Kluczowe wyzwania mobilności

Organizacje wdrażające rozwiązania takie jak COPE czy BYOD, muszą skupić się na zarządzaniu bardzo duża liczbą urządzeń w sieci bezprzewodowej. BYOD zwiększa gęstość urządzeń w sieci, konsumpcję przepustowości, a także ryzyko naruszenia bezpieczeństwa. Wymaga to odpowiedniego dostosowania warstwy fizycznej dostępu, bezpieczeństwa dostępu, ale także możliwości zarządzania urządzeniami, aplikacjami, czy informacjami.

Większość organizacji będzie posiadało więcej urządzeń mobilnych, które uzyskują dostęp do sieci korporacyjnej, niż istniejących wewnątrz sieci PC. Wymagana ilość zasobów do obsługi zwiększonego natężenia ruchu musi ulec zwiększeniu. BYOD to nowe wyzwania dla bezpieczeństwa, zapewnienia prywatności organizacji , rozważań na temat legalności zastosowania i prywatności użytkowników. Bardzo często wewnętrzne uwarunkowania organizacji uniemożliwiają wykorzystanie BYOD.

Zobacz również:

• Najlepsze MDM-y do ochrony urządzeń mobilnych na 2023

Organizacje, które wdrażają dostęp urządzeń mobilnych muszą pamiętać, że kontrola jest niezbędna, ale trudno nadzorować każdy jej aspekt. Organizacje muszą dostosować ich mobilną politykę w celu określenia kto jest dopuszczony do sieci, jakie urządzenia i aplikacje mają dostęp do sieci i kiedy, jakie dane organizacji mogę być uzyskiwane przez urządzenia mobilne. Potrzebna jest kombinacja technologii i zasobów w celu identyfikacji, kiedy pracownicy nie spełniają założonych zasad. Wszystkie te elementy wymagają wykorzystania systemów MDM (Mobile Device Management), MAM (Mobile Application Management), MIM (Mobile Information Management), w zależności od potrzeb. Coraz częściej spotyka się systemy integrujące w spójnym oprogramowaniu zarządzanie urządzeniami, aplikacjami i informacjami w postaci EMM (Enterprise Mobility Management).

Przedstawione systemy będą miały zastosowanie w wyższych warstwach nadzoru. Niezbędna podstawą jest bezpieczna i wydajna infrastruktura bezprzewodowa, którą urządzenia mobilne uzyskują dostęp do sieci.

Infrastruktura bezprzewodowa dla urządzeń mobilnych

Rozważając sieć bezprzewodową dla wzrastającej ilości urządzeń mobilnych, należy skupić się na kilku elementach. Podstawowym czynnikiem będzie zastosowanie sieci bezprzewodowej, mechanizmów uwierzytelniania WLAN (Wireless LAN), a także odpowiedniej struktury SSID sieci bezprzewodowej. W rozwiązaniach dla urządzeń mobilnych z pewnością konieczne będzie wykorzystanie sieci o wielu identyfikatorach SSID. Wiele organizacji preferuje dedykowany identyfikator sieci SSID dla urządzeń mobilnych. Dobrym pomysłem jest jednak wprowadzenie niezależnego SSID stosowanego w celu wstępnego potwierdzenia uprawnień dostępu do sieci. Warto jednak pamiętać, że dodatkowe SSID wprowadzają narzut i mogą degradować całkowitą wydajność sieci bezprzewodowej.

Typowe wdrożenie dla urządzeń mobilnych powinno umożliwiać centralne zarządzanie kontrolą dostępu dla całego ruchu bezprzewodowego z jednego miejsca sieci. Punkty dostępowe przyłączone poprzez przełączniki warstwy dostępowej, powinny być kontrolowane i konfigurowane są przez kontrolery sieci bezprzewodowej. W zarządzaniu BYOD wskazane jest przesyłanie danych oraz ruchu kontrolnego z punktów dostępowych przez kontrolery, zanim zostaną wysłane w sieć. Może to powodować zatory w przypadku niskiej wydajności kontrolerów. Zwiększana jest jednak kontrola nad urządzeniami.

W praktycznych wdrożeniach spotkamy się z dwoma SSID. Pierwszy służy do rejestracji użytkownika i zapewnienia bezpiecznego dostępu do sieci. Po przeprowadzeniu uwierzytelnienia i autentykacji urządzenia mobilnego, przeprowadzane jest przypisanie urządzenia do odpowiedniej listy dostępu, a następnie grupy bezpieczeństwa. W przeprowadzeniu procesu rejestracji pomaga nie tylko niezależny SSID, ale także wykorzystanie odpowiedniej listy dostępu ACL oraz VLAN. Pozwala to ograniczyć dostęp użytkownika do niezbędnego minimum na czas potwierdzenia własnej tożsamości. Sieć SSID rejestrująca użytkownika może stanowić sieć otwartą lub chronioną hasłem, przykładowo powiązanym z architekturą AD (Active Directory). W tym przypadku sieć bezprzewodowa musi posiadać skonfigurowane mechanizmy bezpieczeństwa WPA/WPA2 Enterprise. Po zarejestrowaniu użytkownika, otrzyma dostęp do usług DHCP, DNS, itp. Przełączenie do sieci SSID produkcyjnej nastąpi automatycznie po potwierdzeniu uprawnień. W przypadku braku uprawnień, użytkownik może zostać zablokowany lub uzyskać dostęp do Internetu z pominięciem sieci korporacyjnej, przez strefę zdemilitaryzowaną DMZ.

Po połączeniu się z SSID rejestrującym użytkownika i poprawnym ustaleniu poziomu dostępu, użytkownik łączy się do SSID produkcyjnego, gdzie realizowana jest odpowiednia polityka bezpieczeństwa połączenia (najczęściej z wykorzystaniem mechanizmy EAP) oraz przypisanie do odpowiedniego VLAN. Od tej pory zarządzanie nad urządzeniem mobilnym, przejmują systemy EMM (MDM. MAM, MIM). W wielu przypadkach system MDM może realizować funkcje sterowania kontrolerami i uwierzytelnianiem na poziomie dostępu do sieci.