Byod for ya c

BYOD в организации:
надводные и подводные камни
внедрения в контексте
информационной безопасности
Алексей Лукацкий
Бизнес-консультант по безопасности

© 2012 Cisco and/or its affiliates. All rights reserved.
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1

Наличие удаленного доступа к корпоративной почте и
сервисам увеличивает рабочее время сотрудника на полчаса

56% сотрудников в мире периодически работают вне офиса
© 2012 Cisco and/or its affiliates. All rights reserved.
Forrester
Cisco Confidential 2

Мобильника Интернет Автомобиля Партнера

97% 84% 64% 43%


Работай Так Как Тебе Удобно !

Использование персональных
мобильных устройств в бизнес-
целях получило название BYOD

BYOD “узаконивает”
существующее явление
приноса персональных
ноутбуков , планшетов и
телефонов на работу


BYOD Конечный
Я хочу подключить
iPad к сети пользователь

Увеличение
эффективности, Уменьшение Безопасность
IT-затрат CEO
доступности и ?
лояльности
Как подключить и Как обеспечить Как построить
поддерживать корпоративные процессы и
разные типы сервисы на разделить зоны IT
устройств ? устройстве ? ответственности

Новые риски
Как подключить Нужно разработать безопасности – а что
безопасно и только к политику или делать Security
если украдут, а что
нужным ресурсам? исключения если уволится ?

BYOD требует стратегии мобильного рабочего места

"Прекратите протестовать
и соблюдайте правила!"

"Вы тормозите
меня!"
Чего хотят пользователи Чего хотят сотрудники ИТ и
служб безопасности
Доступ из любого места и в любое
время Контролируемый сетевой доступ 
Предсказуемые конфигурации 
Независимость от устройств
Безопасность данных 
Личные данные / приложения
Блокировка
Гибкие конфигурации пользователей 

Где золотая середина?

1. На какие категории сотрудников распространяется ?
2. Какая процедура подключения новых устройств (орг. и техн.)?
3. Какая политика доступа с мобильных устройств изнутри
корпоративной сети ?
4. Какова политика доступа с мобильных устройств к корпоративным
ресурсам извне корпоративной сети?
5. Какова политика доступа с мобильного устройства к ресурсам
Интернет?
6. Какие сервисы предоставляются (почта, UC, VDI …)?
7. Какие требования к защите мобильного устройства ?
8. Процедуры в случае потери/кражи устройства или увольнения
сотрудника
9. Какие затраты оплачиваются (мобильный интернет, звонки …)?
10. Оценка затрат на внедрение или запрещение  BYOD


Устройства Безопасность Управление
Форм
Фактор Защищенное Управление
соединение устройством

ОС
Контроль Слежение за
приложений устройством

Приложения
Внедрение
Защита Web
Голос Конференции приложений
Internal Web
Apps Apps
Видео Сообщения
Производите
Защита
льность &
устройства
Диагностика
Соединение
Управление
Шифрование
затратами на
2G/3G WiFi VPN данных
связь


• Мобильные устройства пользователей: главный источник рисков

УГРОЗЫ

1. Вредоносное ПО (Web: основной
вектор)
2. Платный контент и трафик
3. Утечка данных, кража или потеря
устройств
4. Нарушение правил контроля
доступа и политик безопасности
5. Нарушение правил
использования устройства на
работе и вне офиса

BYOD* ̶ основной риск
Source: 2011 ISACA IT Risk/Reward Barometer, US Edition (www.isaca.org/risk-reward-barometer)

• Направления атаки
Сотовые сети
Соединения Bluetooth
Интернет (WLAN, 2/3/4G)
Синхронизация USB-устройств
Другие периферийный устройства

• Выберите то, что актуально для вас!


