Byod for ya c

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1 © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1

BYOD в организации: надводные и подводные камни внедрения в контексте информационной безопасности

Алексей Лукацкий

Бизнес-консультант по безопасности

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2

Наличие удаленного доступа к корпоративной почте и сервисам увеличивает рабочее время сотрудника на полчаса

56% сотрудников в мире периодически работают вне офиса Forrester


Мобильника

97%

Интернет

84%

Автомобиля

64%

Партнера

43%


Работай Так Как Тебе Удобно !

BYOD “узаконивает”

существующее явление

приноса персональных

ноутбуков , планшетов и

телефонов на работу

Использование персональных

мобильных устройств в бизнес-

целях получило название BYOD

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5 BYOD требует стратегии мобильного рабочего места

BYOD Я хочу подключить

iPad к сети

Конечный

пользователь

Увеличение эффективности, доступности и

лояльности

Безопасность? CEO

Уменьшение IT-затрат

Как подключить и поддерживать разные типы устройств ?

Как обеспечить корпоративные

сервисы на устройстве ?

Как построить процессы и

разделить зоны ответственности

IT

Нужно разработать политику или делать

исключения

Как подключить безопасно и только к нужным ресурсам?

Новые риски безопасности – а что если украдут, а что

если уволится ?

Security


Где золотая середина?

Чего хотят пользователи

Доступ из любого места и в любое время

Независимость от устройств

Личные данные / приложения

Гибкие конфигурации

Чего хотят сотрудники ИТ и служб безопасности

Контролируемый сетевой доступ

Предсказуемые конфигурации

Безопасность данных

Блокировка пользователей

"Вы тормозите меня!"

"Прекратите протестовать и соблюдайте правила!"


1. На какие категории сотрудников распространяется ?

2. Какая процедура подключения новых устройств (орг. и техн.)?

3. Какая политика доступа с мобильных устройств изнутри корпоративной сети ?

4. Какова политика доступа с мобильных устройств к корпоративным ресурсам извне корпоративной сети?

5. Какова политика доступа с мобильного устройства к ресурсам Интернет?

6. Какие сервисы предоставляются (почта, UC, VDI …)?

7. Какие требования к защите мобильного устройства ?

8. Процедуры в случае потери/кражи устройства или увольнения сотрудника

9. Какие затраты оплачиваются (мобильный интернет, звонки …)?

10. Оценка затрат на внедрение или запрещение BYOD

© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8\47

Устройства

Приложения

Соединение

Управление Безопасность

Internal

Apps

Web

Apps

2G/3G WiFi VPN

ОС

Голос

Видео Сообщения

Конференции

Форм

Фактор Защищенное

соединение

Контроль

приложений

Защита Web

Защита

устройства

Шифрование

данных

Управление

устройством

Слежение за

устройством

Внедрение

приложений

Производите

льность &

Диагностика


затратами на

связь


1. Вредоносное ПО (Web: основной вектор)

2. Платный контент и трафик

3. Утечка данных, кража или потеря устройств

4. Нарушение правил контроля доступа и политик безопасности

5. Нарушение правил использования устройства на работе и вне офиса

УГРОЗЫ

• Мобильные устройства пользователей: главный источник рисков

BYOD* ̶ основной риск

Source: 2011 ISACA IT Risk/Reward Barometer, US Edition (www.isaca.org/risk-reward-barometer)


• Направления атаки

Сотовые сети

Соединения Bluetooth

Интернет (WLAN, 2/3/4G)

Синхронизация USB-устройств

Другие периферийный устройства

• Выберите то, что актуально для вас!


• Журнал вызовов и SMS-сообщения

• Электронная и голосовая почта

• Контакты и календарь событий

• Конфиденциальные данные и файлы, хранимые на устройстве или SD-картах

• Архив кэша клавиатуры (включая вводимые пароли)

• Фотографии, журнал просмотра Web-ресурсов

• Геолокационные данные

• Удаленные данные (изображения, сообщения электронной почты и т.д.)

