近期IT行業最熱門話題,莫過於「用戶自攜流動設備」(BYOD)的管理策略。用戶使用不同的自家流動設備,除了是大勢所趨,也確提高了生產力。
但BYOD也帶來數項挑戰;首次是網絡設計更複雜,自攜設備多用WiFi,必須整合有線和無線的保安。此外,又可能加入不同設備,以控制不同平台從網絡登入和保安,結果結構更架床疊屋,漏洞和弱點更多。
另外,用戶以不同形式登入,又可能增加利用不同密碼。如果要在流動設備上,安裝控制登入的程式;例如SSL VPN的 App,又可能要按時更新,甚至要求用戶多次輸入密碼才登入,造成混淆。
Juniper Networks亞太區安全產品經理梁定康說,BYOD往往令網絡架構變得複雜,後果是管理更困難,而風險上升。
「Juniper提出的Simply Connected架構,就是為了迎接BYOD新挑戰,但卻不相應提高複雜性,反而儘量簡化網絡架構和用戶的體驗。」
網絡保安的三條A
「網絡保安有三個基本要求,可簡稱為三條A;首先是用戶認證(Authentication);其次是授權( Authorization),即根據不同的角色,定義不同存取權限,此功能可稱之為Role-based。舉例說,財務資料屬敏感資料,只有某個職級以上或部門才有權存取。第三,是審計(Audit),記錄系統活動的審計跟蹤(Audit Trail)愈是詳細,可追查記錄愈多,透明度( Visibility)就愈高,愈能掌握系統運作,安全度更佳。
此外,從不同平台,甚至以不同連接方式,使用的認證和授權的方式各異;尤其BYOD客戶,多利用WiFi無線連接,也引起不少顧慮。檢證用戶身份,確保平台的安全,沒有被病毒入侵,也是重要考慮。
「 市場上有不同解決方案;部分方案要求改變架構,甚至安裝形形式式的代理軟件(Agent)。舉例說,部分方案要求在控制用戶的Windows AD上安裝Agent,部分甚至要求用戶設備安裝Agent程式,或者SSL VPN客戶,要求用戶多次登入。上述方法增加管理上的難度。Simply
Connected的理念,包括了架構上、管理上、用戶體驗上,必須簡單一致,甚至不必安裝額外軟件。」
「Juniper方案,結合了單一登入(Single Sign on)和角色為基礎(Role based)的控制,毋論用戶利用Windows、流動平台如iOS或者 Android;以企業內的有線架構,又或者利用無線WiFi,甚至從外部,以3G或公共WiFi登入,都有同樣登入的步驟,享受的存取權利,也不會有太大分別。」
Juniper最早洞悉流動運算的大勢,很早就推出了Pulse平台,流動用戶可採用SSL-VPN登入網絡,並可偵察iOS或者Android是否被Jailbreak或者Rooted改動帶來風險,甚至可為流動用戶應用加速。
「自攜設備的其中一個潛在風險,除了難於驗證身份,也難強制用戶設備,遵從企業的嚴格保安要求,而被破解的作業系統,是導致流動平台染毒主因,也可令網絡乘機被入侵。」梁定康說。
嚴格控制用戶行為
Juniper的Simply Connect方案,結合了兩個重要元件;包括了MAG和SRX保安服務閘道。
SRX可說是新一代防火網,嚴格控制用戶登入後所有的行為;如可執行的上網應用,容許訪問的網站,可存取的內部資源等。目前,絕大部分網上應用,均已通過Web使用的TCP 80埠位。新一代防火牆不通過埠位攔截,改而從應用層辨別堵截。
「SRX具備AppSecure能力,精細辨認和界定各項上網功能。例如可只容許閱讀Facebook網頁,卻不執行遊戲或下載等Facebook功能。」
毋須改動現有架構
SRX容許不同名份的用戶登入後,執行不同程度網上應用,甚至到訪的網站,但卻完全不須要改動現存架構;因為Juniper架構採用了MAG設備,控制所有用戶的登入。
「有些防火牆要求在Windows的AD目錄系統內,加裝特定軟件,好讓防火牆獲悉登入用戶身份,才實踐Role based的上網應用控制。首先,AD目錄系統可牽一髮動全身,安裝外來軟件,有不少風險;其次,企業的規模略大,AD數量多,跨越多地,想通過AD幫助防火牆認證用戶身份,限制就會更明顯。第三,如果登入設備利用iOS或者Android平台,根本不能通過Domain Controller認證,上述方案就更猶如緣木求魚。」
梁定康說,MAG可應對不同連線,甚至不同平台登入方式,也毋須在AD上安裝任何程式,基本上完全無須改動現有架構,也毋須客戶上安裝軟件,關鍵是MAG統一存取(Unified Access Control)功能,除了用戶身份,也確保設備符合最低安全要求。
MAG作統一身份檢驗
「用戶存取任何資源之前,如果還沒有授權,就必須先通過MAG以網頁登入,稱之為Captive Portal,然後再作主機檢查(Host Checking),也就是檢驗流動設備,是否合符保安的最低要求,再經AD或LDAP等目錄系統認證核對身份,有關資料傳回SRX防火牆,就套用適合存取權,規範用戶行為。」
MAG也支援訪客模式(Guest Access),即使經常有大量外來訪客,也可實踐基於不同身份的存取控制。
Juniper也將Pulse平台,也就是SSL VPN集合在MAG系列上。用戶利用SSL VPN從外部連接,也可經MAG驗證身份和檢驗設備的安全狀態。MAG也支援業內標準的802.1X的以太網交換機,外來機器如未經授權,即使是連接到企業內的網絡埠位上,也會必須先經授權才會連接,防止來歷不明的電腦,偷偷連接造成破壞。
「Simply Connected的最重要概念,是實踐基於不同身份,以Role Based的模式控制存取權利,而不受制於連接方式和平台。無論從內部Wi-Fi無線網,抑或通過以太網交換機,甚至是外部登入,均採一致機制,用戶不會無所適從。」
梁定康說,網絡愈見複雜,漏洞愈多,風險愈高。MAG除了降低網絡架構複雜性,也可通過同一介面,監察整個網絡的運作;包括從不同途經進入用戶,使用何種設備和平台,甚至執行的應用,一覽無遺。
「市面上有不少SIEM工具,皆支援Juniper設備。Juniper可從連接中,蒐集極詳細數據,甚至是連接流動設備類型和版本,供分析統計,甚至發出即時警告。不少技術夥伴也為我們設備開發了分析紀錄(Log)工具,例如最近流行的Splunk,都可深入分析和透視用戶行為和任何異動。」
沒有留言:
發佈留言