在“千年蟲”這場(chǎng)巨大的市場(chǎng)騙局之后,似乎沒有什么比BYOD(自帶設(shè)備)設(shè)備更能在電腦網(wǎng)絡(luò)世界引起更大的喧囂。BYOD設(shè)備十分可怕,而且對(duì)于銷售產(chǎn)品來說,也十分可怕,這一點(diǎn)是有利于供應(yīng)商的。然而,事實(shí)是,BYOD設(shè)備已經(jīng)發(fā)展到有點(diǎn)像“千年蟲”了,而這個(gè)問題本沒有那樣嚴(yán)重。
是的,移動(dòng)浪潮正不斷襲來,但是推銷產(chǎn)品的人以一種不成比例的方式將一切“搞砸”了。狂熱的智能終端追隨者正迫使企業(yè)重新評(píng)估他們的無線策略。但是人人都知道一個(gè)事實(shí),那就是,大多數(shù)企業(yè)想要利用BYOD處理的事務(wù)寥寥無幾。
1. 尋找一種簡(jiǎn)單的方式來承載所有設(shè)備(企業(yè)設(shè)備與個(gè)人設(shè)備)
2. 用戶連接時(shí),自動(dòng)提供基于用戶的政策
3. 查看正在接入網(wǎng)絡(luò)的設(shè)備與個(gè)人
4. 將有線安全性與設(shè)計(jì)(內(nèi)容過濾、防火墻及VLAN)擴(kuò)展到無線網(wǎng)絡(luò)中
5. 提高無線網(wǎng)絡(luò)容量,支持每人2臺(tái)、3臺(tái)甚至4臺(tái)設(shè)備
6. 保持其簡(jiǎn)單、成本效益,并能利用現(xiàn)有基礎(chǔ)設(shè)施!
當(dāng)然,一些組織機(jī)構(gòu)還想對(duì)設(shè)備和應(yīng)用進(jìn)行直接管理,提供NAC(與anti-x)檢測(cè)、 隔離和修復(fù),然后借助高度定制化的策略,對(duì)用戶進(jìn)行過濾、控制和引導(dǎo),而這種策略是基于17種不同條件,包括(但不限于)用戶、設(shè)備、位置、時(shí)間、接入方式、用戶狀態(tài)、月相、室外環(huán)境溫度、潮汐水平甚至是衣服的尺碼 。
我們可以理解,在一些IT員工專業(yè)知識(shí)及IT預(yù)算都十分充足的組織機(jī)構(gòu)(例如那些設(shè)有嚴(yán)格合規(guī)性要求的企業(yè))中,他們需要在適當(dāng)?shù)奈恢貌捎酶叨榷ㄖ苹陌踩呗浴5牵徽揃YOD設(shè)備如何大肆宣傳“每個(gè)人都需要所有定制化服務(wù),而且遠(yuǎn)不止于此”,企業(yè)主流市場(chǎng)還是有可能打破這些假設(shè)。
每當(dāng)談到BYOD設(shè)備時(shí),只有很少幾家中等級(jí)別的公司真正想要“一針一線”地進(jìn)行落實(shí),原因包括幾點(diǎn):首先,他們沒有時(shí)間;其次,他們的員工不具備相關(guān)技能;再次,他們沒有相關(guān)預(yù)算;第四,他們沒有看到需求,或是認(rèn)為并不必要;最后,以上全部。然而,更加重要的是,企業(yè)機(jī)構(gòu)已經(jīng)擁有了合適的網(wǎng)絡(luò)部件,可以用來滿足他們的BYOD的基本需求,他們本就不必添置更多的網(wǎng)絡(luò)設(shè)備。
身份認(rèn)證 – 根據(jù)現(xiàn)有的認(rèn)證服務(wù)器(LDAP、AD等),你已經(jīng)安全地對(duì)用戶進(jìn)行了認(rèn)證。即使你并不想采用802.1X,也依然有極佳的方案可用于特定的用戶無線認(rèn)證。
網(wǎng)絡(luò)安全性 – 許多組織機(jī)構(gòu)已經(jīng)投入巨大的時(shí)間與精力,利用VLAN、ACL、防火墻和內(nèi)容過濾設(shè)計(jì)適當(dāng)?shù)木W(wǎng)絡(luò)分區(qū)和安全性。如果你已經(jīng)對(duì)有線網(wǎng)絡(luò)進(jìn)行了這種處理,為什么還要在無線設(shè)備上重復(fù)這些配置和復(fù)雜過程呢?
