Cisco Bring Your Own Device Zelf bepalen welk device u gebruikt, zonder inbreuk op het IT-netwerk te maken. Laatst bijgewerkt: juni 1, 2012
2
Cisco Validated Design
Informatie over de
Informatie over de auteurs:
Neil Anderson, directeur Systeemarchitectuur, SDU (Systems Development Unit), Cisco Systems
Neil Anderson
3
Neil is directeur Systeemarchitectuur bij Cisco en geeft al meer dan 10 jaar leiding bij het ontwikkelen van systemen bij Cisco. Hij heeft meer dan 25 jaar ruime ervaring met systemen, waaronder openbare telefoonnetwerken, systemen voor mobiele telefoons en IP–netwerken. Bij Cisco houdt Neil zich vooral bezig met netwerkarchitectuur voor grote ondernemingen. Dit houdt onder meer in: routing, switching, draadloze devices en mobiliteit, beveiligingstechnologie, videotechnologie en opkomende technologieën. Neil is eveneens de coauteur van de vijf boeken in de serie Networking Simplified, die is uitgegeven door Cisco Press.
ALLE ONTWERPEN, SPECIFICATIES, VERKLARINGEN, GEGEVENS EN AANBEVELINGEN (GEZAMENLIJK 'ONTWERPEN') IN DEZE HANDLEIDING WORDEN AANGEBODEN 'IN DE HUIDIGE STAAT' MET ALLE ONVOLKOMENHEDEN. CISCO EN HAAR LEVERANCIERS WIJZEN ALLE GARANTIES AF, WAARONDER, MAAR NIET BEPERKT TOT, GARANTIE VAN VERHANDELBAARHEID, GESCHIKTHEID VOOR EEN BEPAALD DOEL EN HET NIET–INBREUK MAKEN VAN, OF GARANTIES VOORTKOMENDE UIT TRANSACTIES, GEBRUIKS- OF HANDELSPRAKTIJK. IN GEEN GEVAL IS CISCO OF ZIJN DE LEVERANCIERS VAN CISCO AANSPRAKELIJK VOOR INDIRECTE SCHADE, GEVOLGSCHADE, SPECIALE SCHADE OF INCIDENTELE SCHADE, WAARONDER, MAAR NIET BEPERKT TOT, WINSTDERVING OF VERLIES VAN OF SCHADE AAN GEGEVENS VOORTKOMEND UIT HET GEBRUIK VAN OF HET NIET KUNNEN GEBRUIKEN VAN DE ONTWERPEN, ZELFS ALS CISCO OF EEN CISCO-LEVERANCIER OP DE HOOGTE IS GESTELD VAN DE MOGELIJKHEID VAN DERGELIJKE SCHADE. DE ONTWERPEN KUNNEN ZONDER KENNISGEVING WORDEN GEWIJZIGD. GEBRUIKERS ZIJN UITSLUITEND VERANTWOORDELIJK VOOR HUN EIGEN TOEPASSING VAN DE ONTWERPEN. DE ONTWERPEN VORMEN GEEN TECHNISCH OF ANDER PROFESSIONEEL ADVIES VAN CISCO, HAAR LEVERANCIERS OF PARTNERS. GEBRUIKERS DIENEN HUN EIGEN TECHNISCHE ADVISEURS TE RAADPLEGEN VOORDAT ZIJ DE ONTWERPEN IMPLEMENTEREN. RESULTATEN KUNNEN AFWIJKEN VANWEGE FACTOREN DIE NIET DOOR CISCO ZIJN GETEST. De Cisco-implementatie van TCP-headercompressie is een aanpassing van een programma dat door de University of California in Berkeley (UCB) is ontwikkeld als onderdeel van een gratis versie van het besturingssysteem Unix. Alle rechten voorbehouden. Copyright © 1981, Regents of the University of California. Cisco en het Cisco-logo zijn handelsmerken van Cisco Systems, Inc. en/of van Cisco–dochterondernemingen in de VS en andere landen. U kunt een lijst met handelsmerken van Cisco vinden op http://www.cisco.com/go/trademarks. De genoemde handelsmerken van derden zijn eigendom van hun respectieve eigenaren. Het gebruik van het woord partner impliceert geen partnerschap tussen Cisco en enig ander bedrijf. (1005R) Alle IP-adressen en telefoonnummers die in dit document worden gebruikt, zijn geen werkelijke adressen en telefoonnummers. Alle voorbeelden, weergaven van opdrachten en cijfers die in dit document zijn opgenomen, zijn alleen bedoeld ter illustratie. Eventueel gebruik van werkelijke IP-adressen en telefoonnummers ter illustratie is onbedoeld en toevallig. Cisco Bring Your Own Device © 2012 Cisco Systems, Inc. Alle rechten voorbehouden.