• Журнал вызовов и SMS-сообщения

• Электронная и голосовая почта

• Контакты и календарь событий

• Конфиденциальные данные и файлы, хранимые на устройстве или
SD-картах
• Архив кэша клавиатуры (включая вводимые пароли)

• Фотографии, журнал просмотра Web-ресурсов

• Геолокационные данные

• Удаленные данные (изображения, сообщения электронной почты и
т.д.)
• Приложения


• Вредоносный код
• Утечки конфиденциальной информации
• Установка пиратского ПО и кража легитимного ПО
• Перехват данных
• Вывод устройства из строя
• Кража/потеря устройства
• Посещение сайтов, ненужных для работы
• Нарушение требований регуляторов
• Высокие затраты на Интернет-трафик
• Звонки на платные номера / дорогие SMS на короткие номера
• Спам / фишинг / смишинг
• Отслеживание перемещений (вмешательство в личную жизнь)


Контроль доступа
Я хочу разрешить работу
в моей сети только Сервисы
«нужных» пользователей аутентификации
и устройств
Мне нужно, чтобы
пользователи и
устройства получали Сервисы
адекватный доступ к авторизации
сетевым сервисам
(dACL, Qos, и т. п.)
Мне требуется разрешить Управление
гостевой доступ к сети жизненным циклом
гостевого доступа
Мне требуется
разрешить/запретить
Сервисы
доступ с iPAD в мою
сеть(BYOD) профилирования
Мне требуется
уверенность, что мои Сервисы оценки
оконечные устройства не
станут источником атаки
состояния


Мобильная Безопасность
безопасность контента

Сетевая Управление
безопасность безопасностью


Контроль мобильного
устройства при
доступе к
корпоративным Защита самого
ресурсам
мобильного устройства


Уровень Уровень
приложений устройства

Уровень сети


Встроенная

Локальная

Централизованная

• Пользователи хотят выбирать
мобильные устройства самостоятельно (BYOD)
• Спектр выбираемых устройств очень
широк
ОС: iPhone, Windows Mobile, Symbian,
BlackBerry, WebOS
Платформа: iPhone, Nokia, HTC, LG,
Samsung, BlackBerry, Palm

• Проблема выбора не только средств защиты, но
и самой мобильной платформы


Версия Forrester


Версия Gartner


Версия J’son & Partners


Версия Cisco
Мобильные устройства
Platform* June June June в Cisco
2010 2011 2012
iPhone 3,554 16,857 23,258
iPad 150 5,418 10,779
13%
BlackBerry 14,802 14,233 9,724
Android 40 3,526 6,592 19%
45%
Others 7,005 1,406 1,010
Total 25,401 41,440 51,363 21%

*Includes devices with corporate plans, personal plans, and wi-fi only

Рост использования мобильных устройств в Cisco 102%

2

• Встроенный функционал в мобильные
Например, идентификация местоположения
устройства в iPad или встроенный VPN-
клиент в Nokia e61i на Symbian

• Функционал мобильных приложений
Например, функция удаления данных в
Good или Exchange ActiveSync

• Отдельные решения для мобильных
устройств
В рамках портфолио – Cisco, Лаборатория
Касперского, Sybase
Специализированные игроки - MobileIron,
Mobile Active Defense, AirWatch, Zenprise и
т.д.


Anti-virus

Loss and theft protection

Encryption

Data-loss protection

Secure client and web-based VPN connectivity

Firewall

Back-up and restore First choice

Anti-spam for messaging content Second choice
Third choice
URL filtering

Application monitoring and control

0% 10% 20% 30% 40% 50% 60%
Source: Candefero survey results, June 2011 (87 respondents)

© 2010 Cisco and/or its affiliates. All rights reserved. © Canalys
Cisco Confidential 3047

• Windows, Mac и Linux
• Apple iOS 4+
iPhone 3G/3GS/4, iPad, iTouch

• Windows Mobile, Palm,
Symbian
• Android, Cisco Cius,
Windows
Phone 7
• BlackBerry, WebOS и т.д.

• Функционал одной системы
защиты может меняться на
разных платформах


Доступ
чужих к
своим

Доступ
своих к
своим
Доступ
своих к
чужим


• Какова политика доступа с мобильного устройства к корпоративным
ресурсам изнутри корпоративной сети?
• Какова политика доступа с мобильного устройства к корпоративным
ресурсам извне корпоративной сети?
Только VPN? Применяется NAC? Доступ только к отдельным
приложениям?
Необходимо ли пропускать мультимедиа-трафик (VoIP, ВКС)? Через VPN?

• Какова политика доступа с мобильного устройства к ресурсам
Интернет?
Изнутри корпоративной сети? А извне корпоративной сети?
А межсетевой экран нужен?

• Доступ к облачным вычислениям (если внедрены в организации)

• А может лучше терминальный доступ (VDI)?


