Bezpečnosť tabletov a smartfónov v podnikovom prostredí

Ping-Command_Checking-for-Packet-Loss__2012-11-28-08.41.00-1024x768.jpg Podniky vo všetkých odvetviach začínajú chápať, že sa musia prispôsobiť novým trendom v podobe flexibilných pracovných návykov a konzumerizácii IT. Čím viac sa stierajú hranice medzi osobným a profesionálnym životom, tým častejšie vyvstáva otázka ako povoliť prístup zamestnancov k firemným dátam odkiaľkoľvek, z akéhokoľvek zariadenia a v akomkoľvek čase a zároveň ochrániť citlivé firemné údaje, duševné vlastníctvo a majetok spoločnosti.
Autor:
 

Fenomén BYOD (z angl. Bring Your Own Device) preto nie je téma zahŕňajúca len koncové zariadenia. BYOD je o tom ako zaistíme konzistentné používateľské prostredie z akéhokoľvek zariadenia a v akomkoľvek čase, bez rozdielu či ide o drôtové, bezdrôtové a VPN pripojenie alebo cloud. BYOD v sebe inherentne spája množstvo prvkov, ktoré navzájom spolupracujú, aby sa používatelia dostali k potrebným dátam kedykoľvek a kdekoľvek, a s najvyššou mierou bezpečnosti.

Výsledky štúdie spoločností Cisco and InsightExpress, Cisco Connected World Technology Report, poukazujú na jeden dôležitý fakt ohľadom správania sa novodobých zamestnancov. V štúdii sa uvádza, že 40% opýtaných síce pozná firemnú politiku ohľadom BYOD, avšak až 71% zamestnancov túto politiku nedodržuje (www.cisco.com/go/connectedreport). Prirodzene preto vyplýva potreba sofistikovanej bezpečnostnej architektúry, ktorá umožní spájať používateľov, zariadenia a aplikácie a tak umožní zamestnancom pracovať “štýlom aký im vyhovuje”, ale v súlade s bezpečnostnou politikou spoločnosti (tab. 1). (enable a “work your way” experience).



Tab. 1: Aká je vaša BYOD politika?

BYOD Policy

Limit

Basic

Enhanced

Next Generation

Enforcement

Corporate-only devices

Broad range of devices, but Internet access only

Enable differentiated services, onborading with security

Corporate native applications, new services, full control

Example use cases

Government, traditional enterprise

Education, Public institutions

Healthcare, Contractor enablement

Innovative enterprise, Retail on demand, Mobile sales



Spoločnosť Cisco ponúka unikátne riešenie pre podnikové prostredie, ktoré v sebe spája bezpečné pripájanie BYOD zariadení a zjednodušenú správu korporátnym IT oddelením. Centrálnym prvkom tohoto riešenia je Cisco Identity Services Engine ako jednotný nástroj pre správu bezpečnostných politík (obr. 1). Cisco Identity Services Engine komunikuje s celou sieťovou infraštruktúrou, kam patrí kompletné portfólio Cisco smerovačov, prepínačov, bezdrôtových kontrolérov a firewallov, aby bolo zabezpečené uplatnenie definovanej bezpečnostnej politiky nezávisle od miesta výkonu práce a spôsobu pripojenia do firemnej siete. Umožňuje autorizovaný prístup použivateľov v kontexte situácie na základe pravidiel kto sa pripája, čo používa na pripojenie, na aké zdroje chce pristúpiť, v akom čase a akým spôsobom. Zároveň v reálnom čase analyzuje zariadenia, cez ktoré zamestnanci pristupujú k dátam, či spĺňajú požiadavky firemnej bezpečnostnej politiky a to ešte predtým ako im bude udelený autorizovaný prístup do podnikovej siete. Zariadenia ako tlačiarne a kamery, sú automaticky inventarizované a ich prístup do siete je len na úrovni, ktorá je určená ich funkciou.

