Исследование построения сетей на основе BYOD

Размещено на http://www.allbest.ru/

Оглавление

Введение

Глава I. Исследование построения сетей на основе BYOD

1.1 Стандарты беспроводных сетей

1.1.1 WPAN

1.1.2 WLAN (Wireless Local Area Network)

1.1.3 WMAN (Wireless Metropolitan Area Networks)

Глава II. Выявление основных проблем сетей BYOD

2.1 Обзор задач, требующих решения при принятии концепции BYOD

2.2 Основные проблемы концепции BYOD

Глава III. Разработка механизмов методов защиты

3.1 Этапы введения стратегии BYOD

3.2 Способы укрепления безопасности при использовании BYOD

3.3 Решение: Комплексная стратегия безопасности BYOD

Заключение



Введение

Внедрение концепции BYOD ("Принеси на работу своё собственное устройство").

Концепция доступа с любого устройства к любым материалам любым способом - основная глобальная тенденция, которая требует существенных изменений в том, как устройства используются. Эта популярная тенденция называется "Принеси на работу своё собственное устройство".

"Принеси на работу своё собственное устройство" (Bring Your Own Device, BYOD) значит, что конечные пользователи имеют свободу использования личных инструментов доступа к информации на предприятии или в сети учебного заведения. По мере увеличения популярности потребительских устройств и соответствующего падения цен ожидается, что каждый из сотрудников и учащихся может иметь в личном пользовании самые совершенные вычислительные и сетевые инструменты. Эти персональные средства включают в себя ноутбуки, нетбуки, смартфоны, планшетные ПК и электронные книги. Это могут быть устройства, приобретённые компанией или приобретённые сотрудниками, или и то, и другое.

BYOD означает возможность использования в любом месте любого устройства, независимо от его владельца. Например, в прошлом для доступа к сети учебного заведения или Интернету учащиеся должны были использовать один из компьютеров учебного заведения. Эти устройства рассматривались, как правило, только как средства для работы в классе или в библиотеке. Расширенные возможности подключения с использованием мобильного и удалённого доступа к сети учебного заведения предоставляет учащимся огромную гибкость и более широкий спектр возможностей.

"Принеси на работу своё собственное устройство" (Bring Your Own Device, BYOD) - важная тенденция, которая затронула или затронет каждую организацию ИТ-инфраструктуры.

Глава I. Исследование построения сетей на основе BYOD

1.1 Стандарты беспроводных сетей

Беспроводные компьютерные сети - это технология, позволяющая создавать вычислительные сети, полностью соответствующие стандартам для обычных проводных сетей (например, Ethernet), без использования кабельной проводки. В качестве носителя информации в таких сетях выступают радиоволны СВЧ-диапазона.

Беспроводные технологии - подкласс информационных технологий, служат для передачи информации на расстояние между двумя и более точками, не требуя связи их проводами. Для передачи информации может использоваться инфракрасное излучение, радиоволны, оптическое или лазерное излучение.

В настоящее время существует множество беспроводных технологий, наиболее часто известных пользователям по их маркетинговым названиям, таким как Wi-Fi, WiMAX, Bluetooth. Каждая технология обладает определёнными характеристиками, которые определяют её область применения.

Подходы к классификации беспроводных технологий. Существуют различные подходы к классификации беспроводных технологий:

· По дальности действия:

o Беспроводные персональные сети (WPAN - Wireless Personal Area Networks). Примеры технологий - Bluetooth.

o Беспроводные локальные сети (WLAN - Wireless Local Area Networks). Примеры технологий - Wi-Fi.

o Беспроводные сети масштаба города (WMAN - Wireless Metropolitan Area Networks). Примеры технологий - WiMAX.

o Беспроводные глобальные сети (WWAN-Wireless Wide Area Network). Примеры технологий - CSD, GPRS, EDGE, EV-DO, HSPA.

· По топологии:

o "Точка-точка".

o "Точка-многоточка".

· По области применения:

o Корпоративные (ведомственные) беспроводные сети - создаваемые компаниями для собственных нужд.

o Операторские беспроводные сети - создаваемые операторами связи для возмездного оказания услуг.

Кратким, но ёмким способом классификации может служить одновременное отображение двух наиболее существенных характеристик беспроводных технологий на двух осях: максимальная скорость передачи информации и максимальное расстояние.



Предлагаю рассмотреть первые 3, наиболее распространенные, категории подробнее.

1.1.1 WPAN

Это беспроводная сеть, предназначенная для организации беспроводной связи между различного типа устройствами на ограниченной площади (например, в рамках квартиры, офисного рабочего места). Стандарты, определяющие методы функционирования сети, описаны в семействе спецификаций IEEE 802.15. Рассмотрим два наиболее перспективных стандарта: Bluetooth и ZigBee.

Bluetooth - производственная спецификация беспроводных персональных сетей (англ. Wireless personal area network, WPAN). Bluetooth обеспечивает обмен информацией между такими устройствами, как персональные компьютеры (настольные, карманные, ноутбуки), мобильные телефоны, принтеры, цифровые фотоаппараты, мышки, клавиатуры, джойстики, наушники, гарнитуры на надёжной, бесплатной, повсеместно доступной радиочастоте для ближней связи.

Bluetooth позволяет этим устройствам сообщаться, когда они находятся в радиусе до 200 метров друг от друга (дальность сильно зависит от преград и помех), даже в разных помещениях.

Принцип действия основан на использовании радиоволн. Радиосвязь Bluetooth осуществляется в ISM-диапазоне (Industry, Science and Medicine), который используется в различных бытовых приборах и беспроводных сетях (свободный от лицензирования диапазон 2,4-2,4835 ГГц). В Bluetooth применяется метод расширения спектра со скачкообразной перестройкой частоты (Frequency Hopping Spread Spectrum, FHSS). Метод FHSS прост в реализации, обеспечивает устойчивость к широкополосным помехам, а оборудование недорого.