Интернет-трафик Облачная
безопасность

VPN – внутренний
трафик
(опционально)
Защита
мобильного

Облачная безопасность
Новости Электронная
почта

МСЭ/
Защита IPS Фильтрация
Интернет-доступа контента
Социальные сети Корпоративная
в сети предприятия SaaS-система
Corporate AD


• Устройству не хватает Premise Based Cloud Based
мощностей ;-(
Corporate DC
• Защита в зависимости от
местонахождения
Перенаправление на периметр
или в облако

• Гранулированный контроль WSA VPN
доступа к сайтам
• Доступ в ближайшее облако
через SSO
• Контроль утечек информации в
Web или e-mail трафике


• Как проводится аутентификация пользователя на мобильном
устройстве?
PIN? Логин/пароль? Графические шаблоны? Одноразовые пароли?
Аппаратные токены? Сертификаты?

• Возможна ли интеграция с моим каталогом учетных записей? Как?

• Поддерживается ли SSO? Какой стандарт?

• Поддерживается ли федеративная система аутентификации? Какой
стандарт?
• Нужна ли аутентификация к локальным ресурсам и устройствам?

• Необходим ли многопользовательский доступ к мобильному
устройству?
А зачем?


Пароли Токены Биометрия Pattern Lock
Безопасность Слабая Сильная Сильная Слабая
Простота Просто Средне Тяжело Просто
использования
Внедрение Просто Тяжело Тяжело Просто
Работа на Да Нет Возможно Да
мобильном
устройстве


“Сотрудники могут получать доступ ко всем
ресурсам с личных и корпоративных
устройств. Доступ внешних пользователей
блокируется.” Интернет

“Сотрудники должны использовать
корпоративные устройства. Личные
Внутренние
устройства запрещены, гостевой
ресурсы
доступ не предусмотрен.”

Сеть комплекса Ограниченный
зданий набор ресурсов

“Сотрудники могут получать доступ
к любым ресурсам с корпоративных
устройств. Сотрудникам, использующим
Это
личные устройства,
и партнерам предоставляется
важно! Сервисы политики
ограниченный доступ.”


User Тип Место Статус Время Метод Свои


• Есть ограничения на используемые приложения?

• Собственная разработка?

• Процедура тестирования для внешних приложений и исходного
кода?
• Контроль магазинов приложений? Собственные корпоративные
магазины приложений?
• Процедура установки приложений?
Доверяем ли мы неподписанным приложениям?

• Существуют ли приложения третьих фирм при оказании сервиса?

• Используемые меры защиты приложений?
Права приложений


Basics App Security Collaboration Function
Store

Virtualization Workforce


“Приложения
регулярно шлют
информацию
маркетинговым
компаниям, которые
составляют досье на
мобильных
пользователей”

Source:
http://blogs.wsj.com/wtk-mobile/


• Как организовать?

• Централизованно или через пользователя?
А насколько высока из квалификация?

• Как отключать некоторые аппаратные элементы (камера, диктофон,
Bluetooth и т.д.)? Надо ли?
• Как контролировать настройки?

• Как контролировать наличие «чужих» программ?

• Как удаленно «снять» конфигурацию?

• Как провести инвентаризацию?

• Как проводить troubleshooting?

• Как организовать доступ администратора к устройству?


• Как искать украденное/потерянное устройство?
А надо ли?

• Как дистанционно заблокировать устройство или удалить данные?

• Как защититься при смене SIM-карты?

• Контроль местонахождения устройства?
GPS, Глонасс, «Найди iPhone»?

• Рекомендации вернуть устройство владельцу?


• Возможно ли сканирование мобильных устройств?
Агентское или дистанционное?

• Как часто сканируются мобильные устройства?

• Каков процесс устранения уязвимостей?

• Как устанавливаются патчи?

• Отношение к Jailbrake?


• Черные списки телефонов?

• Скрытие от посторонних глаз SMS/номеров?
Отдельные контакты помечаются как «личные» и вся связанная с ними
информация (SMS, звонки, контакты) будет скрыта от посторонних глаз

• Шифрование важной информации
Специальные «секретные» папки для документов и файлов
Динамический виртуальный шифрованный диск
Поддержка карт памяти

• Антивирус

• Нужен ли вам персональный межсетевой экран?


