在行動裝置普及率逐年攀升之下,儘管企業已逐漸接受BYOD應用模式,但Extreme Networks首席技術顧問陳瑞建觀察,實際上有落實控管作為的卻不多。並非市場上缺乏解決方案,主要是考量到須投入的費用與人力成本,究竟哪種方式是最簡單可達到效益,現階段仍在摸索中。
「早在五、六年前行動化應用就已有興起趨勢,針對端點設備存取行為的認證、管理,當時網路存取控制(Network Access Control,NAC)可說是主流作法,不管是有線、無線的網路環境,皆可套用相同的控管政策。差別只在於過去的行動設備是屬於公司的資產,現代興起的BYOD則是員工私有裝置。」陳瑞建說。
其實IT管理者對於NAC的控管機制相當認同,例如裝置需先經過認證、檢測,符合控管政策才得以存取內網資源。若發現未符合規範的連線要求,則隨即被導引至隔離區域,在使用者開啟瀏覽器時,會主動告知未符合規定之處,並且說明需執行修正的程序與設定值。
|
▲Extreme Networks首席技術顧問陳瑞建認為,BYOD應用模式的發展,從行動裝置控管、擴建無線網路的布建與管理規範,到最後勢必要整合至有線網路環境,建立單一政策規範,才能免於產生漏洞,讓有心人士趁機滲入。 |
只是認證機制須透過行動裝置上安裝代理程式來執行,首先多樣化作業系統版本的支援程度就會出現問題。需要高安全性的應用環境多數較複雜,若無法完全支援各式版本的作業系統,就會產生許多例外條件,徒然增加管理負擔。「因此當時客戶雖有需求,卻常因為控管環節因素而停滯不前。雖然仍有企業導入,但運行一段時間後也是逐漸荒廢,因為擾民、管理上負擔而放棄,使得NAC系統沉寂一段時日未被提及。」
近年來在BYOD應用驅使下,NAC才又出現升溫的跡象,更順應現代化應用增添許多控管能力。陳瑞建說明,在Extreme提出的One Fabric Control Center架構中,針對BYOD控管機制即可說是NAC的延伸,可先辨識設備類型、使用者身分,確認是員工才遠端派送控管App自動安裝。
若不願被公司強迫安裝控管程式的員工,亦可透過On-boarding機制,自行以網頁方式登入網域後新增行動設備的MAC位址,之後Extreme的控管系統可從網路層得知用戶帳號、設備類型、登入時間、地點等資訊,並記錄至One Fabric Control Center內建的資料庫。當員工存取內部系統時,即可比對政策規範來判斷是否允許。
陳瑞建強調,在One Fabric Control Center的架構下,整合網路存取控制、有線與無線網路環境、Hypervisor、虛擬主機等運作資訊,讓端到端的存取行為變得可視化後,才得以有效執行問題診斷與事後稽核,提升IT維運效率。