案例:4种BYOD安全方法(二)

日期: 2013-03-18 作者:David Geer翻译:邹铮 来源:TechTarget中国 英文

《案例:4种BYOD网络安全方法(一)》介绍了Rowan-Salisbury学校的BYOD安全方法,本文将继续介绍Hartwick、Central Michigan大学和田纳西州医疗中心各自的方法。

    身份管理:BYOD安全的核心

  纽约州的Hartwick学院使用IDM工具和下一代防火墙来处理其设备管理和访问。Meru身份管理器(Identity Manager)通过Smart Connect和Guest Connect模块来同时控制访客和员工设备的网络访问。当该学院的新员工首次尝试打开一个网页时,他将被重定向到Meru IDM设备上的强制门户页。

  Hartwick学院IT执行主管Davis Conley表示,“我们的IDM设备有2048位VeriSign证书,该证书用于加密该强制门户网站的网页,然后员工下载SmartConnect作为applet或者网络配置文件。”

  SmartConnect配置该设备使用加密的网络,自动验证用户,让设备将其作为首选网络,然后从设备的SSID列表移除开放式网络。而访客用户可以在Guest Connect注册Guest SSID。Smart Connect和 Guest Connect都有自动化基于角色和政策的BYOD配置。Conley称,“Guest Connect要求用户填写真实的姓名、电话号码以及他们所要访问的校园内的人,如果有问题的话,我们可以关闭他们的网络访问。”然后,Meru IDM使用一个机制来收集设备MAC地址用于未来的设备识别。

  然而,Hartwick学院没有使用Meru解决方案的活动监控、政策管理和政策执行部分。Conley称:“我们已经有了自己的政策管理,我们使用Bluecoat数据包成型器、Palo Alto下一代防火墙和Tipping Point设备来查看哪些设备在传输带有病毒的内容,然后我们会要求用户解决这个问题。”

  BYOD管理:带有NAC的WLAN分析工具

  密歇根州的Central Michigan大学使用Lancope的StealthWatch网络分析仪来检测WLAN上的行为以及跟踪用户活动。该大学网络管理人员Ryan Laus表示,“我们使用StealthWatch来查找异常行为,并找出用户正试图做什么。然后,我们使用NAC设备(来自Bradford Networks)来识别用户,这是一个手动过程。”

  通过StealthWatch,Central Michigan大学能够发现外部发起的僵尸网络攻击、蠕虫和高级持续攻击,以及内部滥用、违反政策的行为和数据泄露,无论设备类型。NetFlow为StealthWatch的分析提供数据。

  现在该大学正在测试来自不同供应商的MDM工具用以执行政策。MDM将可以使用政策来控制用户可以在设备上的行为,这与Active Directory使用组策略来控制有些类似。它将阻止未经授权的软件安装,并能使管理员为BYOD部署设置配置和权限。

  Central Michigan大学预计将使用StealthWatch来支持新的MDM工具包。Laus表示:“如果用户知道如何绕过MDM来安装未经批准的应用,StealthWatch可以查找超出政策范围的流量,并向NAC设备发出警报,这会将用户/设备转移到隔离的网络。”

  BYOD安全:整合IDM与NAC

  田纳西州的地区医疗中心正在使用Aruba Networks的ClearPass集成移动管理和NAC软件来为BYOD创建一个自配置系统。医疗中心的用户将使用标准的登录名和密码来登录,而ClearPass将基于预先确定的政策来进行配置。该医疗中心的IT主管Tony Alphier表示:“我们不需要让他们带来他们的设备以及手动安装安全/网络配置文件。”经过这个过程,NAC控制器将可以防止设备不注册和确保安全登录到网络。

  “目前我们不允许员工BYOD(内部访问),除非他们是医生,并带来一台笔记本,这样我们将手动在其设备上配置文件,”Alphier表示,“当我们添加Aruba的NAC模块时,我们将能够允许所有员工的BYOD访问。”

  该医疗中心还使用Aruba的AirWave来记录和监控设备活动,Aruba技术允许Alphier提供访客网络。Alphier表示:“我们曾使用Aruba的Amogopod访客解决方案,Aruba现在还把AirWave与Clear Pass结合。我们可以让家人、病人和朋友访问我们的网络,同时保持安全。”访客现在可以自我配置,接收代码连接到互联网,同时保持与内部网络的隔离。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

David Geer
David Geer

TechTarget特约作者

翻译

邹铮
邹铮

相关推荐

  • 市场变局中 国产安全厂商的进击之路

    未来EPP类厂商,将不仅仅局限于解决终端的各类管理问题,极有可能会将企业的网络边界管理等功能纳入,为企业用户提供更好的综合性解决方案。

  • 采购指南:网络访问控制产品一览

    当企业选购最佳网络访问控制产品时,需要考虑多个因素。同时,并不是所有产品都适合所有类型的企业,有些供应商针对资金雄厚的较大型企业,而其他供应商则倾向较小型企业,这些企业不需要支持大量不同类型的新设备……

  • EMM工具的自我修养

    企业移动管理(EMM)产品是从不同类型的移动管理工具演变而来,因此它们可能差别很大。那么,在你购买之前,你会对哪些功能和特性抱有期待?

  • 移动安全:从MDM到EMM

    移动设备大量涌入企业催生了一整套全新的技术来解决安全性和合规性的问题。移动设备管理(MDM)最先出现,一度是解决移动安全较好的选择。然而新的安全威胁不断升级,随之出现了更强大和全面的管理方法,其中标志性方法就是企业移动管理(EMM)。