• Антивирус
Проверка в реальном времени
Проверка по требованию
Проверка по расписанию
Автоматическое обновление

• Межсетевой экран
Блокирование подозрительных
соединений
Разные предопределенные уровни
защиты


ОСОБЕННОСТИ РЕАЛИЗАЦИИ

Антивирус должен быть установлен, если иное не предусмотрено
технологическим процессом. Для платформ Apple iOS антивирусов не
существует

Проверка на отсутствие вредоносных программ на мобильном устройстве
.
может быть осуществлена с помощью технологий NAC (Network Admission
Control)

Трафик с мобильного устройства может перенаправления через AV-
шлюз на корпоративном периметре или через «облако» SaaS

Отсутствие антивируса на мобильных устройствах может быть оправдано при
условии разработки соответствующей модели угроз и реализации набора
компенсационных мер (блокирование доступа, корпоративный appstore и т.д.)


• Как осуществляется расследование?

• Как вы обеспечиваете сбор доказательств несанкционированной
деятельности?
• У вас есть доступ к логам на мобильном устройстве? Как долго вы
их храните? Возможно ли увеличение этого срока?
• Можно ли организовать хранение логов на внешнем хранилище?
Как?
• Разработан ли план реагирования на инциденты, связанные с
мобильными устройствами?


• Обезличивание критичных данных и предоставление к ним
доступа только авторизованному персоналу?
• Какие устройства собираются и хранятся на мобильном
устройстве?
Как долго?

• Что включить в политику предоставления корпоративного
мобильного устройства сотруднику? А что в политику доступа к
корпоративной сети с личного мобильного устройства?
• Есть ли национальные законодательные требования по
обеспечению privacy? Как найти баланс?
• Гарантии нераскрытия информации третьим лицам и третьими
лицами?
• Как защищаются данные при передаче устройства в ремонт?


• Wiki
Mobility Rules of Use
Vulnerability Announcements
Security Advisories
Best practices/user guidelines

• Форумы

• Рассылки


• Подчиняется ли мобильное устройство обязательным
нормативным требованиям? Каким?
• Необходимо ли проводить внешний аудит соответствия
мобильных устройств?
ISO 27001
PCI DSS
СТО БР ИББС
382-П
Аттестация по ФСТЭК
ФЗ-152


ОСОБЕННОСТИ РЕАЛИЗАЦИИ

Необходимость использования СКЗИ определяется самостоятельно,
если иное не предусмотрено законодательством РФ

Все зависит от модели угроз. Если речь идет не о персональных данных,
.
то возможно применение несертифицированных СКЗИ

Для ПДн СКЗИ должно быть сертифицировано. Такие СКЗИ для
мобильных платформ сегодня уже есть, но…

Установка сертифицированных СКЗИ подразумевает jailbreak. Вы
готовы?


Обмен • Обладатель информации
собственной • Собственник (владелец) системы
информацией

Обмен с • Госорган
госорганами

Обмен с
организациями • Организация госзаказа
госзаказа
Обработка и • Обладатель информации
хранение без • Пользователь (потребитель)
передачи

• Какой уровень доступности в SLA необходимо обеспечить?

• Какие меры обеспечения доступности используются для защиты
от угроз и ошибок?
Резервный оператор связи
Подключение по Wi-Fi

• План действия на время простоя?
Вы поставили сотрудникам «Angry Beards» ;-)

• Резервирование и восстановление

• Как соотносятся оказываемые сервисы с мобильными
устройствами с точки зрения критичности/доступности?


C-Level Term Impact Description
C1 Mission Imperative Any outage results in immediate cessation of a primary function,
equivalent to immediate and critical impact to revenue
generation, brand name and/or customer satisfaction; no
downtime is acceptable under any circumstances

C2 Mission Critical Any outage results in immediate cessation of a primary function,
equivalent to major impact to revenue generation, brand name
and/or customer satisfaction
C3 Business Critical Any outage results in cessation over time or an immediate
reduction of a primary function, equivalent to minor impact to
revenue generation, brand name and/or customer satisfaction

C4 Business Operational A sustained outage results in cessation or reduction of a primary
function
C5 Business A sustained outage has little to no impact on a primary function
Administrative

© 2012 Cisco and/or its affiliates. All rights reserved. 74 Cisco Confidential 74

