8 най-добри практики за защита на корпоративната мрежа
В повечето съвременни компании служителите ползват лични смартфони и мобилни устройства, за да бъдат свързани към корпоративната мрежа от всякъде, по всяко време. Това е причината и IT мениджърите по сигурността да стоят будни през нощта – мобилни потребители, няколко устройства на потребител и движение на корпоративни данни.
Сигурността при използване на собствени мобилни устройства от бизнес потребителите (BYOD - Bring Your Own Device) трябва да бъде част от по-широк разговор, когато става въпрос за подсигуряване на мрежата за новото дигитализирано работно място.
Основана на най-добри съществуващи клиентски практики, тази статия очертава 8 стъпки за укрепване сигурността на мрежата в среда на BYOD. 1. ОПРЕДЕЛЕТЕ РОЛИ НА ПОТРЕБИТЕЛИТЕ И УСТРОЙСТВАТА
Когато служителите носят по няколко устройства, е разумно да се стандартизират ролите на потребителите в организацията, а след това – да се определят роли и на устройствата. Служебният смартфон, конфигуриран за специфична цел от IT администратора, може да изисква повече права за достъп от едно лично устройство. Конфигурирани от администратора преносими компютри могат да имат по-различни роли от тези на служебните смартфони и таблети. Важно е възможността да се създават различни правила за всеки тип устройство или роля.
Ролите на потребителя и на устройството дават възможност да се разграничaт привилегиите според вида на устройството за един и същ потребител. На IT администратора може да е позволено да промени конфигурациите на комутатор или на даден контролер, достъпвайки го през преносим компютър, на който е дадена корпоративна роля. Но на същия служител може да не е разрешено да достъпва чувствителното мрежово оборудване от таблет с BYOD роля.
2. ИЗПОЛЗВАЙТЕ ПРОФИЛИ, ЗА ДА СЪЗДАДЕТЕ КАТЕГОРИИ УСТРОЙСТВА
Когато се стартира BYOD инициатива за сигурност, точно профилираните устройства са крайъгълен камък на вашия план. С проникването на BYOD устройствата във вашата среда, не всички потребители ще теглят усърдно най-новите версии на операционната система. Ще искате да следите кой с коя версия на iOS, Android, Chrome или друга операционна система работи. При актуализации, събраната информация ще ви помогне да откриете специфични проблеми, например - защо идентификацията е неуспешна.
Информация за местоположението може също да бъде полезна за разрешаване на проблема, ако той е специфичен за Wi-Fi устройствата и компанията работи в среда на различни доставчици.
3. ИЗПОЛЗВАЙТЕ КОНТЕКСТ В ПОЛИТИКИТЕ
За управление на достъпа е важно да се вземат предвид различни източници на контекст. Събираните данни могат да бъдат свързани с ролята на потребителя, профилирането на устройството, мястото на ползване. Създава се политика за достъп спрямо всички параметри и се издава сертификат за определеното устройство, тогава то става BYOD. Потребителят ще спре да измисля начини за заобикаляне на политиките за достъп и значително ще се подобри производителността, използваемостта и сигурността.
Също, може да се проучи и използването на категории устройства. Идеята отново е да се свърже контекста с налагане на привилегии на много категории устройства. Всички BYOD крайни точки, които се свързват през VPN могат да се разглеждат различно от случая, когато се свързват от офиса. Принтерите могат да се управляват по различен начин от конзолите за игри или телевизорите Apple.
4. УПРАВЛЕНИЕ ИЗПОЛЗВАНЕТО НА МОБИЛНИ ПРИЛОЖЕНИЯ
Днес повече от 70% от свързаните устройства в една компания могат да се категоризират като BYOD. IT мениджърите трябва да вземат предвид упражняването на контрол върху приложенията, използвани на всяко едно устройство, когато е свързано към мрежата, което не е толкова лесно, колкото изглежда. Докато корпоративните системи и хранилища за приложения могат да помогнат в ограничаване свалянето на приложения, Google и Apple App store не могат. Най-вероятно, вашите служители ще инсталират всяко приложение, което си поискат.
Големите компании имат нужда да дефинират и наложат политики за управление на достъпа до данните, не само в зависимост от потребителя, а и в зависимост от устройството, през което се достъпват. Трябва да има възможност за разграничение между смартфони, таблети, лаптопи или устройства IoT (Internet of Things). Това означава, че системите за Управление на Мобилните Устройства (MDM*)/ Корпоративно Управление на Мобилността (ЕММ**) трябва да бъдат интегрирани с платформата за управление на политиките и защитните стени (firewalls).
