BYOD设备——电脑网络的千年虫？

在“千年虫”这场巨大的市场骗局之后，似乎没有什么比BYOD(自带设备)设备更能在电脑网络世界引起更大的喧嚣。BYOD设备十分可怕，而且对于销售产品来说，也十分可怕，这一点是有利于供应商的。然而，事实是，BYOD设备已经发展到有点像“千年虫”了，而这个问题本没有那样严重。

是的，移动浪潮正不断袭来，但是推销产品的人以一种不成比例的方式将一切“搞砸”了。狂热的智能终端追随者正迫使企业重新评估他们的无线策略。但是人人都知道一个事实，那就是，大多数企业想要利用BYOD处理的事务寥寥无几。

1. 寻找一种简单的方式来承载所有设备(企业设备与个人设备)

2. 用户连接时，自动提供基于用户的政策

3. 查看正在接入网络的设备与个人

4. 将有线安全性与设计(内容过滤、防火墙及VLAN)扩展到无线网络中

5. 提高无线网络容量，支持每人2台、3台甚至4台设备

6. 保持其简单、成本效益，并能利用现有基础设施!

当然，一些组织机构还想对设备和应用进行直接管理，提供NAC(与anti-x)检测、 隔离和修复，然后借助高度定制化的策略，对用户进行过滤、控制和引导，而这种策略是基于17种不同条件，包括(但不限于)用户、设备、位置、时间、接入方式、用户状态、月相、室外环境温度、潮汐水平甚至是衣服的尺码。

我们可以理解，在一些IT员工专业知识及IT预算都十分充足的组织机构(例如那些设有严格合规性要求的企业)中，他们需要在适当的位置采用高度定制化的安全策略。但是，不论BYOD设备如何大肆宣传“每个人都需要所有定制化服务，而且远不止于此”，企业主流市场还是有可能打破这些假设。

每当谈到BYOD设备时，只有很少几家中等级别的公司真正想要“一针一线”地进行落实，原因包括几点：首先，他们没有时间;其次，他们的员工不具备相关技能;再次，他们没有相关预算;第四，他们没有看到需求，或是认为并不必要;最后，以上全部。然而，更加重要的是，企业机构已经拥有了合适的网络部件，可以用来满足他们的BYOD的基本需求，他们本就不必添置更多的网络设备。

身份认证 – 根据现有的认证服务器(LDAP、AD等)，你已经安全地对用户进行了认证。即使你并不想采用802.1X，也依然有极佳的方案可用于特定的用户无线认证。

网络安全性 – 许多组织机构已经投入巨大的时间与精力，利用VLAN、ACL、防火墙和内容过滤设计适当的网络分区和安全性。如果你已经对有线网络进行了这种处理，为什么还要在无线设备上重复这些配置和复杂过程呢？

基于角色的访问策略 – 你会知道谁在网络中以及其隶属哪个部门;现在，应该利用这些信息确保每个人都能正确接入，而没有其他人。身份认证策略也可以应用到设备类型中。

可视性 – 网络中会有许多设备，能够监测谁在你的网络中，以及他们正在做什么。智能Wi-Fi系统可以在边缘提供这一信息。在这里，你能依照需求和网络用处改变进行配置变更。

基于角色的接入通常是最大的障碍，但是对于那些群组策略已经打包得颇为完善的企业来说，新的问题在于是否所有的用户和设备都是同等的。这些问题的提出者正是那些携带个人设备的用户。因此，围绕BYOD设备的基本问题就是，用户是已知的，可设备不是。

IT员工需要了解哪些设备何时在线，以及它的所有人。然而，网络接入已经为网络安全性和网络分区(以及任何其他正在使用的overlay方案，如NAC和内容过滤)。这样一来，就产生了一些重要的问题：

个人设备最初如何配置获得网络连接？

如何识别每台设备、与用户关联以及接受跟踪？

WLAN或VLAN/防火墙策略如何对用户/设备进行限制？

实际上，在BYOD设备的问题日益突出以前，就已经有了几种非常易于使用的Wi-Fi功能，可以帮助大多数组织机构克服BYOD问题。

动态预共享密钥(DPSK)是一款独特的针对组织机构的功能，它不会涉及Wi-Fi BYOD安全性和802.1X的更深层次。传统上，个人WPA-2在整个网络中采用一个共享的预共享密钥(PSK)，这样一来，这些共享密钥就会存在许多可知的安全性和管理能力问题。但是，有了动态预共享密钥技术，它会为每个用户和设备生成一个独一无二的、安全的密钥。通过将用户/设备与单独的PSK证书进行配对，密钥/设备/用户组合就能拥有一种独特的策略，并且能够进行独立管理与监测。

802.1X/EAP 一直混乱且/或难于实施。预共享密钥存在一些安全弱点和管理问题，而动态预共享密钥则恰好弥补了这些，它是有线和无线环境同样适用的最佳方案：

为每个用户和设备提供独特的访问证书

用户证书单独控制 (产生与撤回)

没有认证、配置复杂或后端依赖问题

有效用户无法破译其他用户流量

动态预共享密钥技术十分适合BYOD一族，尤其是那些陷于802.1X体验糟糕与传统口令模式之中的公司。

还有一些功能可以实现设备配置自动化，如Ruckus公司的针对企业的“零IT”激活，这些功能为BYOD设备带来了独特优势。与动态预共享密钥或802.1X技术一样，“零接触”功能提供了一个安全的在线管理工具，使得用户可以自行配置设备，无需IT人员介入。

在一个典型的工作流程中，用户会连接到配置网络，以其域名证书进行安全登录，配置工具则会自动对用户设备配以适当的网络描述文件和其相关权限。设备会重新连接到相应的网络，用户会获得连接。这些都是依靠Wi-Fi系统中或从用户数据库中获得恰当的基于角色的策略。IT员工始终置身于管理之外，却依然握有对用户/设备访问的全部控制权。而且在大多数系统中，管理员会获得可视性以查看特定设备的设置(MAC和IP地址、主机名等)、哪个用户注册了设备、设备是哪种等等很多。

对于那些想要拥有额外的特定设备策略的企业来说，大多数供应商已经有了集成软件，可以利用操作系统指纹技术配置新设备。如果IT员工需要额外的控制层面，有了这些用户、角色、位置和基于时间的策略，他们就可以获得更高的精度。

比起成熟完善的NAC和MDM方式，这些解决方案显然还缺乏威胁性，但是，他们的确为大部分企业解决了实际问题，而且幸运的是，这些解决方案很容易设置，并且BYOD用户使用起来很直观。如果WLAN的设计合理且能提供可靠的射频功能，用户就可以保持连接与高带宽。而这一切，其实才是BYOD该有的样子。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友