Obr. 1: Stavebné prvky riešenia

Stavebné prvky riešenia Zdroj: Cisco

Softvérový klient Cisco AnyConnect® Secure Mobility v sebe spája možnosti bezpečného prístupu do podnikovej LAN alebo Wifi siete na báze štandardu IEEE 802.1x a zároveň aj VPN pripojenie cez technológie IPSec alebo SSL. V prípade potreby presmeruje webovú prevádzku od klienta na firemné webové proxy, aby sa dosiahla maximálna ochrana proti “day-zero” útokom, infikovaním škodlivým malware a pod. V prípade, že firemná webová proxy nie je k dispozícii, Cisco Anyconnect Secure Mobility klient môže webovú prevádzku používateľa presmerovať do cloud-u na službu Cisco Scansafe.

Každý používateľ má možnosť zaregistrovať svoje BYOD zariadenie bez nutnosti priameho zásahu IT oddelenia. Tento proces sa nazýva “onboarding” a jeho princípom je v pár jednoduchých krokoch bezpečne integrovať BYOD zariadenie medzi ostatné firemné zariadenia a pre každé takéto zariadenie vydať certifikát obsahujúci identifikátor tohoto zariadenia (napr. MAC adresa, UDID, IMEI). Zároveň každý používateľ má k dispozícii webový portál s názvom “My devices”, kde vidí všetky zariadenia, ktoré si zaregistroval. V prípade, že dôjde k strate ním zaregistrovaného zariadenia, môže jediným kliknutím označiť zariadenie ako stratené a Cisco Identity Services Engine automaticky zabezpečí, že takéto zariadenie sa ocitne na čiernej listine a viac sa do firemnej siete neprihlási.

Cisco Identity Services Engine je možné integrovať s riešením MDM (Mobile Device Management) od spoločností MobileIron, SAP, Good Networking, Airwatch a Zenprise (teraz súčasťou spoločnosti Citrix). Táto integrácia umožňuje obohatenie vytváraných bezpečnosných pravidiel na Cisco Identity Services Engine o kontrolu parametrov koncového zariadenia, medzi ktoré patrí napr. zapnuté zabezpečenie PIN kódom, šifrovanie dát, kontrola na “jail-broken/root access”, kontrola unikátneho identifikátora zariadenia (UDID, IMEI, atď.). Táto kontrola sa deje v reálnom čase spoločnou komunikáciou medzi MDM klientom, spustenom na mobilnom zariadení, MDM serverom a Cisco Identity Services Engine. V prípade straty mobilného zariadenia je možné priamo z Cisco Identity Services Engine iniciovať vymazanie daného zariadenia.

Technické možnosti riešenia sú založené na všeobecne uznávaných štandardoch. Používateľov autentifikujeme na princípe štandardu IEEE 802.1X, pre kontraktorov a hosťov ponúkame kompletný Guest systém. Zariadenia pripájané do firemnej siete sú profilované na základe viacerých atribútov, ako sú napr. informácie o použitom web prehliadači, identifikátor výrobcu zariadenia, údaje Netflow zachytené o pripojenom zariadení priamo firemnou sieťou, a iné (napr. údaje z MDM servera). Bezpečnostná politika je implementovaná centrálne na Cisco Identity Services Engine a ďalej automaticky distribuovaná do celej firemnej siete. Zabezpečujeme autorizovaný prístup k dátam nezávisle od bodu pripojenia a dôvernosť prenášaných dát šifrovaním pomocou štandardu IEEE 802.1AE (MACSec). Integrácia so sieťovým manažmentom ponúka globálny a jednotný pohľad nad celou firemnou sieťou nielen z pohľadu sieťového, ale aj z pohľadu bezpečnostného manažmentu.

Pre viac informácií:

www.cisco.com/go/byod

www.cisco.com/go/byoddesign

www.cisco.com/go/connectedreport

www.cisco.com/go/ise

Partneri

assa_abloy.png

axis.png

hid.png

securilas.png

         FBI_zeleny-p4.png