• Приложения


• Вредоносный код

• Утечки конфиденциальной информации

• Установка пиратского ПО и кража легитимного ПО

• Перехват данных

• Вывод устройства из строя

• Кража/потеря устройства

• Посещение сайтов, ненужных для работы

• Нарушение требований регуляторов

• Высокие затраты на Интернет-трафик

• Звонки на платные номера / дорогие SMS на короткие номера

• Спам / фишинг / смишинг

• Отслеживание перемещений (вмешательство в личную жизнь)


Контроль доступа

Мне нужно, чтобы

пользователи и

устройства получали

адекватный доступ к

сетевым сервисам

(dACL, Qos, и т. п.)

Мне требуется разрешить

гостевой доступ к сети

Я хочу разрешить работу

в моей сети только

«нужных» пользователей

и устройств

Мне требуется

уверенность, что мои

оконечные устройства не

станут источником атаки

Мне требуется

разрешить/запретить

доступ с iPAD в мою

сеть(BYOD)

Сервисы

авторизации


жизненным циклом

гостевого доступа

Сервисы

профилирования

Сервисы

аутентификации

Сервисы оценки

состояния


Мобильная безопасность

Безопасность контента

Сетевая безопасность

Управление безопасностью


Контроль мобильного устройства при

доступе к корпоративным

ресурсам Защита самого

мобильного устройства


Уровень устройства

Уровень сети

Уровень приложений


Встроенная

Локальная

Централизованная


• Пользователи хотят выбирать мобильные устройства самостоятельно (BYOD)

• Спектр выбираемых устройств очень широк

ОС: iPhone, Windows Mobile, Symbian, BlackBerry, WebOS

Платформа: iPhone, Nokia, HTC, LG, Samsung, BlackBerry, Palm

• Проблема выбора не только средств защиты, но и самой мобильной платформы


Версия Forrester


Версия Gartner


Версия J’son & Partners


Мобильные устройства в Cisco

Версия Cisco

2

6

Рост использования мобильных устройств в Cisco 102%

19% 45%

21%

13%

*Includes devices with corporate plans, personal plans, and wi-fi only

Platform* June

2010

June

2011

June

2012

iPhone 3,554 16,857 23,258

iPad 150 5,418 10,779

BlackBerry 14,802 14,233 9,724

Android 40 3,526 6,592

Others 7,005 1,406 1,010

Total 25,401 41,440 51,363


• Встроенный функционал в мобильные устройства

Например, идентификация местоположения устройства в iPad или встроенный VPN-клиент в Nokia e61i на Symbian

• Функционал мобильных приложений

Например, функция удаления данных в Good или Exchange ActiveSync

• Отдельные решения для мобильных устройств

В рамках портфолио – Cisco, Лаборатория Касперского, Sybase

Специализированные игроки - MobileIron, Mobile Active Defense, AirWatch, Zenprise и т.д.


0% 10% 20% 30% 40% 50% 60%

Application monitoring and control

URL filtering

Anti-spam for messaging content

Back-up and restore

Firewall

Secure client and web-based VPN connectivity

Data-loss protection

Encryption

Loss and theft protection

Anti-virus

First choice

Second choice

Third choice

© Canalys

Source: Candefero survey results, June 2011 (87 respondents)


• Windows, Mac и Linux

• Apple iOS 4+ iPhone 3G/3GS/4, iPad, iTouch

• Windows Mobile, Palm, Symbian

• Android, Cisco Cius, Windows Phone 7

• BlackBerry, WebOS и т.д.

• Функционал одной системы защиты может меняться на разных платформах


Доступ своих к чужим

Доступ своих к своим

Доступ чужих к своим


• Какова политика доступа с мобильного устройства к корпоративным ресурсам изнутри корпоративной сети?

• Какова политика доступа с мобильного устройства к корпоративным ресурсам извне корпоративной сети?

Только VPN? Применяется NAC? Доступ только к отдельным приложениям?

Необходимо ли пропускать мультимедиа-трафик (VoIP, ВКС)? Через VPN?

• Какова политика доступа с мобильного устройства к ресурсам Интернет?

Изнутри корпоративной сети? А извне корпоративной сети?

А межсетевой экран нужен?

• Доступ к облачным вычислениям (если внедрены в организации)

• А может лучше терминальный доступ (VDI)?


