2012年,一個新的IT名詞進入大家的視線:BYOD(Bing Your Own Device)。直譯是自己的設備去工作,即將個人終端與工作終端合二為一。這樣的好處是,員工可以不再必須使用單位指定的電腦,出差時可以不必背著笨重的筆記本電腦,通過手機、平板電腦、家里的電腦、賓館里的電視……等等接入網絡,完成辦公室里的一切工作。這種方式不僅方便了員工的選擇,同時讓企業節省一大筆辦公電腦的固定投資,并向綠色辦公更邁一步。最重要的是,它讓工作變得時尚和個性化。
IT服務的基本方式就是服務器通過網絡為終端提供服務,互聯網的出現促發了網絡連接的革命,使得協作互動更加頻繁。服務器側的變革是云計算,它使得IT服務變成“自來水”,使用更加簡單和靈活;而終端側的變革則是BYOD,接入網絡的不再只是一臺設備,而是一個“有血有肉”的“人”。
BYOD的出現,首先得益于BS開發架構的編程日益成為主流,基于HTML和流媒體技術的Web瀏覽器規模應用令客戶端形成“標準化”;其次是智能手機功能的日益強大,手機從消費終端逐步成為個人業務處理的“PC”;再者,云服務的流行,讓更多的業務處理集中到云里,不同的業務提出了共同的終端接口需求:只要能接入網絡,一切交給“云”來管理。
BYOD的出現,對于員工而言,用自己的設備訪問企業網絡并進行辦公,帶來了更多的靈活性和人性化體驗;對于企業而言,BYOD潮流讓其不用再為員工配置設備,降低了企業成本。但同時對企業CIO們提出了安全、管理等難題。
一、 BYOD帶來的問題與挑戰
1. 對企業IT管理/運維者而言
BYOD所倡導的“Any deice、Anywhere、Anytime”恰恰是傳統網絡管理理念中最令人擔憂的需求,這使得他們面臨著前所未有的挑戰。
1) 提供更加靈活的設備選擇權利
傳統的網絡管理者會根據經驗確定辦公設備清單,包括臺式機、便攜機、打印機,以及少量的移動終端。員工在這個授權清單中進行選擇并獲得相應的IT支持。出于管理安全的考慮,原則上不會輕易調整清單。
但是在BYOD背景下,終端的變化與革新常常迅速的超出人們的想象。原來越多的員工提出,希望把更“有意思”的終端帶入到企業的辦公使用中。IT管理者需要考慮更多的支撐手段(包括行政和軟硬件的方法),來主動應對這個變化。
2) 更安全的網絡準入
IT管理者需要制定一些企業內部網絡安全基線,同時對接入網絡的終端進行有效識別感知,并實現安全的準入策略。
3) 自帶新設備的管理
對于首次接入企業網絡的“新”設備,IT管理者非常希望能有一種簡單、有效、自服務、無客戶端的快速部署方法,前提是相應的軟硬件改變所產生的IT代價盡可能控制到最小。
4) 增強的安全策略
根據自身的行業特性和經驗累積,企業往往會部署大量的IT安全策略,確保業務的承載安全和IT架構合規。很明顯,越來越多的消費類電子設備(比如各種移動電話和平板電腦)準備接入企業網絡,將會對原有的安全架構帶來無法回避的風險。
個人終端一旦進入到企業網絡中,應用的界限將不再那么明確,個人業務和辦公業務往往會同時在一個終端內進行處理,比如瀏覽微博的平板電腦會在下一時刻打開某個ERP系統;運行了微信程序的手機會進入到OA流程審批的業務應用程序中。針對同個終端在不同的適應場景和時間段,IT管理者需要提供不同的安全策略,并對新的使用模型進行增強。
5) 生產數據保護
BYOD實施的前提是確保企業數據的安全傳送。當企業的固定資產,如筆記本電腦訪問業務應用程序和數據時,通常會受到嚴格的IT安全策略控制以及類似于“信息安全等級保護”或“薩班斯法案”等法規的制約。
個人擁有的平板電腦或智能手機可能經常被用于個人的訪問和業務應用。特別是在“云”為基礎的文件共享和存儲服務越來越普及的背景下,這樣的使用將會成為企業機密數據泄漏的潛在風險點。
6) 訪問角色控制
如果移動終端發生丟失或者被盜,IT人員需要迅速對該終端準入策略進行調整,甚至可以遠程擦除設備上部分或所有的數據和應用。同樣,如果員工角色和崗位發生了變化,也同樣存在策略調整的要求。傳統的策略控制是基于帳戶信息,在BYOD時代,則需要結合終端和業務的狀態。
7) 移動終端系統所帶來的安全風險
由于接入企業網絡中的移動終端種類繁多,IT人員很難將所有的終端功能性能逐一了解,部分移動終端特殊的功能,會使得網絡內部的風險明顯增多。
比如Wi-Fi存在ad hoc模式,這是一種允許點對點通信的無線互聯協議,這使得一些合法的用戶用終端開啟ad hoc或其它的代理模式,讓未授權的用戶取得了企業網絡內部的訪問能力。
