Практика применения BYOD

BYOD/Bring Your Own Device

Консьюмеризация вместе с ростом мощных и удобных персональных устройств наступает по всему миру. Смартфоны, планшетные компьютеры уже широко распространены и, что наиболее важно, доступно огромное количество платных и бесплатных приложений практически под любые задачи. Это создает огромные перспективы для различных аспектов бизнеса компаний всех типов, но возникают и риски. Компании это уже не просто ощущают, а понимают необходимость поиска адекватного и полноценного решения такой проблемы, как эффективное и безопасное управление подключением мобильных устройств сотрудников к корпоративной сети. И решение здесь – BYOD.
BYOD, фактически, это системный подход, выраженный в разработке подходящих правил использования на сети персональных мобильных устройств совместно с устройствами, выданными компанией, а также в реализации политик управления и безопасности с помощью соответствующего оборудования.

Но это – в развитых странах, а у нас?

Пока нередко приходится слышать: «нам это не интересно», «у нас лишь горстка высших руководителей имеет право использовать айпады, и им мы обеспечиваем безопасный сервис, а остальным запрещаем», «нам все равно»…

Но «все равно» может быть кому угодно, но только не владельцу бизнеса. С одной стороны, BYOD существенно увеличивает лояльность сотрудников к компании. Ведь только представьте: человек долго выбирал себе смартфон, потом перепробовал не один десяток приложений, подобрал то, что ему удобно, и теперь совершенно доволен. ИТ-службе ни за что не обеспечить такой уровень удовлетворенности сотрудника: она просто физически не может тратить на каждого столько же времени, сколько сотрудник тратит сам на себя в нерабочее время. С другой стороны, существуют многочисленные исследования, показывающие, что пользователи (корпоративные сотрудники), которым разрешили использовать свои собственные мобильные устройства, работают более продуктивно. Это происходит за счет использования некоторого количества дополнительного времени, которое обычно тратится вхолостую (перекуры, всевозможные перерывы, обеденное время и т.п.). При наличии удобного персонального мобильного устройства, повсеместного качественного Wi-Fi покрытия в офисах компании и законченного решения, обеспечивающего безопасное и управляемое использование таких устройств мы и получим значительные бизнес-преимущества в контролируемой среде. И при этом не надо оплачивать большой труд по выбору и настройке конечных устройств. Хотя, справедливости ради, надо сказать, что многие западные компании дотируют сотрудников в большей или меньшей степени на мобильные устройства и, естественно, на связь.

Давайте также рассмотрим еще несколько примеров того, как могут эффективно использоваться персональные мобильные устройства в корпоративной среде для создания реальных преимуществ в ежедневной деятельности:

  1. Устанавливаем голосовое приложение Cisco Jabber на iPhone, iPad или андроид-устройства, разворачиваем центральную часть коммуникационной инфраструктуры в штабквартире. Делаем персонализированные конфигурации, например, с одним корпоративным номером, как единой точкой доступа к сотруднику. Не забываем про корпоративную сеть Wi-Fi со сплошным покрытием и дизайном под маломощные мобильные устройства. И тогда сотрудник всегда доступен через такой единый номер. При этом в офисе, дома или в любых местах с Wi-Fi связь может осуществляться по сети доступа Wi-Fi. В офисе отпадает необходимость в настольных или любых других телефонах, кроме единственного смартфона. А если еще начать использовать видео на том же приложении?
  2. То же касается возможностей совместной работы над документами и конференций с большим количеством участников. Здесь отличным вариантом является использование приложения Cisco Webex, которое также может быть использовано на устройствах с iOS или Android. В данном случае где бы не оказался сотрудник со своим мобильным устройством он может принять полноценное участие в конференции (хотя в офисе, конечно, удобнее). Потребности в Wi-Fi те же.

Рассмотрим некоторые важные составляющие BYOD решения

Прежде всего необходимо описать сценарии использования различных корпоративных ресурсов различными группами пользователей (обычные сотрудники, сотрудники с высоким уровнем допуска, гости) с учетом их местоположения (внутри офиса или удаленный доступ). Важно четко понимать, что политики должны быть всеобъемлющими и однозначно включать в себя пользователей со смартфонами, планшетными компьютерам, а не только с ноутбуками. Естественно, что политки не должны быть статичными. Наоборот это должно постоянно отслеживаться, корректироваться, а изменения доводиться до сотрудников.