基于角色的訪問策略 – 你會(huì)知道誰在網(wǎng)絡(luò)中以及其隸屬哪個(gè)部門;現(xiàn)在,應(yīng)該利用這些信息確保每個(gè)人都能正確接入,而沒有其他人。身份認(rèn)證策略也可以應(yīng)用到設(shè)備類型中。
可視性 – 網(wǎng)絡(luò)中會(huì)有許多設(shè)備,能夠監(jiān)測(cè)誰在你的網(wǎng)絡(luò)中,以及他們正在做什么。智能Wi-Fi系統(tǒng)可以在邊緣提供這一信息。在這里,你能依照需求和網(wǎng)絡(luò)用處改變進(jìn)行配置變更。
基于角色的接入通常是最大的障礙,但是對(duì)于那些群組策略已經(jīng)打包得頗為完善的企業(yè)來說,新的問題在于是否所有的用戶和設(shè)備都是同等的。這些問題的提出者正是那些攜帶個(gè)人設(shè)備的用戶。因此,圍繞BYOD設(shè)備的基本問題就是,用戶是已知的,可設(shè)備不是。
IT員工需要了解哪些設(shè)備何時(shí)在線,以及它的所有人。然而,網(wǎng)絡(luò)接入已經(jīng)為網(wǎng)絡(luò)安全性和網(wǎng)絡(luò)分區(qū)(以及任何其他正在使用的overlay方案,如NAC和內(nèi)容過濾)。這樣一來,就產(chǎn)生了一些重要的問題:
個(gè)人設(shè)備最初如何配置獲得網(wǎng)絡(luò)連接?
如何識(shí)別每臺(tái)設(shè)備、與用戶關(guān)聯(lián)以及接受跟蹤?
WLAN或VLAN/防火墻策略如何對(duì)用戶/設(shè)備進(jìn)行限制?
實(shí)際上,在BYOD設(shè)備的問題日益突出以前,就已經(jīng)有了幾種非常易于使用的Wi-Fi功能,可以幫助大多數(shù)組織機(jī)構(gòu)克服BYOD問題。
動(dòng)態(tài)預(yù)共享密鑰(DPSK)是一款獨(dú)特的針對(duì)組織機(jī)構(gòu)的功能,它不會(huì)涉及Wi-Fi BYOD安全性和802.1X的更深層次。傳統(tǒng)上,個(gè)人WPA-2在整個(gè)網(wǎng)絡(luò)中采用一個(gè)共享的預(yù)共享密鑰(PSK),這樣一來,這些共享密鑰就會(huì)存在許多可知的安全性和管理能力問題。但是,有了動(dòng)態(tài)預(yù)共享密鑰技術(shù),它會(huì)為每個(gè)用戶和設(shè)備生成一個(gè)獨(dú)一無二的、安全的密鑰。通過將用戶/設(shè)備與單獨(dú)的PSK證書進(jìn)行配對(duì),密鑰/設(shè)備/用戶組合就能擁有一種獨(dú)特的策略,并且能夠進(jìn)行獨(dú)立管理與監(jiān)測(cè)。
802.1X/EAP 一直混亂且/或難于實(shí)施。預(yù)共享密鑰存在一些安全弱點(diǎn)和管理問題,而動(dòng)態(tài)預(yù)共享密鑰則恰好彌補(bǔ)了這些,它是有線和無線環(huán)境同樣適用的最佳方案:
為每個(gè)用戶和設(shè)備提供獨(dú)特的訪問證書
用戶證書單獨(dú)控制 (產(chǎn)生與撤回)
沒有認(rèn)證、配置復(fù)雜或后端依賴問題
有效用戶無法破譯其他用戶流量
