如何增強攜帶自己網(wǎng)絡(luò)(BYON)環(huán)境的安全 |
發(fā)布時間: 2012/8/24 14:22:45 |
攜帶自己網(wǎng)絡(luò)現(xiàn)象讓攜帶自己設(shè)備到工作場所(BYOD)環(huán)境的安全更復(fù)雜化。大多數(shù)安全專家都在努力應(yīng)付攜帶自己設(shè)備到工作場所(BYOD)現(xiàn)象,最終用戶將自己的移動設(shè)備帶到企業(yè)環(huán)境的同時,也帶來了一系列的安全隱患。然而,BYOD安全環(huán)境被另一個新興趨勢更加復(fù)雜化:攜帶自己網(wǎng)絡(luò)(BYON)。
BYON安全問題是一種越來越普遍的技術(shù)的副產(chǎn)品,即幫助用戶創(chuàng)建自己的移動網(wǎng)絡(luò)的技術(shù)。這種動態(tài)區(qū)域網(wǎng)絡(luò)(DAN)通常通過移動無線熱點功能來創(chuàng)建,對于這種網(wǎng)絡(luò),企業(yè)需要采取新的安全方法,在新安全方法中,不僅要將內(nèi)部設(shè)備視為不可信任設(shè)備,而且還應(yīng)將內(nèi)部網(wǎng)絡(luò)視為不可信網(wǎng)絡(luò)。 與BYOD一樣,BYON安全問題不能簡單地通過單點解決方案來解決,這需要結(jié)合人力、流程和技術(shù)多方面因素。 在BYOD浪潮出現(xiàn)以前,企業(yè)定義了網(wǎng)絡(luò)外圍,并且相應(yīng)地架構(gòu)其內(nèi)部網(wǎng)絡(luò)。然而,現(xiàn)在,企業(yè)必須接受這樣的現(xiàn)實,即所有網(wǎng)絡(luò)和所有設(shè)備都應(yīng)該當(dāng)做敵人來對待,而不管你部署了多少技術(shù)安全控制。 這樣做的原因很多。隨著新威脅的演變,基于簽名技術(shù)的有效性逐漸下降;用戶具有越來越高的移動性,并且他們需要同時連接到內(nèi)部和外部網(wǎng)絡(luò)。 在BYOD和BYON的世界,企業(yè)必須創(chuàng)建新的服務(wù)模式,假設(shè)網(wǎng)絡(luò)是敵人,設(shè)備是難以管理,數(shù)據(jù)被用于多種技術(shù)平臺。 企業(yè)必須在現(xiàn)場安排人員來幫助部署這種新安全方法。還必須制定一系列流程來支持BYOD和BYON,包括政策、標(biāo)準(zhǔn)、指令和準(zhǔn)則等。這些流程不僅要考慮數(shù)據(jù)因素(哪些數(shù)據(jù)需要保護,在哪里執(zhí)行安全控制以及數(shù)據(jù)該如何被保護),而且當(dāng)涉及BYOD/BYON技術(shù)時,還要定義可接受的業(yè)務(wù)行為。 傳統(tǒng)上來講,IT的安全做法都是基于員工使用受企業(yè)管理的系統(tǒng)。那么不受管理的BYOD和BYON系統(tǒng)應(yīng)該放在哪里呢?企業(yè)必須制定一個認可的BYOD流程來定義企業(yè)應(yīng)該如何處理這些不受管理的系統(tǒng)。 Forrester研究公司最近討論了“擴展企業(yè)”的概念,企業(yè)必須控制對關(guān)鍵資源的訪問權(quán)限,而無論連接設(shè)備、使用的網(wǎng)絡(luò)或者數(shù)據(jù)存儲情況如何。 為了讓企業(yè)適應(yīng)當(dāng)前用戶移動性及其后續(xù)發(fā)展的狀態(tài),F(xiàn)orrester表示,企業(yè)必須將重點放在對重要數(shù)據(jù)的安全控制上,而不是放在網(wǎng)絡(luò)或設(shè)備上。 與BYOD一樣,沒有哪個單點技術(shù)可以作為BYON的整體解決方案來部署。作為企業(yè)部署技術(shù)控制的起點,第一步是建立一個以數(shù)據(jù)為中心的安全模式。以數(shù)據(jù)為中心的安全已經(jīng)存在相當(dāng)長一段時間,對于BYOD等趨勢,它是讓企業(yè)為用戶提供移動性的“先行者”,企業(yè)主要通過圍繞數(shù)據(jù)存儲的網(wǎng)絡(luò)控制以及在應(yīng)用層建立適當(dāng)?shù)陌踩刂苼硖峁┯脩粢苿有浴?/p> 下一步是轉(zhuǎn)向整個基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全控制,將它們轉(zhuǎn)移到入站,創(chuàng)建一個外圍來保護數(shù)據(jù)。這種方法幫助企業(yè)消除了對與不受管理設(shè)備位于相同“敵對”網(wǎng)絡(luò)的數(shù)據(jù)資源安全的焦慮。 通過瓦解圍繞數(shù)據(jù)源的網(wǎng)絡(luò)外圍(作為靜態(tài)數(shù)據(jù)控制),我們現(xiàn)在可以將注意力放在數(shù)據(jù)訪問方法上,即對動態(tài)數(shù)據(jù)的控制,方法之一是部署下一代防火墻(NGFW)。 傳統(tǒng)防火墻最多只能在傳輸層執(zhí)行安全控制,它們并不清楚誰在訪問數(shù)據(jù)以及數(shù)據(jù)時如何被訪問。通過下一代防火墻,企業(yè)獲得了對數(shù)據(jù)使用情況的進一步能見度,包括應(yīng)用類型以及用戶身份等。這可以確保移動用戶隨時隨地訪問數(shù)據(jù),同時篩選出異;驉阂鈨(nèi)容。 最后一步是設(shè)計、開發(fā)和部署能夠支持隨時隨地訪問的應(yīng)用程序(對使用中數(shù)據(jù)的控制),在部署這種移動應(yīng)用程序時,企業(yè)可以采取兩種方法。 第一種方法擴展安全軟件開發(fā)的行業(yè)最佳做法,即向應(yīng)用程序嵌入安全過濾控制附加層,例如數(shù)據(jù)屏蔽或者基于角色的身份驗證。 第二種方法是使用應(yīng)用程序虛擬化軟件來保護移動設(shè)備內(nèi)的數(shù)據(jù)。 通過這些方法,企業(yè)可以允許用戶隨時隨地訪問數(shù)據(jù),并且確保數(shù)據(jù)被存儲在預(yù)定位置,通過經(jīng)認可的方法來傳輸。 BYOD和BYOD趨勢還將繼續(xù)發(fā)展,它們將創(chuàng)建不受管理且日益敵對的業(yè)務(wù)和IT環(huán)境。作為安全專業(yè)人員,我們必須擯棄傳統(tǒng)的安全做法,并創(chuàng)建提供安全數(shù)據(jù)訪問的服務(wù)模式,無論設(shè)備、網(wǎng)絡(luò)或來源如何。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |