无论你称之为它的消费化或者带上自己的设备(byod)运动,人们使用自己的移动设备访问企业资源的趋势是不可阻挡的。一些用户(访客)只是想检查他们的社交网络,而其他用户则希望连接到他们的组织销售应用程序在路上的其他业务应用程序。许多组织试图对抗潮流,但这是一个失败的战斗。
让我们是诚实的 - 用户正在控制它安全议程,喜欢它。他们喜欢他们的设备和应用程序,他们希望在工作中使用它们。显然,供应商和企业相似认可,这不仅仅是一种时尚,正在推动次级驱动力后面的代码:通过利用运动来制造和/或节省资金的潜力。
技术辩论:决定移动设备或让用户决定?
允许员工将自己的设备带到工作意味着公司的成本节约因为它使他们能够避免购买或租赁设备本身的费用。然而,这些储蓄确实是成本的;需要控制和管理个人设备 - 因此巨大的供应商收入机会。
对此没有错误,在整个企业界的控制和管理方面都不会很久。在最近的一份报告中,Gartner预测90%的企业将在2014年通过移动设备上支持公司申请。和思科调查数据表明,我们可以预计2015年每人每人提供3.47个设备,并在2020年每人每人往返6.58个设备。这引出了问题:企业最终需要管理多少个设备?
考虑到这一点,让我们来看看寻址Byod现象的基本选项。通过轻微的投资和对基础设施和流程的更简单更改,组织可以选择:
-阻止所有设备公司尚未由公司提供。
- 阻止无论其起源如何(注意:我专门选择此短语“启用所有设备”,因为它更好地表达了让网络进入的任何内容所涉及的风险)。[也看:“年轻的员工说'对'不是'特权'“
- 或者,对某些设备的访问访问,基于需求和风险授予或阻止对资源的访问。
背景:BYOD用户策略的采样
通过本身来解决Byod几乎没有意义,因为Byod并不是一个商业目标,而是一个运动,更不用说非常狭隘的观看连接系统。因此,似乎又有可能在几年内失去其魅力,如果不是更快,请将我们带来真正的挑战:安全的移动性。真正需要的是能够仅从任何和所有安全受管设备和位置的相关资源访问。换句话说,虽然组织管理设备访问其网络是很重要的,但是管理这些设备可以在访问时无法做的,而且在它们具有访问权限的情况下,甚至更重要的是,即在“移动设备管理“(MDM)和”移动申请管理“(妈妈)。
有了这个理由,重要的是要注意,安全的移动不仅限于员工,合作伙伴或客人所拥有和进入办公室的那些设备;它还包括企业提供和个人拥有的家庭办公台式桌面,笔记本电脑和现在或在未来的任何其他网络连接设备(即,亚马逊Kindle,苹果电视,或者甚至是索尼Playstation)。
也很重要的是要理解BYOD和MDM / MAM是两个非常不同的东西,应该被视为互补性。BYOD是关于移动设备的访问,MDM / MAM提供了在加入公司网络和/或从网络断开连接时建立这些移动设备及其应用程序的粒度控制的选项。
保护本组织的网络及其数据从攻击和滥用中的数据需要不仅仅是一种含义的心态;建立安全的移动操作,需要一个移动性访问控制程序,包括公司提供,批准的员工和合作伙伴拥有的设备以及非托管的客户设备。
那么,最终到最终的安全移动性要求是什么?这是我的看法:
- 控制访问,使用不同的级别进行不同的设备,不同的OSS,不同的连接(有线/无线的),不同的用户等
- 管理设备的身份验证,以确保其预期所有者使用设备。
- 确保设备符合已定义的策略(公司/监管) - 验证设备,如设备独特的国际移动设备标识(IMEI)编号,预期的OS版本,rooted或越狱状态以及安装或缺少的特定应用程序。
- 检疫和修复政策例外。
- 为最高级别的评估和控制开发应用程序,利用(近)本机OS应用程序开发方法而不是基于抽象的平台。
- 管理设备一旦连接(使用MDM Tools)和运行在它们上的应用程序(使用MAM)。
- 利用深包检验,即使在适当的SSL加密的会话时,为了保护网络免受通过已植根的设备路由的恶意活动,它已受到恶意代码的应用程序或正在滥用的设备和应用程序。
- 保护设备免受攻击并滥用3G / 4G连接和公共网络/热点。
- 保护丢失和盗窃(SSL加密会话和应用程序控件)保护机密和敏感数据。
“组织必须采取整体方法来保护移动性,包括设备管理和保护,网络和数据访问控制以及网络保护,”Dell SonicWall的产品管理主任Dmitriy Ayrapetov说。
然而,不幸的是,由于涉及的复杂性,目前只有一些供应商可以并确实提供集成堆栈以促进端到端安全的移动性方案。在那里有较少的供应商可以为每个主要移动操作系统(Android,BlackBerry,iOS和和视窗)作为综合产品的一部分。看看市场景观如何在未来六到12个月内发展,这将是有趣的。
“与10年前的移动笔记本电脑运动没有太差;这是一个新的平台问题 - 一个控制问题 - 一个外围问题 - 在满足居住和行动的移动设备数量增加的基础设施挑战 - 这是一个基础设施挑战网络,“日立ID技术福音学诚诚诚诚所不在。“基于设备的身份验证真的需要是基于身份的访问控制,因为一旦有人接受设备,他们就可以承担设备所有者的身份。”
与此同时,组织不应该等待解决挑战。他们应该首先使用符合其业务需求和环境的实现路线结构来建立重点的计划来提供安全的移动性。以下是一种这样的策略:
*定义业务策略和要求:你在跑去医院吗?使医生能够使用自己的iPad?或者,您是否正在运行一家航空公司,提供与公司拥有的大门代理商安卓平板电脑?
*评估当前的操作环境:您是否已经拥有了家庭员工和移动笔记本电脑访问控制程序?您的基础架构可以处理每个用户的多个设备吗?
*设计,研究和飞行员:找到符合您要求的少数解决方案,并在内部和/或扩展您的基础架构中的工作。将列表向下到前两三个,并使用少数用户组进行导频。
*在阶段部署解决方案:识别基于业务使用,业务风险,设备类型,用户成熟,物理位置和其他用户/设备/业务属性的群集,然后优先考虑,部署和验证。
“IT管理员面临越来越复杂的消费者设备,访问其网络,强迫从企业设备上传统保守的立场转移到一个更加渐进的人,”Aerrapetov说,其公司最近宣布了其SRA EX9000设备和移动连接客户端的新版本为Windows,Windows Mobile,Apple Mac OS和IOS,Google Android用户提供安全访问Linux.系统。“在大多数网络中的设备批准和验证的时间窗将急剧缩短,使IT安全行业必须缩短,以满足IT管理员解决这些挑战的需求。”
如果组织继续接受ByoD并认识到,将需要进行全面的安全移动计划,我们应该在不久的将来看到伟大的IT安全成功。当然,在这些设备的制造商的一部分驱动的成功,以及安全供应商有助于管理和保护它们。
马丁是一个CISSP和IMSMARTIN咨询的创始人。写他sean@imsmartinc.com.。