消费者使用平板电脑、智能手机和其他移动设备的速度非常之快,从而给企业的IT部门带来了新的挑战。这种现象被称为“携带自己的设备办公(BYOD)”。
消费者使用平板电脑、智能手机和其他移动设备的速度非常之快,从而给企业的IT部门带来了新的挑战。这种现象被称为"携带自己的设备办公(BYOD)"。现在,这些人所有的设备必须能使用一定的企业的资产和资源,且必须进行保护和控制,从而无需IT部门拥有它们的所有权。
Cisco思科的工程师为了重要企业客户的测试并验证BYOD解决方案,已经建立以客户为中心的网络架构,一些500强企业和许多其他的公司已经采用了实验室架构,用来准备安全部署,以及让自身对独特的需求进行定制。虽然Cisco的产品和技术包括了这一架构的基础设施、周边防守以及大多数其他元素,但是Cisco产品本身对于减小DDoS攻击的防御能力的效果不是特别明显。
Cisco选择了Arbor Networks的Pravail可用性保护系统(Pravail APS)和Pravail网络安全情报(Pravail NSI)的解决方案,用来为BYOD架构提供DDoS攻击防护。
目前有很多文章帮助IT部门彻底想清楚BYOD的趋势,并计划支持这一趋势。 IT部门必须考虑到设备控制、应用控制,增强安全性、策略管理以及执行和应用的可视性。然而,通常情况下,安全性是关心的主要方面。如果没有访问网络的全部移动设备,IT组织如何保护他们的基础设施?根据这些定制设备的位置、当日时间和其他标准,他们怎么能执行这些策略?在这样一个开放的环境中,他们如何降低分布式拒绝服务(DDoS)攻击的风险?
正如任何复杂网络的扩展一样,规划BYOD的实现依赖于坚实的基础设施,并且需要重点关注的几个要素如下:
无线网络策略管理
策略有很多种,但对于BYOD,你需要把重点策略放在以网络为基础的位置。具体来说,你需要一个以网络为基础的策略,可增强应用在设备级别的策略。只有这样,你才能解答一些关键问题,如:移动设备在不同的地方能获取什么样的资源和数据?在一天特定的时间内,如何对数据的访问进行限制?你如何控制企业网络和远程的数据进入移动设备?
安全
安全措施归为三类:完整性,保密性和可用性。为保证完整性,IT必须建立采用状态防火墙的各种信任区,用以过滤不必要的流量,只允许经过授权的应用程序的流量。保密性通过加密经过公共网络(不可信)的流量而获得。来自于公共网络的加密连接在高性能的硬件上需要将被终止,然后过滤,再由防火墙和IDS/ IPS设备进行检查。资源的可用性必须通过实施智能DDoS攻击防护系统(IDMS),在所有的情况下都得到确保。 DDoS攻击的目标是拒绝普通用户受到攻击时的服务。DDoS攻击需要用不同的方法防御,进行一种缓解而不是隔离的防御。流量阻塞经常通过完全隔离被攻击的资源来完成DDoS的目标,以便保护该资源,从而消除了授权用户对其的可用性。
移动设备管理
IT必须能够控制哪一个移动设备访问网络,并能正确地对设备进行验证。各种不同的网络访问控制(NAC)技术便是用于此目的的。对于BYOD来说,无需在用户的移动设备上安装客户端,该解决方案就必须应用成功。策略需要忽略操作系统或所有权而被应用到移动设备,否则,设备必须进行鉴定,并与内部网络隔离。
网络和应用程序的可见性
IT组织需要流量和应用程序使用的可见性,并且必须在内部网络上建立流量基线,以了解正常的和不规则的活动。对装置基础上的一种装置数据流模式让你分析出移动设备是否正在获取授权的数据,以及它是否将该数据传播到未经授权的位置。这些技术依赖于Cisco 的NetFlow数据,以及专用设备的深度包检测(DPI)。
网友评论