Criticality Classification Matrix v3.0

Operational Continuity
Disaster Recovery
(Planned and Unplanned Downtime)

Acceptable Reduced Recovery Recovery Reduced
Planned Recovery Acceptable Performance Time Point Performance
Adjusted Downtime Time Data Loss Acceptable Objective Objective Acceptable
Availabilit Acceptabl (ART, (ADL, (Single DC (RTO, in (RPO, in (Large-Scale Criticalit Distrib
y Ceiling e? hours) Hours) Loss)? Hours) Hours) Disaster)? y Level -ution
Up to
99.999%
N ~0 ~0 N n/a** n/a n/a C1
< 5%
Up to
99.995%
N 1 0 N 4 1 N C2

Up to
99.99%
Y 4 0 N 24 1 Y C3 ~10%

Up to
99.9%
Y 24 1 Y 48 24 Y C4 > 60%

Up to
99.9%
Y Best Effort 24 Y Best Effort 1 wk Y C5 < 25%

• ART = Maximum downtime following incidents (up to and including one DC in Metro down)
• ADL = Maximum data loss following incidents (up to and including one DC in Metro down)
• RTO = Maximum downtime for applications following large-scale disaster (multiple Tier-III DCs in Metro down, highly
unlikely)
• RPO = Maximum data loss following large-scale disaster (multiple Tier-III DCs in Metro down, highly unlikely)
** Targeting distributed architectures (active/active over large distance) to meet service continuity requirements without DR
invocation

75

• Процедура завершение трудового договора предусматривает
возврат мобильного устройства или данных на нем?
• Возврат корпоративных данных на личном мобильном устройстве?
В какой форме?
• Как скоро организация/сотрудник получит свои данные обратно?

• Как будут уничтожены все резервные и иные копии моих данных?
Как скоро? Какие гарантии? Как проконтролировать?


ОГРАНИЧЕННЫЙ БАЗОВЫЙ РАСШИРЕННЫЙ ПЕРЕДОВОЙ

Среды с жестким Базовые сервисы, Различные сервисы, Корпоративные
контролем простой доступ подключение приложения, новые
локально и удаленно сервисы, управление
Широкий спектр
Только корпоративные устройств/только Различные типы Различные типы
устройства Интернет устройств и методы устройств,
Производства Образование доступа, VDI MDM
Госучреждения Общественные Здравоохранение Инновационные корпорации
(секретность!) организации Корпорации, стремящиеся Розничные продажи
Традиционные и общественные места внедрить BYOD Мобильные сотрудники
корпорации Простой гостевой доступ Поддержка временных (видео, среды совместной
сотрудников работы, .)

Управление мобильными и
персональными Управление рабочим местом Mobile Device Management
устройствами

Безопасный мобильный и
удаленный доступ Защитный клиент,
Безопасная мобильность
защита периметра

Унифицированные политики
для безопасного доступа Инфраструктура управления NAC, IAM, Compliance, Guest,
политиками Policy Management

Проводной и беспроводный Функции коммутаторов,
доступ, унифицированное Сетевая инфраструктура беспроводных точек
управление доступа и маршрутизаторов


Сценарий Ограниченный Базовый Расширенный Передовой
Полноценное
Бизнес Доступ по ролям Гранулир. доступ
Блокировать доступ мобильное рабочее
политика изнутри сети внутри и снаружи
место
ИТ- • Знать “кто” и “что” • Предоставлять • Гранулированный • Обеспечение
требования включено в сеть персональным и доступ изнутри родных
• Давать доступ гостевым сети приложений для
только устройствам • Гранулированный мобильных
корпоративным доступ в удаленный устройств
устройствам Интернет и доступ к • Управление
ограниченному ресурсам через мобильными
числу внутренних Интернет устройствами
Технологии ресурсов • Использование (MDM)
VDI
Сетевая
инфраструктура Коммутаторы, маршрутизаторы, точки беспроводного доступа

LAN Management –
Управление
MDM

Идентификац
ия и политики IAM, NAC, Guest, Policy

Удаленный МСЭ/Web Security
доступ и Защитный клиент
безопасность Облачная безопасность

