Trend BYOD rozwija się bardzo szybko. Gwałtowny wzrost liczby przenośnych urządzeń powoduje, że wszystkie procesy związane z automatycznym wykrywaniem ich w sieci, profilowaniem, wprowadzaniem do infrastruktury (onboarding), zabezpieczaniem, zarządzaniem nimi oraz rozwiązywaniem problemów stanowią jedno, olbrzymie wyzwanie, z którym muszą się zmierzyć przedsiębiorstwa.

A problemów jest niemało: nowe i ciągle zmieniające się typy urządzeń, różnorodne systemy operacyjne, natychmiastowe zapotrzebowanie pracowników na aplikacje biznesowe, zwiększony przesył danych, wideo i głosu przez sieć przewodową i bezprzewodową itd. Wszystko to ma ogromny wpływ na bezpieczeństwo, przepustowość, kontrolę dostępu oraz warunki pracy wszystkich użytkowników i gości.

 

Mobilny dostęp do sieci i zasobów

Extreme Networks ma w swojej ofercie rozwiązanie Mobile IAM, które zapewnia kompleksową ochronę, pełną kontrolę IT i przewidywalną jakość warunków pracy dla wszystkich użytkowników. Korzystający z niego administratorzy otrzymują zestaw oprogramowania do zarządzania tożsamością, spisem urządzeń i ich dostępem do sieci, kontekstowego egzekwowania reguł polityki bezpieczeństwa, kompleksowego zarządzania z poziomu jednej, łatwej w użyciu aplikacji, audytowania i raportowania.

Mobile IAM jest rozwiązaniem, które zapewnia zarządzanie politykami na najbardziej szczegółowym, w porównaniu z produktami konkurencji, poziomie. Kontrolą objęto dostęp w warstwach od 2 do 4 na poziomie portu i urządzenia, zapewniona jest też dbałość o QoS i zdefiniowane priorytety związane z ograniczaniem wielkości ruchu w danej sytuacji. Oprogramowanie to ciągle śledzi stan ponad 45 atrybutów dla każdego urządzenia oraz użytkownika. Powiadamia administratorów o zmianach, a także zapewnia maksymalną widoczność całej aktywności w sieci. Oferuje otwartą architekturę do oceniania systemów (integracja MDM) oraz reagowania na zagrożenia (NGFW – Next Generation Firewall, SIEM – Security Information and Event Management, IPS – Intrusion Prevention System).

 

Rozwiązanie Mobile IAM ma dwie postaci – fizyczną i wirtualną. Mobile-IAM-APP to fizyczne urządzenie, które obsługuje do 3 tys. urządzeń końcowych, zapewnia automatyczne wykrywanie i wielopoziomowe profilowanie urządzeń oraz podłączanie ich do sieci. Dba też o kontekstowe zarządzanie politykami ze zintegrowanymi usługami uwierzytelniania i egzekwowaniem w sieciach przewodowych, bezprzewodowych i VPN oraz zarządzanie dostępem gości. Zawiera oprogramowanie do kompleksowego zarządzania maksymalnie pięcioma urządzeniami sieciowymi za pomocą jednego interfejsu. W ten sposób zapewnia zarządzanie tożsamością, dostępem do sieci i spisem urządzeń oraz kontekstowe egzekwowanie polityki bezpieczeństwa. Wirtualna wersja tego systemu – Mobile-IAM-VB – oferuje podobną funkcjonalność. Jest udostępniana w pliku o formacie .OVA, zdefiniowanym przez VMware.

Bezpieczny dostęp do sieci we wszystkich aspektach

Mobile IAM gwarantuje kontrolę dostępu do sieci dla przewodowych i bezprzewodowych sieci VLAN oraz użytkowników VPN. Dzięki niemu administratorzy IT mogą stworzyć środowisko NAC, w którym tylko właściwi użytkownicy mają dostęp do odpowiednich danych w odpowiednim miejscu i czasie.

Rozwiązanie Mobile IAM jest ściśle zintegrowane z systemami IPS, SIEM i ASM. Polityki Extreme NAC pozwalają na przepuszczanie, blokowanie, ograniczanie poziomu, tagowanie, przekierowywanie i kontrolowanie ruchu sieciowego. Bazują na tożsamości użytkownika, czasie logowania, jego lokalizacji, typie urządzenia i innych zmiennych środowiskowych.

