如何打造安全的BYOD環境?
隨著移動設備的普及,多數企業都已意識到BYOD(Bring Your Own Device)的重要性,也亟思援引適當解決方案,來滿足BYOD環境建置需求。但F5 Networks技術經理林志斌認為,意欲打造BYOD,必須一并就網絡架構設計加以考慮,尤其對于制造業來說,與外部供應商、協力伙伴之間經常會有協同作業需求,所以BYOD所需審視的面向更加復雜,除了內部員工外,還摻雜了一些外人,在此情況下,企業總得需要知道存取者是誰,然后根據他的角色,適才適所地賦予正確權限、給予不同資源,才能有效地推展BYOD應用。
林志斌強調,企業要想建立安全可靠的BYOD環境,先決條件就是簡化單一簽入(SSO)流程,藉由安全、簡化、自動登入等簡單步驟,好讓使用者易于分享虛擬桌面基礎架構(Virtual Desktop Infrastructure;VDI)資源。
一直以來,F5所提供的設備,向來介于前端使用者、后端應用服務器等兩端之間,其間所有進進出出的封包內容,都可以一目了然,所以想要獲悉使用者是何人、從哪里來、采用哪種設備等訊息,無疑是輕而易舉;如此一來,企業一旦透過F5設備居間管控,即可根據存取者的IP安全等級、或是欲傳送的內容,精確判斷應當對此人實施何等安全控制。
比方說,倘若存取者的IP位址,已被系統認定為Botnet IP,此時企業便可將之引入安全區域,僅允許他存取極有限度的資源,而不管他要寫入或帶出任何資料,都需要嚴加盤查。
何以F5設備能協助企業善盡嚴密的存取管控?主因在于,其處在網絡之中的關鍵位置,執行遠端存取控制、SSL VPN、應用防火墻等重要任務,由于可做遠端存取控制,所以能夠對所有造訪者進行精細盤查;由于做SSL VPN,因此可以針對后端不同應用系統,連同各個應用系統的認證與授權機制,一并進行深度整合,據此營造SSO之利基;由于做應用防火墻,所以也可充分保障后端服務器的安全,不管它是實體主機、虛擬機器,抑或是時下最夯的云端服務器,安全控管無一例外。
“為了針對不同應用情境,強化使用者登入的安全等級,F5特別提供三層式把關機制,”林志斌說,第一道機制為AD,F5設備可串聯企業AD或LDAP等賬號認證系統,但是光是做到這樣還不夠,即使使用者賬號無誤,但所在位置異常(譬如從國外連結企業網絡),就必須適時提高安全等級,此時即可搭配第二道機制-OTA(Over The Air),透過軟件Token、簡訊Token或E-mail Token進行雙因素認證,至于第三道機制,則是ACL控管,可讓企業針對某些重要封包,進行更嚴格的過濾把關。
為呼應企業之于BYOD殷切需求,F5提供BIG-IP Access Policy Manager(APM)解決方案,它是一套集結了SSL VPN、SSO等功能,并支援VDI、Exchange或SharePoint等資源控制的附加模塊,可與同為F5所供應的BIG-IP Local Traffic Manager(LTM)系統搭配運用。
林志斌指出,BIG-IP APM最予人深刻印象之處,即在于它的直覺化,有別于傳統SSL VPN頻頻需要切換不同頁面,借以配置不同安全政策,BIG-IP APM則能讓所有事情在同一頁面完成;另值得一提的是,BIG-IP APM比起一般SSL VPN,更能妥善因應云端應用需求,只因其可容納的同時使用人數高達10萬,不管進來或出去的內容,通通都可管控,同時也支援IPv6架構。
一旦采用了BIG-IP APM,則該企業使用者的遠端存取情境,就會變成這樣:用戶在登入企業網絡時,除了得接受身分與權限的確認外,他所使用的設備也得經過詳細檢查,針對特定的防毒軟件、防火墻以及更新,“該有都要有”,經過此一深層檢查程序后,才可如愿采用企業應用資源。
更重要的是,對于特別講求資料安全的制造業來說,當員工下班返家后,仍想連線到公司網絡執行某些應用操作,原本放行也不是、阻擋也不是,如今受惠于BIG-IP APM,此事便可迎刃而解,它會啟動一個虛擬桌面,作為員工執行作業的環境,作業過程中所產生的任何檔案資料,皆不得儲存在本地設備。
此外,F5考量到使用者若以移動設備執行遠端存取,恐囿于3G網絡的速度較差、封包遺失率較高,因而產生不甚良好的使用體驗,因此也搭配BIG-IP APM悉心提供了BIG-IP Edge Client,其支援iOS與Android等高普及率的移動應用平臺,也提供了Client-side的Cache及QoS功能,借以化解上述缺憾。
另一方面,為了簡化并強化企業VDI應用環境,BIG-IP APM一方面能與企業現存的MDM或其他資產系統結合,憑借身分、設備等不同維度精確判別使用者為何人,從而實施細膩管控,另可適時扮演SSO Proxy角色,且一舉取代Secure Gateway、Web Gateway等慣常見于VDI環境的繁復機制,使得整體架構趨于簡潔單純,讓原本復雜VDI架構不利于施行SSO的負面因子,通通一掃而空。