Защита мобильного устройства

Интернет-трафик

VPN – внутренний трафик

(опционально)

Облачная безопасность


Новости Электронная

почта

Социальные сети Корпоративная

SaaS-система

Фильтрация

контента

Corporate AD

МСЭ/

IPS Защита

Интернет-доступа

в сети предприятия



• Устройству не хватает мощностей ;-(

• Защита в зависимости от местонахождения

Перенаправление на периметр или в облако

• Гранулированный контроль доступа к сайтам

• Доступ в ближайшее облако через SSO

• Контроль утечек информации в Web или e-mail трафике

WSA

VPN

Corporate DC

Premise Based Cloud Based


• Как проводится аутентификация пользователя на мобильном устройстве?

PIN? Логин/пароль? Графические шаблоны? Одноразовые пароли? Аппаратные токены? Сертификаты?

• Возможна ли интеграция с моим каталогом учетных записей? Как?

• Поддерживается ли SSO? Какой стандарт?

• Поддерживается ли федеративная система аутентификации? Какой стандарт?

• Нужна ли аутентификация к локальным ресурсам и устройствам?

• Необходим ли многопользовательский доступ к мобильному устройству?

А зачем?


Пароли Токены Биометрия Pattern Lock

Безопасность Слабая Сильная Сильная Слабая

Простота

использования

Просто Средне Тяжело Просто

Внедрение Просто Тяжело Тяжело Просто

Работа на

мобильном

устройстве

Да Нет Возможно Да


Интернет

“Сотрудники могут получать доступ ко всем

ресурсам с личных и корпоративных

устройств. Доступ внешних пользователей

блокируется.”

“Сотрудники должны использовать

корпоративные устройства. Личные

устройства запрещены, гостевой

доступ не предусмотрен.”

Внутренние

ресурсы

“Сотрудники могут получать доступ

к любым ресурсам с корпоративных

устройств. Сотрудникам, использующим

личные устройства,

и партнерам предоставляется

ограниченный доступ.”

Сеть комплекса

зданий Ограниченный

набор ресурсов

Сервисы политики

Это важно!


45


Тип Место User Статус Время Метод Свои


• Есть ограничения на используемые приложения?

• Собственная разработка?

• Процедура тестирования для внешних приложений и исходного кода?

• Контроль магазинов приложений? Собственные корпоративные магазины приложений?

• Процедура установки приложений?

Доверяем ли мы неподписанным приложениям?

• Существуют ли приложения третьих фирм при оказании сервиса?

• Используемые меры защиты приложений?

Права приложений


Workforce

Security Collaboration Function App

Store

Virtualization

Basics


“Приложения

регулярно шлют

информацию

маркетинговым

компаниям, которые

составляют досье на

мобильных

пользователей”

Source:

http://blogs.wsj.com/wtk-mobile/


• Как организовать?

• Централизованно или через пользователя?

А насколько высока из квалификация?

• Как отключать некоторые аппаратные элементы (камера, диктофон, Bluetooth и т.д.)? Надо ли?

• Как контролировать настройки?

• Как контролировать наличие «чужих» программ?

• Как удаленно «снять» конфигурацию?

• Как провести инвентаризацию?

• Как проводить troubleshooting?

• Как организовать доступ администратора к устройству?


• Как искать украденное/потерянное устройство?

А надо ли?

• Как дистанционно заблокировать устройство или удалить данные?

• Как защититься при смене SIM-карты?

• Контроль местонахождения устройства?

GPS, Глонасс, «Найди iPhone»?

• Рекомендации вернуть устройство владельцу?


• Возможно ли сканирование мобильных устройств?

Агентское или дистанционное?

• Как часто сканируются мобильные устройства?

• Каков процесс устранения уязвимостей?

• Как устанавливаются патчи?

• Отношение к Jailbrake?


• Черные списки телефонов?

• Скрытие от посторонних глаз SMS/номеров?

Отдельные контакты помечаются как «личные» и вся связанная с ними информация (SMS, звонки, контакты) будет скрыта от посторонних глаз

• Шифрование важной информации

Специальные «секретные» папки для документов и файлов

Динамический виртуальный шифрованный диск

Поддержка карт памяти

• Антивирус

• Нужен ли вам персональный межсетевой экран?


