Artikel
BYOD en verder: Hoe u BYOD omzet in productiviteit
Mobiliteit, productiviteit en BYOD Mobiliteit is een hedendaags fenomeen dat de ontwikkeling van technologie stimuleert. Enkele jaren geleden waren draadloze verbindingen beperkt tot vergaderzalen en universiteitsterreinen, zodat studenten in de buitenlucht aan hun werkstukken konden werken. Met de komst van allerlei draadloze apparaten de afgelopen jaren, de vereisten voor mobiliteit en draadloze verbindingen, evenals de afwezigheid van fysieke Ethernet-poorten op deze apparaten, zijn draadloze verbindingen niet langer een exclusieve aangelegenheid maar eerder een eerste toegangslaag voor netwerkverbindingen. Voorbij zijn de dagen dat een netwerkbeheerder kon volstaan met het inplannen van “3 Ethernetpoorten per werkplek” om daarmee te voorzien in de gewenste toegang en verwachte capaciteit. Gebruikers maken vandaag de dag niet alleen verbinding met hun zakelijke computers, maar ook met talloze persoonlijke apparaten en andere door hun werkgever beschikbaar gestelde apparaten. Er wordt niet langer op één werkplek gewerkt. Men verwacht vandaag altijd, overal en vanaf elk apparaat verbinding te kunnen maken. Onderzoek wijst uit dat 80% van de werknemers hun eigen persoonlijke apparaten meeneemt naar hun werk; 87% van hen gebruikt deze apparaten voor werkgerelateerde activiteiten (en niet alleen voor Facebook!). 1 In 2011 meldde IDC Research dat er voor de eerste keer meer apparaten zonder Ethernet-poort dan met Ethernet-poort werden verkocht2. Nu we ons voorbereiden op de komst van nog meer draadloze mobiliteit op het werk staan IT-beheerders meer dan ooit voor de vraag hoeveel bandbreedte voldoende is. Wat voor apparaten volgen er nog meer? Op dit moment is 72% van alle persoonlijke apparaten afkomstig van Apple 3 – maar hoe zal dat volgend jaar zijn? Hoe kan een IT-beheerder zich voorbereiden op onbekende apparaten waarbij ook nog eens onbekend is hoeveel dat er zullen zijn en wat de vereisten voor wat betreft connectiviteit en bandbreedte zijn? Laat staan hoe de IT-beheerder die vragen kan beantwoorden zonder dat hij daarvoor meer middelen ter beschikking krijgt. En hoe kan een IT-beheerder toch nog vol vertrouwen blijven zeggen dat zijn netwerk veilig is, de prestaties van het netwerk onverminderd hoog zijn en dat hij is voorbereid op de volgende nieuwe technologie, met name Wi-Fi met gigabitsnelheden? Dit is het zogeheten 'BYOD-dilemma'. Pogingen om gebruikers hun eigen apparaten te laten meenemen naar hun werk (BYOD, Bring Your Own Device) om de productiviteit en mobiliteit van werknemers te verhogen, gaan hand in hand met de zorg en vraag of dergelijke apparaten wel veilig zijn, of werknemers niet door allerlei toepassingen worden afgeleid in plaats van dat zij die toepassingen voor hun werk benutten, en vooral of dergelijke apparaten niet enorm beslag leggen op de beperkte middelen van IT-medewerkers om ondersteuning te bieden voor dergelijke apparaten en om problemen daarmee op te lossen. Een van de aspecten die het vaakst over het hoofd wordt gezien bij het BYOD-fenomeen is dat het niet alleen gaat om de verbindingen die gebruikers maken maar vooral hoe deze moeten worden beheerd nadat ze eenmaal in gebruik zijn genomen. Hoe je mobiele en persoonlijke apparaten in het netwerk kan krijgen verdient juist nu serieuze aandacht. Een van de eerste vereisten voor een netwerkbeheerder die de aanschaf van een netwerkoplossing overweegt, zou het hebben van een beleid moeten zijn dat ervoor zorgt dat beheerde en niet-beheerde apparaten op een veilige manier verbinding kunnen maken met het netwerk en dat vervolgens deze apparaten volgt. Maar als uw netwerk eenmaal op die manier wordt gebruikt, hoe gaat u daar dan mee om? Welke kenmerken/functionaliteit wilt u aanbieden om ervoor te zorgen dat als gebruikers met hun apparaten verbinding met uw netwerk maken dit veilig kan gebeuren, u de privacy kunt waarborgen en de productiviteit niet in gevaar komt? De belasting van IT is niet gelegen in de komst van apparaten die verbinding met het netwerk 1
Dimensional Research, “Consumerization of IT: A Survey of IT Professionals”, Dell KACE 2011
2
IDC, “Market Analysis Perspective (MAP) Enterprise Communications Infrastructure Market” 2010
3
Dimensional Research, “Consumerization of IT: A Survey of IT Professionals” 2011
BYOD en verder: Hoe u BYOD omzet in productiviteit maken, maar ligt in wat er moet gebeuren als die apparaten eenmaal deel uitmaken van het netwerk. Voor een succesvolle BYOD-implementatie zijn de volgende aspecten van belang: rapportage over naleving van het beveiligingsbeleid, garanderen dat apparaten gebruik kunnen maken van beschikbare services en middelen en dat zij geen toegang hebben tot services en middelen die niet toegankelijk mogen zijn, en garanderen dat apparaten de beschikbare netwerkbronnen niet overbelasten. In dit artikel worden de vereisten besproken op het gebied van connectiviteit en productiviteit om ervoor te zorgen dat uw netwerk is voorbereid op de mobiliteitsexplosie. Zo gaan we onder meer in op de gewenste toegang, verificatie en beveiligingsopties en de minstens zo cruciale functies die nodig zijn om ervoor te zorgen dat uw netwerk is voorbereid op alle apparaten en dat alle verbonden apparaten productief zijn en zich conform het beleid gedragen.
