Bring Your Own Device (And be happy with it)
Bedrijfstelefonie
ICT services
Mobiele communicatie
Beveiliging
Agenda • Wat is BYOD? En waar komt het vandaan?
• BYOD feiten en trends Nu en binnenkort
• De IaaS service-benadering Een nieuw infrastructuur model
• (Groei)modellen Het gekozen beleid bepaalt de netwerkinrichting
• Praktische uitdagingen De zweetparel van elke beheerder
• Technische benadering Oplossingsbreed denken
• Oplossingsrealisatie Het groeimodel praktisch toegepast
Bedrijfstelefonie
ICT services
Mobiele communicatie
Beveiliging
Wat is BYOD? En waar komt het vandaan? Draagbare ‘Smart Devices’ zijn directe oorzaak: • Netbooks • Smartphones • Tablets Deze worden gebruikt om contact te maken met het internet en het bouwen van persoonlijke clouds door applicaties te kiezen die hun persoonlijke productiviteit ondersteunen. Tevens wordt men er afhankelijk van. De cloud wordt belangrijker voor werknemers/gebruikers dan de PC. Gebruikers realiseren dat deze persoonlijke clouddiensten ook gebruikt kunnen worden in hun educatieve en/of professionele carrière.
Bedrijfstelefonie
ICT services
Mobiele communicatie
Beveiliging
Wat is BYOD? En waar komt het vandaan? Men gebruikt de applicaties • Op een voor henzelf geoptimaliseerde en gepersonaliseerde manier • Wanneer men maar kan en raakt hieraan gewend (dus ook op het werk) MKB en enterprise ondersteunende fabrikanten brengen producten en diensten meer en meer naar cloudachtige benaderingen. Bijvoorbeeld:
Bedrijfstelefonie
ICT services
Mobiele communicatie
Beveiliging
Wat is BYOD? En waar komt het vandaan? Als organisatie kan men: • Weigeren • Toestaan
Toestaan is de beste optie met het oog op de toekomst. Toestaan vereist een effectieve benadering van de IT-afdeling met betrekking tot de dragende infrastructuur.
Bedrijfstelefonie
ICT services
Mobiele communicatie
Beveiliging
BYOD feiten en trends Nu en binnenkort 45 %
120 % Groei in tablet-gebruik binnen enterprise-markt
Van de gebruikers vindt eigen persoonlijke device bruikbaarder dan dat van de organisatie
50 %
27 %
Van de gebruikers zal een smartphone of tablet gebruiken voor e-mail
Van de gebruikers wil betalen om eigen device op het netwerk te mogen gebruiken
87 %
90 %
Mobiele penetratie in 2011
Bedrijfstelefonie
ICT services
Van de bedrijven zal corporate apps ondersteunen op persoonlijke devices
Mobiele communicatie
Beveiliging
IaaS benadering Nieuw infrastructuur-model Infrastructure as a Service Omgevingen waar BYOD wordt ondersteund of ondersteund gaat worden, dienen de traditionele wijze van het aanbieden van netwerkdiensten te herzien.
Een IaaS-infrastructuur die BYOD ondersteunt, dient: • Diensten niet enkel vast te koppelen aan specifieke apparaten • Onafhankelijk te kunnen zijn ten opzichte van het aangesloten device • Dit bij voorkeur zowel bedraad als draadloos te ondersteunen • Een optimale applicatie-/ eindgebruikerservaring te bieden • Veiligheid te bieden voor zowel de gebruikers alswel de infrastructuur
Een vooraf uitgewerkt beleid is hierbij onontkoombaar!!! Bedrijfstelefonie
ICT services
Mobiele communicatie
Beveiliging
(Groei)modellen Gekozen beleid bepaalt netwerkinrichting Voordelen • Het snel ondersteunen van gebruikersbehoeften • Productiviteit verhogen (Cloud diensten voor iedereen direct beschikbaar) • Kostenreductie (bijvoorbeeld het niet hoeven voorzien in enduser-devices)
NIET TOESTAAN
BEPERKEN
VERTROUWEN
OMARMEN
Alleen eigen devices
Internet en beperkte Resources
Volledige toegang
Any device, any location access
IT toegewezen devices
Beperkte BYOD devices
Gedifferentieerde BYOD devices
Meerdere BYOD devices per user
IT managed devices
User managed devices
IT provisioned, user managed devices
IT and user provisioned
Implementatie
Bedrijfstelefonie
ICT services
Meting
Mobiele communicatie
Aanpassing
Beveiliging
Praktische uitdagingen • Wat bevindt zich op ons netwerk? • Het herkennen van devices is key • Kan men bijvoorbeeld bepaalde (ongewenste) devices weigeren? • Wie bevindt zich op ons netwerk? • Kan ik bepalen wie toegang krijgt? • Kan ik privileges toekennen aan groepen gebruikers? • Wat doet men op ons netwerk? • Hoe voorkom ik ongewenst verkeer/gedrag? (Verantwoordelijkheden!!) • Kan ik kwaliteitsgaranties inbouwen? • Hoe kan ik snel aanpassingen maken op basis van trends die ontstaan? Device control
