BYOD – вопросы сопряжения

13 апрель, 2014 - 21:05Александр Щербина

В рамках концепции BYOD одна из важных тем - централизованный контроль и управление устройствами в корпоративной сети.

Очевидно, что эта тема весьма емкая и тут необходимо рассматривать целый комплекс различных мер и систем, основная задача которых – управление жизненным циклом устройств (в том числе мобильных), используемых персоналом компаний.

Понятно и то, что внедрение «сложного» решения по управлению сетевыми подключениями подразумевает этапность. Каждый следующий этап строится на основе предыдущего. Подход к реализации BYOD строится по тому же принципу. Конкретная политика доступа реализуется на устройстве благодаря применению комплекса технологий и методов. По ходу возникает вопрос взаимодействия системы доступа с широким спектром стороннего оборудования и сетевых служб. Интеграция установленных систем с системой управления мобильными устройствами в конечном итоге обеспечивают весь процесс управления сетевыми подключениями, который в полной мере и охватывает вопросы оптимизации и обеспечения безопасности.

Как один из возможных примеров, хочу предложить вашему вниманию несколько наблюдений, которые были сделаны при интеграции решения MDM от MobileIron с системой контроля доступа в корпоративную сеть Cisco ISE.

Взаимодействуя по протоколу TLS Cisco Identity Services Engine выгружает ряд дополнительных параметров из MobileIron VSP (основного компонента решения MobileIron), необходимых для более четкого составления политики доступа мобильных устройств в сеть. Практика показывает, что наиболее используемыми являются такие параметры, как:
a. статус соответствия устройства политике MDM
b. статус регистрации устройства в системе MDM
c. статус наличия шифрования носителей устройства
d. статус наличия на устройстве Root доступа
e. статус наличия на устройстве установленного PIN Lock
f. статус доступности сервера MDM
g. производитель, модель, IMEI и операционная система устройства.

Указанные параметры можно задать непосредственно при написании правил доступа в Cisco ISE, используя при этом стандартный функционал системы. Некоторые из перечисленных параметров задействованы в процедуре onboarding’а устройства, которую можно разделить на следующие этапы:

  1. При подключении к гостевому SSID пользователь получает уведомление о необходимости авторизации, и на специальной странице вводит свои корпоративные учетные данные.
  2. Устройство автоматически получает необходимые настройки (установка сертификатов и профилей доступа к Wi-Fi), и пользователю выводится уведомление о необходимости подключения к защищенному SSID. Процедура onboarding’а в Cisco ISE считается пройденной.
  3. Для получения доступа к корпоративным сервисам пользователю необходимо подключиться к защищенному SSID и зайти на любой корпоративный ресурс в браузере, после чего он будет переадресован на страницу с уведомлением о необходимости установки клиента MDM и ссылкой на магазин приложений (в зависимости от платформы устройства).
  4. После установки клиента MDM и выполнения в нем входа под своими учётными данными выполняется автоматическая настройка устройства в соответствии с корпоративной политикой безопасности и установка необходимых приложений.
  5. При повторной попытке зайти в браузере на внутренний ресурс пользователь получит доступ согласно правам учетной записи, а также на устройстве будут присутствовать все корпоративные приложения и необходимые настройки.


Такие действия пользователь проводит один раз – при первой попытке доступа к сети. В дальнейшем никаких дополнительных шагов, кроме подключения по WiFi или VPN, не требуется. После прохождения процедуры устройство будет зарегистрировано в системе MDM, что обеспечит необходимый удаленный контроль и управление.

Функционально решения Cisco ISE и MobileIron MDM реализуют различные процессы, которые, тем не менее, дополняют друг друга. Cisco ISE обеспечивает доступ мобильного устройства к сети передачи данных, а MobileIron MDM, в свою очередь, контролирует функции операционной системы гаджета и выполняет доставку приложений. Осуществляя настройки каждой из систем, необходимо коррелировать права доступа к мобильным приложениям (для определенной группы пользователей) с доступом на сетевом уровне (для корректной работы данных приложений). Например, если для определенной группы пользователей предусмотрена автоматическая установка клиента Cisco Jabber для осуществления звонков (зона ответственности MDM), необходимо предоставить соответствующий доступ на уровне сетевой инфраструктуры (зона ответственности Cisco ISE). Для успешной интеграции этих систем их политики безопасности не должны противоречить друг другу.

Резюмируя, хочу отметить, что, несмотря на достаточно трудоемкий процесс разработки политик безопасности и интеграции систем, внедрение решений по обеспечению мобильности принесёт компании множество преимуществ. В данном случае выгоду получит и сама компания с точки зрения экономической эффективности, сотрудники ИТ и безопасности однозначно будут меньше времени тратить на поддержку и обеспечение работы мобильных устройств сотрудников. Ну и, конечно, сами пользователи непременно будут более лояльны к компании, которая позволяет им пользоваться личными устройствами в рабочих целях.