4 сценария внедрения byod на предприятии

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1

Использование персональных устройств в бизнесе (BYOD) Почему свой мобильник ближе к телу?

Алексей ЛукацкийБизнес-консультант по безопасности

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2

BYODB Y O D

Явление использования персональных IT-устройств в рабочих целях

•

•

•

•


Наличие удаленного доступа к корпоративной почте и сервисам увеличивает рабочее время сотрудника на полчаса

56% сотрудников в мире периодически работают вне офисаForrester


Основным драйвером развития IT становятся пользовательские мобильные устройства

В 2012 году на мировой рынок будет поставлено 371 млн компьютеров, 106 млн планшетных ПК и 660 млн смартфонов.

IDC, март 2012


МобильникаМобильника

97%97%

ИнтернетИнтернет

84%84%

АвтомобиляАвтомобиля

64%64%

ПартнераПартнера

43%43%


Работай Так Как Тебе Удобно !

BYOD “узаконивает”существующее явление приноса персональных ноутбуков , планшетов и телефонов на работу

Использование персональных мобильных устройств в бизнес-целях получило название BYOD


Software AdviceMarch, 2012


Я хочу подключить iPad к сети

Увеличение эффективности, доступности и лояльности

Безопасность?

Уменьшение IT-затрат


1. Вредоносное ПО (Web: основной вектор)

2. Платный контент и трафик

3. Утечка данных, кража или потеря устройств

4. Нарушение правил контроля доступа и политик безопасности

5. Нарушение правил использования устройства на работе и вне офиса

Мобильные устройства пользователей: главный источник рисков

Source: 2011 ISACA IT Risk/Reward Barometer, US Edition (www.isaca.org/risk-reward-barometer)


Доступ из любого места и в любое время

Независимость от устройств

Личные данные / приложения

Гибкие конфигурации

Контролируемый сетевой доступ �

Предсказуемые конфигурации �Безопасность данных �

Блокировка пользователей �

© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11\47

1. На какие категории сотрудников распространяется ?

2. Какая процедура подключения новых устройств (орг. и техн.)?

3. Какая политика доступа с мобильных устройств изнутри корпоративной сети ?

4. Какова политика доступа с мобильных устройств к корпоративным ресурсам извне корпоративной сети?

5. Какова политика доступа с мобильного устройства к ресурсам Интернет?

6. Какие сервисы предоставляются (почта, UC, VDI o)?

7. Какие требования к защите мобильного устройства ?

8. Процедуры в случае потери/кражи устройства или увольнения сотрудника

9. Какие затраты оплачиваются (мобильный интернет, звонки o)?

10. Оценка затрат на внедрение или запрещение ☺ BYOD


ОГРАНИЧЕННЫЙ ПЕРЕДОВОЙРАСШИРЕННЫЙБАЗОВЫЙ

ПроизводстваГосучреждения (секретность!)Традиционные корпорации

ОбразованиеОбщественные организации

и общественные местаПростой гостевой доступ

ЗдравоохранениеКорпорации, стремящиеся

внедрить BYODПоддержка временных

сотрудников

Инновационные корпорации

Розничные продажи Мобильные сотрудники

(видео, среды совместной работы, .)


Mobile Device ManagementУправление рабочим местом

Защитный клиент,защита периметра

NAC, IAM, Compliance, Guest, Policy Management

Функции коммутаторов, беспроводных точек доступа и маршрутизаторов

Безопасная мобильность

Инфраструктура управления политиками

Сетевая инфраструктураПроводной и беспроводныйдоступ, унифицированное управление

Унифицированные политики для безопасного доступа

Безопасный мобильный и удаленный доступ

Управление мобильными и персональными устройствами


Сценарий Ограниченный Базовый Расширенный Передовой

Блокировать доступДоступ по ролям изнутри сети

Гранулир. доступ внутри и снаружи

Полноценноемобильное рабочее место

• Знать “кто” и “что”включено в сеть

• Давать доступ только корпоративным устройствам

• Предоставлять персональным и гостевым устройствам доступ в Интернет и ограниченному числу внутренних ресурсов

• Гранулированныйдоступ изнутри сети

• Гранулированный удаленный доступ к ресурсам через Интернет

• Использование VDI

• Обеспечениеродных приложений для мобильных устройств

• Управление мобильными устройствами (MDM)

Коммутаторы, маршрутизаторы, точки беспроводного доступаСетевая

инфраструктура

Управление

Идентификация и политики

Удаленный доступ и

безопасность

Приложения

LAN Management

MDM

IAM, NAC, Guest, Policy

МСЭ/Web SecurityЗащитный клиентОблачная безопасность

Корпоративные приложения и VDI


Политика допускает использование только корпоративных устройств

Контроль доступа

• Внедряем систему контроля доступа для запрета и/или выявления не-корпоративных устройств

• Нужно идентифицировать происхождение и тип подключаемого устройства

Policy Management

• Идентификация того КТО и ЧТО включается в сеть

• Классификация типов подключаемых устройств

• Ограничение не-корпоративных устройств

Функции инфраструктуры

• Режим мониторинга (Monitor Mode) упрощают выявление не-корпоративных устройств

• Функция коммутаторов Sensor и Classifier позволяет определить тип подключаемого устройства

Функции BYOD

DESKTOP/NOTEBOOKSTABLETSSMARTPHONES GAME/PRINTER THIN/VIRTUAL

CLIENTS

Wired Политики УправлениеWireless


USER

CONFIG

DEVICE

Пример для проводной сети

0. Фильтрация по MAC-адресам1. Внедрение машинной аутентификации с помощью 802.1x2. Классификация (профилирование) типов устройств на Policy Engine и коммутаторе

3. Оценка состояния устройства и проверка наличия корпоративного ПО (NAC)

Внедрение машинных сертификатов Классификация

USER

CONFIG

DEVICE

OUI DHCP HTTP

Персональное устройство

Коммутатор

DNS NETFLOW SNMP

CorporateResources

Internet

Policy Engine

Directory PKI CA

OUI DHCP


Планшетники

2,454 iPads70% рост

15,403BlackBerry0% рост

1,164Android76% рост

11,762 iPhones20% рост

3,289 Другие устройства

-18% ростСмартфоны (КПК)

Консьюмеризация Распространение устройств

Непрерывное соединение

Мобильность

Можно ли ограничить в платформе?

Любое устройство, Везде, Всегда, Защищенно....


Предоставление базового сервиса доступа в Интернет и ограниченному перечню внутренних ресурсов

Управление доступом на основе политик

• Идентификация и аутентификация персональных устройств сотрудников

• Управление доступом в зависимости от типа устройства/роли пользователя

Гостевые устройства

• Полный цикл управления гостевым доступом в сеть

• Предоставление Интернет-доступа и доступа квнутренним гостевым ресурсам

Упрощенное подключение новых устройств

• Регистрация и настройка персональных устройств без вмешательства IT-персонала

Функции BYOD

DESKTOP/NOTEBOOKSTABLETSSMARTPHONES GAME/PRINTER THIN/VIRTUAL

CLIENTS

Wired Политики УправлениеWireless


Policy Engine для расширенного управления политиками

ИДЕНТИФИ-КАЦИЯ

КЛАССИФИКАЦИЯ

VLAN 10

VLAN 20

Wireless LAN Controller

DHCP

RADIUS

SNMP

NETFLOW

HTTP

DNS

Unified Access Management

Single SSID

HQ

2:38pm

Полный или частичный доступ

Персональный ресурс

Ресурс компании


Сервис для гостевого доступа

Гостевая политика

Беспроводный или проводной

доступ

Доступ только в Интернет

привилегиямиспонсоров, правами гостевых учетных

записей

Гостевых учетных записей через

Гостевой Портал

Уведомление гостей об учетных записях -Print, Email, or SMS

отчетность по существующим

записям

Гости

Веб-аутентификаци

я


Доступ к сервисам и приложениям на работе и вне офиса

Применение политик

• Идентификация и аутентификация персональных устройств сотрудников

• Управление доступом в зависимости от типа устройства/роли пользователя

Безопасный мобильный доступ

• Технологии безопасного удаленного доступа к Интернет-ресурсам и корпоративным ресурсам