Gebruikers verbinding laten maken met het netwerk Eén van de eerste uitdagingen voor beheerders die de implementatie van een BYOD-oplossing overwegen, is bepalen welke apparaten precies BYOD-apparaten zijn. Vaak wordt BYOD verkeerd geïnterpreteerd en worden alle consumentenapparaten bedoeld die verbinding met het bedrijfsnetwerk maken. Dit is niet het geval. In werkelijkheid wordt met BYOD verwezen naar apparaten die eindgebruikers zelf meebrengen (en niet door de IT-afdeling zijn verstrekt) om verbinding met het netwerk te maken. Er is tegelijkertijd nog een ander aandachtspunt voor netwerkbeheerders die zich bezighouden met gebruik van mobiele apparaten, waarbij IT het gebruik van consumentenapparaten zoals tablets toestaat om de kosten van hardware te verlagen en productiviteit voor toegewijde toepassingen zoals retail kiosks en elektronische patiëntendossiers te verhogen. Bij deze ontwikkeling, die “Consumerization of IT” wordt genoemd, is netwerkintelligentie vereist om de inherente kostenbesparingen te realiseren en de flexibiliteit te benutten die in dergelijke apparaten is ingebouwd terwijl zeer nauwkeurig wordt bepaald welke apparaten in het netwerk mogen worden gebruikt en hoe dat mag gebeuren. Een echt allesomvattende oplossing voor mobiele apparaten dient rekening te houden met zowel Consumerization of IT als BYOD zodat beide typen apparaten kunnen worden ondersteund en beheerd.
Er zijn twee kampen als het gaat om het garanderen van veilige toegang door mobiele apparaten tot het netwerk. Aan de ene kant zijn er veel bedrijven die met succes op agenten gebaseerde MDMoplossingen (Mobile Device Management) implementeren om ervoor te zorgen dat verbonden apparaten over de juiste software, machtigingen en beveiligingsinstellingen beschikken alvorens zij verbinding met het netwerk mogen maken. Deze agent gebaseerde oplossingen zijn erg populair bij grote ondernemingen en onderwijsinstellingen, met name als zij Consumerization of IT ondersteunen en Copyright ©2012, Aerohive Networks, Inc.
3
grote aantallen door de onderneming of onderwijsinstelling uitgereikte mobiele apparaten beheren. Aan de andere kant van het MDM-spectrum bevindt zich wat netwerkgebaseerd MDM wordt genoemd, waarbij er geen sprake is van een agent die op de client wordt geïnstalleerd, maar waarbij de netwerkapparaten intelligent genoeg zijn om classificatiebeslissingen te nemen op basis van gebruikersidentiteit, apparaattype, locatie en tijd. Om te voorzien in een werkelijk allesomvattende BYOD-infrastructuur die geschikt is voor mobiele apparaten, moet u ondersteuning bieden voor zowel een agent-gebaseerde MDM-oplossing als een netwerkgebaseerde MDM-oplossing. Hierdoor kunnen ondernemingen het gebruik van consumentenapparaten in hun onderneming mogelijk maken en beheren, en tegelijk ondersteuning bieden voor gebruikers die hun persoonlijke gegevens geen gevaar willen laten lopen als gevolg van de installatie van een agent-gebaseerde oplossing. Dit houdt in dat de netwerkapparaten nóg intelligenter moeten zijn zodat beheerders de installatie van een MDMagent kunnen afdwingen, of classificatie van gebruikers en apparaatniveau evenals toegangsbeheer kunnen gebruiken om ervoor te zorgen dat BYOD veilig en productief is in het netwerk. Aerohive richt zich met name op een intelligente infrastructuur voor de explosieve groei van mobiele apparaten en heeft veel te bieden om ervoor te zorgen dat apparaten op de juiste wijze met het netwerk verbinding maken. Voorzieningen zoals het gedwongen in quarantaine implementeren van de MDM-agent, netwerk gebaseerde MDM, ingebouwde stateful firewalls bij elk toegangspunt en GREtunneling vormen een integraal onderdeel van HiveOS - het netwerkbesturingssysteem dat alle Aerohive-apparaten aanstuurt - en zorgen er samen voor dat de implementatie van een BYODstrategie een succes wordt. HiveOS is gemaakt om redundant, robuust en toekomstbestendig te zijn. Dit wordt gerealiseerd doordat gebruik wordt gemaakt van intelligente oplossingen aan de rand van het netwerk en door middel van een voorziening genaamd Cooperative Control, die de connectiviteit van clients garandeert. Eén enkel Aerohive-toegangspunt kan alle beslissingen nemen voor wat betreft forwarding, naleving van beveiligingsregels en geavanceerde functies die hieronder staan beschreven, maar als zij gecombineerd worden ingezet, wordt de kracht van het Aerohive-systeem pas echt indrukwekkend. Door gebruik te maken van Aerohive Cooperative Control om MDM-services te leveren naast veilige toegang (zowel draadloos als bekabeld) zorgt u ervoor dat BYOD-apparaten in de juiste context (identiteit, apparaattype, locatie, enz.) met de juiste bronnen verbinding maken, waardoor BYOD echt een productiviteitsverbetering is in plaats van alleen maar beslag legt op uw resources.
