Bezpečnosť tabletov a smartfónov v podnikovom prostredí

Fenomén BYOD (z angl. Bring Your Own Device) preto nie je téma zahŕňajúca len koncové zariadenia. BYOD je o tom ako zaistíme konzistentné používateľské prostredie z akéhokoľvek zariadenia a v akomkoľvek čase, bez rozdielu či ide o drôtové, bezdrôtové a VPN pripojenie alebo cloud. BYOD v sebe inherentne spája množstvo prvkov, ktoré navzájom spolupracujú, aby sa používatelia dostali k potrebným dátam kedykoľvek a kdekoľvek, a s najvyššou mierou bezpečnosti.
Výsledky štúdie spoločností Cisco and InsightExpress, Cisco Connected World Technology Report, poukazujú na jeden dôležitý fakt ohľadom správania sa novodobých zamestnancov. V štúdii sa uvádza, že 40% opýtaných síce pozná firemnú politiku ohľadom BYOD, avšak až 71% zamestnancov túto politiku nedodržuje (www.cisco.com/go/connectedreport). Prirodzene preto vyplýva potreba sofistikovanej bezpečnostnej architektúry, ktorá umožní spájať používateľov, zariadenia a aplikácie a tak umožní zamestnancom pracovať “štýlom aký im vyhovuje”, ale v súlade s bezpečnostnou politikou spoločnosti (tab. 1). (enable a “work your way” experience).
Tab. 1: Aká je vaša BYOD politika?
BYOD Policy |
Limit |
Basic |
Enhanced |
Next Generation |
Enforcement |
Corporate-only devices |
Broad range of devices, but Internet access only |
Enable differentiated services, onborading with security |
Corporate native applications, new services, full control |
Example use cases |
Government, traditional enterprise |
Education, Public institutions |
Healthcare, Contractor enablement |
Innovative enterprise, Retail on demand, Mobile sales |
Spoločnosť Cisco ponúka unikátne riešenie pre podnikové prostredie, ktoré v sebe spája bezpečné pripájanie BYOD zariadení a zjednodušenú správu korporátnym IT oddelením. Centrálnym prvkom tohoto riešenia je Cisco Identity Services Engine ako jednotný nástroj pre správu bezpečnostných politík (obr. 1). Cisco Identity Services Engine komunikuje s celou sieťovou infraštruktúrou, kam patrí kompletné portfólio Cisco smerovačov, prepínačov, bezdrôtových kontrolérov a firewallov, aby bolo zabezpečené uplatnenie definovanej bezpečnostnej politiky nezávisle od miesta výkonu práce a spôsobu pripojenia do firemnej siete. Umožňuje autorizovaný prístup použivateľov v kontexte situácie na základe pravidiel kto sa pripája, čo používa na pripojenie, na aké zdroje chce pristúpiť, v akom čase a akým spôsobom. Zároveň v reálnom čase analyzuje zariadenia, cez ktoré zamestnanci pristupujú k dátam, či spĺňajú požiadavky firemnej bezpečnostnej politiky a to ešte predtým ako im bude udelený autorizovaný prístup do podnikovej siete. Zariadenia ako tlačiarne a kamery, sú automaticky inventarizované a ich prístup do siete je len na úrovni, ktorá je určená ich funkciou.
Obr. 1: Stavebné prvky riešenia
Softvérový klient Cisco AnyConnect® Secure Mobility v sebe spája možnosti bezpečného prístupu do podnikovej LAN alebo Wifi siete na báze štandardu IEEE 802.1x a zároveň aj VPN pripojenie cez technológie IPSec alebo SSL. V prípade potreby presmeruje webovú prevádzku od klienta na firemné webové proxy, aby sa dosiahla maximálna ochrana proti “day-zero” útokom, infikovaním škodlivým malware a pod. V prípade, že firemná webová proxy nie je k dispozícii, Cisco Anyconnect Secure Mobility klient môže webovú prevádzku používateľa presmerovať do cloud-u na službu Cisco Scansafe.
Každý používateľ má možnosť zaregistrovať svoje BYOD zariadenie bez nutnosti priameho zásahu IT oddelenia. Tento proces sa nazýva “onboarding” a jeho princípom je v pár jednoduchých krokoch bezpečne integrovať BYOD zariadenie medzi ostatné firemné zariadenia a pre každé takéto zariadenie vydať certifikát obsahujúci identifikátor tohoto zariadenia (napr. MAC adresa, UDID, IMEI). Zároveň každý používateľ má k dispozícii webový portál s názvom “My devices”, kde vidí všetky zariadenia, ktoré si zaregistroval. V prípade, že dôjde k strate ním zaregistrovaného zariadenia, môže jediným kliknutím označiť zariadenie ako stratené a Cisco Identity Services Engine automaticky zabezpečí, že takéto zariadenie sa ocitne na čiernej listine a viac sa do firemnej siete neprihlási.
Cisco Identity Services Engine je možné integrovať s riešením MDM (Mobile Device Management) od spoločností MobileIron, SAP, Good Networking, Airwatch a Zenprise (teraz súčasťou spoločnosti Citrix). Táto integrácia umožňuje obohatenie vytváraných bezpečnosných pravidiel na Cisco Identity Services Engine o kontrolu parametrov koncového zariadenia, medzi ktoré patrí napr. zapnuté zabezpečenie PIN kódom, šifrovanie dát, kontrola na “jail-broken/root access”, kontrola unikátneho identifikátora zariadenia (UDID, IMEI, atď.). Táto kontrola sa deje v reálnom čase spoločnou komunikáciou medzi MDM klientom, spustenom na mobilnom zariadení, MDM serverom a Cisco Identity Services Engine. V prípade straty mobilného zariadenia je možné priamo z Cisco Identity Services Engine iniciovať vymazanie daného zariadenia.
Technické možnosti riešenia sú založené na všeobecne uznávaných štandardoch. Používateľov autentifikujeme na princípe štandardu IEEE 802.1X, pre kontraktorov a hosťov ponúkame kompletný Guest systém. Zariadenia pripájané do firemnej siete sú profilované na základe viacerých atribútov, ako sú napr. informácie o použitom web prehliadači, identifikátor výrobcu zariadenia, údaje Netflow zachytené o pripojenom zariadení priamo firemnou sieťou, a iné (napr. údaje z MDM servera). Bezpečnostná politika je implementovaná centrálne na Cisco Identity Services Engine a ďalej automaticky distribuovaná do celej firemnej siete. Zabezpečujeme autorizovaný prístup k dátam nezávisle od bodu pripojenia a dôvernosť prenášaných dát šifrovaním pomocou štandardu IEEE 802.1AE (MACSec). Integrácia so sieťovým manažmentom ponúka globálny a jednotný pohľad nad celou firemnou sieťou nielen z pohľadu sieťového, ale aj z pohľadu bezpečnostného manažmentu.
Pre viac informácií: