首页 >> 通信新闻 >> 制造 >> 正文
 
华为BYOD安全宝典
http://www.cww.net.cn   2013年3月25日 16:26    

业界一些厂商正在试图将MDM和移动安全客户端、DLP、SWG和其它基于云的服务结合起来,建立强健的、高可用的架构。由于以终端为中心的安全控制方法会受到极大制约,这种架构在今后可能会成为主流。传统的网络解决方案厂商都已经意识到,解决移动安全仅靠终端一隅是不可能的,它们已经开始推出集成的移动安全解决方案,这些方案可以回答几个以终端为中心的安全控制手段无法回答的关键问题:

● 你是谁?

● 你从何处接入?

● 你要访问什么数据?

● 哪些数据会流出网络?

因此,网络需要有批准和拒绝用户试图获得特定数据的最终决定权,网络安全一定要被集成进入整体移动安全架构。

制定宏观安全策略

诚然,企业还需要细致考虑如何有机地结合并实施上述技术控制手段。当面向移动平台的安全技术,如MDM和近来兴起的“集装箱”技术(Containerization)还不成熟的时候,对移动访问不管采取什么样的安全控制手段,NAC都是最重要最直接的安全能力,企业必须在工作场所检测非管理的但作为商业用途的员工设备。原因就在于这样一个事实:许多企业仍然筹划着对BYOD趋势做出反应,但还没有制定正式的政策,而且他们可能还无法在个人移动设备上安装终端防护程序,也无法配置任务策略,无法像控制公司所有的设备一样执行生命周期管理。有如下4种宏观安全策略可以借鉴,相应的安全策略也同时依赖于企业不断变化的安全预期和IT预算。

● 忽略(Disregard):相当于忽略了个人设备在企业环境中的存在。这是一个糟糕的选择,企业采取忽略策略将不对当前基础设施做任何政策或技术的变化。注意这里安全压力不等同于安全风险,企业感受到的安全压力处在最小区域,但安全风险可能极大。

● 封锁(Block):使用自有设备将受到严格监管。企业将优先考虑其网络和数据的绝对安全,而轻视用户体验和满意度,员工将限定使用企业拥有的设备和SIM卡。由于NAC能够探测到连接设备的类型和合规状态,所以阻止使用BYOD不是多么困难的事情。

● 遏制(Contain):要实现这一策略,NAC需要联合广泛的产品然后粉墨登场。一种可能的组合方式是:NAC实现LAN/WLAN环境的身份验证、接入授权、计费和安全审计;IAM负责为设备下发配置文件,感知用户上下文,如发现设备的位置和服务状态;移动安全客户端自动执行下发的设备配置文件,如动态地开启一个VPN安全隧道,实现端到端的加密;至于DLP,可能集成在安全客户端做自我防卫,也可能在网络侧作为应用程序沙箱集成进入移动安全网关;轻量级的MDM可以跨多个手机平台和应用程序提供移动管理功能。通常,遏制策略可以灵活地将网络安全维持在可接受的水平。

● 协调(Embrace):近似于完美的策略,它让每个人的BYOD梦想成为现实。这一策略代表了一个巨大的文化转变,但也意味着巨大的技术操作的复杂度和显著增加的IT投资。调查显示,对一个企业,如果使用BYOD的基层员工超过雇员总数的30%,就可以被认为达到了协调的水平。另一方面,从技术上讲,在这种环境下,采用重量级的MDM技术可持续地跨多种移动平台执行设备管理策略将必不可少;部署VDI集中管理和保护敏感数据,将BYOD终端和业务基础设施隔离开来也是一个典型的例子。同时,在遏制策略中用到的技术控制手段需要精心策划并加强,以实现到协调层面的过渡,这包括增强安全政策的缩放性,既可扩展到企业全局,也可为不同部门或地域量身定制;整网的可视性、用户行为的细粒度控制、基于网络的内置DLP引擎的内容过滤和能够解密VPN连接,发现已经被攻击者攻破的合法用户在传播恶意软件等高级功能都是必须的。

重要的是,BYOD仅仅是揭开移动应用大趋势序幕的“冰山一角”。来自研究机构的调查显示,到2014年,移动设备将通过本机的硬件和OS功能“集装箱化”应用程序和数据。集装箱化技术将在设备堆栈中执行应用层防数据丢失,这种功能是需要高度遵守法规的企业成功实施合规审计的必要前提。预计未来会有越来越多的企业选择集装箱化技术结合MDM强制实施更强壮的安全控制能力。

[1]  [2]  [3]  
关注通信世界网微信“cww-weixin”,赢TD手机!
来源:通信世界网   作 者:华为SecoSpace战略与业务发展部高级营销经理 潘伟编 辑:安华
分享到:
       收藏   打印  论坛   推荐给朋友
关键字搜索:华为  BYOD  安全  
猜你还喜欢的内容
文章评论查看评论()
昵称:  验证码:
 
相关新闻
即时新闻
通信技术
最新方案
企业黄页
会议活动