们自己的设备和应用程序,他们希望在工作中使用它们。显然,厂商和企业都已经认识到这是一个多时尚和助长背后BYOD二次驱动力:潜在的制造和/或节省资金通过资本化的运动。
技术讨论:支配移动设备还是让用户决定?
允许员工带着自己的设备上班手段节约成本的企业因为这让他们能够避免购买或租赁设备本身的费用。然而,这些节约是有代价的;个人设备仍然需要控制和管理,因此有巨大的供应商收入机会。
毫无疑问,用不了多久,在整个企业世界中,将会有难以想象的大量此类设备需要控制和管理。在最近的一份报告中,Gartner预测90%的企业将在2014年并支持移动设备上的企业应用思科调查数据显示,2015年每人将拥有3.47台手机,2020年将达到6.58台。这就引出了一个问题:企业最终需要每个人管理多少设备?
考虑到这一点,让我们来看看解决的BYOD现象的基本选项。除了少数的投资和相对简单的改变基础设施和流程,企业可以选择:
-阻止所有设备尚未由公司提供。
- 无座,不论其出身的设备,(注:我特别选择了这句话在“使所有设备”,因为它更好的表达参与任何让访问网络的风险)。[另请参见:“年轻员工说BYOD是一种“权利”而不是“特权”"]
-或控制某些设备的访问,根据需要和风险批准或阻止对资源的访问。
背景:BYOD用户策略的抽样
解决BYOD本身没有什么意义,因为BYOD不是一个真正的商业目标,而是一种运动,更不用说一种非常狭窄的看待连接系统的方式。因此,自带设备的营销用语可能在几年之内就会失去吸引力,留给我们的是真正的挑战:安全的流动性。真正需要的是,从任何和所有安全管理的设备和位置,确保对相关资源的安全访问。换句话说,虽然管理设备访问他们的网络很重要,但更重要的是管理这些设备在访问时能做什么和不能做什么,这是一种结合了“移动设备管理" (MDM)及"移动应用管理”(MAM)。
在奠定了这些基础之后,需要注意的是,安全移动性不仅仅局限于那些员工、合作伙伴或客人拥有或带进办公室的设备;它还包括公司供应的和个人拥有的家庭办公台式电脑、笔记本电脑以及现在或将来可以使用的任何其他联网设备(比如亚马逊的Kindle、苹果电视,或者甚至是索尼的PlayStation)。
同样重要的是要明白,BYOD和MDM / MAM是两个完全不同的事情,应该被看作是互补的。BYOD是有关移动设备的访问,和MDM / MAM提供了选项在这些移动设备及其应用建立精细的控制后,他们加入企业网络和/或当它们被从网络上断开。
保护组织的网络,并从攻击和滥用它的数据需要更多的不仅仅是一个BYOD的心态;建立安全,支持移动设备的操作要求,包括公司置备的,批准的员工和合作伙伴所拥有的设备以及非托管客户机,移动性接入控制程序。
那么,什么是终端到终端的安全性要求?这是我的看法:
-控制访问,使用不同的水平为不同的设备,不同的OSs,不同的连接(有线/无线),不同的用户,等等。
-管理设备的认证,以确保该设备正在被其预期的所有者使用。
-确保设备符合规定的政策(公司/监管)-验证项目,如设备的唯一国际移动设备身份(IMEI)号码,预期的操作系统版本,根或越狱状态,以及安装或丢失的特定应用程序。
- 隔离和修复策略异常。
-为最高级别的评估和控制开发应用程序,利用(接近)本地OS应用程序开发方法,而不是基于抽象的平台。
- 管理的设备一旦连接(使用MDM工具)和其上运行的应用程序(使用MAM)。
——利用深度数据包检测即使SSL加密会话到位,以防止恶意活动的网络,通过已被破坏的恶意代码正在滥用已经根深蒂固的设备,应用程序或设备和应用程序进行路由。
- 从攻击保护设备和误操作过3G / 4G连接和公共网络/热点。
- 从丢失和被盗(SSL加密的会话和应用程序的控制)保护机密和敏感数据。
“当务之急是组织采取全面的方法来安全的移动性,包括设备管理和保护,网络和数据访问控制和网络保护,”德米特里Ayrapetov,戴尔SonicWALL产品管理总监说。
然而不幸的是,由于涉及的复杂性,目前只有少数厂商能够和不提供一个整合堆栈,以促进终端到终端的安全移动性场景。甚至有更少的供应商,有可以为每个主要的移动操作系统(Android,黑莓,iOS和提供原生支持视窗)作为综合服务的一部分。看看未来6到12个月市场格局的演变将会很有趣。
“BYOD是不是从10年前的移动笔记本电脑的移动太不一样了,它是一个新的平台的问题 - 一个控制问题 - 周边问题 - 在满足移动设备的数量增加的需求居住和作用于基础设施的挑战网络,”诚伟诚,技术推广日立-ID说。“基于设备的认证真正需要基于身份的访问控制,以及因为,只要有人需要的设备,他们可以承担设备所有者的身份。”
与此同时,各组织不应等待应对挑战。他们应该首先构建有重点的计划,使用与他们的业务需求和环境相匹配的实现路线图来交付安全的移动性。以下就是其中一种策略:
*定义的业务策略和要求:你运行一个医院说让医生可以使用自己的ipad吗?或者,你经营的航空公司是否为登机口代理提供公司所有的服务Android的平板电脑?
*评估当前的操作环境:您是否已经到位家员工和移动笔记本电脑访问控制程序?你能处理基础设施的每个用户多台设备?
*设计,研究和试验:找到符合您要求的解决方案的少数和工作中和/或扩展您的基础架构。惠特尔列表中上下顶端两个或三个,并与一些用户群进行试点。
*分阶段部署解决方案:根据业务使用、业务风险、设备类型、用户成熟度、物理位置和其他用户/设备/业务属性确定要命中的集群,然后对其进行优先排序、部署和验证。
“IT管理员面临日益复杂的消费设备访问网络,迫使从传统保守的立场对企业设备转移到一个更进步,“Ayrapetov说,他的公司最近宣布了一个新版本的SRA EX9000电器和手机连接的客户端为用户提供安全访问Windows, Windows Mobile,谷歌Android和苹果Mac OS和iOSLinux的系统。“在大多数网络中,设备审批和验证的时间窗口将大大缩短,这使得it安全行业必须加快步伐,以满足it管理员解决这些挑战的需求。”
如果组织继续采用BYOD,并认识到一个全面的安全移动计划将被要求继续进行,我们将在不久的将来看到巨大的IT安全成功。当然,成功的部分原因是这些设备的制造商,以及帮助管理和保护它们的安全供应商。
马丁是一名CISSP,也是imsmartin咨询公司的创始人。他在写sean@imsmartinc.com。