再比如Android系統屬于相對開放的應用平臺,隨著Android設備數量的增加,Android設備也成為了受攻擊的目標。黑客越來越多地使用移動設備傳播惡意代碼,而在2012年上半年,受到移動惡意軟件攻擊的智能手機和平板電腦比2011年同期增加了373%。Android設備成為主要攻擊目標,很大原因是接受第三方應用程序(如游戲)的在線商店不對軟件進行任何威脅檢查。
8) 確保Wi-Fi的性能和可靠性
隨著BYOD的不斷流行,Wi-Fi接入的無處不在,人們對Wi-Fi的期待,不再限于傳統的SOHO使用,而是需要其在易用性不降低的前提下具備類似有線網絡的高性能和高可靠性等。這種轉變,促使IT人員在設計和部署Wi-Fi網絡的時候,把更高速、更可靠、更平滑、更智能、更安全、更易用作為技術目標。
9) 終端數量的激增與IP地址的有效使用
傳統網絡基本上是帳戶、PC、有線端口逐一對應的邏輯結構,但是在移動互聯網極度爆發的今天,一個用戶擁有多個接入終端,已經是無法回避的事實。Wi-Fi實現了賬戶和終端以及接入設備間的一對多邏輯,但是也帶來了IP地址數量幾何的增長。普遍的解決辦法是通過NAT,進行內網私有地址的使用,或者進行IPv4向IPv6遷移。
2. 對終端用戶而言
1) 易用好用
終端用戶對BYOD的樸素要求,就是簡單的連接和安全的訪問企業資源。但是實時地訪問、設備的多樣性、業務的多樣性等等,都會導致這種需求難以達到完美。比如在企業內部使用的設備,證書的準入方式以及VPN的加密使用,都是普遍的基本規范,但不同終端的不同配置方式,會讓終端用戶和IT管理者都感到困難重重。
2) 安全界限的劃分
在BYOD模式中,移動設備會同時扮演商務辦公和私人應用的混合角色,應用和數據的界限,變得更加模糊。但是從員工實際的想法和企業自身的要求出發,應該能夠清晰界定這個界限。照片瀏覽、短信閱讀,私人電話、上網瀏覽等在個人時間進行的活動,需要有個人隱私,而在辦公時間發生的文件瀏覽、數據傳送、應用程序使用、互聯網瀏覽等等,必須符合企業的政策和規定。
二、 Wi-Fi與BYOD結合
IT消費化、云計算、移動互聯等諸多技術趨勢所帶來的生產效率提升、投入成本降低、以及應用多元化等,使得BYOD融入企業網絡應用中已經成為不可逆轉的必然趨勢。企業應用從桌面、內部服務器、Intranet,正在不斷向云端遷移。虛擬化、自動化的變革,正在打破應用的邊界。如圖1所示,BYOD的網絡準入者和管理者按照“移動準入、服務提供、實時監管”各司其職,企業內部的員工和外部來賓,攜帶著多樣的智能終端,安全實時的接入到企業所提供的業務精細化管道,并接受必要的監管和審計。
▲圖1 BYOD邏輯架構圖
Wi-Fi在企業的大規模應用,使得從任意位置根據策略訪問桌面,無論使用何種設備或網絡成為可能。根據前面前文的分析,為了解決IT管理人員和用戶自身在BYOD實施中的困難和疑惑,Wi-Fi網絡應該具備相應的能力(如表1所示)。
▲表1 BYOD核心技術點
1. 智能
傳統用戶的準入是通過單一的帳戶信息進行鑒權并獲得授權信息,但是在移動互聯時代,人們往往希望在企業內部單一帳戶可以應用到多個終端,(包括固定和移動的設備)。同時因此,網絡管理者,也必須在這種需求下調整網絡準入結構,比如,固定設備進行流量控制,移動設備進行時長控制;固定設備允許進入業務網,移動設備僅允許獲得瀏覽權限等。
移動互聯時代,當人們都愿意采用BYOD來進行相關操作時,Wi-Fi作為重要的智能管道,不能簡單地沿襲傳統有線網絡的粗放承載模式,視頻、APP、社交媒體等等廣泛的使用,管道內的應用明顯產生了“高低參差”,對業務的識別,智能的調整業務在管道內傳送的優先能力,是網絡的管理者非常希望看到的結果。
為達到以上目標,需要進行終端和業務智能識別。以終端識別為例,在進行無線登錄時,應該遵從如圖2所示的流程。
▲圖2 終端準入流程
SSID檢查:
檢查關聯的SSID是否部署了對應的BYOD策略,同時,該接入位置,是否是用戶允許介入的區域。
準入策略檢查:
根據帳戶對應的權屬信息,推送合適的Portal準入頁面,或802.1x認證的證書配置。
終端類型檢查:
針對準入用戶的設備硬件類型、操作系統類型以及安全級別,確定BYOD策略。
針對員工的可能策略:
可以單獨配置“可能策略”,它會在準入最后階段發揮作用,更多的根據安全規范和業務需求而產生的策略,可以集中在此進行部署。
2. 安全
