BYOD — от концепции к практике

Сегодня мы обсуждаем набирающую популярность тему: BYOD (Bring Your Own Device).

На данный момент концепция BYOD относительно мало известна в России и ближайших государствах, но это очень популярная и быстрорастущая тенденция в США, Европейских странах и т.д.

Так что же такое BYOD?

Можно сказать, что это набор правил и технологий, который позволяет:

  • обеспечить доступ в интернет и к сетям передачи данных с любых мобильных устройств, включая те, которые не имеют проводных сетевых интерфейсов (смартфоны, планшеты и т.п.),
  • обеспечить контроль и применение необходимых правил к пользователю, который хочет получить доступ, с какого устройства, из какого места и к каким ресурсам сети,
  • обеспечить применение более сложных правил для, например, предотвращения использования устройств в нерабочих целях в рабочее время (например через контроль веб-трафика).

А так ли нам нужны все эти сложности? Не проще все запретить?

Давайте посмотрим результаты некоторых исследований на эту тему: недавний глобальный опрос Cisco показал, что 40% студентов колледжей и около 45% работников готовы работать на условиях с меньшей оплатой, если им будет предоставлена свобода выбора персональных устройств, чем на условиях с более высокой оплатой, но с меньшей гибкостью. В то же время ИТ департаменты гораздо менее убеждены, что такая гибкость является хорошей идеей, и по другим исследованиям — около 70% ИТ-менеджеров считают, что слишком рискованно разрешать использование персональных устройств для доступа к корпоративной сети. Больше информации здесь.

По исследованию крупной компании WiFi-агрегатора iPass, которая опросила около 1100 мобильных работников по всему миру, респонденты, использовавшие мобильные устройства для работы и для персональных целей, работали на 240 часов в год больше, чем те кто не использовал. Это, фактически, вариант увеличения продуктивности. А также это создает условия, при которых у пользователя (сотрудника компании) остается все меньше возможностей сказать “нет”. Основываясь на данных причинах Gartner предсказывает, что к 2014 году 90% компаний будут поддерживать корпоративные приложения на устройствах, которые находятся в собственности работников. Больше информации здесь

По результатам исследования Dell Kace — практически в 90% компаний-респондентов сотрудники используют их собственные мобильные устройства в корпоративных сетях. При этом около 62% ИТ-менеджеров ощущают нехватку необходимых инструментов для управления такими устройствами и обеспечения безопасности сетей. Немного более подробно о результатах данного исследования:

  • 88% респондентов хотели бы иметь иметь реализованную политику в части использования мобильных устройств,
  • 82% опасаются использования персональных устройств для рабочих целей,
  • 64% не уверены, что знают все персональные устройства, которые используются на сети для рабочих целей,
  • 60% говорят о растущих требованиях по поддержке Max OS X с момента старта продаж Apple iPhone и iPad,
  • 59% сообщили о том, что персональные устройства создали необходимость поддержки множества операционных систем в компаниях,
  • 32% допускают, что сотрудники используют неавторизованные персональные устройства и приложения для доступа к их сетям.

Итак, можно констатировать следующие простые факты:

  1. Использование персональных мобильных устройств это хорошо для бизнеса, т.к. увеличивает лояльность сотрудников и повышает продуктивность их работы.
  2. Использование подобных неконтролируемых устройств — это большая проблема с точки зрения безопасности корпоративной сети, так как эти устройства могут легко стать платформой для атаки на сеть.
  3. Для использования персональных устройств необходимо создавать среду, в которой можно будет использовать данные устройства безопасно.

Подход Cisco для реализации BYOD

Необходимо иметь качественную Wi-Fi инфраструктуру, которая способна эффективно обслуживать маломощные мобильные устройства. Централизованная архитектура WLAN решения Cisco – CUWN/Cisco Unified Wireless Network – это лучшая платформа для разработки подходящего решения беспроводной сети доступа корпоративного класса.