Bedrijfstelefonie
Authenticatie/Authorisatie
ICT services
Mobiele communicatie
Control/reporting
Beveiliging
Technische benadering Oplossingsbreed denken Oplossingen bestaan uit de combinatie van componenten die het gekozen beleid ondersteunen: • Maak zoveel mogelijk gebruik van industriestandaarden • Koppel zoveel mogelijk aan de bestaande authenticatie omgeving (AD) • Houd rekening met latere uitbreiding van het dienstenportfolio Praktische zaken • Beveiligen tegen aansluiten van ongewenste apparatuur • Switches • Accesspoints • Beveiligen tegen ongewenste verkeersstromen • DHCP/DNS • Routing-invloeden • Destructieve protocollen Bedrijfstelefonie
ICT services
Mobiele communicatie
Beveiliging
Oplossingsrealisatie Groeimodel praktisch toegepast Role-Based Access Control Directie
Personeel
SSID-Based Access Control Virtual AP 1 SSID: Bedrijf
Access Rights RADIUS LDAP AD
Directie
Personeel Bedrijfsmiddelen Cloudservices Voice
Voice
Domotica/Video
Virtual AP 2 SSID: Gast
Video Secure Tunnel To DMZ
Gasten Captive Portal
Gasten (externen)
Bedrijfstelefonie
DMZ
ICT services
Mobiele communicatie
Beveiliging
Technische benadering Oplossingsbreed denken • Gebruiker Management Ondersteun gelijktijdig gasten en medewerkers • Identificeer medewerkers middels meerdere methoden • Gastregistratie- en management • Device Management Ondersteun alle devices • iOS, MacOSX, Windows en Linux • Android en HTML 5 • Device profiling en registratie voor agentless devices • Authorization • Policies die gebruikers, devices en audits combineren • Uitgebreide policies die met meerdere attributen overweg kunnen
Bedrijfstelefonie
ICT services
Mobiele communicatie
Beveiliging
Oplossingsrealisatie Groeimodel praktisch toegepast 4
3 Switch stuurt het verkeer naar de NAC policy server en de remediation server
1
2
Personeel, directie of gast verbindt met het netwerk
De switch verzorgt de authenticatie en het gebruikersprofiel. Ook wordt gekeken of HIC nodig is voor de gebruiker
NAC policy server ontvangt een HIC rapport van de NAC Agent and informeert de switch of het apparaat door mag of niet.
CyberGatekeeper Policy Server
Remediation Server(s)
802.1x, MAC, Captive Portal)
5 802.1x User
Bij goedkeuring van HIC, wordt door de switch het verkeer selectief doorgelaten volgens een policy in het gebruikersprofiel.
Access Switch Regular LAN User
Bedrijfsnetwerk Clouddiensten
Guest
Bij afkeuring door de HIC zal de switch alleen verkeer naar de remediation server toelaten.
DMZ Resident or On-demand Agent Continuous Surveillance
Bedrijfstelefonie
ICT services
Mobiele communicatie
Beveiliging
Dynamic User Network Profiles #2 Client wordt geauthenticeerd en geaudit.
#5 Client krijgt toegang op basis van het correcte profiel.
X
#3 Authenticatieserver zoekt in groepen en domeinen.
AuthServ
HIC Server
Domain OmniSwitch
#4 HIC server haalt gebruikers/groeps informatie op en update het profiel.
#1 De switch herkent een nieuwe client en geeft deze een standaard (beperkt) profiel en registreert het MAC adres by de HIC server.
Een naadloos NAC proces dat gebruik maakt van Windows Login en geen 802.1x vereist Bedrijfstelefonie
ICT services
Mobiele communicatie
Beveiliging
Voorbeeld – Bezoeker met tablet Gebruiker is geen medewerker User
Jan V.
Device
iPad
Compliance Req’d
Yes
Compliance passed
Access group
Internet
HIC Server
Sponsor
Netwerk access laag Bedrijfsnetwerk Clouddiensten
Bedrijfstelefonie
ICT services
Mobiele communicatie
Beveiliging
Voorbeeld – Medewerker met tablet Gebruiker is wel een medewerker User
Anneke
Device
Compliance Req’d
iPad
No
Compliance passed
Access group
Student
CyberGatekeeper
Netwerk accesslaag Bedrijfsnetwerk Clouddiensten
Bedrijfstelefonie
ICT services
Mobiele communicatie
Beveiliging
Voorbeeld – Netwerkapparatuur User
N/A
Device
Compliance Req’d
Printer
No
Compliance passed
Access group
PrintSRV
CyberGatekeeper
Netwerk accesslaag Bedrijfsetwerk
Bedrijfstelefonie
ICT services
Mobiele communicatie
Beveiliging
Bedrijfstelefonie
ICT services
Mobiele communicatie
Beveiliging
Voorbeeld – Policy violation Handheld device voldoet neit aan de gestelde criteria (jailbroken)
Bedrijfstelefonie
ICT services
Mobiele communicatie
Beveiliging
Geïnteresseerd in een vrijblijvend advies?
Bel: 0594-588588
Bedrijfstelefonie
ICT services
Mobiele communicatie
Beveiliging