傳統的安全策略僅滿足有線側的安全防護,BYOD模式下,Wi-Fi作為接入層重要技術,它的安全防護需要人們重新檢視。在空口(無線空間傳送接口)直接傳送的信號,是把802.3的報文進行802.11封裝并進行相應的調制解調為電磁波,在大氣中進行“看不見、摸不著”的黑夜傳送。對于Wi-Fi的傳送模式,物理層的頻譜安全防護(L1)和鏈路層的無線攻擊防護(L2),以及如何將L1-L7實現有線無線的聯動,會成為BYOD下移動安全重要的關注點。
AP作為監控設備,負責進行空口射頻信號的抓取,然后對射頻芯片上送的原始FFT信號進行分析和識別,從而判斷是否有傳統無線防御系統無法識別的非Wi-Fi干擾并同時進行信道評估。在搜集完所需信息后,通過AP-AC間的通道上傳給AC,由AC集中處理,用戶可在網管的相關頁面獲取當前的頻譜數據信息。同時,在日益擁擠的ISM頻段中,要想完全不受到非WLAN信號的干擾在實際環境中近乎于不可能,但客戶和工程師可以借助頻譜防護提供的多種圖表,從不同角度對信道的質量和使用情況進行監控和評估。
WLAN發展至今,在安全性上也做了不少改進。比如加密認證體系已經由原來的WEP過度到了802.11i。企業通過802.1X認證與CCMP強加密,可以最大限度的保護無線數據安全,即使惡意攻擊者監聽到了這些報文,由于報文已被強加密,因此他還是無法還原出原始數據。但是,使用802.11i仍然無法完全保護企業無線網絡不受惡意攻擊。例如,攻擊者可設置蜜罐AP誘惑用戶連接、或通過泛洪(FLOOD)各種WLAN協議報文使企業無線網絡無法使用。
無線攻擊防護系統(WIPS)被設計用于應對各種各樣的WLAN攻擊。通過傳感器掃描企業內部WLAN環境、通過AC進行攻擊分析,最后將各種數據與攻擊檢測結果發送給網管呈現給用戶。
WIPS主要有以下幾類主要功能:
(1) 檢測并禁用非法設備:WIPS可以檢測Rogue AP、Adhoc網絡、授權/非授權STA等;
(2) 檢測并規避DOS攻擊:為每種攻擊設置速率閾值,當某種報文的速率超過閾值時采取預先定義的動作;
(3) 檢測并規避表項攻擊:當報文的MAC變化率超過閾值時采取預先定義的動作;
(4) 檢測并反制仿冒攻擊:例如,可以檢測中間人攻擊(如圖3所示)。攻擊者假冒成一個合法的AP為用戶提供服務;
(5) 基于pattern的匹配(Signature):對報文進行預定義的pattern匹配,并執行預定義的動作;
(6) WLAN環境監控:可監控WLAN各個信道上的無線設備,以及各種WLAN管理報文、控制報文及數據報文的速率。
▲圖3 中間人攻擊示意圖
3. 易用
BYOD模式下,終端自身的硬件多樣性、應用精細化,以及人們對實時接入的迫切要求,易用性成為了非常重要的甚至是影響到網絡評價的重要指標。
終端數量幾何增長帶來的IP地址浪費與枯竭、高密覆蓋下2.4G/5G終端靈活接入、訪客來賓進入企業快速安全的獲得移動網絡訪問能力、針對不同場景的AC快速虛擬實例化部署、分支節點業務永續能力提高等等,都會成為BYOD易用性提升的重要環節。
傳統的企業園區網絡,網絡使用者的物理位置和網絡信息節點原則上一一對應,網絡管理難度相對可控。但是,在BYOD模式下,移動終端數量和IP地址消耗量爆發增長,同時,由于BYOD的移動性,終端的接入存在空間和時間的潮汐性。比如早上10點,員工都在辦公室進行業務處理,下午3點,員工都在各類會議室參加會議。
這種情況下如果將所有的用戶分配在一個VLAN中,意味著所有用戶在同一個子網中,龐大的廣播域會大大增加空口中的廣播流量,浪費空口帶寬。另一方面,大量用戶在同一子網中,那么該子網需要一個很大的連續地址空間。企業可能會有多個不連續的C類地址,但沒有大的連續地址空間(如B類地址)。顯然,我們無法利用一個VLAN來為大量的同一類用戶來分配不連續的地址空間。
VLAN池優化分配技術的出現,很好的解決了BYOD模式下IP地址浪費與枯竭的問題,提高了WiFi管道的易用性。如圖4所示,VLAN池包含多個VLAN,當一個SSID和一個VLAN池綁定時,該SSID下的用戶將被均衡地分配在VLAN池的所有VLAN中,既能將用戶劃分在不同廣播域中,又能充分利用不連續的地址段為用戶分配地址。
▲圖4 VLAN池優化分配技術示意圖
三、 結束語
新的執行環境總會創造新的市場,而BYOD的興起無疑也將遵循這一規律。移動互聯與云計算兩大技術交匯融合,催生出一套由用戶、服務提供商以及網絡設備商共同組成的完整生態系統。