Verificatie en toegang Een van de grootste uitdagingen bij BYOD in zorgen dat de toegang op een veilige manier plaatsvindt is om er bij het ontwerp van deze apparaten al voor te zorgen dat de apparaten op een eenvoudige manier met elk type netwerk verbinding kunnen maken, zelfs als voor het maken van een verbinding een certificaat nodig is. Het is echter minstens zo belangrijk dat ook oudere BYOD-apparaten worden ondersteund die alleen ondersteuning bieden voor legacy netwerken zoals 802.11g en die geen ondersteuning bieden voor verificatie op basis van certificaten. De oplossing van Aerohive geeft beheerders talloze mogelijkheden om gebruikers op een veilige manier verbinding met het netwerk te laten maken. Eén van de gangbaarste beveiligingen op dit moment om in uw bedrijfs-Netwerk te implementeren, is WPA2-Enterprise (802.1X). Voor verificatie is hierbij minimaal de combinatie van gebruikersnaam en wachtwoord vereist, evenals acceptatie van een servercertificaat. Tenzij een beheerder een streng beleid heeft geïmplementeerd en van elk apparaat dat verbinding met het netwerk wil maken eist dat daarop tevens een certificaat is geïnstalleerd (wat een enorme administratieve belasting voor de beheerder inhoudt en bij bepaalde apparaten zelfs onmogelijk is), is het bij moderne mobiele apparaten eigenlijk heel eenvoudig; de gebruiker hoeft alleen maar op de knop “Accepteren” te klikken en zijn netwerkreferenties op te geven om op een veilige manier met het BYOD-apparaat verbinding met het netwerk te maken. De beheerder heeft nu dus een veilige verificatiemethode in handen, maar is er ook iemand die weet wat deze apparaten allemaal in het netwerk doen? Wij 4
Copyright ©2012, Aerohive Networks, Inc.
BYOD en verder: Hoe u BYOD omzet in productiviteit nodigen u uit de paragraaf over een verplicht beveiligingsbeleid te lezen waarin wordt uitgelegd hoe u het gedrag van gebruikers kunt sturen. Zelfs voordat de apparaten verbinding met het netwerk maken biedt Aerohive diverse mogelijkheden om bepaalde riskante aspecten rond de beveiliging van verbindingen in de hand te houden. Aerohive biedt meer dan alleen een onbeveiligde SSID voor gasten met enkel een pagina met gebruiksvoorwaarden die gebruikers moeten accepteren. Aerohive stelt u in staat gebruikers te verifiëren die met elk type SSID (onbeveiligd, of beveiligd met een sleutel) verbinding maken. U kunt dit doen op een Captive Web Portal die aan Active Directory (of andere directoryserver) is gekoppeld. U kunt zelfs MAC-verificatie afdwingen zodat u zeker weet dat alleen bepaalde apparaten of typen apparaten verbinding met het netwerk kunnen maken. Een extra mogelijkheid die alleen Aerohive biedt, is onze Private Pre-Shared Key waarop wij patent hebben aangevraagd. Deze voorziening is opmerkelijk omdat een beheerder hiermee per gebruiker en per apparaat machtigingen en de beveiliging kan instellen zonder dat gebruikers een certificaat nodig hebben of referenties (gebruikersnaam en wachtwoord) hoeven op te geven om verbinding te mogen maken. Een beheerder kan een bepaalde sleutel of een groep sleutels opgeven waaraan bepaalde netwerkmachtigingen zijn gekoppeld, zoals een toegewezen VLAN, firewallbeleid en tunnelingmachtigingen, en de beheerder kan die sleutels zelfs koppelen aan het eerste apparaat dat verbinding maakt om ervoor te zorgen dat geen enkel ander BYOD-apparaat met dezelfde sleutel verbinding kan maken. Deze eenvoudige oplossing voorziet in alle vereiste codering en beveiliging per apparaat zoals die ook bij complexe 802.1X-oplossingen worden toegepast, maar zonder dat daarvoor certificaten zijn vereist en deze oplossing werkt voor alle apparaten die ondersteuning bieden voor PSK.
Beveiliging en Naleving Als de beheerder eenmaal een beslissing heeft genomen over de verificatie- en toegangsmethode dan is de volgende stap om ervoor te zorgen dat de gekoppelde apparaten de richtlijnen voor het netwerk volgen op basis van context zoals identiteit, apparaat, locatie en tijdstip. De kern van het verplichte Aerohive-beleid is toewijzing van een gebruikersprofiel aan een verbonden apparaat. Een Aerohive-gebruikersprofiel bepaalt welke machtigingen voor het netwerk van kracht zijn, zoals aan welk VLAN de gebruiker wordt toegewezen, de firewall, tunnel en de QoS-beleidsregels voor de desbetreffende gebruiker of groep gebruikers, verplichte clientfunctionaliteit waaronder SLA en classificatie-instellingen voor de client, en diverse andere instellingen die per gebruiker kunnen worden toegepast. Hoe gebruikersprofielen worden toegepast, is afhankelijk van het type verificatie dat is bepaald en de voor de client geconfigureerde classificatieregels.
Copyright ©2012, Aerohive Networks, Inc.
5
Aan de hand van de classificatie van de client kan de beheerder met enkele eenvoudige muisklikken het gewenste gedrag van het mobiele apparaat in het netwerk configureren. Netwerk gebaseerd MDM (NMDM) betekent dat de apparaten die toegang tot het netwerk verlenen, zoals toegangspunten, switches en routers, ervoor zorgen dat het beleid wordt nageleefd en dat er geen agent op de client hoeft te worden geïnstalleerd. Hierdoor is er sprake van maximale flexibiliteit voor wat betreft welke clients er worden ondersteund en met hoeveel clients een enkele gebruiker verbinding met het netwerk mag maken, zonder dat gebruikers zich zorgen hoeven te maken over mogelijke installatie- of compatibiliteitsproblemen, of problemen met licenties. Wat niet wordt beheerd, zijn machtigingen op apparaatniveau zoals toegangscodes, het afdwingen van installaties en updates van apps en software, en de verspreiding van eBooks of andere content op het apparaat; hiervoor is een MDM-softwareprofiel (SMDM) of agent op het apparaat zelf nodig. Dankzij de clientclassificatiefunctie van Aerohive kunnen beheerders op verschillende lagen beleid opleggen aan mobiele apparaten in hun netwerk, te beginnen bij de gebruikelijke gebruikersverificatie. Dit is belangrijk omdat dit betekent dat de identiteit van de gebruiker de eerste variabele blijft en machtigingen daarna verder kunnen worden gedefinieerd op basis van context, zoals apparaattype, locatie en domeinlidmaatschap. Zo kunt u bijvoorbeeld onderscheid maken tussen BYOD-apparaten zoals iPads die in het bezit zijn van uw directieleden en iPads in bezit van het salesteam, en ander beleid afdwingen bij gebruikers met een andere apparaatcontext en identiteit, in plaats van te volstaan met een algemeen beleid voor alle iPads tegelijk.
Als het nieuwe profiel op basis van de contextuele identiteit is toegewezen, veranderen de machtigingen voor het netwerk op basis van de firewall, tunnel en het schemabeleid dat in het nieuwe profiel is geconfigureerd. Een van de meest gebruikte functies die zorgt voor onderscheid tussen bepaalde apparaten in het netwerk is de in elk Aerohive-apparaat ingebouwde stateful firewall. Zelfs als alle gebruikers en apparaten met hetzelfde VLAN zijn verbonden, kan een beheerder nog steeds beleid opleggen aan gebruikers en netwerkbronnen. Hierdoor kan het beleid aan de rand van het 6
Copyright ©2012, Aerohive Networks, Inc.
BYOD en verder: Hoe u BYOD omzet in productiviteit netwerk worden afgedwongen, daar waar het verkeer het netwerk binnenkomt, in plaats van dat het verkeer eerst de gehele infrastructuur aflegt alvorens beperkingen te worden opgelegd door een beveiligingstoepassing in het hart van het netwerk. Zo kan een beheerder bijvoorbeeld wel BYODapparaten van werknemers toestaan in hetzelfde netwerk als waartoe door de onderneming verstrekte en vertrouwde clients toegang hebben, maar de BYOD-apparaten alleen toegang geven tot internet en niet tot resources van de onderneming in het bedrijfsnetwerk. Een andere manier om onderscheid te maken tussen diverse stromen netwerkverkeer is door gebruik te maken van tunnelingfuncties in Layer 3. Deze voorziening wordt vaak gebruikt om diverse virtuele LAN's op een universiteitsterrein met elkaar te verbinden zodat naadloos roamen tussen subnetwerken mogelijk wordt, maar deze functie kan ook worden ingezet om roamend verkeer naar een bepaald toegangspunt te leiden op basis van de identiteit en het apparaattype dat dat verkeer veroorzaakt. Een beheerder hoeft dus geen gast-VLAN in het netwerk te configureren om BYOD-apparaten te ondersteunen maar kan een beleid opstellen dat erin voorziet dat elk gedetecteerd BYOD-apparaat automatisch wordt getunneld naar een toegangspunt in een DMZ. Het configureren van het netwerk wordt hiermee vereenvoudigd en tegelijkertijd zijn BYOD-apparaten volledig gescheiden van het bedrijfsnetwerk.
Het verbinden van externe gebruikers Het laatste stukje van de BYOD-puzzel is ervoor zorgen dat werknemers productief blijven en verbinding kunnen maken met essentiële resources, ongeacht waar de werknemer zich bevindt – op kantoor, bij een andere vestiging, of zelfs thuis. Als de beheerder het netwerktoegangsbeleid eenmaal heeft bepaald, de beschikbare SSID's en VLAN's heeft geconfigureerd en beleidsregels heeft opgesteld om machtigingen te kunnen toewijzen op basis van identiteit en apparaattype, kan het beleid worden toegepast op elk apparaat dat verbinding met het bedrijfsnetwerk maakt, ongeacht waar dat apparaat en zijn gebruiker zich bevinden. Aerohive maakt naadloze verbindingen op afstand mogelijk door middel van IPsec VPN. Beheerders hebben twee verschillende IPsec-mogelijkheden om gebruikers verbinding te laten maken. De keuze hangt af van de vraag of zij volledige netwerkmogelijkheden willen implementeren op andere locaties of alleen het bestaande bedrijfsnetwerk willen uitbreiden naar een nevenvestiging elders. Met Aerohive Layer 2 IPsec VPN kan een beheerder twee Aerohive-toegangspunten met elkaar verbinden en het bestaande netwerk naadloos uitbreiden naar een andere locatie. Het externe toegangspunt brengt het verkeer van de externe locatie over naar het toegangspunt op de locatie van de hoofdvestiging, en alle beleidsregels die de beheerder voor toegang tot dat netwerk heeft geconfigureerd zijn van toepassingen op gebruikers die via het externe toegangspunt verbinding met het netwerk maken. Deze oplossing is met name handig voor apparaten en toepassingen waarvoor broadcast-ondersteuning in hetzelfde virtuele LAN is vereist om goed te functioneren, maar waarbij geen schaalbaarheidsproblemen zullen optreden als er meerdere apparaten vanaf diverse externe locaties tegelijk gebruik willen maken van hetzelfde Layer 2-netwerk. Een andere manier om externe connectiviteit mogelijk te maken voor gebruikers en apparaten is de Aerohive-oplossing Branch on Demand. De branchrouters van Aerohive bieden volledige ondersteuning voor Layer 3 IPsec VPN en zogeheten edge-based networking, waaronder ondersteuning voor door de werkgever verstrekte apparaten en BYOD-apparaten, zowel voor draadloze als bekabelde apparaten. Branch on Demand is geheel opnieuw ontworpen zodat connectiviteit met de hoofdvestiging mogelijk is vanaf elke externe locatie ongeacht grootte, of het nu gaat om een winkellocatie, ziekenhuis, bedrijfsfiliaal of een flexwerklocatie.