Mobile IAM można zastosować do każdego urządzenia wykorzystującego standard RADIUS do uwierzytelniania z konfigurowalnymi atrybutami, takimi jak Login-LAT lub Filter ID. Przedsiębiorstwa mogą stosować różne reguły polityki bezpieczeństwa, zależnie od atrybutu Reject RADIUS. Przykładowo, inną politykę można stosować wobec użytkownika z wygasłym hasłem, a inną wobec użytkownika, który nie posiada konta.

Opisywane rozwiązanie umożliwia jednolitą definicję polityk na wielu różnych przełącznikach i bezprzewodowych punktach dostępowych.

Dzięki elastyczności Mobile IAM przedsiębiorstwa mają możliwość etapowego wdrożenia rozwiązania, co zapewnia szybsze uruchomienie systemu ochrony sieci. Firma może rozpocząć od prostego wykrywania punktów końcowych i katalogu z informacjami o ich położeniu, następnie wprowadzić uwierzytelnianie, autoryzacje i ocenianie, a w końcowym etapie – wdrożyć funkcje automatycznych działań naprawczych.

Konrad Grzybowski

ECE Extreme Networks Architect, inżynier Versim

Rozwiązanie Extreme Networks NAC umożliwia równoczesną kontrolę takich urządzeń jak drukarki, kamery monitoringu, czytniki RFID itp., jak też tożsamości użytkowników. Interfejs aplikacji zapewnia narzędzia do zarządzania niemalże każdym urządzeniem komunikującym się z wykorzystaniem stosu TCP/IP, a także wgląd w status jego pracy. Extreme Networks NAC zbiera i koreluje informacje z otwartych protokołów sieciowych, co oznacza, że nie trzeba instalować żadnego oprogramowania rezydującego na urządzeniu końcowym.

 
Zarządzanie urządzeniami mobilnymi

Kolejnym ważnym obszarem związanym z trendem BYOD jest zarządzanie urządzeniami mobilnymi (Mobile Device Management), zainstalowanymi w nich aplikacjami mobilnymi (wdrożenie, aktualizacja, blokowanie), tworzenie spisu sprzętu i oprogramowania, zarządzanie bezpieczeństwem i politykami (polityki korporacyjne, sposoby uwierzytelniania użytkowników i szyfrowania danych, połączenia ze znanymi i nieznanymi sieciami) oraz usługami telekomunikacyjnymi.

Wszystkie wymienione funkcje są istotne dla podmiotów działających w specyficznych sektorach rynku, wymagających bardziej rygorystycznego zarządzania swoimi urządzeniami mobilnymi (np. dla administracji rządowej, opieki zdrowotnej) lub dla tych, które chcą obniżyć koszty operacyjne. Nie ma jednak obowiązku wdrażania MDM w każdej instytucji, gdzie akceptowany jest trend BYOD, szczególnie tam, gdzie do sieci podłącza się wielu gości, np. w placówkach edukacyjnych.

W infrastrukturze wykorzystującej rozwiązania Extreme oprogramowanie Mobile IAM jest rdzeniem każdego rozwiązania BYOD, a MDM dodatkowo poszerza jego możliwości o zarządzanie urządzeniami mobilnymi. W początkowej fazie wdrożenia Mobile IAM automatycznie wykrywane i wyliczane są wszystkie urządzenia i użytkownicy w sieci. Dzięki integracji MDM możliwe jest natychmiastowe rozpoznanie urządzeń zarządzanych przez rozwiązanie MDM i zastosowanie wobec nich odmiennej polityki – gwarantuje to wyodrębnienie i oddzielenie od siebie w warstwie sieci prywatnych i firmowych urządzeń.

Andrzej Oleszek

Konsultant Bezpieczeństwa sieci Versim

Systemy ochronne, które bazują na technologii NAC, są jedynym niezawodnym rozwiązaniem zapewniającym pełną kontrolę nad urządzeniami na brzegu sieci informatycznej. W przypadku IAM brzeg sieci może stanowić nie tylko infrastruktura LAN, ale również WLAN oraz centrum danych dla użytkowników infrastruktury wirtualnych desktopów. Dzięki połączeniu wszystkich procesów utrzymania systemu informatycznego w jednym pakiecie aplikacyjnym szczegółowe informacje na temat wszystkich użytkowników i urządzeń możemy otrzymać z poziomu panelu administracyjnego.

Dodatkowe informacje:

Agnieszka Makowska,

DYREKTOR SPRZEDAŻY, VERSIM,

agnieszka.makowska@versim.pl

Artykuł powstał we współpracy z firmami Extreme Networks i Versim.