• Безопасность веб-доступа

Приложения для совместной работы и VDI• Предоставление приложений для совместной работы и доступа к корпоративным сервисам

Функции BYOD

DESKTOP/NOTEBOOKSTABLETSSMARTPHONES GAME/PRINTER THIN/VIRTUAL CLIENTS

Wired

Политики Управление

WirelessRouter

Защитныйклиент Облако Web Sec МСЭ

WebEx Jabber Quad EnterpriseApplications


Новости Электроннаяпочта

Социальные сети КорпоративнаяSaaS-система

Фильтрация контента

Corporate AD

МСЭ/IPSЗащита

Интернет-доступа в сети предприятия

Облачная безопасность


Инсталляция корпоративных приложений, браузер или VDI

Родные приложения для BYOD• Данные на устройстве • Высокая производительность•“Родной” интерфейс

Браузер•Данные на устройстве•Портирование на разные платформы•Интерфейс браузера

Виртульные сервисы•Нет локальных данных•Самая высокая безопасность•Ощущения зависят от скорости канала связи


Mobile Device Management• Интегрированное управление политиками с управлением мобильными устройствами (Mobile Device Management) предоставляет гранулированный контроль устройств, многоуровневую безопасность и применение сетевых политик доступа при внедрении BYOD

Полноценное рабочее место. Политика обеспечивает гранулированный доступ и управление для персональных устройств.

Функции BYOD

DESKTOP/NOTEBOOKSTABLETSSMARTPHONES GAME/PRINTER THIN/VIRTUALCLIENTS

Wired

Политики Управление

WirelessRouter

Защитныйклиент Облако Web Sec МСЭ

Jabber Quad EnterpriseApplicationsWebEx


� Инвентаризация

� Инициализация устройства

� Безопасность данных на устройстве

� Безопасность приложен.

� Управление затратами

� Полная или частичная очистка удаленного устройства Политики Защитный клиент МСЭОблако Web Sec

� Аутентификация пользователей и устройств

� Оценка состояния

� Применение политики доступа

� Безопасный удаленный доступ

� Защита от угроз

� Политика использования Web

� Защита от утечек информации


WLAN AP

Access Switch

МСЭ)

Policy Engine

CertificateAuthority

(CA)

Mobile Device

Manager (MDM)

WirelessRouter

IntegratedServicesRouter

AggregationServicesRouter

Campus

SwitchingCore

Branch Office

Home Office

ActiveDirectory

(AD)

AnyConnect

WLAN Controller

NetworkManagement

RSASecure ID

Internet

Mobile Network

Public Wi-Fi

WAN

BYODустройства

Проводный, Беспроводный,Мобильный доступы

Шлюзы безопасности Инфраструктура защиты иуправлениям политиками

Инфраструктура доступа


• Банк РоссииЯвных требований нет

Возможно выполнение всех требований СТО БР ИББС

• ФСТЭК и ФСБЯвных требований нет - все зависит от модели угроз

Недоверие со стороны регулятора

Отсутствие контролируемой зоны

Нехватка сертифицированных решений

• Безопасность мобильного устройства обеспечить можно!


1. Явление BYOD влияет на все сферы IT и предполагает наличия в организации концепции/стратегии мобильного рабочего места и соответствующих процессов

2. На сегодня BYOD есть фактически в каждой организации – отличается лишь степень проникновения персональных устройств

3. В зависимости от степени “зрелости” использования персональных устройств организация может выбирать разные сценарии решения BYOD


Спасибо за внимание!

4 сценария внедрения byod на предприятии

Technology