OD
BYOD to kolejna bitwa w wojnie pomiędzy bezpieczeństwem a użytecznością. Użytkownicy końcowi, począwszy od szeregowych pracowników, na managerach skończywszy, często chcą używać w pracy własnych urządzeń, a to z powodu – jak mówią – większej wydajności, elastyczności i użyteczności tychże w porównaniu do urządzeń firmowych. Organizacje również próbują wykorzystać ten trend, przesuwając w ten sposób część kosztów utrzymania na pracownika.
Robert Dąbrowski Starszy inżynier systemowy RDabrowski@Fortinet.com Fortinet
pracuj bezpiecznie
ożliwość stałej łączności z siecią korporacyjną, niezależnie od lokalizacji, wpływa korzystnie na zwiększenie produktywności i zadowolenia pracowników. Jednak ważnym problemem w tej dyskusji jest bezpieczeństwo. BYOD oznacza liczne wyzwania w obrębie sieci, danych i urządzeń bezpieczeństwa z powodu zacierających się granic prywatności i dostępności. Trendy rynkowe pokazują, że po zdominowaniu sprzedaży komputerów PC przez laptopy następnym krokiem będzie przejmowanie rynku przez tablety.
M
Wyzwania związane z BYOD Środowisko sieciowe, w którym dopuszczony jest model BYOD, nie daje się kontrolować przez tradycyjne polityki i technologie bezpieczeństwa. Jako przykładowe pułapki BYOD można wymienić: 1. Nadmierne wysycenie pasma: pracownicy z łatwością odkrywają, że egzekwowanie polityki bezpieczeństwa jest trudniejsze, jeżeli używają mobilnych urządzeń, np. do streamingu wideo, gier czy przeglądania zasobów internetowych. 2. Utrata danych i sprzętu: urządzenia mobilne mogą zostać zainfekowane szpiegowskim oprogramowaniem przesyłającym na zewnątrz poufne dane. Łatwiej także takie urządzenie zgubić czy stracić na skutek kradzieży. PC, które nie spełniają wymagań bezpieczeństwa, można po prostu zablokować, w przypadku BYOD konieczne jest wymuszanie na właścicielach urządzeń stosowania polityki bezpieczeństwa. Hakerzy dawno odkryli, że urządzenia mobilne są potencjalną „kopalnią złota” w kontekście zdobywania danych przez nieautoryzowane aplikacje. 3. Polityki i technologie do zabezpieczenia BYOD: niektóre organizacje po prostu zabraniają stosowania BYOD, inne limitują dostęp do określonych podsieci czy aplikacji. Zdarza się, że jeden rodzaj urządzeń mobilnych jest dopuszczony do działania w sieci, inny jest zablokowany. Wymuszenie tych obostrzeń z punktu widzenia technicznego nie jest sprawą łatwą.
MAGAZYN COMARCH ERP
Technicznie kontrolę urządzeń można osiągnąć np. przez wykorzystanie Virtual Desktop Infrastructure (VDI). Połączenia do instancji wirtualnych są kontrolowane przez centralny serwer zgodnie z wymaganiami biznesowymi. Użytkownicy są od siebie odizolowani, ponieważ dołączają się do wirtualnych kontekstów. Podobną rolę pełnią koncentratory SSL VPN, które umożliwiają osobom działającym zdalnie przyłączenie się do centralnego punktu w sieci i na podstawie skonfigurowanych polityk uzyskanie dostępu do żądanych zasobów. To z kolei rodzi pytania o mocne uwierzytelnianie dwuskładnikowe. Obecnie tokeny softwarowe często występują jako aplikacje mobilne działające na urządzeniu, z którego inicjowane jest połączenie VPN. Tradycyjny Mobile Device Management (MDM) nie koncentruje się na spójnej polityce bezpieczeństwa, ale raczej na zarządzaniu, inwentaryzacji oraz dystrybucji oprogramowania. Naturalnym rozwinięciem tych funkcji powinno być wpisywanie ustawień bezpieczeństwa na stacji mobilnej oraz sprawdzanie, czy te ustawienia są aktywne podczas próby wykorzystania zasobów sieciowych. System zarządzający instaluje politykę antywirusa, kontroli aplikacji, ochrony przed atakami, kontroli stron internetowych na kliencie, który – jeżeli ponownie nawiąże kontakt z siecią organizacji – zostanie poproszony o potwierdzenie ustalonych wcześniej opcji kontrolnych. Oprogramowanie typu Endpoint Security Clients w wersji mobilnej jest zbliżone funkcjonalnie do wersji desktopowej, ale zapewniając pewien stopień bezpieczeństwa (VPN, anty-malware), dostarcza wyzwań związanych z zarządzaniem. Naturalnym dążeniem powinno być scalanie funkcji zarządzających i bezpieczeństwa dla laptopów, tabletów czy smartfonów. Innym podejściem jest tzw. Network-Based Enforcement, w którym zasoby organizacji są chronione przed dostępem z urządzeń mobilnych lub przed szkodliwym działaniem złośliwego oprogramowania, jeżeli ten dostęp jest jednak dozwolony. Urządzenia kontrolujące ruch w sieci muszą sprostać wymaganiom wydajnościowym oraz zapewnić inteligencję niezbędną do rozpoznania urządzeń klienckich różnego rodzaju. Reguły ochrony i do-
11