Необходимо иметь системы, которые могут выполнять такие важные функции, как:
— аутентификация пользователей с поддержкой 802.1х и Web-аутентификации,
— профайлинг устройств для дифференциации по типам используемых устройств,
— применение специальных правил по управлению поведением мобильных устройств, таких как:

  • применение политик перевода устройств в подходящие виртуальных сети VLAN-ы,
  • применение подходящих списков доступа ACL,
  • понимание точки входа пользователя в сеть (в офисе или удаленно), для ограничения возможностей доступа владельцев устройств в зависимости от ситуации.

— применение правил, позволяющих проверять статус безопасности мобильных устройств с разными операционными системами для выявления соответствия принятой политике, например:

  • наличие необходимых обновлений безопасности и, например, сервис-паков,
  • наличие антивируса и свежесть обновления анивирусной базы данных,
  • наличие межсетевого экрана и обновление его базы, если применимо.

Здесь также важно, чтобы система была способна не просто отказывать в обслуживании устройству, не прошедшему контроль на входе, но переводить устройство, например, в карантинный VLAN, откуда можно скачать необходимые апдейты, патчи и т.п. для выхода на приемлемый уровень безопасности и для получения более широкого доступа к сетевым ресурсам.
Все эти функции выполняет Cisco ISE/Identity Services Engine самостоятельно как централизованный элемент. В определенных случаях ISE применяется совместно с платформой MDM/Mobile Device Management.

Очень желательно иметь систему анализа веб-трафика и применения подходящих правил к веб-трафику пользователей. В Cisco есть демо-решение удаленной демонстрации того, как работает BYOD — там показано применение таких интересных правил как, например, сотрудник компании, имеющий полный доступ в интернет, также имеет и следующие ограничения:

  • нельзя заходить на сайты игровой категории (gambling),
  • нельзя заходить на сайты, которые были опознаны системой, как сайты-источники вредоносного ПО,
  • можно пользоваться Facebook, но нельзя выкладывать фотографии в аккаунт в этой социальной сети,
  • в Google постоянно стоит строгое ограничение на фильтры поиска (Strict), и пользователь, при любой попытке это изменить, снова получает систему со строгим ограничением. Уровень Strict ведет к тому, что пользователь не сможет найти, например, веб-ресурсы порнографического содержания.

При этом «гость» в той же корпоративной сети, получая доступ в Интернет по отдельному VLAN-у, уже может заходить на игровые ресурсы и т.п., так нас, по данной политике, не очень заботит то, чем занимается «гость» в изолированном сегменте сети.
Все это и многое другое реализуется на базе Cisco IronPort и полностью применимо для построения гибкого и многофункционального решения BYOD.

И крайне важно, чтобы элементы были интегрированы друг с другом при развертывании подобного решения. Все элементы решения Cisco полностью интегрированы и, например, Cisco ISE является полноценным элементом решения Cisco WLAN с полной интеграцией в систему управления Cisco Prime Infrastructure.

Реклама

Детали Алексей Зайцев
Cisco Systems, WNBU TME/Technical Marketing Engineer

4 Responses to BYOD — от концепции к практике

  1. Mike Kosulin says:

    интересно
    но немного не понимаю как реализуется запрет загрузки фото в FB, например)

    • Алексей Зайцев says:

      это выполняется средствами IronPort, где мы можем выполнять анализ веб-трафика и применение разнообразных политик к этому трафику

      • Mike Kosulin says:

        допустим, можно ограничить доступ к некоторым доменам на загрузку картинок и видео+аудио.
        но при этом можно настроить так,что смотреть и слушать можно?))

  2. Алексей Зайцев says:

    Да, можно.
    Здесь можно формировать огромное количество правил в иерархическом виде, например, это можно сконфигурировать так что определенной Группе пользователей будет разрешен доступ конкретно к FB, но, при этом, использование одних конкретных приложений будет разрешено, а других будет запрещено.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s