動(dòng)態(tài)預(yù)共享密鑰技術(shù)十分適合BYOD一族,尤其是那些陷于802.1X體驗(yàn)糟糕與傳統(tǒng)口令模式之中的公司。
還有一些功能可以實(shí)現(xiàn)設(shè)備配置自動(dòng)化,如Ruckus公司的針對(duì)企業(yè)的“零IT”激活,這些功能為BYOD設(shè)備帶來了獨(dú)特優(yōu)勢(shì)。與動(dòng)態(tài)預(yù)共享密鑰或802.1X技術(shù)一樣,“零接觸”功能提供了一個(gè)安全的在線管理工具,使得用戶可以自行配置設(shè)備,無需IT人員介入。
在一個(gè)典型的工作流程中,用戶會(huì)連接到配置網(wǎng)絡(luò),以其域名證書進(jìn)行安全登錄,配置工具則會(huì)自動(dòng)對(duì)用戶設(shè)備配以適當(dāng)?shù)木W(wǎng)絡(luò)描述文件和其相關(guān)權(quán)限。設(shè)備會(huì)重新連接到相應(yīng)的網(wǎng)絡(luò),用戶會(huì)獲得連接。這些都是依靠Wi-Fi系統(tǒng)中或從用戶數(shù)據(jù)庫(kù)中獲得恰當(dāng)?shù)幕诮巧牟呗浴T員工始終置身于管理之外,卻依然握有對(duì)用戶/設(shè)備訪問的全部控制權(quán)。而且在大多數(shù)系統(tǒng)中,管理員會(huì)獲得可視性以查看特定設(shè)備的設(shè)置(MAC和IP地址、主機(jī)名等)、哪個(gè)用戶注冊(cè)了設(shè)備、設(shè)備是哪種等等很多。
對(duì)于那些想要擁有額外的特定設(shè)備策略的企業(yè)來說,大多數(shù)供應(yīng)商已經(jīng)有了集成軟件,可以利用操作系統(tǒng)指紋技術(shù)配置新設(shè)備。如果IT員工需要額外的控制層面,有了這些用戶、角色、位置和基于時(shí)間的策略,他們就可以獲得更高的精度。
比起成熟完善的NAC和MDM方式,這些解決方案顯然還缺乏威脅性,但是,他們的確為大部分企業(yè)解決了實(shí)際問題,而且幸運(yùn)的是,這些解決方案很容易設(shè)置,并且BYOD用戶使用起來很直觀。如果WLAN的設(shè)計(jì)合理且能提供可靠的射頻功能,用戶就可以保持連接與高帶寬。而這一切,其實(shí)才是BYOD該有的樣子。
作者簡(jiǎn)介
宣文威先生畢業(yè)于清華大學(xué),獲工學(xué)碩士學(xué)位,現(xiàn)任優(yōu)科無線(Ruckus Wireless)公司中國(guó)區(qū)技術(shù)總監(jiān),負(fù)責(zé)中國(guó)區(qū)傳播優(yōu)科無線公司先進(jìn)的技術(shù)和產(chǎn)品、開發(fā)并培訓(xùn)合作伙伴、服務(wù)中國(guó)客戶,拓展中國(guó)無線市場(chǎng)。在加入優(yōu)科(Ruckus Wireless)之前,宣文威先生有二十年通信領(lǐng)域從業(yè)經(jīng)驗(yàn),先后服務(wù)于朗訊科技中國(guó)有限公司、Proxim美國(guó)西方多路無線公司、Tropos無線公司等。
京公網(wǎng)安備 11010502049343號(hào)