5. АВТОМАТИЗИРАНЕ И ОПРОСТЯВАНЕ
Автоматизацията е важна и за началното стартиране, и за справянето с несъвместими устройства (например изолирането им, докато станат съвместими). MDM/EMM решенията трябва да споделят състоянието на устройствата с мрежово решение за управление на достъпа (NAC - Network Admission Control), за да осигурят съвместимост на устройствата преди да им се даде достъп. Интегрирането на приложенията за помощ и поддръжка и Системите за Информационна Сигурност и Управление на Събития в Мрежата (SIEM - Security Information and Event Management) могат да осигурят по-голям комфорт на потребителя и улеснение при решаване на проблеми от IT администраторите.
С автоматизиране на откриването и приобщаването на несъвместими устройства могат да се намалят разходите и да се подобри сигурността. Това също ще облекчи преконфигурирането при подмяна на лични таблети и телефони.
6. ВЪВЕДЕТЕ СЕРТИФИКАТИ – ТЕ СА ПО-СИГУРНИ ОТ ПАРОЛИТЕ
Потребителите ще се свързват все по-често в отворени мрежи и ще оставят паролите си изложени на опасност от кражба. Това прави сертификатите крайъгълен камък на сигурното внедряване на мобилни устройства. Тъй като използването на активна директория и вътрешни PKI за BYOD не е най-добрата практика, за предпочитане е изграждане на отделна сертифицираща верига за удостоверяване на BYOD устройствата.
Трябва да се помисли и за управление на сертификатите – раздаване, преиздаване и отменяне на сертификати. Интегрирането с MDM/EMM решение може да бъде допълнителна възможност в случай на въведено вече управление на устройствата, преди да се инвестира в решение за управление на политиките за достъп до мрежата.
7. НАПРАВЕТЕ ВСИЧКИ ЩАСТЛИВИ – НАПРАВЕТЕ ПО-ЛЕСНИ SSID (SubSystem IDentifier)
Множеството SSID усложняват живота на IT администратора и потребителя по еднакъв начин. С правилно управление на политиките, BYOD и служебните устройства могат да се свържат към общи SSID.
Намаляването на възможностите за избор на потребителите улеснява тяхната работа и прави по-лесна поддръжката на SSID на няколко места за системния администратор. Обединяването на SSID може също да подобри производителността на Wi-Fi мрежата.
Ключът към подобряване на сигурността се върти около възможността за оптимизиране на ролите, мястото и налагането на политики, за да е сигурно, че устройствата получават очаквания от администратора достъп, дори при използване на общи SSID. Когато личните устройства са включени към обикновена мрежа 802.1x, администраторът може да даде Интернет достъп само при необходимост.
8. ПОМИСЛЕТЕ ЗА МНОГОФАКТОРНАТА АВТЕНТИФИКАЦИЯ ОТ СЛЕДВАЩО ПОКОЛЕНИЕ (MFA*** - MULTI-FACTOR AUTHENTICATION)
В днешни дни, достъпът до корпоративни данни често се осъществява от смартфони и таблети. Тъй като тези устройства се споделят лесно, много IT професионалисти се обръщат към нови форми на многофакторна автентификация (MFA), за да се уверят, че потребителят на едно устройство е наистина този, който е поискал достъп. Има по-добър начин от тоукън устройствата, които се губят лесно.
Примерно, когато един потребител се свърже с мрежата или отвори приложение, администраторът може допълнително да изиска сканиране на пръстов отпечатък със смартфона, селфи или кликването върху картинка от галерия с изображения. ЗАКЛЮЧЕНИЕ
Възходът на BYOD е неизбежен и малко ръководители на големи компании ще пренебрегнат ползите от по-високата производителност на работната сила, която плаща за собствени устройства. Но ако нямате сигурен план, лесно може да загубите пътя към дългосрочните цели.
Осемте идеи, представени тук, са само част от нещата, които IT администраторът трябва да има предвид, когато се подготвя за BYOD.
Накрая, основата, която събира всичко заедно, започва с платформа за усъвършенствано управление на политиките. Платформа, която включва AAA услуги, NAC, интегриране на BYOD и трети страни и платформа, актуализирана при прецеденти.
_______________________________________________________________________________
* Mobile Device Management
** Enterprise Mobility Management
*** Многофакторната автентификация е система за сигурност, която изисква повече от един метод за удостоверяване идентичността на потребителя