• Антивирус

Проверка в реальном времени

Проверка по требованию

Проверка по расписанию

Автоматическое обновление

• Межсетевой экран

Блокирование подозрительных соединений

Разные предопределенные уровни защиты


ОСОБЕННОСТИ РЕАЛИЗАЦИИ

.

Антивирус должен быть установлен, если иное не предусмотрено технологическим процессом. Для платформ Apple iOS антивирусов не существует

Проверка на отсутствие вредоносных программ на мобильном устройстве может быть осуществлена с помощью технологий NAC (Network Admission Control)

Трафик с мобильного устройства может перенаправления через AV-шлюз на корпоративном периметре или через «облако» SaaS

Отсутствие антивируса на мобильных устройствах может быть оправдано при условии разработки соответствующей модели угроз и реализации набора компенсационных мер (блокирование доступа, корпоративный appstore и т.д.)


• Как осуществляется расследование?

• Как вы обеспечиваете сбор доказательств несанкционированной деятельности?

• У вас есть доступ к логам на мобильном устройстве? Как долго вы их храните? Возможно ли увеличение этого срока?

• Можно ли организовать хранение логов на внешнем хранилище? Как?

• Разработан ли план реагирования на инциденты, связанные с мобильными устройствами?


• Обезличивание критичных данных и предоставление к ним доступа только авторизованному персоналу?

• Какие устройства собираются и хранятся на мобильном устройстве?

Как долго?

• Что включить в политику предоставления корпоративного мобильного устройства сотруднику? А что в политику доступа к корпоративной сети с личного мобильного устройства?

• Есть ли национальные законодательные требования по обеспечению privacy? Как найти баланс?

• Гарантии нераскрытия информации третьим лицам и третьими лицами?

• Как защищаются данные при передаче устройства в ремонт?


• Wiki

Mobility Rules of Use

Vulnerability Announcements

Security Advisories

Best practices/user guidelines

• Форумы

• Рассылки


• Подчиняется ли мобильное устройство обязательным нормативным требованиям? Каким?

• Необходимо ли проводить внешний аудит соответствия мобильных устройств?

ISO 27001

PCI DSS

СТО БР ИББС

382-П

Аттестация по ФСТЭК

ФЗ-152


ОСОБЕННОСТИ РЕАЛИЗАЦИИ

.

Необходимость использования СКЗИ определяется самостоятельно, если иное не предусмотрено законодательством РФ

Все зависит от модели угроз. Если речь идет не о персональных данных, то возможно применение несертифицированных СКЗИ

Для ПДн СКЗИ должно быть сертифицировано. Такие СКЗИ для мобильных платформ сегодня уже есть, но…

Установка сертифицированных СКЗИ подразумевает jailbreak. Вы готовы?


• Обладатель информации

• Собственник (владелец) системы

Обмен собственной

информацией

• Госорган Обмен с

госорганами

• Организация госзаказа Обмен с

организациями госзаказа

• Обладатель информации

• Пользователь (потребитель)

Обработка и хранение без

передачи


• Какой уровень доступности в SLA необходимо обеспечить?

• Какие меры обеспечения доступности используются для защиты от угроз и ошибок?

Резервный оператор связи

Подключение по Wi-Fi

• План действия на время простоя?

Вы поставили сотрудникам «Angry Beards» ;-)

• Резервирование и восстановление

• Как соотносятся оказываемые сервисы с мобильными устройствами с точки зрения критичности/доступности?

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 74 74

C-Level Term Impact Description

C1 Mission Imperative Any outage results in immediate cessation of a primary function,

equivalent to immediate and critical impact to revenue

generation, brand name and/or customer satisfaction; no

downtime is acceptable under any circumstances

C2 Mission Critical Any outage results in immediate cessation of a primary function,

equivalent to major impact to revenue generation, brand name

and/or customer satisfaction

C3 Business Critical Any outage results in cessation over time or an immediate

reduction of a primary function, equivalent to minor impact to

revenue generation, brand name and/or customer satisfaction

C4 Business Operational A sustained outage results in cessation or reduction of a primary

function

C5 Business

Administrative

A sustained outage has little to no impact on a primary function


75

Criticality Classification Matrix v3.0

Operational Continuity

(Planned and Unplanned Downtime) Disaster Recovery

Adjusted

Availabilit

y Ceiling

Planned

Downtime

Acceptabl

e?