4
Cisco Bring Your Own Device Inleiding Bring Your Own Device (BYOD) is een van de toonaangevendste trends geworden waarmee alle IT-afdelingen te maken hebben gehad of nog zullen krijgen. Met deze term wordt een megatrend gedefinieerd die zich voordoet in de IT en waarvoor ingrijpende veranderingen nodig zijn in het gebruik van devices op de werkvloer. Wat is BYOD? Betekent dit dat werknemers hun eigen device moeten betalen dat zij gebruiken voor het werk? Dat is mogelijk, maar de BYOD–trend omvat veel meer. BYOD heeft betrekking op eindgebruikers die de door hen gewenste computers en communicatiedevices kunnen gebruiken om productiviteit en mobiliteit te vergroten. Dit kunnen devices zijn die zijn aangeschaft door de werkgever, werknemer of door beide. BYOD betekent: alle devices, van welke eigenaar dan ook, die overal worden gebruikt. In dit artikel wordt besproken hoe deze trend van invloed is op bedrijven, wordt onderzocht welke uitdagingen daardoor ontstaan voor de IT–afdeling en worden de Cisco®–technologieën besproken die deel uitmaken van de oplossing. Cisco biedt een uitgebreide architectuur om deze uitdagingen aan te gaan. Daardoor hebben eindgebruikers de vrijheid om het door hen gewenste device mee te nemen naar het werk, terwijl de IT–afdeling nog steeds het beheer van de devices heeft om de beveiliging zeker te stellen en gegevensverlies te voorkomen.
Businessdrivers Voor een goed begrip van de uitdagingen die BYOD met zich meebrengt, is het nuttig om op de hoogte te zijn van de bedrijfstrends die de aanzet vormen tot toepassing van BYOD.
Hoofdkantoor: Cisco Systems, Inc., 170 West Tasman Drive, San Jose, CA 95134-1706, VS
Copyright © 2012 Cisco Systems, Inc. Alle rechten voorbehouden.
Businessdrivers
Consumentendevices In het verleden verschaften werkgevers desktop– en laptopcomputers die doorgaans de meest geavanceerde devices waren waartoe een werknemer toegang had. Met de explosie aan consumentendevices, waaronder laptops, netbooks, tablets, smartphones en e–readers hebben werknemers de beschikking over enkele van de meest geavanceerde productiviteitshulpmiddelen voor privégebruik. Werknemers vroegen al snel aan hun IT–afdeling: Waarom kan ik deze geweldige productiviteitshulpmiddelen niet op het werk gebruiken? Veel IT–afdelingen wezen het idee in eerste instantie af om beveiligingsreden en vanwege het ontbreken van uitbreidingsmogelijkheden voor het goedkeuren en ondersteunen van meer dan enkele devices. Afbeelding 1
Verkoop van pc's en andere devices dan pc's, 2011 (miljoen). Bron: Deloitte, 2011
40
50
Pc Desktops
Andere devices Tablets
200
Laptops
Smartphones 375
Netbooks
292182
150
In het afgelopen jaar heeft de aanhoudende vraag van eindgebruikers om hun tablets en smartphones te gebruiken voor verhoging van hun productiviteit (zelfs wanneer zij deze zelf moesten aanschaffen) ertoe geleid dat veel IT–afdelingen een minder streng beleid in verband hiermee zijn gaan voeren. Werknemers kregen de beschikking over basisconnectiviteit of, in toenemende mate, volledig toegang tot het IT–netwerk en bedrijfstoepassingen. Deze trend is onomkeerbaar en elke IT–afdeling zal zich snel moeten aanpassen aan het verschijnsel consumentendevice.
Meerdere behoeften en meerdere devices Veel mensen hadden een desktop-pc of een laptop en daarnaast een mobiele telefoon voor telefoongesprekken. Mobiele telefoons zijn grotendeels vervangen door smartphones waarop toepassingen kunnen worden uitgevoerd en die over internettoegang en een camera beschikken. Veel smartphones en tablets zijn net zo krachtig en effectief als laptops en pc's en voorzien in een nieuw soort gebruik en nieuwe toepassingen. Er wordt verwacht dat in de toekomst één device zal worden gebruikt dat in alle behoeften voorziet: als computer, voor communicatie en toepassingen. Momenteel denken echter de meeste mensen dat er verschillende devices blijven die elk geschikt zijn voor bepaald gebruik. Een laptop is bijvoorbeeld niet zo makkelijk draagbaar als een smartphone en dus gebruiken mensen eerder hun smartphone voor mobiele communicatie. Tablets zijn ook krachtige devices, maar het is aannemelijk dat laptops en pc's gebruikt blijven worden voor het maken en publiceren van documenten. Dit betekent dat mensen waarschijnlijk meerdere devices bij zich hebben en gebruiken. Het is minder waarschijnlijk dat er één multifunctioneel device zal worden gebruikt.
Cisco Bring Your Own Device
6
Businessdrivers
Afbeelding 2
Verscheidenheid aan devices
Het gevolg van deze trend is dat veel meer devices door één werknemer of persoon op het netwerk worden aangesloten, vaak tegelijk, en dat dit waarschijnlijk zal leiden tot een grote toename van aangesloten devices in het algemeen.