Согласно алгоритму FHSS, в Bluetooth несущая частота сигнала скачкообразно меняется 1600 раз в секунду (всего выделяется 79 рабочих частот шириной в 1 МГц, а в Японии, Франции и Испании полоса у'же - 23 частотных канала). Последовательность переключения между частотами для каждого соединения является псевдослучайной и известна только передатчику и приёмнику, которые каждые 625 мкс (один временной слот) синхронно перестраиваются с одной несущей частоты на другую. Таким образом, если рядом работают несколько пар приёмник-передатчик, то они не мешают друг другу. Этот алгоритм является также составной частью системы защиты конфиденциальности передаваемой информации: переход происходит по псевдослучайному алгоритму и определяется отдельно для каждого соединения. При передаче цифровых данных и аудиосигнала (64 кбит/с в обоих направлениях) используются различные схемы кодирования: аудиосигнал не повторяется (как правило), а цифровые данные в случае утери пакета информации будут переданы повторно.

Протокол Bluetooth поддерживает не только соединение "точка-точка", но и соединение "точка-многоточка".

ZigBee - название набора сетевых протоколов верхнего уровня, использующих маленькие маломощные радиопередатчики, основанные на стандарте IEEE 802.15.4. Этот стандарт описывает беспроводные персональные вычислительные сети (WPAN). ZigBee нацелена на приложения, которым требуется длительное время автономной работы от батарей и высокая безопасность передачи данных при небольших скоростях передачи данных.

Спецификация ZigBee 1.0 была ратифицирована 14 декабря 2004 и доступна для членов альянса ZigBee. Сравнительно недавно, 30 октября 2007 г., была размещена спецификация ZigBee 2007. О первом профиле приложения - "Домашняя автоматизация" ZigBee, было объявлено 2 ноября 2007. ZigBee работает в промышленных, научных и медицинских (ISM-диапазон) радиодиапазонах: 868 МГц в Европе, 915 МГц в США и в Австралии, и 2.4 ГГц в большинстве стран в мире (под большинством юрисдикций стран мира). Как правило, в продаже имеются чипы ZigBee, являющиеся объединёнными радио- и микроконтроллерами с размером Flash-памяти от 60К до 128К таких производителей, как Jennic JN5148, Freescale MC13213, Ember EM250, Texas Instruments CC2430, Samsung Electro-Mechanics ZBS240 и Atmel ATmega128RFA1.

ZigBee может активироваться (то есть переходить от спящего режима к активному) за 15 миллисекунд или меньше, задержка отклика устройства может быть очень низкой, особенно по сравнению с Bluetooth, для которого задержка, образующаяся при переходе от спящего режима к активному, обычно достигает трёх секунд. Так как ZigBee большую часть времени находится в спящем режиме, уровень потребления энергии может быть очень низким, благодаря чему достигается длительная работа от батарей.



1.1.2 WLAN (Wireless Local Area Network)

Эта категория беспроводной сети предназначена для связи между собой различных устройств, подобно LAN на основе витой пары или оптоволокна, и при этом характеризуется высокой скоростью передачи данных на относительно небольшие расстояния. Взаимодействие устройств описывается семейством стандартов IEEE 802.11, включающим в себя более 20 спецификаций.

В связи с этим, многие ошибочно не видят разницы между Wi-Fi и IEEE 802.11. В настоящее время под Wi-Fi понимается торговая марка, которая показывает, что конкретное устройство отвечает спецификациям 802.11a, 802.11.b, 802.11.g.

Таким образом, семейство IEEE 802.11 можно разделить на три класса 802.11a, 802.11b, 802.11 i/e/…/w.

IEEE 802.11a один из стандартов беспроводных локальных сетей, описывающий принципы функционирования устройств в частотном диапазоне ISM (полоса частот 5,155,825 ГГц) по принципу OFDM (Orthogonal Frequency Division Multiplexing, мультиплексирование с разделением по ортогональным частотам). Полоса подразделяется на три рабочие зоны шириной 100 МГц, и для каждой зоны определена максимальная излучаемая мощность 50 мВт, 250 мВт, 1 Вт. Предполагается, что последняя зона частот будет использоваться для организации каналов связи между зданиями или наружными объектами, а две другие зоны внутри них. Редакцией стандарта, утвержденной в 1999 г., определены три обязательных скорости 6, 12 и 24 Мб/с и пять необязательных 9, 18, 36, 48 и 54 Мб/с. Однако этот стандарт не принят в России вследствие использования части этого диапазона ведомственными структурами. Возможным решением этой проблемы может стать спецификация 802.11h, которая дополнена алгоритмами эффективного выбора частот для беспроводных сетей, а также средствами управления использованием спектра, контроля над излучаемой мощностью, а также генерации соответствующих отчетов. Радиус действия устройств в закрытых помещениях составляет около 12 метров на скорости 54 Мб/с, и до 90 метров при скорости 6 Мб/с, в открытых помещениях или в зоне прямой видимости около 30 метров (54 Мб/с), и до 300 метров при 6 Мб/с. Тем не менее, некоторые производители внедряют в свои устройства технологии ускорения, благодаря которым возможен обмен данными в Turbo 802.11а на скоростях до 108 Мб/с.

IEEE 802.11b первый стандарт, получивший широкое распространение (именно он первоначально носил торговую марку Wi-Fi) и позволивший создавать беспроводные локальные сети в офисах, домах, квартирах. Эта спецификация описывает принципы взаимодействия устройств в диапазоне 2,4 ГГц (2,42,4835 ГГц), разделенном на три неперекрывающихся канала по технологии DSSS (Direct-Sequence Spread-Spectrum, широкополосная модуляция с прямым расширением спектра) и, опционально, PBCC (Packet Binary Convolutional Coding, двоичное свёрточное кодирование). Согласно этой технологии модуляции, производится генерирование избыточного набора битов на каждый переданный бит полезной информации, благодаря этому осуществляется более высокая вероятность восстановления переданной информации и лучшая помехозащищенность (шумы и помехи идентифицируются как сигнал с неодинаковым набором битов и потому отфильтровываются). Стандартом определены четыре обязательные скорости 1, 2, 5,5 и 11 Мб/с. Что же касается возможного радиуса взаимодействия устройств, то он составляет в закрытых помещениях около 30 метров на скорости 11 Мб/с, и до 90 метров при скорости 1 Мб/с, в открытых помещениях или в зоне прямой видимости около 120 метров (11 Мб/с), и до 460 метров при 1 Мб/с. В условиях постоянно увеличивающихся потоков данных эта спецификация практически исчерпала себя, и на смену ей пришел стандарт IEEE 802.11g.

