Descubre cómo extender la seguridad de tu empresa a tu dispositivo de bolsillo.

1. Tu smartphone comodispositivo de seguridad Jordi Soler

2. El reto de “BYO” Los programas Bringyourowndevice (BYOD) son cada vez más populares para las empresas de hoy día. Permite a los usuarios trabajar con el equipo de su elección Incrementa la satisfacción del empleado Baja los costes de IT Muchos tipos de equipos Bringyourown (BYO) iPhone, iPad, tablet, netbook, smartphone …. Mayores retos en seguridad y gestión, incluso usando los equipos corporativos Datos privados y sensibles de la empresa residen juntos en un mismo equipo Las aplicaciones que se instalan en estos equipos no son controlables Lo que abre una puerta de acceso en las infraestructuras de las empresas. Hay que soportar una gran variedad de plataformas hardware y software Restringir el uso de aplicaciones adicionales en los equipos mediante reglas en la empresa no es una solución viable Si se hace, el valor de estos nuevos equipos queda muy limitado para el empleado. 2

3. NACNG – Gestionando la explosion de equipos finales Production Control Facility Management Building Control Sensors, “Machines” Smart Phones “xPads” Medical systems VoIP Phones Diversidad de sistema/ SO PC IP Printers Laptops (Virtual) servers IP Video Surveillance Número de equipos conectados 3

4. Registro de los equipos 4 Equipos BYO no están gestionados por IT Falta configuración de seguridad adecuada Método fuerte de autentificación Certificados y/o configuración de encriptación para la WIFI NAC proporciona un portal web que permite a un usuario registrar su equipo con sus credenciales Le podrían seguir las siguientes acciones Instalación de certificados Configuración del equipo de forma automática usando protocolos apropiados WMI (Windows Management Instrumentation) o MDM (Mobile Device Management)

5. Detección de nuevos dispositivos – DeviceProfiling Profiling automático y detección del tipo de equipo NAC detecta los nuevos dispositivos en la red automáticamente y los clasifica para determinar el tipo de equipo Asignación de una política automática es posible Varios orígenes de la clasificación posibles: Escaneo basado en agente o desde la red DHCP OS fingerprinting Portal cautivo (usado para remediación y registro o servicios de invitados) Se pueden usar clasificadores externos (Netflow, firmas IDS) El tipo de equipo puede ser un Sistema Operativo, o tipo de Hardware, como por ejemplo Windows, Windows 7, Debian 3.0, Impresora HP, Android, iPhone, iPad, etc. 5

7. Disponible desde 2005

8. Instalada en miles de redes

9. Autentificación y aplicación de políticas basado en:

10. Información del sistema final

11. Información de usuario

12. Localización (e información histórica)

13. Hora

14. Método de autentificación

15. Estado de salud del equipoMonitor Remediate Contain Report Authorize Profile Authenticate Detect MAC Address Phone# IP Address Tracking First/last seen Hostname Asset ID Username Switch/port Location Operating System Current Location Applied Policy Access Point /SSID Switch/port State Health 6

16. Tipo de acceso: VDI – Virtual Desktop Interface Usando VDI para conectar equipos BYO En conjunción con Citrix Receiver technology, el Citrix Virtual Desktop Infrastructure VDI solutionXENDesktop La plataforma Enterasys Data Center Manager (DCM) en el CPD es opcional Citrix Receiver es una tecnologia cliente universal que permite crear desktops virtuales a cualquier usuario o equipo Ventajas Acceso a la infrastructura corporativa se puede restringuir a solo el acceso del VD usando el protocolo Citrix ICA, así no hay otros recursos expuestos. Citrix Receiver no requiere que los datos corporativos esten almacenados en el equipo, solo los presenta Otras soluciones VDI también se pueden soportar 7

17. Usando VDI para conectar equipos BYO La alternativa segura Uso de Virtual Desktop Restringir acceso a la red corporativa a solo tráfico VDI Aplicar una política de basada en el usuario para la sesión VDI en el CDP Permitir tráfico con destino a recursos externos 8

18. La alternativa Acceso nativo para equipos BYO Los equipos (o sus usuarios) son autenticados o detectados automáticamente Como resultado, la política no será igual de restrictiva que como la aproximación con VDI Autentificación en lugar de auto detección es recomendado La política resultante permitirá Acceso a Internet si se quiere Acceso a los recursos necesarios internos Bloqueará acceso a los recursos sensibles de la empresa. Asegura acceso a los servicios Por ejemplo para aplicaciones médica con soporta para hacer la ronda con un iPad Pero sigue protegiendo el resto de recursos críticos 9

19. Acceso nativo para equipos BYO Solución económica No necesita una solución VDI – reduce CAPEX y OPEX Restringe el acceso a la red corporativa a solo los recursos necesarios Se recomienda usar una autentificación segura y fuerte No se tiene un control total de los datos en el equipo 10

20. Resumen Automatización Automatizar la provisión de acceso de cualquier equipo entrando en la red corporativa Visibilidad y Control Control granular del acceso incrementa la seguridad para equipos no gestionados / no gestionables y equipos privados en la red corporativa Reducción del coste Mejorar la eficiencia usando equipos nuevos e innovadores Reducción del coste de explotación (OPEX) automatizando la provisión del servicio No se requiere una infraestructura separada Usar la misma tecnología que para el control de acceso a la red (NAC) de otros equipos 11

21. Preguntas ¿Preguntas? 12 jsoler@enterasys.com @JordiETSBcn