在15年前,Wi-Fi开始了其漫长而稳步的发展,从家庭到办公室,最终取代以太网成为很多企业首选网络接入方式。
现在,在802.11ac的推动下,企业Wi-Fi部署正在进一步发展,2014年,802.11ac占全球1.76亿接入点(AP)出货量的18%。Wi-Fi不仅将改变员工的连接方式,还将改变保护通信的方式。Wi-Fi安全不再是附加品;它必须成为安全政策执行的重要组成部分。在本文中,我们将探讨企业应如何面对这种网络安全转型。
安全做法
多年前,Wi-Fi部署的安全做法主要是链路层加密:首先是有线等效保密(WEP);接着是Wi-Fi保护接入(WPA)和临时密钥完整性协议(TKIP)。然后是WPA 2和高级加密标准(AES)。近十年来,所有Wi-Fi认证产品都支持着WPA 2与预先共享密钥(PSK)或802.11X接入控制。同时,原来是通过Wi-Fi嗅探器和手动现场调查阻止无线攻击者,而现在完全自动化的无线入侵检测和防御(WIDS/WIPS)已经成为主流,每个企业级无线LAN(WLAN)产品都包含该技术。
虽然这些技术主要是针对无线网络,但它们现在已经成为构建网络的基础。例如,802.11X为控制局域网(无线和有线)接入奠定了基础。而WIPS遏制通常会被触发以在网络连接点阻止可疑攻击者,无论是无线连接还是有线连接。现在安全政策不再是关于设备如何连接,而是谁在连接、他们正在做什么以及他们在哪里。
Wi-Fi部署和政策执行
Aruba Networks公司产品和解决方案营销高级主管Ozer Dondurmacioglu表示,很多大型企业在设法创建并执行单个安全政策来解决所有问题。
“当我的医生在食堂,他可能只需要接入互联网—仅此而已;当他在办公室,他可能还要访问患者数据;而当他在其他高风险地点工作,他可能需要采取额外的保护措施,”Dondurmacioglu表示,“应该有一种方法将所有这些封装在单个政策中,然后利用工具来执行政策。”
企业可以利用现有工具来帮助他们执行这种统一安全政策,包括身份管理服务、网络和应用程序防火墙、移动设备和应用程序管理器、安全有线交换机端口和接入点、基于位置的服务、访客接入服务等。然而,企业最好将实现这种单个政策的工作视为阶段性的过程,应该从目标政策开始,使用可用的工具来执行基本工作,然后逐步增加新工具来增强政策、威胁抵御和用户工作效率。
对于初步部署者来说,身份管理可以推动安全政策,并且,应该捆绑访问权限和要求到个人和角色,而不是设备或网络连接点;例如在上述情况中,医生可以在整个工作日基于政策驱动的标准来被授予不同的访问权限。
其次,防火墙、交换机和AP可以监控和部署这些访问权限。广泛的网络分段可以通过VLAN和SSID来部署,由交换机和AP来执行。网络流量也可以通过这些边缘设备来过滤,例如确定医生是否可以访问互联网或患者数据。然而,基于现在日益复杂的移动应用程序和相关风险,应用程序防火墙可以帮助实现更精细的政策,以降低风险、阻止恶意软件和防止数据泄露。
第三,政策可能需要考虑设备类型、所有权和信任水平,主要通过利用移动设备和应用程序管理器来实现。例如,医生可能携带智能手机和平板电脑,并在其工作中同时使用。同样的政策可能对企业发放的平板电脑和BYOD智能手机设置不同的访问权限,或者可能要求在每台设备安装安全容器作为访问患者数据的条件。
另外,政策也开始利用基于位置的服务,利用地理围栏等技术来限制对特定场所和授权区域的访问。基于位置的服务正在不断发展,例如,企业可以利用苹果公司的iBeacon等新设备来提高精确度(特别是在室内),这可以是单独运行也可以整合网络基础设施。在我们的例子中,医生的平板电脑可以识别其位置(医院内部或咖啡厅),并相应地改变其行为,尽管其设备通过这两个位置的Wi-Fi连接。
最后,访客接入服务在安全政策执行中也发挥着越来越重要的作用,这不仅仅是对访客,同时也是针对使用BYOD或其他设备的员工。具体来说,网络基础设施可以用来手动或自动重新定向新设备到设备注册门户网站,让员工可以注册设备、同意服务条款、接受设备证书,并配置为安全Wi-Fi接入。在连接到安全网络后,还需要采取额外的步骤来实现安全移动性,例如在医生现已授权和认证的移动设备部署安全容器或应用程序。
现在构建 未来扩展
上文中所描述的可实现灵活移动安全政策的网络技术已经存在多年:有些技术则相对较新。所有这些技术都可以帮助加强网络来执行安全政策,发现Wi-Fi部署的固有风险,同时在整体水平(即专注于用户和满足其计算需求)内解决这些风险。随着无线变得更加普遍,企业应该采用这种方式来执行和加强安全移动。