IEEE 802.11g стандарт беспроводной сети, явившийся логическим развитием 802.11b, в том смысле, что использует тот же частотный диапазон и предполагает обратную совместимость с устройствами, отвечающими стандарту 802.11b (другими словами, обязательна совместимость 802.11g-оборудования с более старой спецификацией 802.11b). Одновременно с этим, этот представитель семейства спецификаций, как и полагается, попытался взять все лучшее от пионеров 802.11b и 802.11a. Итак, основной принцип модуляции позаимствован у 802.11a OFDM совместно с технологией CCK (Complementary Code Keying, кодирование комплементарным кодом), а дополнительно предусмотрено использование технологии PBCC. Благодаря этому, в стандарте предусмотрены шесть обязательных скоростей 1, 2, 5,5, 6, 11, 12, 24 Мб/с, и четыре опциональных 33, 36, 48 и 54 Мб/с. Радиус зоны действия увеличен в закрытых помещениях до 30 метров (54 Мб/с), и до 91 метра при скорости 1 Мб/с, в пределах же прямой видимости связь доступна на расстоянии 120 метров со скоростью 54 Мб/с, а при удалении на 460 метров возможна работа со скоростью 1 Мб/с.

Выделенный нами в отдельный класс набор спецификаций 802.11 i/e/…/w главным образом предназначен для описания функционирования различных служебных компонент и разработки новых технологий и стандартов беспроводной связи. К примеру, работы беспроводных мостов, требований к физическим параметрам каналов (мощность излучения, диапазоны частот), спецификаций, ориентированных на различные категории пользователей и т. д. В плане надстроек и новых стандартов организации беспроводных сетей из этой группы мы уже рассмотрели 802.11.h. В качестве еще одного примера обратим внимание на 802.11n. Согласно сообщению международного консорциума EWC (Enhanced Wireless Consortium), использование 802.11n высокоскоростной стандарт, в котором предусмотрена обратная совместимость с 802.11a/b/g, а скорость передачи данных будет достигать 600 Мб/с. Это позволит использовать его в задачах, где использование Wi-Fi ограничивалось недостаточной скоростью.

IEEE 802.11n - версия стандарта 802.11 для сетей Wi-Fi.

Этот стандарт был утверждён 11 сентября 2009. Стандарт 802.11n повышает скорость передачи данных практически вчетверо по сравнению с устройствами стандартов 802.11g (максимальная скорость которых равна 54 Мбит/с), при условии использования в режиме 802.11n с другими устройствами 802.11n. Теоретически 802.11n способен обеспечить скорость передачи данных до 600 Мбит/с (стандарт IEEE 802.11ac до 1.3 Гбит/с), применяя передачу данных сразу по четырем антеннам. По одной антенне - до 150 Мбит/с.

Устройства 802.11n работают в диапазонах 2,4-2,5 или 5,0 ГГц.

Кроме того, устройства 802.11n могут работать в трёх режимах:

· наследуемом (Legacy), в котором обеспечивается поддержка устройств 802.11b/g и 802.11a;

· смешанном (Mixed), в котором поддерживаются устройства 802.11b/g, 802.11a и 802.11n;

· "чистом" режиме - 802.11n (именно в этом режиме и можно воспользоваться преимуществами повышенной скорости и увеличенной дальностью передачи данных, обеспечиваемыми стандартом 802.11n).

Черновую версию стандарта 802.11n (DRAFT 2.0) поддерживают многие современные сетевые устройства. Итоговая версия стандарта (DRAFT 11.0), которая была принята 11 сентября 2009 года, обеспечивает скорость до 600 Мбит/с, Многоканальный вход/выход, известный, как MIMO и большее покрытие. На 2011 год, имеется небольшое количество устройств, соответствующих финальному стандарту. Например, у компании D-LINK, основная продукция проходила стандартизацию в 2008 году.

1.1.3 WMAN (Wireless Metropolitan Area Networks)

Это беспроводные сети масштаба города. Предоставляют широкополосный доступ к сети через радиоканал.

Стандарт IEEE 802.16, опубликованный в апреле 2002 года, описывает wireless MAN Air Interface. 802.16 - это так называемая технология "последней мили", которая использует диапазон частот от 10 до 66 GHz. Так как это сантиметровый и миллиметровый диапазон, то необходимо условие "прямой видимости". Стандарт поддерживает топологию "точка-многоточка", технологии frequency-division duplex (FDD) и time-division duplex (TDD), с поддержкой quality of service (QoS). Возможна передача звука и видео. Стандарт определяет пропускную способность 120 Мбит/с на каждый канал в 25 MHz.

Стандарт 802.16a последовал за стандартом 802.16. Он был опубликован в апреле 2003 и использует диапазон частот от 2 до 11 GHz. Стандарт поддерживает ячеистую топологию (mesh networking). Стандарт не накладывает условие "прямой видимости".

802.16e (mobile WiMAX) - технология беспроводного подключения к интернету, разработанная южнокорейскими телекоммуникационными компаниями (WiBro (сокращение от Wireless Broadband).

В технологии использует временное мультиплексирование, ортогональное разделение частот, ширина канала в 8,75 МГц. Предполагалось достичь большей скорости передачи данных, чем могут использовать мобильные телефоны (как в стандарте CDMA 1x) и обеспечить мобильность для широкополосных подключений.

В феврале 2002 г. корейское правительство выделило 100 МГц-полосу в диапазоне 2,3-2,4 ГГц, а в 2004 году спецификации были зафиксированы в корейском стандарте WiBro Phase 1, которые затем были внесены в международный стандарт IEEE 802.16e (Mobile WiMAX). Базовые станции этого стандарта обеспечивают суммарную пропускную способность до 30-50 Мбит/с на каждого оператора и могут покрывать радиус от 1 до 5 км. Подключение сохраняется для движущихся объектов при скорости до 120 км/ч, что значительно лучше, чем у локальных беспроводных сетей - их ограничение приблизительно равно скорости пешехода, но хуже, чем сетей сотовой связи - до 250 км/ч. Реальное тестирование сети в г. Пусан во время проведения саммита АТЭС показало, что реальные скорости и ограничения значительно ниже, чем в теории.

Стандарт поддерживает QoS - приоритеты в передаче данных разного типа, что позволяет надежно передавать видеопотоки и другие данные, чувствительные к задержкам в канале. В этом заключаются преимущества стандарта перед стационарным WiMAX (802.16d). Также его требования значительно больше проработаны в деталях, чем в стандарте WiMAX.

На оборудовании данного стандарта, были построены первые варианты сети Yota(Скартел).

Рис. Сравнительная таблица стандартов беспроводной связи



Глава II. Выявление основных проблем сетей BYOD

Популярная сегодня концепция BYOD (Bring Your Own Device - "принеси на работу свой гаджет") стала очередным предметом для горячих споров в ИТ-индустрии между сторонниками двух различных точек зрения: приверженцами традиционного подхода в обеспечении информационной безопасности и теми, кто считает целесообразным дать возможность всему коллективу компании: от директоров до рядовых сотрудников, никогда не расставаться с любимыми устройствами: дома и на работе, в дороге и на отдыхе. Это стало возможным благодаря тенденции последних лет, когда ИТ-службы стали уступать свои позиции как организации, устанавливающей корпоративные стандарты. И сами компании, желая сэкономить средства на приобретение персональных мобильных устройств, начали всё больше использовать стремление сотрудников использовать свои личные мобильные устройства в профессиональных целях, зачастую даже более производительные, чем те, что может предложить корпоративная политика компании.

Например, согласно исследованию компании Fortinet, 74 % респондентов регулярно используют личные гаджеты в производственных целях. Более того, 55 % из опрошенных считают такое использование личных гаджетов своим правом, а не привилегией.

А, по данным исследования компании Microsoft, наиболее лояльно к концепции BYOD относятся китайские компании (86 %) и наименее лояльно - японские (30 %). На рисунке 1 представлено распределение уровня лояльности компаний в разных странах к концепции BYOD.



Рисунок 1. Распределение уровня лояльности компаний в разных странах к концепции BYOD: Синий: концепция BYOD разрешена и приветствуется; Голубой: концепция BYOD разрешена, но не приветствуется; Оранжевый: концепция BYOD запрещена; коричневый: Концепция BYOD не регулируется

Обратная сторона медали - вопрос информационной безопасности. Концепция BYOD, открывая возможности увеличения производительности труда и повышения удовлетворения сотрудников ИT-инфраструктурой компании, породила целый ряд сложностей, связанных с защитой сети предприятия, а также хранением и передачей информации. Это ведёт к необходимости появления новых методов и подходов к решению этих проблем.

2.1 Обзор задач, требующих решения при принятии концепции BYOD

Конечно, использование BYOD на работе несёт для компании целый ряд неоспоримых преимуществ, среди которых: увеличение производительности труда, снижение затрат на пользовательские мобильные устройства, но, если взглянуть на потенциальные проблемы, их, на первый взгляд, кажется не меньше, и сделать вывод о целесообразности принятия концепции становится непросто. Рассмотрим основные задачи требующие решения:

· Во многих организациях, политики ограничения использования доступной полосы пропускания рассчитаны на корпоративные компьютеры и установленные на них приложения, однако, зачастую не на мобильные устройства. Обнаружив этот факт, пользователи переключаются на использование своих мобильных устройств для доступа к тяжёлым по использованию доступной полосы пропускания приложениям (например, просмотр видеороликов), что не ведёт к увеличению производительности труда, а, наоборот, открывает возможность нецелевого использования ИT-ресурсов.

· Мобильность устройств сама по себе порождает проблему их использования за пределами хорошо защищённой IT инфраструктуры. Из-за бесконтрольного использования гаджетов за пределами офиса значительно возрастает риск кражи, утери самих устройств, утечки конфиденциальной информации через использование несанкционированных точек беспроводного доступа (Rogue AP).

· Вся объективная незащищённость мобильных устройств делает их замечательной мишенью для хакерских атак, распространяющихся через вредоносный код, например, как тщательно маскирующиеся популярные нелегитимные мобильные приложения для мобильных устройств.

Конечно, ничего принципиально нового в этих проблемах нет, и необходимо только внедрить в достаточной степени жёсткие политики, однако такой подход сводит на нет все возможности от использования концепции. А, значит, подходы должны быть более гибкие и, при этом, столь же эффективные. Методы решения конкретных задач не должны лишать возможности использовать мобильные устройства и приложения везде, где только возможно, при этом, не теряя контроля за передаваемыми данными и действиями пользователей.

2.2 Основные проблемы концепции BYOD

Служащие терроризируют работодателя. При определенной собственной смекалке и мягкости менеджмента служащие имеют тенденцию к постоянному наращиванию использования BYOD в своих интересах. Они, например, могут вымогать тысячи долларов компенсации за использование своего устройства и соблюдение при работе правил компании. Они любят делать за счет компании апгрейд и подключаться к провайдеру, выбирая при этом самый дорогой план.

Известен случай, когда небольшая компания с персоналом в 600 человек переплатила в первый год своей BYOD программы на 300 тыс. долл. больше отведенного на проект бюджета. В результате пришлось заплатить еще и аудиторам, которые помогли обуздать затраты.

Нарушение законодательства. Когда компании позволяют служащим доступ к данным по личным устройствам, есть достаточно высокая вероятность того, что и те, и другие нарушают закон.

Недавний обзор TEKserve нашел, что 35 % IT-руководителей (CIO и вице-президенты по IT) и 25 % IT-профессионалов (разработчики, сетевые администраторы и архитекторы) не уверены, что политика BYOD их компании соответствует правительственному регулятивному законодательству (защита данных, тайна и неприкосновенность частной жизни (privacy), HIPAA, Dodd-Frank и т.д.).

Отказ выполнить установленные государством нормы может привести к серьезным последствиям, таким, как штрафы, испытательные сроки и уголовные наказания, вплоть до заключения.

Проблема производительности. Как бы по умолчанию модель BYOD должна была сделать служащих счастливыми и более производительными. Это даже никогда особо не обсуждалось. Ноутбуки, планшеты и смартфоны постоянно находились при них, т.е., предполагалось, что они будут работать по вечерам и выходным.

Реально же многие компании увидели уменьшение "полезной нагрузки" при увеличении объема трафика с Facebook и времени, проведенного за играми. Это естественным образом привело к созданию и постоянному расширению корпоративных черных списков запрещенных пользователям сайтов и приложений.

Из Сети в Облако. В черный список попали и потенциально полезные, но ненавистные IT-директорам облачные сервисы хранения, такие, как, например, Dropbox. Причина проста -- конфиденциальные корпоративные данные могут быть переброшены в облако и выйти из-под их контроля.

Служащий может сделать своим BYOD смартфоном звукозапись совещания, снимок доски, слайда или важного документа и сохранить затем образ в Dropbox. Корпоративная IT-служба ничего не может с этим поделать - по крайней мере, пока.

Если ваша компания использует BYOD, можете держать пари, что где-то в глубинах потребительских облачных сервисов уже есть ваши корпоративные данные. При этом доступ к ним возможен лишь через личный логин и пароль служащего, которые он не обязан сообщать своей IT-службе, но вполне может сообщить кому-либо другому.

Скрытые затраты. BYOD смартфоны, как предполагалось, сохранят для компаний целые чемоданы денег - хотя бы потому, что больше не нужно было платить за корпоративную подписку на типично используемые службы BlackBerry.

Однако почти вся экономия была нивелирована скрытыми затратами, а иногда и обернулась дополнительными расходами. Например, к таким затратам относится обработка отчетов по расходам по каждому мобильному устройству, что обходится в среднем в 18 долл. за каждый отчет.

(В 2012 г. Aberdeen Group выпустила ошеломляющее исследование, показавшее, что затраты на мобильный BYOD в среднем на треть больше, чем при использовании устройств, выбранных компанией и находящихся в ее собственности).

В целом тема планирования и стоимости BYOD достаточно самостоятельна и обширна и не может быть подробно рассмотрена в рамках этой статьи, основная цель которой - привлечь внимание CIO к "темной стороне BYOD".

Кража данных с помощью SMS. Давайте прямо говорить об этом -- некоторые служащие так и норовят сбежать к конкуренту, прихватив с собой конфиденциальную корпоративную информацию. На многих примерах уже показано, что с BYOD смартфонами им намного легче выйти сухими из воды.

Принцип прост - данные пересылаются в текстовых сообщениях, которые почти невозможно отследить. Как правило, обмен текстовыми сообщениями идет только по телефонам и больше нигде по корпоративной сети.

Утерянный смартфон. В первые годы BYOD компании считали, что у них есть надежное средство нейтрализации потерянного или украденного смартфона: удаленное полное затирание данных.

Правда, есть одна до сих пор нерешенная проблема. Люди постоянно кладут свои телефоны не на место и не спешат сообщать о потере, предпочитая сначала хорошенько поискать. Возможные неприятности вызывают у них нежелание сообщить о потерянном телефоне. Это может занять дни и даже недели, т.е., в течение этого времени корпоративные данные находятся под угрозой.

Юридическое 1: Privacy. Предположим, что ваши корпоративные юристы проводят жесткую пользовательскую политику BYOD, которая в значительной степени нарушает privacy служащего.

Уже есть ряд прецедентов, когда личные сообщения на личном устройстве служащего, подключенного к программе BYOD, исследуются в принудительном порядке и приводят в конечном итоге к увольнению нарушителя. Суд в таких случаях становится на сторону работодателя.

Юридическое 2: Сверхурочное время. Согласно обзору TEKserve, 63 % IT-руководителей верят, что эффективность BYOD увеличивается при постоянном доступе служащего в корпоративную систему. Наверное, это хорошо для оплачиваемых по ставке служащих. Проблемы возникают с почасовиками.

Показательный пример: судебный процесс в Чикаго по поводу задолженности нескольких миллионов долларов двумстам полицейским, поскольку от них требовали читать связанные с работой письма во внеурочное время.

Потеря доверия. Итак, поначалу предполагалось и казалось, что BYOD повышает удовлетворенность людей своей работой, предоставляя им определенный выбор и не слишком ограничивая их. Довольно быстро компании поняли, что этим осложняют себе жизнь и начали вводить все более жесткие требования к использованию личных устройств на работе.

В итоге это привело к нарушению privacy служащих. Согласно исследованию MobileIron, сегодня только три из десяти работодателей настолько доверяют своим служащим, что позволяют им держать на рабочем устройстве личную информацию.

Если процесс потери взаимного доверия не остановится (пока нет никаких признаков этого), то следующим этапом станет введение системы санкций - от начальственных головомоек до судебных процессов с обеих сторон.

"Зомбифоны". Zombie phones атакуют корпоративный мобильный бюджет! Когда компания переходит к BYOD, служащие часто отказываются от их корпоративного телефона в пользу личного мобильного устройства.

Ничего страшного в этом нет - нужно просто отключить аккаунт у провайдера и забросить прежнее устройство в дальний ящик стола. Однако Amtel определила, что в 10 % случаях неиспользуемый аппарат остается действующим и должен оплачиваться.

Бойтесь СМИ! Однако худшая вещь, которая может произойти с компанией в мире BYOD (по крайней мере, в США) -- это интерес со стороны прессы к данным, которые могли храниться на потерянном или украденном мобильном BYOD устройстве.

Как отметила юридическая фирма Dowling Aaron в интервью ресурсу CIO.com: "Если очень не повезет, то убытки компании от потери репутации могут составить миллионы долларов". Очевидно, это касается не только хорошо умеющей раздувать сенсации американской прессы.



Глава III. Разработка механизмов методов защиты

3.1 Этапы введения стратегии BYOD

Для оптимального введения концепции BYOD в работу стоит придерживаться следующих этапов:

Сначала анализ. Организации не смогут выстроить эффективную защиту корпоративной сети, если не поймут, что именно нужно защитить, указывает Solutionary. Тщательный анализ поможет выявить все типы устройств, уже используемых служащими, и внутрикорпоративные системы и данные, к которым они обращаются. После того как получена ясная картина, можно формулировать политику, не забыв привлечь юрисконсульта. Поддержка со стороны руководства жизненно важна для успеха политики и ее эффективности, подчеркивают эксперты.

Перед разработкой стратегии потенциального внедрения и применения BYOD, необходимо провести детальный анализ преимуществ и недостатков решения. стандарт беспроводная byod безопасность

Обычно общие Pro-аргументы сводятся к экономии времени, простоте в обращении, или доступу в любом месте. Под Contra-аргументами обычно выступают более высокие расходы на управление доступом к сети, комплексное соответствие правовым и корпоративным нормам, и на обеспечение безопасности, так как подобный подход требует не только единой стратегии, но и повышенной информационной безопасности, связанной с необходимостью разграничить на одном устройстве деловое и личное пространство сотрудника.

Данный анализ, ориентированный на процесс, должен быть дополнен анализом затрат и выгод и расчета возврата инвестиций (ROI). Который включает в себя затраты на время администрирования, стоимость лицензий программного обеспечения, возможные затраты на аппаратные средства. Поскольку в рамках проекта BYOD новые устройства, приложения и процессы всегда необходимо обновлять и адаптировать для использования под конкретную компанию. После чего следует разрешение правовых вопросов, особенно в отношении защиты данных сотрудников.

Подготовьте пользователей. Политику BYOD необходимо довести до сведения персонала. Это означает обучение, желательно систематическое, всестороннее описание характера угроз, которым подвержены данные на смартфонах и планшетах. Хотя основное внимание будет направлено на корпоративные данные, эксперты полагают, что такое обучение поможет защитить самих служащих, в том числе и дома, от киберпреступников, а значит, создать более сильную линию обороны в целом.

Не забывайте про обновления. Как только появится обновление микропрограммного обеспечения для ПЗУ или сервисный пакет для приложения или ОС, необходимо установить их как можно скорее. Установка патчей на мобильные устройства столь же важна, как и на персональные ПК и серверы, пишет Solutionary. Возможно даже, что организациям придется пойти на ограничение спектра поддерживаемых устройств, чтобы обеспечить своевременную установку всех обновлений.

Запретите перепрошивку. Перепрошитый смартфон или планшет позволит его владельцу установить нештатную ОС и программы, не прошедшие проверку у Apple или Google. Оценки экспертов варьируются, но большинство уверены, что небольшая часть пользователей делают перепрошивку своих устройств. Microsoft Exchange ActiveSync не располагает средствами обнаружения, но организации могут использовать тот или иной пакет MDM (администрирования мобильных устройств), если хотят защитить себя с этой стороны. Как минимум, такой запрет перепрошивки ограничивает использование сторонних приложений и доступ к сети и требует ввода PIN или пароля для разблокировки устройства, пишет Solutionary.

Ограничьте доступ к сети. Solutionary рекомендует организациям ввести контроль сетевого доступа (NAC), ограничив подключение устройств отдельными сегментами сети или виртуальной ЛВС (VLAN). Разрешайте только минимум требуемого доступа, чтобы максимально исключить потери конфиденциальных данных, пишет фирма.

Удаленное стирание - необходимость. Потерянный или украденный смартфон либо планшет становится угрозой безопасности намного более опасной, чем вредоносное ПО или утечка данных, пишет фирма. Возможность дистанционно стереть данные на устройстве - безусловный минимум мер безопасности. Для этой цели можно использовать функции, уже встроенные в Exchange ActiveSync (EAS). Кроме того, с их помощью можно потребовать от пользователей ввести PIN на устройстве и заставить регулярно его менять.

3.2 Способы укрепления безопасности при использовании BYOD

Если вы собираетесь позволить сотрудникам компании использовать для работы собственные устройства, необходимо предпринять некоторые шаги по обеспечению безопасности. В этом вам помогут следующие 10 советов.

1. Наймите консультанта по безопасности с опытом работы в области мобильных технологий. 92 процента брешей в безопасности обнаруживается третьими лицами. Хороший консультант сможет не только укрепить вашу безопасность, но и поможет найти решения, о которых вы даже не подозревали.

2. Установите MDM/MAM-ПО (mobile device management и mobile application management) для управления мобильными устройствами и их безопасностью. Это крайне мощное ПО, способное достаточно тонко управлять настройками безопасности. Такое ПО выпускают несколько вендоров, посоветуйтесь с представителями других компаний, выберите подходящее решение.

3. Требуйте подключения через VPN для всех устройств. Это стандартная практика. Если у вас в компании она не применяется, пора приступать. Консультант по безопасности должен быть способен помочь вам подобрать необходимое аппаратное и программное обеспечение для обеспечения работы VPN.

4. Требуйте блокировать устройства надежными паролями. Вы будете удивлены, когда узнаете, как много людей не защищает свои устройства даже простыми паролями.

5. Требуйте осуществления шифрования данных на устройствах. Чтобы получить доступ к корпоративным данным со своих устройств, сотрудники должны предварительно настроить на них шифрование. Все данные скачиваемые на пользовательское устройство должны храниться на нем в зашифрованном виде.

6. Требуйте установки антивирусного ПО. Вполне очевидная рекомендация. Нельзя использовать компьютеры без какой-либо защиты от вредоносного ПО. Вы можете требовать от сотрудников установки одобренного компанией антивирусного ПО.

7. Внедряйте листы контроля доступа и брандмауэры. Это может показаться слишком сложным, но на самом деле тут все достаточно просто. Хороший консультант по безопасности поможет вам закрыть нежелательный доступ к важным данным и файлам.

8. Контролируйте доступ к файлам. Любое обращение к ценным файлом должно быть зафиксировано и отмечено. Включая автоматические обращения со стороны сервисных процессов, таких как SFTP.

9. Настройте оповещения о подозрительной деятельности. На основе логов доступа, о которых говорится в пункте 8, настройте оповещения неавторизованных попытках получения доступа и другой подозрительной активности. Часто при атаках хакеры стараются удалять логи, отсутствие лог-файлов также должно служить причиной для поднятия тревоги.

10. Установите ограничение на скачивание и установку программ. Программы должны скачиваться и устанавливаться либо с одного проверенного ресурса, либо с собственного хранилища приложений компании. Многие сайты, распространяющие приложения не следят за наличием среди них вредоносного ПО. Сотрудники компании должны устанавливать приложения только из надежных источников. Лучший способ защиты в данном случае - собственное средство распространения ПО.

97 % прорывов безопасности можно было бы избежать при условии обеспечения базовых (надежные пароли, антивирусное ПО) и более продвинутых (брандмауэры, VPN) мер.

Основными проблемами BYOD респонденты назвали обеспечение безопасности/конфиденциальности и необходимость ИТ-поддержки множества мобильных платформ.

Растущее число устройств требует новых политик и подхода, обеспечивающего контроль над уровнем расходов. По данным Cisco IBSG, только 14 % затрат BYOD связаны с оборудованием. Консалтинговое подразделение Cisco отмечает также важность выбора верных моделей управления и технической поддержки для контроля над этими затратами.

78 % руководителей высшего звена из Европы и США сообщают о том, что их сотрудники используют свои персональные устройства для работы, - таковы итоги исследования, проведенного летом 2012 года аналитиками ForresterConsulting по заказу Trend Micro. Эти результаты подкрепляются выводами другого исследования, выполненного специалистами Decisive Analytics при поддержке Trend Micro. Все собранные данные говорят о том, что консьюмеризация в той или иной мере затронула все компании, а риски, которые она несет для информационной безопасности, осознаются на самом высоком уровне бизнес-руководства.

Исследование, проведенное Forrester Consulting, показало, что программы в сфере консьюмеризации реализуются большинством (78 %) компаний. При этом 60 % респондентов сообщили о том, что основой их стратегии BYOD стали смартфоны, а 47 % компаний развертывают среды BYOD на основе ноутбуков и планшетных ПК. В качестве причин внедрения программ BYOD 70 % респондентов назвали возможность повысить эффективность работы сотрудников.

Вместе с тем, исследование Mobile Consumerization Trends & Perceptions показало, что подавляющие большинство (83 %) компаний, реализующих программы BYOD, в качестве меры предосторожности требуют от сотрудников устанавливать на свои персональные устройства защитное ПО. Кроме того, согласно данным Trend Micro, 86 % руководителей по ИТ из США, Великобритании и Германии считают защиту данных на смартфонах "проблемой номер один" в том, что касается консьюмеризации.

Все исследователи сходятся во мнении, что сегодня консьюмеризация является повседневной реальностью большинства крупных компаний. Авторы отчета Mobile Consumerization Trends & Perceptions приводят следующие цифры: в половине (47 %) компаний, разрешающих сотрудникам подключать свои персональные устройства к корпоративной сети, имели место случаи утечки данных. Как правило, при обнаружении подобных проблем первой мерой защиты является изменение протоколов безопасности. В качестве корректирующих мер компании выбирают наложение ограничений доступа (45 % респондентов) и установку защитного ПО (43 % респондентов). 12 % компаний после подобного инцидента приняли решение о сворачивании программы BYOD до тех пор, пока не убедятся в надежности мер защиты.

3.3 Решение: Комплексная стратегия безопасности BYOD

Что касается безопасности BYOD, любая система управления мобильными устройствами (MDM) будет эффективна только в качестве компонента в более широкой, комплексной стратегии обеспечения безопасности данных на мобильных устройствах. MDM-системы следует применять для решения задач общего управления и контроля мобильных устройств, шифрования данных - т.е. как "последнюю линию обороны".

Наиболее эффективным решением безопасности данных для устройств BYOD является предоставление доступа к информационным активам компании через удаленное подключение BYOD-устройств через терминальные сессии к виртуальным Windows-средам, которые в свою очередь защищены функционирующей на хосте DLP-системой, обеспечивающей предотвращение неконтролируемых утечек данных с хоста. Такой подход называется Virtual Data Leak Prevention (vDLP).

Производительность пользователей и безопасность. Как правило, повышение производительности мобильных пользователей является основным обоснованием для санкционирования компанией доступа к корпоративным данным с мобильных устройств. Высокоскоростное подключение к сети и доступ к информационным активам компании через виртуальные среды не только решает проблему производительности мобильных сотрудников в стратегии BYOD, но и существенно снижает риски утечки данных. При этом обычные рабочие места, размещенные в офисе компаний, также должны быть защищены от несанкционированного использования съемных носителей и USB-устройств, позволяющих незаметно для служб информационной безопасности скачивать корпоративные данные.

Технология Virtual DLP предлагает контролируемое предоставление удаленного доступа к корпоративным данным в отличие от локального хранения данных на BYOD-устройствах в подходе MDM.

При использовании виртуальных рабочих сред сотрудники получают доступ к данным только после авторизации учетной записи в домене Active Directory (AD) или ином каталоге LDAP. Доступ предоставляется через защищенный VPN-туннель, использующий в свою очередь строгую аутентификацию пользователя и/или устройства.

Таким образом обеспечивается выполнение трех ключевых условий безопасности:

· Безопасная обработка данных - сотрудники не используют приложения для локальной обработки данных на устройстве BYOD при подключении к корпоративному порталу по безопасной сессии, либо возможность использования данных блокируется на контекстном уровне. Таким образом гарантируется, что корпоративные данные компании не будут распространены далее контролируемого устройства.

· Безопасное хранение данных - защищаемые корпоративные данные могут быть доступны только в виртуальной среде, и в случае редактирования или иного изменения сохраняются только на сервере или могут быть распечатаны на принтерах в корпоративной сети - при этом не допускается или контролируется локальное сохранение данных во встроенной памяти BYOD-устройств, подключаемых съемных накопителях, печать на принтерах вне корпоративной сети. Поскольку корпоративные данные компании существуют только на серверах организации, а не на персональных устройствах, возможно обеспечить надлежащий контроль и резервное копирование на стороне организации.

· Мониторинг данных - для каждой сессии сотрудника Virtual DLP-решение, функционирующее в виртуальной среде Windows, обеспечивает фильтрацию содержимого файлов и данных, проходящих через коммуникационные каналы (электронная почта, вебсайты, мессенджеры и т.д.), опубликованные приложения, канал печати, перенаправленные диски и сетевые файловые ресурсы, а также съемные носители, доступ к которым разрешен программным обеспечением виртуального хостинга.

Приложения и целостность данных. Мобильные сотрудники нуждаются в высокой продуктивности и созидательности, из чего следует потребность сотрудников в быстрой адаптации к модели виртуализации, поддержке различных видов виртуальных сред и исключении любых непредвиденных запросов на расширение функциональности виртуальной среды.

Это означает, что перечень размещенных в виртуальной среде приложений должен включать в себя те, которые могут качественно заменить приложения, обычно используемые для работы с данными или для коммуникаций в "локальном" режиме:

· браузер для работы в Internet,

· Outlook или другой клиент электронной почты,

· разрешенный в организации мессенджер (IM),

· Microsoft Office или другой продукт для работы с документами различных типов,

· Прочие приложения, используемые в организации и необходимые для выполнения должностных обязанностей.

Важно отметить, что при использовании сценариев виртуализации рабочей среды также решается задача обеспечения защиты данных благодаря тому, что корпоративные данные хранятся только на серверах организации, которые в свою очередь обеспечены надлежащей защитой и регулярным резервным копированием. Таким образом, большая часть создаваемого на мобильных устройствах контента может быть гарантированно сохранена для организации вне зависимости от того, на каком виде BYOD-устройства были созданы или изменены документы и данные.

При использовании решения Virtual DLP все приложения, работающие с корпоративными данными, запускаются внутри виртуальной Windows-сессии, т.е. по сути существуют только на "домашнем" сервере организации. При таком подходе сотрудники могут свободно использовать опубликованные на сервере виртуализации приложения, необходимые им для работы, при этом служба информационной безопасности сохраняет полный контроль над обрабатываемыми данными, поскольку сохранение происходит не на устройстве BYOD, а на сервере.

MDM-системы - это НЕ предотвращение утечек данных (DLP). Безусловно, MDM-системы играют значительную роль в обеспечении безопасности стратегии BYOD, но следует вновь четко обозначить, что при этом они не выполняют задачи предотвращения утечек данных.

Для создания полноценного и эффективного решения по предотвращению утечек данных с мобильных устройств MDM-системы должны работать совместно с резидентными DLP-системами.

Специализированные DLP-решения могут помочь организации, решающей вопросы быстрой интеграции персональных мобильных устройств в технические бизнес-процессы, в задачах выявления критически важных для бизнеса данных, определения правил работы, хранения и передачи данных за пределы компании (или внутри компании).

Персональных мобильных устройств, проникающих внутрь корпоративного сетевого периметра, становится все больше и больше - это смартфоны, планшеты, флэш-носители, цифровые камеры, и даже MP3-плееры. Активное развитие сетевых сервисов и приложений, широкое распространение и общедоступность облачных хранилищ и социальных сетей также существенно повышает риски неконтролируемых утечек данных. Для решения этой проблемы и предназначены специализированные резидентные DLP-системы. Эффективная защита от утечек данных предполагает контроль на разных уровнях и разными методами (как основанными на контексте данных, так и на анализе содержимого файлов и данных) в сочетании с избирательностью применения технологий контроля для широчайшего спектра потенциальных каналов утечки данных.

Немалая часть каналов утечки напрямую связана с подключением различных устройств через порт USB, из чего следует обязательность использования контекстных и контентных методов контроля и фильтрации подключаемых через USB устройств везде, где это подключение персональных мобильных устройств может привести к обмену данными между устройством и рабочей станцией. Специалисты по информационной безопасности должны определять права доступа для пользователей и групп в соответствии с их функциональными обязанностями, чтобы достичь баланса между продуктивностью использования персональных устройств для работы - и снижением рисков утечек.

Заключение

Компании и организации из всех отраслей экономики тратят массу сил и средств на обеспечение сохранности корпоративных, конфиденциальных и персональных данных, пряча их за периметром, защищенным брандмауэрами и сложными методами авторизации. Но, к сожалению, объективная реальность такова, что защиты периметра недостаточно - и тщательно охраняемые данные по-прежнему утекают сквозь пальцы. Динамичный рост уровня мобильности рабочих мест сотрудников в сочетании с все нарастающей консьюмеризацией (активным применением различных персональных устройств) порождает новые угрозы утечки данных, с которыми организации вынуждены активно бороться уже сегодня.

Поскольку мобильные устройства чаще всего используются за пределами защищаемых офисных сетей, традиционные компоненты безопасности периметра не могут обеспечить надлежащие контроль и мониторинг коммуникаций с мобильных устройств. Кроме того, стоит помнить о рисках физической утери или кражи мобильных устройств.

Эффективная стратегия BYOD заключается не только в управлении, отслеживании и уничтожении данных на устройствах при необходимости - но и в предотвращении утечек данных с мобильных устройств. При этом следует использовать как контекстные, так и контентные методы контроля данных.

Технологии предотвращения утечек данных (DLP) будут крайне полезны и эффективны для организаций, решающих задачу быстрой интеграции персональных мобильных устройств в бизнес-процессы предприятия благодаря фундаментальным принципам, определяющим основы DLP-технологий. Здесь подразумевается четкое выделение критичных для организации данных и политик доступа к ним, определение политик хранения, перемещения и передачи, а также использования данных - что в совокупности образует целостную технологию защиты ценных для организации файлов и данных.

...