Acceptable

Recovery

Time

(ART,

hours)

Acceptable

Data Loss

(ADL,

Hours)

Reduced

Performance

Acceptable

(Single DC

Loss)?

Recovery

Time

Objective

(RTO, in

Hours)

Recovery

Point

Objective

(RPO, in

Hours)

Reduced

Performance

Acceptable

(Large-Scale

Disaster)?

Criticalit

y Level

Distrib

-ution

Up to

99.999% N ~0 ~0 N n/a** n/a n/a C1

< 5% Up to

99.995% N 1 0 N 4 1 N C2

Up to

99.99% Y 4 0 N 24 1 Y C3 ~10%

Up to

99.9% Y 24 1 Y 48 24 Y C4 > 60%

Up to

99.9% Y Best Effort 24 Y Best Effort 1 wk Y C5 < 25%

• ART = Maximum downtime following incidents (up to and including one DC in Metro down)

• ADL = Maximum data loss following incidents (up to and including one DC in Metro down)

• RTO = Maximum downtime for applications following large-scale disaster (multiple Tier-III DCs in Metro down, highly

unlikely)

• RPO = Maximum data loss following large-scale disaster (multiple Tier-III DCs in Metro down, highly unlikely)

** Targeting distributed architectures (active/active over large distance) to meet service continuity requirements without DR

invocation


• Процедура завершение трудового договора предусматривает возврат мобильного устройства или данных на нем?

• Возврат корпоративных данных на личном мобильном устройстве? В какой форме?

• Как скоро организация/сотрудник получит свои данные обратно?

• Как будут уничтожены все резервные и иные копии моих данных? Как скоро? Какие гарантии? Как проконтролировать?


ОГРАНИЧЕННЫЙ ПЕРЕДОВОЙ РАСШИРЕННЫЙ БАЗОВЫЙ

Среды с жестким контролем

Только корпоративные устройства Производства

Госучреждения (секретность!)

Традиционные корпорации

Базовые сервисы, простой доступ

Широкий спектр устройств/только

Интернет

Образование

Общественные организации

и общественные места

Простой гостевой доступ

Различные сервисы, подключение

локально и удаленно

Различные типы устройств и методы

доступа, VDI Здравоохранение

Корпорации, стремящиеся внедрить BYOD

Поддержка временных сотрудников

Корпоративные приложения, новые

сервисы, управление

Различные типы устройств,

MDM

Инновационные корпорации

Розничные продажи Мобильные сотрудники

(видео, среды совместной работы, .)


Mobile Device Management Управление рабочим местом

Защитный клиент,

защита периметра

NAC, IAM, Compliance, Guest,

Policy Management

Функции коммутаторов,

беспроводных точек

доступа и маршрутизаторов

Безопасная мобильность

Инфраструктура управления

политиками

Сетевая инфраструктура Проводной и беспроводный доступ, унифицированное управление

Унифицированные политики для безопасного доступа

Безопасный мобильный и удаленный доступ

Управление мобильными и персональными устройствами


Сценарий Ограниченный Базовый Расширенный Передовой

Бизнес

политика Блокировать доступ

Доступ по ролям

изнутри сети

Гранулир. доступ

внутри и снаружи

Полноценное

мобильное рабочее

место

ИТ-

требования

Технологии

• Знать “кто” и “что”

включено в сеть

• Давать доступ

только

корпоративным

устройствам

• Предоставлять

персональным и

гостевым

устройствам

доступ в

Интернет и

ограниченному

числу внутренних

ресурсов

• Гранулированный

доступ изнутри

сети

• Гранулированный

удаленный

доступ к

ресурсам через

Интернет

• Использование

VDI

• Обеспечение

родных

приложений для

мобильных

устройств

• Управление

мобильными

устройствами

(MDM)