Overlapping van werk en privé Werk is steeds meer een activiteit die door mensen wordt uitgevoerd, niet iets waar mensen naartoe gaan. Uitgebreide connectiviteit via mobiele en externe toegang tot het bedrijfsnetwerk biedt werknemers enorme flexibiliteit en verhoogde productiviteit. Dit leidt ook tot vervaging van de grens tussen werk– en privétijd. Werknemers ruilen vaste werktijden in voor flexibele werktijden waarbij werktaken en persoonlijke taken vaak worden verweven. Een neveneffect van deze flexibiliteit is dat gebruikers waarschijnlijk geen privé– en werkdevices bij zich willen hebben en van het ene naar het andere device willen overschakelen. De meeste werknemers willen één smartphone, tablet of laptop kunnen gebruiken voor zowel werk– als privétaken en willen daarnaast geen bedrijfsdevices bij zich hoeven te hebben. Het is niet duidelijk wie de eigenaar van het device is. Veel werknemers zijn bereid om bijvoorbeeld hun eigen tablet of smartphone te gebruiken voor toegang tot werktoepassingen. Veel werkgevers overwegen het toepassen van subidiëringsprogramma's (of hebben dit al gedaan), waarbij een werknemer geld krijgt voor devices. De werknemer dient echter zelf de gewenste devices aan te schaffen. Het effect van deze overlapping van tijd en devices is dat bedrijfsgegevens en privégegevens in toenemende mate worden vermengd, wat tot beveiligings– en privacyproblemen leidt.
Overal en altijd mobiliteit Er wordt verwacht dat het aantal mobiele devices en het verkeer dat hierdoor ontstaat, tussen 2010 en 2015 tot 26 keer groter zal worden. Dit wordt veroorzaakt door krachtigere smartphones en tablets met gebruikers die internettoegang nodig hebben voor toepassingen. Realisatie hiervan betekent een explosieve uitbreiding van WiFi–netwerken door werkgevers, van 3G– en 4G–netwerken door mobiele providers en van openbare WiFi–netwerken door winkeliers, gemeentelijke overheden enzovoort.
Cisco Bring Your Own Device
7
Businessdrivers
Afbeelding 3
Voorspelling van mobiele gegevens wereldwijd 2010-2015 (Bron: Cisco Visual Networking Index, 2011)
92% CAGR 2010-2015
Terabytes per maand 6.000.000
6.3 EB
3.8 EB 3.000.000 2.2 EB 1.2 EB 0.6 EB
0 2010
2011
2012
2013
2014
2015
292184
0.24 EB
Hoe meer werknemers moeiteloos toegang tot hun werk hebben via WiFi– en mobiele netwerken, hoe meer verbreid deze netwerken raken, waardoor meer toegang mogelijk wordt gemaakt. Het eindresultaat is overal en altijd een algemeen verspreide connectiviteit, wat betekent dat meer devices vaker verbinding maken met bedrijfsnetwerken. Daardoor is de noodzaak voor beschikbaarheid (7 dagen gedurende 24 uur) van toepassingen nog groter.
Toepassingen voor video, samenwerking en multimedia Bij werk– en privécommunicatie wordt in toenemende mate gebruik gemaakt van multimedia, waardoor er een grote stijging is in de hoeveelheid video– en multimediaverkeer die het netwerk passeert. Samenwerkingstoepassingen en algemeen verspreide mobiliteit blijven leiden tot een stijgend gebruik van multimedia. Aangezien werknemers samenwerkingstoepassingen gebruiken en een mobiele werkwijze aannemen, worden de eisen die aan mobiele infrastructuren en WiFi–infrastructuren worden gesteld, steeds uitgesprokener. Een andere drijfveer van deze trend vormen de mogelijkheden die worden geïntegreerd in krachtigere consumentendevices, zoals bij HD–camera's en HD–video's. Aangezien bandbreedte en beschikbare 4G– en WiFi–services toenemen, zullen toepassingen waarbij HD–media wordt verzonden, veel gebruikt worden. De ervaringen bij veel tablets en smartphones is doorgaans Best effort, maar u kunt verwachten dat dit in de toekomst Production quality wordt. Met devices voor communicatie en samenwerking zoals de Cisco CiusTM, wordt de noodzaak van probleemloze HD–video en samenwerking nog groter
Cisco Bring Your Own Device
8
Uitdagingen voor IT–afdelingen
Uitdagingen voor IT–afdelingen Wanneer u overgaat op BYOD, gaat dit gepaard met een aantal uitdagingen voor de IT–afdeling. Veel van de voordelen van BYOD, zoals de keuzevrijheid van devices waarmee u altijd en overal toegang hebt, zijn enigszins tegengesteld aan de gangbare vereisten voor beveiliging en ondersteuning.