Copyright ©2012, Aerohive Networks, Inc.
7
Aerohive-branchrouters breiden het bedrijfsnetwerk niet alleen uit naar gebruikers en apparaten die op afstand verbinding maken maar bieden ook volledige ondersteuning voor verplicht beleid voor BYODapparaten, waaronder clientclassificatie en stateful firewalls.
DE VOLGENDE STAP Productiviteit voor verbonden gebruikers garanderen Nu de beheerder de toegangsmachtigingen en verificatiemachtigingen heeft gedefinieerd en erop kan vertrouwen dat de wirwar aan apparaten die naar het bedrijfsnetwerk worden meegebracht op de juiste wijze worden geverifieerd en veilig verbinding kunnen maken, dient zich de volgende stap aan, die tevens de grootste uitdaging vormt. Apparaten verbinding laten maken met het netwerk is tegenwoordig echt geen groot nieuws meer. Zoals u hierboven al hebt kunnen lezen, zijn er diverse mogelijkheden om ervoor te zorgen dat apparaten verbinding met het netwerk kunnen maken en om te bepalen wat die apparaten in het netwerk mogen doen op basis van beveiligingsregels die de beheerder heeft gedefinieerd. Alle netwerkaanbieders dienen minimaal een of meer oplossingen te hebben om BYOD-apparaten op een eenvoudige en veilige manier toegang met het netwerk te laten maken. Het plannen en samenstellen van een netwerk dat is voorbereid op de komst van talloze extra apparaten is tegenwoordig slechts een deel van de voorbereidingen als de aanschaf van een potentiële netwerkoplossing wordt overwogen. Wat echt een zware wissel trekt op de IT-afdeling en het netwerk is wat deze apparaten doen als ze eenmaal verbinding met het netwerk hebben. Als een IT-manager in de planning van zijn ondersteuning is uitgegaan van één door het bedrijf verstrekte laptop/desktop per gebruiker en enkele telefoons en printers per gebouw, en de IT-afdeling plotseling allerlei telefoontjes krijgt over de 3 tot 5 apparaten per persoon die iedereen bij zich blijkt te hebben, dan wordt de IT-afdeling bedolven met verzoeken. De wens om BYOD en 'Consumerization of IT' toe te staan, waarbij de IT-afdeling consumentenapparaten beschikbaar stelt vanwege het gebruiksgemak en de lage kosten, wordt dan al snel een zware dobber vanwege het intensieve beroep dat op de IT-afdeling wordt gedaan. Hoe wordt omgegaan met de apparaten die verbinding met het netwerk mogen maken is de ware beproeving van elke robuuste, schaalbare en eenvoudige bedrijfsnetwerkoplossing.
Verbeterde connectiviteit Apparaten op een veilige manier verbinding laten maken met het netwerk is slechts de eerste stap in een allesomvattende oplossing voor mobiele apparaten in de onderneming. Een ander belangrijk aspect is de verbinding in stand houden en zorgen voor een naadloze en productieve werkervaring zolang de apparaten met het netwerk zijn verbonden. Aangezien veel van deze apparaten specifiek 8
Copyright ©2012, Aerohive Networks, Inc.
BYOD en verder: Hoe u BYOD omzet in productiviteit zijn gemaakt voor consumentengebruik in een thuisnetwerk zijn ze veelal geoptimaliseerd voor een langer batterijgebruik en betere gebruikerservaring en niet zozeer voor de beste Wi-Fi zend- en ontvangstmogelijkheden. De toegangspunten en routers van Aerohive zijn speciaal ontworpen voor een betere Wi-Fi-ervaring met zend-ontvangers in mobiele consumentenapparaten. Wat vaak verkeerd wordt begrepen bij het opstellen van een Wi-Fi-netwerk is dat er uitsluitend aandacht is voor het vermogen van het toegangspunt zodat dit zo ver mogelijk reikt en zo sterk mogelijk uitzendt. Zelfs als overheidsorganen geen beperkingen zouden opleggen voor wat betreft het vermogen van Wi-Fi-zenders, dan nog zou het verhogen van het zendvermogen slechts de helft van het probleem oplossen. Al zou een client een signaal ontvangen van een toegangspunt dat met een hoog vermogen uitzendt, dan zou de client mogelijk niet eens met hetzelfde zendvermogen kunnen reageren, waardoor het toegangspunt de reactie van de client dus niet kan horen. Vergelijk het maar met iemand die aan de ene kant van een voetbalveld door en megafoon schreeuwt naar iemand zonder megafoon aan de andere kant van het voetbalveld; de andere persoon kan degene met megafoon wel verstaan maar terugschreeuwen heeft weinig zin. Moderne toegangspunten en routers moeten zijn ontworpen om de Wi-Fi-ervaring te verbeteren bij consumentenapparaten die met een laag vermogen uitzenden. Aerohive heeft zijn toegangspunten met een speciaal ontworpen antenne uitgerust die de ontvangstgevoeligheid verbetert, waardoor de toegangspunten van Aerohive het zendsignaal kunnen horen van apparaten met een laag vermogen, zoals smartphones en tablets. Verbeterde ontvangstgevoeligheid – wel 5 dBM per band – stelt Aerohive-apparaten in staat om zendsignalen met een betere kwaliteit en minder fouten te ontvangen, waardoor de algehele snelheid van de overdracht beter is en het aantal fouten en nieuwe zendpogingen kleiner is.