Коммутаторы, маршрутизаторы, точки беспроводного доступа Сетевая

инфраструктура


Идентификация и политики

Удаленный доступ и

безопасность

Приложения

LAN Management –

MDM

IAM, NAC, Guest, Policy

МСЭ/Web Security

Защитный клиент


Корпоративные приложения и VDI


Политика допускает использование только корпоративных устройств

Контроль доступа

• Внедряем систему контроля

доступа для запрета и/или

выявления не-корпоративных

устройств

• Нужно идентифицировать

происхождение и тип

подключаемого устройства

Policy Management

• Идентификация того КТО и

ЧТО включается в сеть

• Классификация типов

подключаемых устройств

• Ограничение не-

корпоративных устройств

Функции инфраструктуры

• Режим мониторинга (Monitor

Mode) упрощают выявление

не-корпоративных

устройств

• Функция коммутаторов

Sensor и Classifier позволяет

определить тип

подключаемого устройства

Функции BYOD

Уровень устройств

DESKTOP/ NOTEBOOKS

TABLETS

SMARTPHONES GAME/PRINTER THIN/VIRTUAL

CLIENTS

Wired Политики Управление Wireless


USER

CONFIG

DEVICE

Пример для проводной сети

Технологии для выявления “чужих” устройств

0. Фильтрация по MAC-адресам

1. Внедрение машинной аутентификации с помощью 802.1x

2. Классификация (профилирование) типов устройств на Policy Engine и

коммутаторе

3. Оценка состояния устройства и проверка наличия корпоративного ПО

(NAC)

Внедрение

машинных сертификатов Классификация

USER


CONFIG

DEVICE

OUI DHCP HTTP

Персональное устройство

Коммутатор

DNS NETFLOW SNMP

Corporate Resources

Internet

Policy Engine

Directory PKI CA

OUI DHCP


Предоставление базового сервиса доступа в Интернет и ограниченному перечню внутренних ресурсов