Естественно, что персональное устройство сотрудника нельзя считать полноценным корпоративным мобильным устройством (полностью контролируемым ИТ-службой компании), поэтому продуманная архитектура безопасности является краеугольным камнем любого BYOD решения. Для обеспечения безопасности необходимо ввести механизм доступа, основанный на степени доверия не только к пользователю, но и к устройству, с помощью которого он получает доступ к корпоративной сети и информации в этой сети. Первичным здесь можно считать функционал идентификации профиля устройства при попытке входа в сеть. Так, например, если сотрудник пытается войти в корпоративную сеть с корпоративным ноутбуком он может получить доступ в определенный сегмент внутренней сети с максимальным доступом для уровня данного пользователя, но если через 5 минут в кафе через дорогу тот же сотрудник захочет удаленно войти в корпоративную сеть со своего смартфона (хотя и через VPN, и с корпоративными логином/паролем), то он сможет получить доступ, но в сегмент с более ограниченными ресурсами в доступе. Например, врач внутри больницы может иметь полный доступ ко всему, но за пределами больницы он будет иметь ограниченный доступ, без возможности просматривать наиболее чувствительную информацию (личные данные больных, медицинские записи больных и т.п.). В решении Cisco такой функционал обеспечивает Cisco ISE/Identity Services Engine.

Важно правильно спроектировать сеть доступа Wi-Fi, так как здесь радиодизайн должен однозначно учитывать широкое применение мобильных устройств с низкой энергетикой. Решение в целом должно основываться на централизованной архитектуре с Wi-Fi контроллером во главе. Контроллер здесь управляет обновлением программного обеспечения, изменениями конфигураций, динамически управляет радиоресурсами, управляет связью сети WLAN с внешними серверами (ААА, DHCP, LDAP и т.п.), управляет аутентификацией пользователей, управляет функциями качества обслуживания пользователей и т.п.. Для качественного обслуживания маломощных мобильных устройств необходимо, чтобы сеть WLAN имела интегрированные механизмы контроля спектра и могла динамически реагировать на возникновение существенных источников интерференции, способных привести к деградации сервиса или вообще к невозможности Wi-Fi клиентами получать доступ к сети Wi-Fi. Всеми этим свойствами в максимальной степени обладает архитектура CUWN (Cisco Unified Wireless Network) с интегрированной технологией CleanAir — это фактически встроенный анализатор спектра и логика быстрого самовосстановления сети при негативном изменении радиообстановки. Такое решение позволяет иметь высочайший уровень надежности и доступности беспроводной сети при минимальном контроле со стороны ИТ-службы.

При выходе в Интернет сотрудников или гостей компании возможно также введение контроля трафика и ограничения доступа к ресурсам определенного типа или ограничение доступных сервисов на каких-либо веб-сайтах. Можно привести следующие популярные примеры:

  • нельзя войти на игровые сайты (категория Gambling),
  • можно пользоваться аккаунтом в социальной сети, но нельзя выкладывать фотографии,
  • нельзя получить доступ к сайту, который попал в лист закрытых, как источник распространения вирусов и вредоносных программ,
  • нельзя изменить уровень фильтрации результатов поиска в поисковых машинах, чтобы отсечь возможность поиска доступа сайтов определенных социально-нежелательных категорий.

В решении Cisco такой функционал обеспечивает Cisco IronPort.

В заключении хотелось бы еще раз подчеркнуть, что использование персональных мобильных устройств очень перспективно для любого бизнеса, включая госсектор (например в США в госсекторе BYOD развивается очень мощно), но необходимо порекомендовать формировать политики BYOD достаточно жесткими. И здесь надо четко понимать, что нельзя относится к персональным мобильным устройствам на корпоративной сети также, как к ноутбукам, которые выдает компания и полностью контролирует ИТ-служба. Компании могут потерять важную информацию, если политики безопасности для мобильных устройств будут недостаточно сильными.