De verbeterde ontvangstgevoeligheid heeft tevens als voordeel dat het bereik in het 5 GHz-spectrum veel breder is en voor meer clients beschikbaar is die ondersteuning bieden voor de 5 GHz-band, waardoor de intensief gebruikte en vaak overbelaste 2,4 GHz-band wordt ontzien en de overdracht in beide frequentiebanden sneller verloopt. Alles bij elkaar zorgen intelligentere toegangspunten in combinatie met in de cloud beheerde, gezamenlijke besturingssoftware voor een betere Wi-Fi-ervaring op alle soorten apparaten, of het nu om consumentenapparaten of anderszins gaat.
Efficiënt beheer van BYOD-apparaten Een ander belangrijk probleem waar beheerders mee te maken krijgen met al deze extra apparaten in het netwerk is hoe zij deze apparaten beheren en volgen. Als de apparaten moeite hebben om verbinding met de resources te maken, wordt in veel gevallen de IT-beheerder gebeld met een klacht over het netwerk. Het kan per slot van rekening nooit aan het apparaat zelf liggen want dat werkt altijd goed, toch? Aerohive heeft diverse functies in de toegangspunten en routers ingebouwd waardoor al deze apparaten eenvoudiger te beheren en volgen zijn, en waardoor problemen gemakkelijker op te lossen zijn.
Copyright ©2012, Aerohive Networks, Inc.
9
De eerste stap bij problemen met clients die verbinding met het netwerk maken is om vast te stellen of er eigenlijk wel sprake is van een probleem. Alhoewel veel IT-professionals deskundig zijn op het gebied van netwerken, hebben ze niet altijd verstand van de zend- en ontvangstcomponenten in apparaten. Het achterhalen van de oorzaak waarom overdrachten opnieuw worden uitgezonden, waarom CRCfouten optreden en welke snelheden compatibel zijn, is voor de meeste IT-beheerders abracadabra. De functie Client Health van Aerohive is speciaal ontwikkeld om het volgen van verbonden clients te vereenvoudigen. Deze functie bepaalt automatisch de best mogelijke zendsnelheid voor elke client en volgt vervolgens het gedrag ervan aan de hand van statistieken en potentiële problemen met die client alvorens er een groen, geel of rood pictogram wordt weergegeven om de status van de client aan te duiden. Deze functie is er voor zowel draadloze als bekabelde clients en verstrekt ook informatie over de status van de draadloze of bekabelde verbinding, of de client wel of geen netwerkadres via DHCP kan krijgen en of de client wel of niet voldoet aan de SLA voor de desbetreffende gebruiker. Al deze informatie wordt op een uiterst eenvoudige en zichtbare manier gepresenteerd zodat clients, waaronder BYOD-apparaten, kunnen worden gevolgd.
Alleen een weergave van wat er met de clients gebeurt is al nuttig, maar aangezien de IT-afdeling met alle problemen wordt geconfronteerd waarmee clients in het netwerk te maken krijgen, heeft Aerohive ook automatisch herstel en probleembeperking in zijn producten ingebouwd. Hierdoor kan een beheerder beleid voor verbonden clients opstellen met een afzonderlijk beleid voor door de werkgever verstrekte apparaten en BYOD- of gastapparaten, en als de status van een client onder een bepaalde minimumwaarde valt, kunnen de Aerohive-apparaten automatisch aanvullende resources aan de desbetreffende client beschikbaar stellen. Zo kan een client naar een andere ondersteunde radio worden geleid, kan er load balancing plaatsvinden voor het verkeer tussen de client en een ander toegangspunt en kan zelfs de zendtijd bij trage overdrachten worden verlengd en nieuwe overdrachtpogingen door de desbetreffende client worden voorkomen als de client om welke reden dan ook niet aan de geconfigureerde SLA-prestatiedoelstelling kan voldoen. Hierdoor kan een beheerder zich met de overige problemen in de wereld bezighouden in plaats van zich zorgen maken over alle potentiële problemen met verbonden clients.
BYOD-apparaten inzetten als productiviteitsinstrument Laten we even uitgaan van een ideale wereld waarin alle verbonden clients feilloos werken, het netwerk optimaal presteert en elke gebruiker helemaal tevreden is met zijn of haar mogelijkheden om met elk gewenste apparaat verbinding met het netwerk te maken en dat iedereen de juiste machtigingen van de beheerder heeft gekregen. Dan nog zouden gebruikers van BYOD-apparaten en dan met name gebruikers van door de werkgever verstrekte apparaten daarmee toegang willen hebben tot resources en services in het netwerk, en daarmee willen kunnen werken. Printen en projecteren zijn twee veelgehoorde verzoeken in dit verband, en dat betekent dat het BYOD-beleid ook hierin moet voorzien om een echt servicegerichte netwerkoplossing te kunnen bieden, waarbij het
10
Copyright ©2012, Aerohive Networks, Inc.