Keuzevrijheid en ondersteuning van devices bieden In het verleden was het gebruikelijk dat de IT–afdeling vooraf een lijst vaststelde met goedgekeurde devices voor de werkvloer: doorgaans gestandaardiseerde desktopcomputers, laptops en mogelijk zelfs een klein aantal gestandaardiseerde mobiele telefoons en smartphones. Werknemers konden uit deze devices kiezen, maar mochten over het algemeen niet afwijken van de lijst met goedgekeurde devices. Met BYOD moet de IT–afdeling het probleem op een andere manier benaderen. De ontwikkeling van devices gaat zo snel dat het onpraktisch is om alle merken en vormfactoren van devices vooraf goed te keuren. Het is eveneens enigszins onpraktisch om te verwachten dat IT–afdelingen dezelfde mate van ondersteuning hebben voor elk device dat werknemers meenemen naar hun werk. Daarom moeten de meeste IT–afdelingen op macroniveau vaststellen welke types devices wordt toegestaan voor toegang tot het netwerk. Wellicht wordt een categorie of merk hiervan uitgesloten vanwege een onaanvaardbare beveiligingsstatus of andere factoren. Er moeten ook overwegingen worden gemaakt met betrekking tot ondersteuning, zoals het overgaan op modellen die ondersteund worden door de IT–afdeling en modellen met zelfondersteuning.
Toegang tot het bedrijfsnetwerk beveiligd houden Keuzevrijheid van devices betekent niet dat dit ten koste moet gaan van de beveiliging. De IT–afdeling dient het minimale beveiligingsniveau vast te stellen waaraan elk device moet voldoen om gebruik te mogen maken van het bedrijfsnetwerk. Dit is onder meer WiFi–beveiliging, VPN–toegang en mogelijk software voor invoegtoepassingen ter bescherming tegen malware. Daarnaast is het vanwege de grote verscheidenheid aan devices belangrijk om elk device te kunnen identificeren dat verbinding maakt met het netwerk en om zowel het device als de gebruiker ervan te verifiëren.
On–boarding van nieuwe devices Bij implementatie van BYOD wordt een grote verscheidenheid aan devices gebruikt, waaronder desktop–pc's, laptops, netbooks, smartphones, tablets, e–readers en samenwerkingsdevices zoals de Cisco Cius. Het is te verwachten dat bepaalde devices bedrijfseigendom zijn en door het bedrijf worden beheerd, terwijl andere devices mogelijk door de werknemer worden aangeschaft en door de werknemer zelf worden ondersteund. On–boarding van nieuwe devices (voor de eerste keer een nieuw device meenemen naar het werk) dient eenvoudig te zijn. In het meest ideale geval worden self–servicedevices gebruikt en hoeft de IT–afdeling weinig in te grijpen. Dit geldt vooral voor devices die door de werknemer zijn aangeschaft. De IT–afdeling moet ook de mogelijkheid hebben om, indien noodzakelijk, updates naar on–boardingdevices te pushen.
Cisco Bring Your Own Device
9
Uitdagingen voor IT–afdelingen
In het meest ideale geval zijn voor on–boarding geen clients nodig, wat betekent dat er geen vooraf geïnstalleerde software is vereist. Dit heeft een bijkomend voordeel: als een selfservice on–boardingmodel met succes is geïmplementeerd, kan het probleemloos worden uitgebreid voor toegang voor gasten.
Gebruiksbeleid van het bedrijf uitvoeren Bedrijven hebben op allerlei gebied beleid dat moet worden geïmplementeerd, afhankelijk van hun branche en de regelgeving ervan en het expliciete beleid van het bedrijf zelf. Bij overgaan op BYOD moet worden voorzien in een manier om beleid uit te voeren, wat meer problemen kan opleveren bij consumentendevices zoals tablets en smartphones. Een andere complicatie is het gevolg van het combineren van privé– en werktaken op hetzelfde device. Het is aannemelijk dat smartphones worden gebruikt voor bedrijfs- en privégesprekken en dat op tablets zowel privé– als bedrijfstoepassingen zijn geïnstalleerd. Toegang tot internet, peer-to-peerbestandsdeling en het gebruik van toepassingen kan onderhevig zijn aan beleid op verschillend gebied: wanneer een gebruiker zich in zijn vrije tijd op het eigen netwerk bevindt en wanneer een gebruiker tijdens werktijd verbinding heeft met het bedrijfsnetwerk.
Zichtbaarheid van devices op het netwerk In het verleden was het gebruikelijk dat één desktop-pc of laptop van een werknemer met het netwerk was verbonden en mogelijk een IP-bureautelefoon. Als de werknemer de IT–afdeling belde voor ondersteuning, kon deze moeiteloos de computer van de gebruiker in het netwerk vinden en het probleem oplossen. Bij het overgaan op BYOD heeft elke werknemer waarschijnlijk met drie, vier of meer devices tegelijk verbinding met het netwerk. Veel devices hebben meerdere modi, waardoor het mogelijk is om over te schakelen van bekabeld ethernet naar WiFi en naar mobiele 3G–/4G–netwerken. Het is mogelijk om tijdens een sessie deze connectiviteitsmodi af te wisselen. Het is uiterst belangrijk voor de IT–afdeling om middelen te hebben waardoor alle devices zichtbaar zijn in het bedrijfsnetwerk en daarbuiten.