Реклама

Hotspot 2.0 или как сделать вход в Wi-Fi сеть простым

Всем известно, что количество мобильных устройств у пользователей быстро растет, объем трафика мобильных данных постоянно растет и операторы все больше пытаются его выводить из мобильных сетей в сети альтернативных технологий и, прежде всего, в Wi-Fi (Оффлоад). Поэтому рынок решений Wi-Fi операторского класса интенсивно развивается. Инфонетикс прогнозирует рост этого сегмента до 2.1 млрд долл в 2016 году.

Но так ли просто пользователям воспользоваться услугой «бесшовного» перехода в сеть Wi-Fi? Многим ли понятны такие термины, как SSID, EAP-SIM-клиент и т.п..? На самом деле это не слишком сложно для продвинутой части пользователей, но что делать остальным ?
Для облегчения жизни пользователей и создания условий использования хотспотов Wi-Fi так же просто, как услуг любой мобильной сети и была разработана технология Hotspot2.0.

Хотспоты Wi-Fi следующего поколения.

В 2010 году была сформирована специальная группа в Wireless Broadband Alliance (WBA), которая называется Next Generation Hotspot Task Group. Отцами основателями выступила компания Cisco и ряд других лидеров индустрии. Цель создания группы была в работе над стандартами, называемыми Hotspot 2.0, которые должны будут сформировать возможности для аутентификации и роуминга пользователей Wi-Fi, схожие по простоте с нынешними сетями 3G. Результатом работы данной группы стали:
— программа сертификации Wi-Fi Certified Passpoint, работа которой уже запущена на базе сертификационных лабораторий Wi-Fi Альянса,
— рекомендации операторам связи для формирования соглашений по межсетевому роумингу Wi-Fi.

В технологии хотспотов Wi-Fi следующего поколения можно выделить три основные составляющие:
1. IEEE 802.11u,
2. WPA2 (Wi-Fi Protected Access 2),
3. Аутентификация на базе EAP (часто это EAP-SIM / аутентифкация с использованием SIM-карты).

Возможные сценарии доступа различных пользователей в сеть нового поколения.

Операторы часто используют два взаимно дополняющих подхода для обеспечения доступа в сеть:
1. Аутентицикация 802.1х (EAP),
2. Аутентификация через веб-портал.

Аутентификация через портал используется для привлечения пользователей, которые не имеют контракта или иных отношений с оператором, предоставляющим данную услугу. В данном случае это становится, фактически, публичным сервисом Wi-Fi и здесь возможны такие способы оплаты и использования, как использование кредитных карт, оплата через мобильный телефон с получением разовых паролей через смс и т.п.. Все это дает возможности формирования дополнительных источников генерации средств из Wi-Fi сетей.

Аутентификация с помощью EAP обычно имеет целью обеспечения прозрачного доступа для абонентов мобильного оператора, использующих его SIM-карты. Фактически, при нормально работающем EAP-SIM клиенте на мобильном устройстве с SIM-картой и Wi-Fi пользоателю остается только выбрать верный SSID сети Wi-Fi и войти в сеть. В дальнейшем и этот шаг будет не нужен, т.к. терминал, обычно, запоминает профили тех сетей Wi-Fi, где ему уже приходилось бывать.

Введение Hotspot2.0 и появление на рынке устройств, отвечающих стандарту IEEE 802.11u и прошедших сертификацию Wi-Fi Certified Paaspoint, позволит еще более упростить жизнь пользователя. Клиент 802.11u позволит избежать ручных манипуляций со стороны пользователя и это будет касаться посещения даже «не домашних» сетей. После того, как участие Wi-Fi операторов в роуминговом консорциуме, создающемся с учетом рекомендаций Next Generation Hotspot, станет нормой (кстати это реальный большой проект: WLAN Roaming Inter-Exchange [WRIX]), то это даст пользователям с клиентами 802.11u возможность подключения к правильным SSID полностью автоматически в любой точке мира.

Cisco VideoStream: качественное потоковое видео по Wi-Fi — это реальность!

Cisco VideoStream — это системный функционал, реализованный в решении Cisco WLAN, на базе централизованной архитектуры беспроводной сети CUWN (Cisco Unified Wireless Network). Решение с применением этой технологии позволяет создать надежную и устойчивую платформу передачи видеоконтента различных типов и различного качества, включая HD. Здесь принимаются во внимание многие аспекты, влияющие на впечатление пользователя от сервиса.