BYOD en verder: Hoe u BYOD omzet in productiviteit netwerk clients helpt bij het vinden van de gewenste resources zonder dat de IT-afdeling hierbij een actieve rol speelt. Als we in zijn algemeenheid naar BYOD kijken, zien we dat 72% van de apparaten die gebruikers meebrengen naar kantoor om mee te werken Apple-apparaten zijn.4 Producten van Apple en dan met name iOS vertrouwen op Bonjour “Zero Configuration” om de beschikbare resources in het netwerk te vinden, zoals printers of Apple TV's die aan een projector zijn gekoppeld. Bonjour is een protocol dat voor zijn werking is gebaseerd op multicast DNS (mDNS). Meer informatie over hoe dit protocol werkt, vindt u in het artikel over de Bonjour Gateway-oplossing5. Een van de problemen met mDNS is de beperking tot één enkel broadcast-domein (virtueel LAN). Als een beheerder BYOD-beleidsregels heeft opgesteld die voorschrijven dat clients via VLAN's van het bedrijfsnetwerk moeten worden gescheiden, dan is dit direct een probleem voor een productief gebruik van het netwerk. Aerohive heeft Bonjour Gateway ontwikkeld zodat gebruikers in elk VLAN de Bonjour-compatibele resources in het netwerk kunnen vinden en gebruiken, ongeacht waar in het netwerk deze resources zich bevinden. Bonjour Gateway kan zodanig worden geconfigureerd dat alle services worden doorgelaten of dat het aankondigen en ontdekken van Bonjour-resources met de ingebouwde filtermogelijkheden wordt beperkt op basis van identiteit, locatie en type apparaat.
Dankzij het leiderschap van Aerohive op het gebied van service-aware networking kunnen alle apparaten in het netwerk productief worden ingezet. Bovendien kunnen beheerders met ingebouwde DHCP-proxy's en RADIUS-functies BYOD-apparaten en door de werkgever verstrekte apparaten blijven voorbereiden op gebruik van netwerkbronnen overal in de onderneming.
Het netwerk voorbereiden op een hoge BYOD-dichtheid Nu de apparaten verbinding kunnen maken met het netwerk en als productieve clients kunnen worden gebruikt, verplaatst de aandacht zich naar het reguliere onderhoud. Veel consumentenapparaten die als BYOD-apparaten worden gebruikt, met name mobiele telefoons, zijn beperkt tot het Wi-Fi-spectrum van 2,4 GHz. Dit kan grote problemen veroorzaken in netwerken die zijn ontworpen voor een beperkt aantal clients of netwerken die hun capaciteitsgrenzen al bijna hebben bereikt. Gelukkig heeft Aerohive diverse voorzieningen ontwikkeld om implementaties met een hoge dichtheid te ondersteunen en om problemen op te lossen die kunnen ontstaan in een omgeving waarin het leeuwendeel van de apparaten elkaar beconcurreren op bandbreedte.
4
Dimensional Research, “Consumerization of IT: A Survey of IT Professionals” 2011
5
http://www.aerohive.com/pdfs/Aerohive-Solution_Brief-Bonjour_Gateway.pdf
Copyright ©2012, Aerohive Networks, Inc.
11
Uit recente berichten over 802.11ac is duidelijk geworden dat het 2,4 GHz-radiospectrum officieel de grenzen van zijn mogelijkheden heeft bereikt. Het aantal kanalen is beperkt en het algehele overgebruik van allerlei Wi-Fi-apparaten en andere dan 802.11-apparaten is er de oorzaak van dat gigabit Wi-Fi niet wordt geïntroduceerd voor de 2,4 GHz-band, dit in tegenstelling tot de 5 GHz-band. Aangezien veel van de apparaten die zich nu op de markt bevinden alleen ondersteuning bieden voor deze band is het belangrijk dat fabrikanten van Wi-Fi-apparatuur voldoende functionaliteit bieden om om te gaan met de toenemende drukte van dit overbelaste deel van het radiospectrum. Aerohive heeft talloze functies in HiveOS opgenomen om om te gaan met de hoge dichtheid in de band, waaronder de mogelijkheid om clients die ondersteuning bieden voor 5 GHz uit het overbelaste spectrum van 2,4 GHz om te leiden. Een ander belangrijk feit van Aerohive is dat als in zeldzame gevallen waarin het 2,4 GHz-spectrum om wat voor reden dan ook (storing, overbelasting, enz.) betere prestaties levert dan 5 GHz Aerohive intelligent genoeg is om clients om te leiden naar de band die het minst belast is. HiveOS kan ook op efficiënte wijze load balancing toepassen op clients voor toegangspunten in dezelfde hive, of groep met Cooperative Control-toegangspunten. Zelfs als al uw gebruikers hun BYOD-apparaten met het netwerk verbinden en in de vergaderzaal plaatsnemen, dan nog zal HiveOS het netwerkverkeer van de clients evenwichtig verdelen over de beschikbare toegangspunten om ervoor te zorgen dat geen enkel toegangspunt wordt overbelast door de verbindingen van de clients.