Приложения Корпоративные приложения и VDI

Политика допускает использование только корпоративных устройств
Функции BYOD

Контроль доступа Функции инфраструктуры
Policy Management
• Внедряем систему контроля • Режим мониторинга (Monitor
• Идентификация того КТО и
доступа для запрета и/или Mode) упрощают выявление
ЧТО включается в сеть
выявления не-корпоративных не-корпоративных
• Классификация типов устройств
устройств
подключаемых устройств
• Нужно идентифицировать • Функция коммутаторов
• Ограничение не- Sensor и Classifier позволяет
происхождение и тип
корпоративных устройств определить тип
подключаемого устройства
подключаемого устройства

Wireless Wired Политики Управление

THIN/VIRTUAL DESKTOP/
SMARTPHONES TABLETS GAME/PRINTER
CLIENTS NOTEBOOKS
Уровень
устройств


Пример для проводной сети
Внедрение
машинных сертификатов Policy Классификация
Engine
USER OUI DHCP HTTP

DEVICE Directory DNS NETFLOW SNMP
PKI CA
CONFIG Защитный
клиент Corporate
Resources

Коммутатор
Internet
Персональное
устройство

Технологии для выявления “чужих” устройств
0. Фильтрация по MAC-адресам
1. Внедрение машинной аутентификации с помощью 802.1x
2. Классификация (профилирование) типов устройств на Policy Engine и
коммутаторе
3. Оценка состояния устройства и проверка наличия корпоративного ПО
(NAC)

Предоставление базового сервиса доступа в Интернет и
ограниченному перечню внутренних ресурсов
Функции BYOD
Управление доступом на
Гостевые устройства Упрощенное подключение
основе политик
• Полный цикл управления новых устройств
• Идентификация и гостевым доступом в сеть • Регистрация и настройка
аутентификация
• Предоставление Интернет- персональных устройств без
персональных устройств
доступа и доступа к вмешательства IT-персонала
сотрудников
внутренним гостевым
• Управление доступом в ресурсам
зависимости от типа
устройства/роли пользователя

Wireless Wired Политики Управление

THIN/VIRTUAL DESKTOP/
SMARTPHONES TABLETS GAME/PRINTER
CLIENTS NOTEBOOKS
Уровень
устройств


Policy Engine для расширенного управления политиками

ИДЕНТИФИ- Policy КЛАССИФИКАЦИЯ
КАЦИЯ 1 Engine HTTP
802.1x EAP
NETFLOW
Аутентификация
пользователя и SNMP
VLAN 10 DNS
2
VLAN 20 RADIUS
Классификация Политика
устройства доступа DHCP
Ресурс
компании Корпоративные
4 ресурсы
HQ
Wireless LAN
Single SSID Controller
Интернет
2:38pm
Персона 3 5
льный
ресурс Оценка состояния Применение
устройства политик 6
Полный или
Unified Access
Management частичный доступ


Сервис для гостевого доступа

Веб-
Гостевая политика
аутентификаци
я
Internet

Гости
Беспроводный
или проводной
доступ
Доступ только в
Интернет

Настройка Управление Извещение Отчетность
Гостевых учетных привилегиями Уведомление отчетность по
записей через спонсоров, правами гостей об учетных существующим
Гостевой Портал гостевых учетных записях -Print, записям
© 2012 Cisco and/or its affiliates. All rights reserved. записей Email, or SMS Cisco Confidential 85

Доступ к сервисам и приложениям на работе и вне офиса
Функции BYOD

Применение политик Безопасный мобильный Приложения для
• Идентификация и доступ совместной работы и VDI
аутентификация • Технологии безопасного • Предоставление приложений
персональных устройств удаленного доступа к для совместной работы и
сотрудников Интернет-ресурсам и доступа к корпоративным
• Управление доступом в корпоративным ресурсам сервисам
зависимости от типа • Безопасность веб-доступа
устройства/роли
пользователя
Enterprise
WebEx Jabber Quad
Applications

Защитный
клиент Облако Web Sec МСЭ
Политики Управление
Router Wireless Wired

SMARTPHONES TABLETS GAME/PRINTER THIN/VIRTUAL CLIENTS DESKTOP/NOTEBOOKS
Уровень
устройств


Инсталляция корпоративных приложений, браузер или VDI

Родные приложения
Инсталлир. Корпоративные для BYOD
приложения сервисы Data Center • Данные на устройстве
• Высокая
производительность
•“Родной” интерфейс