Управление доступом на

основе политик

• Идентификация и

аутентификация

персональных устройств

сотрудников

• Управление доступом в

зависимости от типа

устройства/роли пользователя

Гостевые устройства

• Полный цикл управления

гостевым доступом в сеть

• Предоставление Интернет-

доступа и доступа к

внутренним гостевым

ресурсам

Упрощенное подключение

новых устройств

• Регистрация и настройка

персональных устройств без

вмешательства IT-персонала

Функции BYOD


DESKTOP/ NOTEBOOKS

TABLETS

SMARTPHONES GAME/PRINTER THIN/VIRTUAL

CLIENTS

Wired Политики Управление Wireless


Policy Engine для расширенного управления политиками

ИДЕНТИФИ-

КАЦИЯ

КЛАССИФИКАЦИЯ

VLAN 10

VLAN 20

Wireless LAN Controller

DHCP

RADIUS

SNMP

NETFLOW

HTTP

DNS

Policy

Engine

Unified Access Management

Single SSID

802.1x EAP

Аутентификация

пользователя и


HQ

2:38pm

Классификация


Полный или частичный доступ

Персональный ресурс

Ресурс компании

Оценка состояния


Политика

доступа

4

5

6

Применение

политик

Корпоративные

ресурсы

Интернет

1

2

3


Сервис для гостевого доступа

Гостевая политика

Беспроводный или проводной

доступ

Доступ только в Интернет

Управление привилегиями

спонсоров, правами гостевых учетных

записей

Настройка Гостевых учетных

записей через Гостевой Портал

Извещение Уведомление

гостей об учетных записях -Print, Email, or SMS

Отчетность отчетность по

существующим записям

Гости

Веб-

аутентификаци

я

Internet


Доступ к сервисам и приложениям на работе и вне офиса

Применение политик

• Идентификация и

аутентификация

персональных устройств

сотрудников

• Управление доступом в

зависимости от типа

устройства/роли

пользователя

Безопасный мобильный

доступ

• Технологии безопасного

удаленного доступа к

Интернет-ресурсам и

корпоративным ресурсам

• Безопасность веб-доступа

Приложения для

совместной работы и VDI

• Предоставление приложений

для совместной работы и

доступа к корпоративным

сервисам

Функции BYOD


DESKTOP/NOTEBOOKS TABLETS

SMARTPHONES GAME/PRINTER THIN/VIRTUAL CLIENTS

Wired

Политики Управление

Wireless Router


Облако Web Sec МСЭ

WebEx Jabber Quad Enterprise Applications


Инсталляция корпоративных приложений, браузер или VDI

Родные приложения

для BYOD • Данные на устройстве

• Высокая

производительность

•“Родной” интерфейс

Браузер •Данные на устройстве

•Портирование на разные

платформы

•Интерфейс браузера

Виртульные сервисы •Нет локальных данных

•Самая высокая

безопасность

•Ощущения зависят от

скорости канала связи

Инсталлир. приложения

Корпоративные сервисы



Веб-браузер

HTML интерфейс

Клиент VDI Инфраструктура VDI

Data Center

Data Center

Data Center


Mobile Device Management

• Интегрированное управление политиками с управлением мобильными

устройствами (Mobile Device Management) предоставляет гранулированный

контроль устройств, многоуровневую безопасность и применение сетевых политик

доступа при внедрении BYOD

Полноценное рабочее место. Политика обеспечивает гранулированный доступ и управление для персональных устройств.

Функции BYOD


DESKTOP/NOTEBOOKS TABLETS

SMARTPHONES GAME/PRINTER THIN/VIRTUALCLIENTS

Wired

Политики Управление

Wireless Router


Облако Web Sec МСЭ

Jabber Quad Enterprise Applications

WebEx


Инвентаризация

Инициализация


Безопасность данных на

устройстве

Безопасность приложен.

Управление затратами

Полная или частичная

очистка удаленного


MDM продукты Контроль доступа и защита от сетевых угроз

Политики Защитный клиент МСЭ Облако Web Sec

Аутентификация

пользователей и

устройств

Оценка состояния

Применение

политики доступа

Безопасный

удаленный доступ

Защита от угроз

Политика

использования

Web

Защита от утечек

информации


Внедрение

Конфигурация

Защита

Приложения / контент

Мониторинг и управление

Поддержка

Завершение


• Управление базовыми защитными механизмами

• Включение / блокирование функций

• Управление преимущественно функциями ИТ, а не ИБ

• Отсутствие серьезной интеграции с системами контроля доступа

• Отсутствие серьезной интеграции с системами экономической безопасности


WLAN AP

Access Switch

МСЭ

Policy Engine (Cisco ISE)

Certificate Authority

(CA)

Mobile Device

Manager (MDM)

Wireless Router

Integrated Services Router

Aggregation Services Router

Campus

Switching Core

Branch Office

Home Office

Active Directory

(AD)

AnyConnect

WLAN Controller

Network Management

RSA Secure ID

Не доверенная сеть

Доверенная корпоративная

сеть

Internet

Mobile Network

Public Wi-Fi

WAN

BYOD устройства

Проводной, Беспроводной, Мобильный доступ

Шлюзы безопасности Инфраструктура защиты и управлениям политиками

Инфраструктура доступа


Управление/

развертывани

е

Динамическая

политика

Интегрир.

средства

Доп.

решение Облако

Облако/Saas

Web-сайты

Web-

приложения

Сервисы

Соц. сети

СХД

Что? Средства,

контент, данные

Защищенный, персонализированный и контекстно-зависимый доступ к данным

Прозрачный - оперативный - надежный

Интеллектуальная сеть

Кто?

Когда? Как?

Место-

положение?

Устройство

?

Сотовая 3G/4G

Wi-Fi

Проводная

Дома

В дороге

На работе

Клиент на

базе VM • Управляемое

• Неуправляемое

• Корпоративное

• Личное

СОТРУДНИК

ВРЕМ. СОТРУДНИК

ГОСТЬ

Контекст

SIO

ЦОД/VDI

Обеспечение

с учетом

контекста

Обеспечение

с учетом

контекста


10

1

Не использовать Ничего не делать

Менее защищенный Более защищенный


1. Явление BYOD влияет на все сферы IT и предполагает наличия в организации концепции/стратегии мобильного рабочего места и соответствующих процессов

2. На сегодня BYOD есть фактически в каждой организации – отличается лишь степень проникновения персональных устройств

3. В зависимости от степени “зрелости” использования персональных устройств организация может выбирать разные сценарии внедрения BYOD

4. В зависимости от задач могут быть выбраны и разные защитные механизмы

Выбирать ВАМ!


Спасибо за внимание!

Byod for ya c

Documents

Transcript of Byod for ya c