Gegevens beschermen en gegevensverlies voorkomen Een van de grootste uitdagingen bij een BYOD–implementatie is het garanderen van bescherming van bedrijfsgegevens. Als een bedrijfseigendom, zoals een laptop, wordt gebruikt voor toegang tot bedrijfstoepassingen en gegevens, wordt dat bedrijfseigendom doorgaans nauwlettend gecontroleerd door de IT–afdeling en is het waarschijnlijk onderhevig aan een strikter gebruiksbeleid. In bepaalde branches moet worden voldaan aan geheimhoudingsregelgeving zoals de HIPAA, (Health Insurance Portability and Accountability Act), beveiligingsregelgeving van bijvoorbeeld de PCI (Payment Card Industry) of wetgeving voor meer algemenere beveiligingsprocedures zoals de Sarbanes-Oxley–wet. Bedrijven moeten aantonen dat naleving van deze wetgeving mogelijk is wanneer wordt overgegaan op BYOD, wat een grotere uitdaging is dan naleving ervan met een bedrijfsdevice dat door het bedrijf wordt beheerd. Een tablet of smartphone die eigendom is van de werknemer, wordt waarschijnlijk gewoonlijk gebruikt voor privétoegang en bedrijfstoepassingen. Bestandsdeling in de cloud en opslagservices zijn handig voor persoonlijke gegevens, maar kunnen bronnen zijn voor het uitlekken van vertrouwelijke bedrijfsgegevens.
Cisco Bring Your Own Device
10
Uitdagingen voor IT–afdelingen
De IT–afdeling moet een strategie hebben voor het beschermen van bedrijfsgegevens op alle devices, ongeacht of dit devices zijn die door het bedrijf worden beheerd of devices die door de werknemer zelf worden ondersteund en beheerd. Deze kan bestaan uit een beveiligde bedrijfspartitie op het device die dient als opslagruimte voor bedrijfsgegevens en die nauwgezet kan worden gecontroleerd. Deze strategie kan ook de noodzaak voor een VDI–toepassing (Virtual Desktop Infrastructure) met zich meebrengen voor toegang tot gevoelige of vertrouwelijke gegevens zonder dat de gegevens op het device worden opgeslagen.
Toegang intrekken Op een bepaald moment in de levensduur van een device of het dienstverband van een werknemer kan het noodzakelijk zijn om de toegang tot het device te beëindigen. Deze noodzaak kan zich voordoen vanwege een kwijtgeraakt of gestolen device, beëindiging van het dienstverband van de werknemer of zelfs wanneer een werknemer een andere functie binnen het bedrijf krijgt. De IT–afdeling moet de mogelijkheid hebben om snel de verleende toegangsrechten voor elk device in te trekken en op afstand enkele of alle gegevens (en toepassingen) op het device te wissen.
Mogelijkheden voor nieuwe attack vectors Omdat devices met toegang tot het bedrijfsnetwerk veel mogelijkheden hebben en de IT–afdeling mogelijk niet alle devices volledig kan beoordelen, kwalificeren, en goedkeuren, zijn er mogelijkheden voor nieuwe attack vectors op het gebied van beveiliging. Veel tablets hebben bijvoorbeeld de mogelijkheid om een ad–hoc–WLAN in te schakelen. Als een geverifieerd device met andere devices is verbonden via een ad–hoc–WLAN, kan het mogelijk zijn dat niet-geverifieerde devices en gebruikers toegang krijgen tot het bedrijfsnetwerk door via het geverifieerde device een verbinding tot stand te brengen. Dit geldt ook wanneer een laptop via Bluetooth op een smartphone wordt aangesloten. De uitdaging voor de IT–afdeling is de vraag hoe het groeiende aantal te gebruiken devices en mogelijkheden kan worden toegestaan terwijl de IT–afdeling controle blijft houden op het uitvoeren van beleid, zoals het automatisch uitschakelen van een ad–hoc–WLAN–functie op een automatisch verbonden device.
Prestaties en betrouwbaarheid van draadloze LAN's garanderen Wanneer draadloze toegang algemeen verspreid is, zijn de verwachtingen op het gebied van prestaties en betrouwbaarheid hetzelfde als die voor een bekabeld netwerk. Deze verwachtingen zijn onder meer betrouwbare connectiviteit, doorvoer, reactietijden van toepassingen en in toenemende mate spraak– en videotoepassingen en overige real–time samenwerkingstoepassingen. Door deze fundamentele verandering is het een vereiste dat de IT–afdeling het serviceniveau van het WLAN–netwerk van het bedrijf wijzigt van een handigheid in een missiekritiek bedrijfsnetwerk, vergelijkbaar met het bekabelde netwerk. Het ontwerp en de gebruiksmogelijkheden van het WLAN dienen te omvatten: hoge beschikbaarheid, prestatiecontrole en –beperking en probleemloze roaming.