Веб-браузер HTML
интерфейс
Браузер
Data Center
•Данные на устройстве
Корпоративные
•Портирование на разные
сервисы платформы
•Интерфейс браузера

Клиент VDI Инфраструктура Виртульные сервисы
VDI Data Center
•Нет локальных данных
•Самая высокая
Корпоративные безопасность
сервисы •Ощущения зависят от
скорости канала связи


Полноценное рабочее место. Политика обеспечивает
гранулированный доступ и управление для персональных
устройств.
Функции BYOD

Mobile Device Management
• Интегрированное управление политиками с управлением мобильными
устройствами (Mobile Device Management) предоставляет гранулированный
контроль устройств, многоуровневую безопасность и применение сетевых политик
доступа при внедрении BYOD

Enterprise
WebEx Jabber Quad
Applications

Защитный
клиент Облако Web Sec МСЭ
Политики Управление
Router Wireless Wired

SMARTPHONES TABLETS GAME/PRINTER THIN/VIRTUALCLIENTS DESKTOP/NOTEBOOKS
Уровень
устройств


MDM продукты Контроль доступа и защита от сетевых угроз
 Инвентаризация  Аутентификация  Защита от угроз  Безопасный
 Инициализация пользователей и  Политика удаленный доступ
устройства устройств использования
 Безопасность данных на  Оценка состояния Web
устройстве  Применение  Защита от утечек
 Безопасность приложен. политики доступа информации

 Управление затратами
 Полная или частичная
очистка удаленного
Политики Облако Web Sec Защитный клиент МСЭ


Внедрение

Завершение Конфигурация

Поддержка Защита

Мониторинг Приложения /
и управление контент


• Управление базовыми защитными
механизмами
• Включение / блокирование функций

• Управление преимущественно
функциями ИТ, а не ИБ
• Отсутствие серьезной интеграции с
системами контроля доступа
• Отсутствие серьезной интеграции с
системами экономической безопасности


BYOD Проводной, Беспроводной, Инфраструктура доступа Шлюзы безопасности Инфраструктура защиты и
устройства Мобильный доступ управлениям политиками

Не доверенная Доверенная
сеть корпоративная
Mobile Network МСЭ
сеть

Active Certificate
Internet Directory Authority
Public Wi-Fi Network (AD) (CA)
Management

Switching
WLAN Core
WLAN AP
Controller

Access Switch
Campus
Policy Engine Mobile RSA
(Cisco ISE) Device Secure ID
Integrated Manager
Services (MDM)
Router

Branch Office
WAN
Aggregation
Wireless
Services
Router
Router

AnyConnect Home Office

Место- Кто? Что?
Устройство Как? Средства,
положение? Когда? контент, данные
? SIO

Обеспечение Контекст Обеспечение Облако/Saas
с учетом с учетом
СОТРУДНИК Wi-Fi контекста контекста
На работе ЦОД/VDI
Динамическая
политика

ВРЕМ. СОТРУДНИК Web-сайты
Сотовая
3G/4G Доп. Web-
Дома Облако
решение приложения

ГОСТЬ
Проводная Управление/ Сервисы
Клиент на развертывани
В дороге
базе VM е
• Управляемое Интегрир. Соц. сети
• Неуправляемое средства
• Корпоративное
• Личное
Интеллектуальная сеть СХД

Защищенный, персонализированный и контекстно-зависимый доступ к данным
Прозрачный - оперативный - надежный

Ничего не делать Не использовать

Менее защищенный Более защищенный
101

1. Явление BYOD влияет на все сферы IT и предполагает
наличия в организации концепции/стратегии мобильного
рабочего места и соответствующих процессов
2. На сегодня BYOD есть фактически в каждой организации
– отличается лишь степень проникновения
персональных устройств
3. В зависимости от степени “зрелости” использования
персональных устройств организация может выбирать
разные сценарии внедрения BYOD
4. В зависимости от задач могут быть выбраны и разные
защитные механизмы

Выбирать ВАМ!


Спасибо за внимание!


Byod for ya c

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (9)

Ähnlich wie Byod for ya c

Ähnlich wie Byod for ya c (20)

Mehr von Expolink

Mehr von Expolink (20)

Byod for ya c