`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Александр Щербина

BYOD – вопросы сопряжения

+44
голоса

В рамках концепции BYOD одна из важных тем - централизованный контроль и управление устройствами в корпоративной сети.

Очевидно, что эта тема весьма емкая и тут необходимо рассматривать целый комплекс различных мер и систем, основная задача которых – управление жизненным циклом устройств (в том числе мобильных), используемых персоналом компаний.

Понятно и то, что внедрение «сложного» решения по управлению сетевыми подключениями подразумевает этапность. Каждый следующий этап строится на основе предыдущего. Подход к реализации BYOD строится по тому же принципу. Конкретная политика доступа реализуется на устройстве благодаря применению комплекса технологий и методов. По ходу возникает вопрос взаимодействия системы доступа с широким спектром стороннего оборудования и сетевых служб. Интеграция установленных систем с системой управления мобильными устройствами в конечном итоге обеспечивают весь процесс управления сетевыми подключениями, который в полной мере и охватывает вопросы оптимизации и обеспечения безопасности.

Как один из возможных примеров, хочу предложить вашему вниманию несколько наблюдений, которые были сделаны при интеграции решения MDM от MobileIron с системой контроля доступа в корпоративную сеть Cisco ISE.

Взаимодействуя по протоколу TLS Cisco Identity Services Engine выгружает ряд дополнительных параметров из MobileIron VSP (основного компонента решения MobileIron), необходимых для более четкого составления политики доступа мобильных устройств в сеть. Практика показывает, что наиболее используемыми являются такие параметры, как:
a. статус соответствия устройства политике MDM
b. статус регистрации устройства в системе MDM
c. статус наличия шифрования носителей устройства
d. статус наличия на устройстве Root доступа
e. статус наличия на устройстве установленного PIN Lock
f. статус доступности сервера MDM
g. производитель, модель, IMEI и операционная система устройства.

Указанные параметры можно задать непосредственно при написании правил доступа в Cisco ISE, используя при этом стандартный функционал системы. Некоторые из перечисленных параметров задействованы в процедуре onboarding’а устройства, которую можно разделить на следующие этапы:

  1. При подключении к гостевому SSID пользователь получает уведомление о необходимости авторизации, и на специальной странице вводит свои корпоративные учетные данные.
  2. Устройство автоматически получает необходимые настройки (установка сертификатов и профилей доступа к Wi-Fi), и пользователю выводится уведомление о необходимости подключения к защищенному SSID. Процедура onboarding’а в Cisco ISE считается пройденной.
  3. Для получения доступа к корпоративным сервисам пользователю необходимо подключиться к защищенному SSID и зайти на любой корпоративный ресурс в браузере, после чего он будет переадресован на страницу с уведомлением о необходимости установки клиента MDM и ссылкой на магазин приложений (в зависимости от платформы устройства).
  4. После установки клиента MDM и выполнения в нем входа под своими учётными данными выполняется автоматическая настройка устройства в соответствии с корпоративной политикой безопасности и установка необходимых приложений.
  5. При повторной попытке зайти в браузере на внутренний ресурс пользователь получит доступ согласно правам учетной записи, а также на устройстве будут присутствовать все корпоративные приложения и необходимые настройки.

Такие действия пользователь проводит один раз – при первой попытке доступа к сети. В дальнейшем никаких дополнительных шагов, кроме подключения по WiFi или VPN, не требуется. После прохождения процедуры устройство будет зарегистрировано в системе MDM, что обеспечит необходимый удаленный контроль и управление.

Функционально решения Cisco ISE и MobileIron MDM реализуют различные процессы, которые, тем не менее, дополняют друг друга. Cisco ISE обеспечивает доступ мобильного устройства к сети передачи данных, а MobileIron MDM, в свою очередь, контролирует функции операционной системы гаджета и выполняет доставку приложений. Осуществляя настройки каждой из систем, необходимо коррелировать права доступа к мобильным приложениям (для определенной группы пользователей) с доступом на сетевом уровне (для корректной работы данных приложений). Например, если для определенной группы пользователей предусмотрена автоматическая установка клиента Cisco Jabber для осуществления звонков (зона ответственности MDM), необходимо предоставить соответствующий доступ на уровне сетевой инфраструктуры (зона ответственности Cisco ISE). Для успешной интеграции этих систем их политики безопасности не должны противоречить друг другу.

Резюмируя, хочу отметить, что, несмотря на достаточно трудоемкий процесс разработки политик безопасности и интеграции систем, внедрение решений по обеспечению мобильности принесёт компании множество преимуществ. В данном случае выгоду получит и сама компания с точки зрения экономической эффективности, сотрудники ИТ и безопасности однозначно будут меньше времени тратить на поддержку и обеспечение работы мобильных устройств сотрудников. Ну и, конечно, сами пользователи непременно будут более лояльны к компании, которая позволяет им пользоваться личными устройствами в рабочих целях.

+44
голоса

Напечатать Отправить другу

Читайте также

Моё устройство - мои правила! Не пускают в рабочую сеть без перлюстрации - не буду пользоваться корп. сетью. Если это нужно работадателю - пусть выдаёт рабочее устройство.

Никто вам и не запрещает, и не заставляет. Но с позиции работодателя - такой же подход: "Моя сеть - мои правила!"
BYOD - искусство договариваться.

Это желание работодателя сэкономить на железе + лень и безграмотность персонала.

Если есть постоянная необходимость - сотруднику выдаётся корпоративный гаджет. А если всё упирается в возможность сотруднику проверить расписание встреч или заглянуть в корпоративный чат в нерабочее время - всё решается организационно. Не нужно смешивать работу с частной жизнью. Это моё мнение как технического специалиста с большим стажем. ИМХО: BYOD - это прекрасно, но - только за пределами защищаемого периметра.

В том то и проблема, что изначально концепция BYOD появилась не как средство сэкономить, а как возможность повысить мотивацию сотрудника за счет того, что он работает на любимом им устройстве. Это уже в наших реалиях BYOD превратилось в экономию.

Чтобы не было "зоопарка" гаджетов BYOD - нужно платить зарплату нормально, чтобы не было многократной разницы между рядовыми сотрудниками и средним звеном (топы - это единицы)руководства.
И тогда - абсолютное большинство сотрудников будут покупать гаджет рекомендованный корпоративными службами. Весь "зоопарк" возникает от того, люди не могут позволить себе купить, как второй, гаджет "как у шефа". ИМХО.

Все же наш BYOD имеет иную природу в вашей версии. Так может и решать эту проблему нужно не теми средствами, что предлагают на Западе?

Я не пытаюсь спорить или кого-то убеждать. Я просто высказываю свою точку зрения.

Я считаю: сотрудникам, которые реально имеют влияние на бизнес процессы - нужно выдавать гаджеты на их выбор , но с предварительно предустановленным софтом необходимым для работы. Ведь есть уже и Knox и аналоги. Остальным сотрудникам нужно дать возможность - купить желаемый гаджет через IT-отдел, тоже с предустановленным софтом или -сдать свой личный гаджет(из рекомендованного перечня) на проведение необходимых процедур и установку необходимых приложений и правил. После проведения нужных манипуляций гаджет возвращается владельцу но - уже с нормальной политикой BYOD для этого конкретного девайса.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT