在15年前,Wi-Fi開始了其漫長而穩(wěn)步的發(fā)展,從家庭到辦公室,最終取代以太網(wǎng)成為很多企業(yè)首選網(wǎng)絡(luò)接入方式。
現(xiàn)在,在802.11ac的推動(dòng)下,企業(yè)Wi-Fi部署正在進(jìn)一步發(fā)展,2014年,802.11ac占全球1.76億接入點(diǎn)(AP)出貨量的18%。Wi-Fi不僅將改變員工的連接方式,還將改變保護(hù)通信的方式。Wi-Fi安全不再是附加品;它必須成為安全政策執(zhí)行的重要組成部分。在本文中,我們將探討企業(yè)應(yīng)如何面對(duì)這種網(wǎng)絡(luò)安全轉(zhuǎn)型。
安全做法
多年前,Wi-Fi部署的安全做法主要是鏈路層加密:首先是有線等效保密(WEP);接著是Wi-Fi保護(hù)接入(WPA)和臨時(shí)密鑰完整性協(xié)議(TKIP)。然后是WPA 2和高級(jí)加密標(biāo)準(zhǔn)(AES)。近十年來,所有Wi-Fi認(rèn)證產(chǎn)品都支持著WPA 2與預(yù)先共享密鑰(PSK)或802.11X接入控制。同時(shí),原來是通過Wi-Fi嗅探器和手動(dòng)現(xiàn)場(chǎng)調(diào)查阻止無線攻擊者,而現(xiàn)在完全自動(dòng)化的無線入侵檢測(cè)和防御(WIDS/WIPS)已經(jīng)成為主流,每個(gè)企業(yè)級(jí)無線LAN(WLAN)產(chǎn)品都包含該技術(shù)。
雖然這些技術(shù)主要是針對(duì)無線網(wǎng)絡(luò),但它們現(xiàn)在已經(jīng)成為構(gòu)建網(wǎng)絡(luò)的基礎(chǔ)。例如,802.11X為控制局域網(wǎng)(無線和有線)接入奠定了基礎(chǔ)。而WIPS遏制通常會(huì)被觸發(fā)以在網(wǎng)絡(luò)連接點(diǎn)阻止可疑攻擊者,無論是無線連接還是有線連接?,F(xiàn)在安全政策不再是關(guān)于設(shè)備如何連接,而是誰在連接、他們正在做什么以及他們?cè)谀睦铩?/p>
Wi-Fi部署和政策執(zhí)行
Aruba Networks公司產(chǎn)品和解決方案營銷高級(jí)主管Ozer Dondurmacioglu表示,很多大型企業(yè)在設(shè)法創(chuàng)建并執(zhí)行單個(gè)安全政策來解決所有問題。
“當(dāng)我的醫(yī)生在食堂,他可能只需要接入互聯(lián)網(wǎng)—僅此而已;當(dāng)他在辦公室,他可能還要訪問患者數(shù)據(jù);而當(dāng)他在其他高風(fēng)險(xiǎn)地點(diǎn)工作,他可能需要采取額外的保護(hù)措施,”Dondurmacioglu表示,“應(yīng)該有一種方法將所有這些封裝在單個(gè)政策中,然后利用工具來執(zhí)行政策。”
企業(yè)可以利用現(xiàn)有工具來幫助他們執(zhí)行這種統(tǒng)一安全政策,包括身份管理服務(wù)、網(wǎng)絡(luò)和應(yīng)用程序防火墻、移動(dòng)設(shè)備和應(yīng)用程序管理器、安全有線交換機(jī)端口和接入點(diǎn)、基于位置的服務(wù)、訪客接入服務(wù)等。然而,企業(yè)最好將實(shí)現(xiàn)這種單個(gè)政策的工作視為階段性的過程,應(yīng)該從目標(biāo)政策開始,使用可用的工具來執(zhí)行基本工作,然后逐步增加新工具來增強(qiáng)政策、威脅抵御和用戶工作效率。
對(duì)于初步部署者來說,身份管理可以推動(dòng)安全政策,并且,應(yīng)該捆綁訪問權(quán)限和要求到個(gè)人和角色,而不是設(shè)備或網(wǎng)絡(luò)連接點(diǎn);例如在上述情況中,醫(yī)生可以在整個(gè)工作日基于政策驅(qū)動(dòng)的標(biāo)準(zhǔn)來被授予不同的訪問權(quán)限。
其次,防火墻、交換機(jī)和AP可以監(jiān)控和部署這些訪問權(quán)限。廣泛的網(wǎng)絡(luò)分段可以通過VLAN和SSID來部署,由交換機(jī)和AP來執(zhí)行。網(wǎng)絡(luò)流量也可以通過這些邊緣設(shè)備來過濾,例如確定醫(yī)生是否可以訪問互聯(lián)網(wǎng)或患者數(shù)據(jù)。然而,基于現(xiàn)在日益復(fù)雜的移動(dòng)應(yīng)用程序和相關(guān)風(fēng)險(xiǎn),應(yīng)用程序防火墻可以幫助實(shí)現(xiàn)更精細(xì)的政策,以降低風(fēng)險(xiǎn)、阻止惡意軟件和防止數(shù)據(jù)泄露。
第三,政策可能需要考慮設(shè)備類型、所有權(quán)和信任水平,主要通過利用移動(dòng)設(shè)備和應(yīng)用程序管理器來實(shí)現(xiàn)。例如,醫(yī)生可能攜帶智能手機(jī)和平板電腦,并在其工作中同時(shí)使用。同樣的政策可能對(duì)企業(yè)發(fā)放的平板電腦和BYOD智能手機(jī)設(shè)置不同的訪問權(quán)限,或者可能要求在每臺(tái)設(shè)備安裝安全容器作為訪問患者數(shù)據(jù)的條件。
另外,政策也開始利用基于位置的服務(wù),利用地理圍欄等技術(shù)來限制對(duì)特定場(chǎng)所和授權(quán)區(qū)域的訪問?;谖恢玫姆?wù)正在不斷發(fā)展,例如,企業(yè)可以利用蘋果公司的iBeacon等新設(shè)備來提高精確度(特別是在室內(nèi)),這可以是單獨(dú)運(yùn)行也可以整合網(wǎng)絡(luò)基礎(chǔ)設(shè)施。在我們的例子中,醫(yī)生的平板電腦可以識(shí)別其位置(醫(yī)院內(nèi)部或咖啡廳),并相應(yīng)地改變其行為,盡管其設(shè)備通過這兩個(gè)位置的Wi-Fi連接。
最后,訪客接入服務(wù)在安全政策執(zhí)行中也發(fā)揮著越來越重要的作用,這不僅僅是對(duì)訪客,同時(shí)也是針對(duì)使用BYOD或其他設(shè)備的員工。具體來說,網(wǎng)絡(luò)基礎(chǔ)設(shè)施可以用來手動(dòng)或自動(dòng)重新定向新設(shè)備到設(shè)備注冊(cè)門戶網(wǎng)站,讓員工可以注冊(cè)設(shè)備、同意服務(wù)條款、接受設(shè)備證書,并配置為安全Wi-Fi接入。在連接到安全網(wǎng)絡(luò)后,還需要采取額外的步驟來實(shí)現(xiàn)安全移動(dòng)性,例如在醫(yī)生現(xiàn)已授權(quán)和認(rèn)證的移動(dòng)設(shè)備部署安全容器或應(yīng)用程序。
現(xiàn)在構(gòu)建 未來擴(kuò)展
上文中所描述的可實(shí)現(xiàn)靈活移動(dòng)安全政策的網(wǎng)絡(luò)技術(shù)已經(jīng)存在多年:有些技術(shù)則相對(duì)較新。所有這些技術(shù)都可以幫助加強(qiáng)網(wǎng)絡(luò)來執(zhí)行安全政策,發(fā)現(xiàn)Wi-Fi部署的固有風(fēng)險(xiǎn),同時(shí)在整體水平(即專注于用戶和滿足其計(jì)算需求)內(nèi)解決這些風(fēng)險(xiǎn)。隨著無線變得更加普遍,企業(yè)應(yīng)該采用這種方式來執(zhí)行和加強(qiáng)安全移動(dòng)。