您的位置: 网界网 > 安全 > 正文

案例:4种BYOD安全方法(二)

2013年04月12日 13:07:00 | 作者:David Geer | 来源:TechTarget中国 | 查看本文手机版

摘要:单靠MDM并不能解决BYOD安全,它通常需要与其他工具整合,包括身份管理(IDM)和NAC产品。

标签
NAC
IDM
BYOD安全

《案例:4种BYOD[注]网络安全方法(一)》介绍了Rowan-Salisbury学校的BYOD安全方法,本文将继续介绍Hartwick、Central Michigan大学和田纳西州医疗中心各自的方法。

身份管理:BYOD安全的核心

纽约州的Hartwick学院使用IDM工具和下一代防火墙[注]来处理其设备管理和访问。Meru身份管理器(Identity Manager)通过Smart Connect和Guest Connect模块来同时控制访客和员工设备的网络访问。当该学院的新员工首次尝试打开一个网页时,他将被重定向到Meru IDM设备上的强制门户页。

Hartwick学院IT执行主管Davis Conley表示,“我们的IDM设备有2048位VeriSign证书,该证书用于加密该强制门户网站的网页,然后员工下载SmartConnect作为applet或者网络配置文件。”

SmartConnect配置该设备使用加密的网络,自动验证用户,让设备将其作为首选网络,然后从设备的SSID列表移除开放式网络。而访客用户可以在Guest Connect注册Guest SSID。Smart Connect和 Guest Connect都有自动化基于角色和政策的BYOD配置。Conley称,“Guest Connect要求用户填写真实的姓名、电话号码以及他们所要访问的校园内的人,如果有问题的话,我们可以关闭他们的网络访问。”然后,Meru IDM使用一个机制来收集设备MAC地址用于未来的设备识别。

然而,Hartwick学院没有使用Meru解决方案的活动监控、政策管理和政策执行部分。Conley称:“我们已经有了自己的政策管理,我们使用Bluecoat数据包成型器、Palo Alto下一代防火墙和Tipping Point设备来查看哪些设备在传输带有病毒的内容,然后我们会要求用户解决这个问题。”

BYOD管理:带有NAC的WLAN分析工具

密歇根州的Central Michigan大学使用Lancope的StealthWatch网络分析仪来检测WLAN上的行为以及跟踪用户活动。该大学网络管理人员Ryan Laus表示,“我们使用StealthWatch来查找异常行为,并找出用户正试图做什么。然后,我们使用NAC设备(来自Bradford Networks)来识别用户,这是一个手动过程。”

通过StealthWatch,Central Michigan大学能够发现外部发起的僵尸网络攻击、蠕虫和高级持续攻击,以及内部滥用、违反政策的行为和数据泄露,无论设备类型。NetFlow为StealthWatch的分析提供数据。

现在该大学正在测试来自不同供应商的MDM工具用以执行政策。MDM将可以使用政策来控制用户可以在设备上的行为,这与Active Directory使用组策略来控制有些类似。它将阻止未经授权的软件安装,并能使管理员为BYOD部署设置配置和权限。

Central Michigan大学预计将使用StealthWatch来支持新的MDM工具包。Laus表示:“如果用户知道如何绕过MDM来安装未经批准的应用,StealthWatch可以查找超出政策范围的流量,并向NAC设备发出警报,这会将用户/设备转移到隔离的网络。”

BYOD安全:整合IDM与NAC

田纳西州的地区医疗中心正在使用Aruba Networks的ClearPass集成移动管理和NAC软件来为BYOD创建一个自配置系统。医疗中心的用户将使用标准的登录名和密码来登录(+本站微信networkworldweixin),而ClearPass将基于预先确定的政策来进行配置。该医疗中心的IT主管[注]Tony Alphier表示:“我们不需要让他们带来他们的设备以及手动安装安全/网络配置文件。”经过这个过程,NAC控制器将可以防止设备不注册和确保安全登录到网络。

“目前我们不允许员工BYOD(内部访问),除非他们是医生,并带来一台笔记本,这样我们将手动在其设备上配置文件,”Alphier表示,“当我们添加Aruba的NAC模块时,我们将能够允许所有员工的BYOD访问。”

该医疗中心还使用Aruba的AirWave来记录和监控设备活动,Aruba技术允许Alphier提供访客网络。Alphier表示:“我们曾使用Aruba的Amogopod访客解决方案,Aruba现在还把AirWave与Clear Pass结合。我们可以让家人、病人和朋友访问我们的网络,同时保持安全。”访客现在可以自我配置,接收代码连接到互联网,同时保持与内部网络的隔离。

参考资料

1.BYOD:(Bring Your Own Device)是指携带自己的设备办公,这些设备包括个人电脑、手机、平板等,使用者可以不受时间、地点、设备、人员、网络环境的限制登陆到公司网络,并进行工...详情>>

2.下一代防火墙:(Next Generation Firewall),简称NGFW,是可以全面应对应用层威胁的高性能防火墙。通过借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安...详情>>

3.CIO:(Chief Information Officer),首席信息官,亦可称之为信息主管、信息总监等,是企业中信息化建设“统筹”人,是企业中不可或缺的高级主管职位之一,主要负责企业内部信息...详情>>

[责任编辑:网络安全 lin_hongji@cnw.com.cn]