VideoStream реализует такие функции, как:

  1. Репликацию трафика из мультикаста в юникаст непосредственно на Точках Доступа — там где есть пользователи, выразившие желание подписаться к видеопотоку.
  2. Приоритезацию одних видеопотоков над другими (8 уровней приоретизации).
  3. Контроль загрузки радиорересурсов (RRC/Radio Resources Control) на Точках Доступа, чтобы не допустить перегрузки ТД и не вызвать деградацию сервиса у работающих пользователей.

Важно отметить, что VideoStream обспечивает не просто эффективную доставку видео, но и голоса, что позволяет реализовать весь мультимедийный комплекc максимально качественно с точки зрения восприятия конечного пользователя.

Для типовых Wi-Fi решений, коммерчески доступных в настоящее время, мультикастинговый трафик в радиоинтерфейсе интерпретируется как бродкастовый и передается на минимальной скорости и как Best Effort без коррекции ошибок, что ведет к крайне низкому качеству подобной услуги. Cisco VideoStream позволяет изменять тип трафика и переводить его из мультикаста в юникаст непосредственно на Точке Доступа. Это дает возможность передавать клиенту видеопоток на той скорости, на которой клиент присоединился к ТД, использовать механизмы коррекции ошибок при передачи и применять политики приоретизации.

В решении можно задать различные приоритеты потока в соответствии с важностью информации для компании, например, для конкретного SSID (но доступны и другие варианты, повышающие гибкость решения). Трансляция обращения руководства или корпоративный тренинг должны иметь более высокий приоритет, чем вечерний совместный просмотр отделом финала чемпионата мира по футболу. Настроенный видеопоток будет иметь меньший приоритет, чем голосовой трафик, но более высокий, чем трафик с негарантированной доставкой. Весь остальной трафик многоадресной рассылки будет рассматриваться как трафик с негарантированной доставкой, даже если он помечен как видеопоток, имеющий преимущество в качестве обслуживания.

С ростом количества пользователей, которые смотрят видео на рабочих местах, используя Wi-Fi как среду доступа, становится критически важной возможность удобного управления и масштабирования передачи непрерывного, высококачественного контента для перемещающихся групп пользователей в любое время и в любом месте. Алгоритмы управления резервированием ресурсов и их контроля (resource reservation control, RRC) обеспечивают расширенные возможности и дают возможность управлять политикой и уровнем доступа. Принятие решений в части доступа производится на основании измерений параметров радиоканала и статистических параметров трафика, а также настроек системы. Механизм RRC обеспечивает защиту пропускной способности для клиента видеосервисов за счет отклонения запросов, которые могли бы привести к перегрузке.

Результатом интеграции всех описаных выше методов в совокупности, а также Cisco MediaNet, стала технология Cisco VideoStream. VideoStream обеспечивает высочайшее качество передачи потокового видео. Посмотрите краткую видеодемонстрацию на русском языке:

Cisco CleanAir — всевидящий WLAN

Очень хочется вспомнить уже не новую, но крайне эффективную технологию Cisco CleanAir, которую вот уже около двух лет никто не может превзойти, хотя попытки предпринимают многие. CleanAir — это интеллектуальный контроль спектра, позволяющий идентифицировать одиночные и множественные источники интерференции в зоне покрытия WLAN. С этой информацией решение Cisco может выполнять такие действия как:

  • информировать о наличии интерференции,
  • идентифицировать источники интерференции с высоким разрешением,
  • определять уровень опасности от этих источников,
  • при превышении конфигурируемых пороговых значений уровня опасности решение Cisco WLAN может автоматически и быстро перестраивать частотные каналы для того, чтобы вывести «инфицированный» канал из «зоны поражения» и использовать его там, где это возможно.

Эффективная и высокоуровневая реализация технологии интеллектуального контроля спектра стала возможна благодаря использованию выделенного специализированного чипа. Этот чип позволяет собирать данные о спектре, не влияя при этом на обслуживание пользовательского трафика центральным процессором Точки Доступа. Данная технология изначально нацелена на анализ не только источников Wi-Fi интерференции, но и Не-Wi-Fi, так как система работает на физическом уровне. Это позволяет очень эффективно использовать CleanAir не только для контроля спектра и реагирования на проблемы такого типа, но и, как существенное дополнение, применять технологию для дополнения системы безопасности Wi-Fi. CleanAir дает возможность, например, легко вычислять такие «невидимые» для обычных систем безопасности источники проблем как: точки доступа или домашние роутеры со смещенным частотным каналом или нахождение этого канала в группе, запрещенной к использованию в данном регионе и т.п..