Cisco Bring Your Own Device
11
Uitdagingen voor eindgebruikers
De toename van verbonden devices beheren Het toenemende aantal devices dat is verbonden met het netwerk (waarbij waarschijnlijk per medewerker meerdere devices tegelijk zijn verbonden) kan leiden tot het opraken van IP–adressen, aangezien de meeste oude planningen voor IP–adressen zijn gemaakt in de veronderstelling dat er minder devices verbonden zouden zijn. Dit kan de noodzaak voor IPv6–implementaties versnellen op zowel de internet edge als in het bedrijfsnetwerk.
Uitdagingen voor eindgebruikers De vraag naar BYOD wordt grotendeels bepaald door gebruikers die zelf de devices willen kiezen die zij op hun werkplek gebruiken. Vanuit het oogpunt van de gebruiker zijn er uitdagingen waarmee deze aan de slag moet.
Houd het eenvoudig BYOD–oplossingen en –technologieën ontwikkelen zich snel. Een van de grootste uitdagingen is echter om het eenvoudig te maken om te verbinden met bedrijfsbronnen en deze te gebruiken. Het aantal mogelijkheden van de devices, de verscheidenheid aan verbindingstypen en –locaties en het ontbreken van een algemeen toegepaste aanpak vertaalt zich in moeilijkheden voor gebruikers. Voor elk devicemerk en elke vormfactor worden mogelijk enigszins verschillende stappen vereist voor on–boarding en voor het tot stand brengen van een verbinding. Beveiligingsvoorzorgsmaatregelen en –stappen kunnen eveneens afwijken, afhankelijk van de wijze waarop en de locatie waar de gebruiker probeert de verbinding tot stand te brengen. Voor de WiFi–verbinding van het bedrijf worden mogelijk aanmeldingsgegevens vereist, terwijl voor een openbare WiFi–hotspot mogelijk aanmeldingsgegevens, een virtueel particulier netwerk (VPN) en andere beveiligingsstappen zijn vereist. Uiteindelijk moet elke BYOD–oplossing zo eenvoudig mogelijk zijn voor gebruikers, op verschillende locaties een gelijksoortige ervaring bieden.
Privédevices combineren met werk BYOD biedt een combinatie van privé– en werktaken op hetzelfde device. Lijsten met contactpersonen, e-mail, gegevensbestanden, toepassingen en internettoegang kunnen uitdagingen met zich meebrengen. Gebruikers willen het liefst hun privégegevens en –activiteiten gescheiden houden van hun werk. Privéfoto's, –tekstberichten, –telefoongesprekken en het zoeken op internet in de vrije tijd moeten onderhevig zijn aan persoonlijke privacy, terwijl documenten, bestanden, toepassingen die bedrijfsgegevens gebruiken en het zoeken op internet tijdens het werk moeten voldoen aan bedrijfsbeleid. Bepaalde werkgevers vereisen dat een overeenkomst wordt ondertekend om verbinding te kunnen maken met een device van een werknemer, zodat het bedrijf naleving en acceptabel gebruiksbeleid kan controleren en anderszins kan optreden om bedrijfsgegevens te beschermen. In bepaalde gevallen kan dit onder meer het op afstand wissen van alle gegevens op het device zijn (mogelijk inclusief privégegevens), wat uiteraard tot meningsverschillen kan leiden tussen de IT–afdeling en gebruikers wanneer dit niet correct wordt beheerd.
Cisco Bring Your Own Device
12
Overwegingen bij het overgaan op BYOD
De benodigde productiviteit en ervaring realiseren Zoals al eerder genoemd, wordt de aanzet tot BYOD vooral gegeven door werknemers die willen profiteren van productiviteitshulpmiddelen die ze als consument gebruiken op hun werkplek. Bedrijven zijn blij met die productiviteit en willen ervan profiteren, maar moeten ook de juiste beveiliging en het juiste beleid toepassen om bedrijfsgegevens te beschermen. Als dergelijke beveiligingsmaatregelen te storend zijn, kan dit de toegenomen productiviteit teniet doen. Een veelgehoorde klacht is bijvoorbeeld dat bedrijven die toegang tot bedrijfstoepassingen vergrendelen via implementatie van VDI–clients op een tablet, de gebruikerervaring zodanig aantasten dat een werknemer niet het gevoel heeft dat hij/zij met een tablet werkt. VDI–clients worden waarschijnlijk beter, ook wat gebruikerservaring betreft, aangezien de implementatie van tablets en smartphones blijft toenemen.
Overwegingen bij het overgaan op BYOD Wanneer op grote schaal wordt overgegaan op BYOD, moet vooraf met een aantal overwegingen rekening worden gehouden.
Gebruikerssegmenten en behoeften van gebruikers begrijpen Het is belangrijk om te begrijpen dat er verschillende segmenten gebruikers zijn binnen een BYOD–implementatie. Het wordt onder meer aanbevolen om een gebruikerssegmentatieanalyse uit te voeren binnen het bedrijf om te begrijpen wat de behoeften zijn en welk ondersteuningsniveau is vereist. Er wordt een voorbeeld gegeven in Afbeelding 4. Gebruikerssegmenten en behoeften van gebruikers begrijpen
Administratief Callcenter/support Financiën
Leidinggevenden Verkoopvertegenwoordigers Zorgverleners
Laag
De noodzaak van mobiliteit
Hoog
292185
IT-ondersteuning Engineers Onderwijzend personeel/trainers IT-personeel Technische ondersteuning Technisch verkooppersoneel
Laag
Noodzaak voor ondersteuning
Hoog
Afbeelding 4
Elk bedrijf is verschillend. In Afbeelding 4 worden werknemersfuncties beoordeeld op de noodzaak voor mobiliteit en mobiele toepassingen en op het te verwachten vereiste ondersteuningsniveau. BYOD–implementaties zijn eenvoudig bij gebruikers die slechts een laag IT–ondersteuningsniveau nodig hebben en die waarschijnlijk self-supportcommunity's gebruiken om best practices te delen. Implementaties zijn moeilijker bij gebruikers die een grote behoefte aan mobiliteit hebben, maar ook een hoog ondersteuningsniveau nodig hebben, zoals leidinggevenden.
Cisco Bring Your Own Device
13
Overwegingen bij het overgaan op BYOD
Het uitvoeren van een gebruikerssegmentatieanalyse is nuttig voor het begrijpen van toekenningsbeleid en ondersteuningsmodellen. Bovendien kan daardoor worden voorkomen dat er frustratie ontstaat en dat de kosten het IT–budget overstijgen.
Een besluit nemen over een strategie voor het overgaan op BYOD Verschillende bedrijven hebben verschillende verwachtingen omtrent BYOD in een spectrum van overgangsscenario's. Elk bedrijf heeft een BYOD–strategie nodig, zelfs wanneer het de intentie is om alle devices te weigeren, behalve wanneer deze door de IT–afdeling zijn goedgekeurd en worden beheerd. In Afbeelding 5 wordt een aantal mogelijke overgangsscenario's weergegeven die geschikt zijn voor de meeste bedrijven. BYOD–overgangsscenario's
Limiet
Basis
Geavanceerd
Opnemen
Omgeving vereist sterke controle
Basistoegang voor aanvullende devices
Altijd en overal toegang, verbeterde beveiliging
Altijd en overal toegang door iedereen
Door IT uitgekozen devices
Groter aantal devices
Grote verscheidenheid aan devices
Grote verscheidenheid aan devices
Door IT beheerde devices met voornamelijk on-sitetoegang
Door IT beheerde devices met voornamelijk on-sitetoegang
Devices van het bedrijf en van werknemers met volledige toegang on-site en off-site
devices van het bedrijf en van werknemers met volledige toegang on-site en off-site
Alle andere devices verboden
Alleen devices van werknemers en gasten met internet
Beveiliging op het device
Beveiliging op het device
Alleen devices van gasten met internet
Aangepaste native toepassingen devices van gasten/klanten met verbeterde services
292186
Afbeelding 5
Bedrijven in branches met een hoge mate van regelgeving, zoals financiële of beveiligde overheidsinstellingen, moeten wellicht beperkt overgaan op BYOD om gevoelige gegevens te beschermen. devices moeten mogelijk nauwgezet worden gecontroleerd en beheerd, zoals altijd gebruikelijk is geweest op IT–afdelingen. Dit geldt mogelijk nog steeds voor deze instanties. Voor veel bedrijven varieert het overgaan op BYOD van het toestaan van een groter aantal devices met beperkte toegang tot toepassingen tot het volledig overgaan op BYOD, waarbij het gebruik van veel of alle soorten devices wordt gestimuleerd. Hierbij worden beveiligingsmaatregelen geïmplementeerd voor toegang tot een groot aantal bedrijfstoepassingen en –gegevens. In de ruimste betekenis gaan enkele bedrijven over tot een strategie die voorrang geeft aan mobiele devices, waarbij bij de eigen interne ontwikkeling van toepassingen prioriteit aan tablets en smartphones wordt gegeven. Hierbij wordt geprobeerd concurrentievoordeel te behalen door een groot aantal productiviteitshulpmiddelen en devices samen te brengen. Begrijpen waar uw bedrijf nu en in de toekomst in het overgangspectrum past, is nuttig bij het voorbereiden van beveiligingsbeleid, toekenning en de algehele strategie voor het BYOD–initiatief.
Toepassingsstrategieën overwegen Beveiliging en het voorkomen van verlies van bedrijfsgegevens is een van de belangrijkste overwegingen bij het implementeren van BYOD. Het is belangrijk om de drie mogelijke toepassingsarchitecturen te begrijpen en de bijbehorende compromissen: native, browser en virtueel. Deze worden weergegeven in Afbeelding 6.