Een ander probleem dat vaak speelt bij grote aantallen BYOD-apparaten is het eerlijk implementeren van beleidsregels. Om dit te kunnen doen voor apparaten in het netwerk mag de beheerder eigenlijk geen restricties opleggen voor wat betreft de apparaten die gebruikers meebrengen. Het zou immers niet eerlijk zijn als alleen degenen die zich een nieuwe iPad kunnen veroorloven die ondersteuning biedt voor het snelle 802.11n-protocol met hun apparaten verbinding mogen maken. De beheerder en het netwerk moeten dus toestaan dat een bepaald aantal gebruikers nog steeds hun 802.11b-netbook mag meebrengen om draadloos verbinding met het netwerk te maken. Dit betekent dat het netwerk dus rekening moet houden met lagere snelheden en minder efficiënte legacy apparaten. Dankzij Dynamic Airtime Scheduling van Aerohive wordt automatisch de maximale snelheid bepaald die door elke client wordt ondersteund. Dit gebeurt op basis van het type client en de afstand tot het toegangspunt waarmee de client verbinding heeft gemaakt. Vervolgens wordt de beschikbare tijd evenwichtig over de clients verdeeld. Voorbij zijn de dagen dat één trage client het hele draadloze netwerk vertraagt. HiveOS houdt voortdurend de maximale mogelijkheden van elke client in de gaten en zorgt ervoor dat het netwerk optimaal en met de hoogst mogelijke snelheden functioneert. Als een client een vastgestelde SLA echter niet kan waarmaken, kan HiveOS dit direct en automatisch oplossen door meer tijd toe te wijzen om de client de gelegenheid te geven zijn prestaties in overeenstemming met de SLA te brengen.
12
Copyright ©2012, Aerohive Networks, Inc.
BYOD en verder: Hoe u BYOD omzet in productiviteit
Hogere verwachtingen Al deze functies en voorzieningen samen betekenen dat Aerohive de markt voor bedrijfsnetwerken aanzienlijk heeft veranderd. Voorbij zijn de dagen dat bedrijfsnetwerken alleen werden ontworpen voor apparaten die uitsluitend door de werkgever werden verstrekt. Dankzij Aerohive kunnen nu ook eenvoudig consumentenapparaten en BYOD-apparaten verbinding maken met het bedrijfsnetwerk. Ook is de manier gewijzigd waarop de IT-afdeling het netwerk beheert en waarop gebruikers met het netwerk omgaan waarmee deze apparaten verbinding maken. Naarmate er meer en meer apparaten aan het netwerk worden toegevoegd, wordt het van essentieel belang dat uw netwerkoplossing op efficiënte wijze schaalbaar is en op bedrijfsniveau toegang geeft tot alle apparaten, zelfs consumentenapparaten. Dit wordt nog belangrijker naarmate mobiele apparaten nog sneller en efficiënter worden, en de verwachtingen van gebruikers voor wat betreft wat zij altijd en overal moeten kunnen alleen maar toenemen. Dankzij de Cooperative Control-architectuur van Aerohive kunnen beheerders een netwerk ontwerpen voor de apparaten van vandaag en die van morgen, waardoor uw investering echt toekomstbestendig is en klaar is voor de volgende golf mobiele gebruikers en apparaten. Onze op maat ontworpen servicegerichte netwerkinfrastructuur zorgt voor netwerken met hoge prestaties of u nu een scanner van 10 jaar geleden aansluit of de nieuwste 802.11ac gigabit Wi-Fi-client. Aerohive levert cloud-enabled netwerken met decentrale intelligentie die mobiele apparaten beheren, kan de enorme toename van BYOD-apparaten opvangen, en vereenvoudigt het ingewikkelde bedrijfsnetwerkprobleem van hoe om te gaan met supersnelle mobiele apparaten. Ontdek de Cooperative Control-architectuur van Aerohive en de toonaangevende functies en voorzieningen die ervoor zorgen dat Wi-Fi productief wordt gebruikt. Ga naar www.aerohive.com voor meer informatie over BYOD en 'Consumerization of IT', en welke gevolgen deze ontwikkelingen hebben voor bedrijfsnetwerken. Registreer u voor een demo en stel uw eigen plan op om uw netwerk opnieuw te ontwerpen en voorbereid te zijn op de volgende golf slimme apparaten. Hive On!
Copyright ©2012, Aerohive Networks, Inc.
13
Over Aerohive Aerohive Networks verlaagt de kosten en complexiteit van de netwerken van vandaag dankzij cloud-enabled, decentrale Wi-Fi- en routeringsoplossingen voor ondernemingen en middelgrote bedrijven, waaronder nevenvestigingen en telewerkers. Dankzij de bekroonde Cooperative Control-architectuur voor Wi-Fi-apparaten, openbaar of persoonlijk cloud-enabled netwerkbeheer, en de routering- en VPN-oplossingen van Aerohive behoren kostbare controllers en 'single points of failure' tot het verleden. Hierdoor beschikken klanten over een betrouwbare missiekritische infrastructuur met modulaire beveiliging, afdwingbare beleidsregels en de mogelijkheid om klein te beginnen en daarna zonder beperkingen uit te breiden. Aerohive is opgericht in 2006 en heeft zijn hoofdvestiging in Sunnyvale, Californië. De onderneming heeft onder meer de volgende investeerders: Kleiner Perkins Caufield & Byers, Lightspeed Venture Partners, Northern Light Venture Capital en New Enterprise Associates, Inc. (NEA).
Hoofdvestiging Aerohive Networks, Inc. 330 Gibraltar Drive Sunnyvale, Californië 94089, Verenigde Staten van Amerika Telefoon: 408.510.6100 Gratis telefoonnummer: 1.866.918.9918 Fax: 408.510.6199
[email protected] www.aerohive.com
Internationaal hoofdkwartier Aerohive Networks Europe LTD The Court Yard 16-18 West Street Farnham, Surrey, GU9 7DR, Verenigd Koninkrijk + 44 (0) 1252 736590 Fax: + 44 (0) 1252 711901 WP1206011