Для более наглядного представления о том, что такое CleanAir, и как работает технология я сделал синхронный перевод короткого видео, снятого моими американскими коллегами. Рекомендую посмотреть!

Видео Cisco CleanAir:

BYOD. Облачная демонстрационная лаборатория Cisco

Сегодня я хотел бы продолжить тему BYOD (Bring Your Own Device) и рассказать о новой лаборатории Cisco Systems, предназначенной для удаленных демонстраций BYOD.

В Cisco недавно была разработана и развернута мощная облачная лабораторная площадка, одной из возможностей которой является удаленная демонстрация BYOD. В ходе демонстраций можно показать как собственные впечатления, возможности и ограничения пользователя, так и все то, что при этом происходит в сетевой инфраструктуре.

Доступны три различных сценария:

1. Медицинский сценарий.
2. Образовательный сценарий.
3. Корпоративный сценарий.

И каждый из сценариев предоставляет несколько ролей, например в «Образовательном» — это «Профессор», «Студент» и «ИТ-специалист».

Отличительная особенность данной лаборатории — это возможность демонстрировать BYOD «вживую» прямо в офисе заказчика и с участием заказчика!

Больше информации о том, что такое BYOD с живой демонстрацией возможностей лаборатории:

BYOD — от концепции к практике

Сегодня мы обсуждаем набирающую популярность тему: BYOD (Bring Your Own Device).

На данный момент концепция BYOD относительно мало известна в России и ближайших государствах, но это очень популярная и быстрорастущая тенденция в США, Европейских странах и т.д.

Так что же такое BYOD?

Можно сказать, что это набор правил и технологий, который позволяет:

  • обеспечить доступ в интернет и к сетям передачи данных с любых мобильных устройств, включая те, которые не имеют проводных сетевых интерфейсов (смартфоны, планшеты и т.п.),
  • обеспечить контроль и применение необходимых правил к пользователю, который хочет получить доступ, с какого устройства, из какого места и к каким ресурсам сети,
  • обеспечить применение более сложных правил для, например, предотвращения использования устройств в нерабочих целях в рабочее время (например через контроль веб-трафика).

А так ли нам нужны все эти сложности? Не проще все запретить?

Давайте посмотрим результаты некоторых исследований на эту тему: недавний глобальный опрос Cisco показал, что 40% студентов колледжей и около 45% работников готовы работать на условиях с меньшей оплатой, если им будет предоставлена свобода выбора персональных устройств, чем на условиях с более высокой оплатой, но с меньшей гибкостью. В то же время ИТ департаменты гораздо менее убеждены, что такая гибкость является хорошей идеей, и по другим исследованиям — около 70% ИТ-менеджеров считают, что слишком рискованно разрешать использование персональных устройств для доступа к корпоративной сети. Больше информации здесь.

По исследованию крупной компании WiFi-агрегатора iPass, которая опросила около 1100 мобильных работников по всему миру, респонденты, использовавшие мобильные устройства для работы и для персональных целей, работали на 240 часов в год больше, чем те кто не использовал. Это, фактически, вариант увеличения продуктивности. А также это создает условия, при которых у пользователя (сотрудника компании) остается все меньше возможностей сказать “нет”. Основываясь на данных причинах Gartner предсказывает, что к 2014 году 90% компаний будут поддерживать корпоративные приложения на устройствах, которые находятся в собственности работников. Больше информации здесь

По результатам исследования Dell Kace — практически в 90% компаний-респондентов сотрудники используют их собственные мобильные устройства в корпоративных сетях. При этом около 62% ИТ-менеджеров ощущают нехватку необходимых инструментов для управления такими устройствами и обеспечения безопасности сетей. Немного более подробно о результатах данного исследования:

  • 88% респондентов хотели бы иметь иметь реализованную политику в части использования мобильных устройств,
  • 82% опасаются использования персональных устройств для рабочих целей,
  • 64% не уверены, что знают все персональные устройства, которые используются на сети для рабочих целей,
  • 60% говорят о растущих требованиях по поддержке Max OS X с момента старта продаж Apple iPhone и iPad,
  • 59% сообщили о том, что персональные устройства создали необходимость поддержки множества операционных систем в компаниях,
  • 32% допускают, что сотрудники используют неавторизованные персональные устройства и приложения для доступа к их сетям.

Итак, можно констатировать следующие простые факты:

  1. Использование персональных мобильных устройств это хорошо для бизнеса, т.к. увеличивает лояльность сотрудников и повышает продуктивность их работы.
  2. Использование подобных неконтролируемых устройств — это большая проблема с точки зрения безопасности корпоративной сети, так как эти устройства могут легко стать платформой для атаки на сеть.
  3. Для использования персональных устройств необходимо создавать среду, в которой можно будет использовать данные устройства безопасно.

Подход Cisco для реализации BYOD

Необходимо иметь качественную Wi-Fi инфраструктуру, которая способна эффективно обслуживать маломощные мобильные устройства. Централизованная архитектура WLAN решения Cisco – CUWN/Cisco Unified Wireless Network – это лучшая платформа для разработки подходящего решения беспроводной сети доступа корпоративного класса.

Необходимо иметь системы, которые могут выполнять такие важные функции, как:
— аутентификация пользователей с поддержкой 802.1х и Web-аутентификации,
— профайлинг устройств для дифференциации по типам используемых устройств,
— применение специальных правил по управлению поведением мобильных устройств, таких как:

  • применение политик перевода устройств в подходящие виртуальных сети VLAN-ы,
  • применение подходящих списков доступа ACL,
  • понимание точки входа пользователя в сеть (в офисе или удаленно), для ограничения возможностей доступа владельцев устройств в зависимости от ситуации.

— применение правил, позволяющих проверять статус безопасности мобильных устройств с разными операционными системами для выявления соответствия принятой политике, например:

  • наличие необходимых обновлений безопасности и, например, сервис-паков,
  • наличие антивируса и свежесть обновления анивирусной базы данных,
  • наличие межсетевого экрана и обновление его базы, если применимо.

Здесь также важно, чтобы система была способна не просто отказывать в обслуживании устройству, не прошедшему контроль на входе, но переводить устройство, например, в карантинный VLAN, откуда можно скачать необходимые апдейты, патчи и т.п. для выхода на приемлемый уровень безопасности и для получения более широкого доступа к сетевым ресурсам.
Все эти функции выполняет Cisco ISE/Identity Services Engine самостоятельно как централизованный элемент. В определенных случаях ISE применяется совместно с платформой MDM/Mobile Device Management.

Очень желательно иметь систему анализа веб-трафика и применения подходящих правил к веб-трафику пользователей. В Cisco есть демо-решение удаленной демонстрации того, как работает BYOD — там показано применение таких интересных правил как, например, сотрудник компании, имеющий полный доступ в интернет, также имеет и следующие ограничения:

  • нельзя заходить на сайты игровой категории (gambling),
  • нельзя заходить на сайты, которые были опознаны системой, как сайты-источники вредоносного ПО,
  • можно пользоваться Facebook, но нельзя выкладывать фотографии в аккаунт в этой социальной сети,
  • в Google постоянно стоит строгое ограничение на фильтры поиска (Strict), и пользователь, при любой попытке это изменить, снова получает систему со строгим ограничением. Уровень Strict ведет к тому, что пользователь не сможет найти, например, веб-ресурсы порнографического содержания.

При этом «гость» в той же корпоративной сети, получая доступ в Интернет по отдельному VLAN-у, уже может заходить на игровые ресурсы и т.п., так нас, по данной политике, не очень заботит то, чем занимается «гость» в изолированном сегменте сети.
Все это и многое другое реализуется на базе Cisco IronPort и полностью применимо для построения гибкого и многофункционального решения BYOD.

И крайне важно, чтобы элементы были интегрированы друг с другом при развертывании подобного решения. Все элементы решения Cisco полностью интегрированы и, например, Cisco ISE является полноценным элементом решения Cisco WLAN с полной интеграцией в систему управления Cisco Prime Infrastructure.