Cisco Bring Your Own Device
14
Overwegingen bij het overgaan op BYOD
Afbeelding 6
Native toepassing
Native modus, browsermodus en virtuele modus
Native toepassing D Datacenter
Native Plaatselijke gegevens op device Maximumprestaties Ervaring native device Offline mogelijk
Webbrowser
Browser
HTMLinterface
Plaatselijke gegevens op device
Native toepassing D Datacenter
Desktop Virtualization Client
Desktop Virtualization Client Native toepassing
Browserervaring Connectiviteit vereist
Virtueel Geen plaatselijke gegevens op device Maximale beveiliging Vertaalde ervaring Connectiviteit vereist 292197
Datacenter D
Portabiliteit voor veel devices
In de native modus communiceren toepassingen die op het device worden uitgevoerd, rechtstreeks met de toepassingsserver in het datacenter van de host (of de cloud). Gegevens worden mogelijk rechtstreeks uitgewisseld en opgeslagen op het BYOD–device. Doorgaans staan de toepassingsprestaties en gebruikerervaring het dichtst bij het betreffende device. Met andere woorden: een bedrijfstoepassing werkt op een vergelijkbare manier als een andere toepassing op het device. Alle productiviteitsvoordelen en gedrag van het device blijven behouden en kunnen worden aangepast voor het leveren van betere prestaties. Er wordt steeds meer een browsermethode gebruikt voor toegang tot toepassingen. Dit is vanwege de portabiliteit van devices en besturingssystemen. In feite kan elk device met een standaard HTML–browsercapaciteit worden gebruikt voor toegang tot toepassingen. De nadelen zijn (bijna net als bij de native modus) dat gegevens rechtstreeks worden uitgewisseld en opgeslagen op het BYOD–device. Dit leidt tot beveiligingsproblemen en zorgen over gegevensverlies. Daarnaast kan er een minder goede gebruikerservaring zijn. Anders zit het met toepassingen in de virtuele modus op de toepassingsserver of in het datacenter (of de cloud) en die via een VDI–client op het device worden weergegeven. Hierbij worden gegevens niet lokaal op het BYOD–device opgeslagen. Er worden alleen weergavegegevens uitgewisseld en gerenderd op het BYOD–device. Omdat bij deze methode gegevens optimaal zijn beveiligd, kan de gebruikerservaring minder goed zijn vanwege omzetting vanaf een toepassingsserver naar de vormfactor en vanaf het eigen besturingssysteem naar het BYOD–device. Vroege gebruikers van deze methode hebben enigszins negatieve feedback gegeven.
Cisco Bring Your Own Device
15
Overwegingen bij het overgaan op BYOD
Het is belangrijk om beslissingen te nemen over de modus (native of virtueel) die wordt gebruikt voor de toepassingsarchitectuur. Veel bedrijven gebruiken mogelijk een hybride methode. Zij gebruiken de native modus voor veel standaardbedrijfstoepassingen en een virtuele modus voor toepassingen met strengere vereisten voor geheimhouding of gevoelige gegevens.
Samenwerking uitbreiden naar BYOD–devices Uiteindelijk willen mensen niet alleen verbinding met het netwerk maken om toegang te hebben tot gegevenstoepassingen, maar ook om met elkaar samen te werken. Net als bij reguliere werkplekken willen gebruikers met BYOD–devices toegang hebben tot de spraak–, video– en vergaderservices van hun bedrijf. Op zichzelf staande methoden zoals de mobiele communicatie van een smartphone, kunnen enigszins effectief zijn. Voor een echt effectief resultaat is het essentieel om een geïntegreerde methode te hebben waardoor mensen gemakkelijk te bereiken zijn in de communicatiedirectory en –systemen van het bedrijf. Een ander probleem is hoe we vervolgens deze services moeten uitbreiden naar devices zonder mobiele spraakmogelijkheden, zoals een Apple iPad. Bij een volledige BYOD–oplossing moet eraan worden gedacht hoe de volledige suite moet worden uitgebreid naar BYOD–devices, waaronder geïntegreerde spraak–, video–, IM–, vergadering– en toepassingsdeling en –aanwezigheid. Bij alle oplossingen moet niet alleen worden gedacht aan de werknemers die BYOD–devices gebruiken, maar ook aan anderen die met deze werknemers proberen samen te werken.
Zorg voor een sluitende eindgebruikersovereenkomst Hoewel het geen deel uitmaakt van de netwerkarchitectuur, is er één onderwerp dat goed moet worden overdacht voordat wordt overgegaan op BYOD–implementatie. Dit is de eindgebruikersovereenkomst (EUA; End User Agreement). Vanwege het combineren van privé– en bedrijfsgegevens en de mogelijkheid om devices van werknemers te gebruiken voor het werk, is het van essentieel belang om bij voorbaat beleid uiteen te zetten aan werknemers. IT–afdelingen moeten zichzelf op de hoogte stellen van wetten, waaronder de Amerikaanse Computer Fraud and Abuse Act, de Wiretap Act en CALEA (Communications Assistance for Law Enforcement Act). Wat moet het bedrijfsbeleid zijn? Moet communicatie worden gecontroleerd? Is beleid van toepassing op zowel het bedrijf als privé? Onderwerpen waaraan aandacht moet worden geschonken, zijn onder meer (maar niet beperkt tot): •
Tekstberichten
•
Spraakoproepen
•
Zoeken op internet
•
Instant messaging
•
E-mail
•
GPS en geolocatiegegevens
•
Gekochte/geïnstalleerde toepassingen
•
Opgeslagen foto's en video's
•
device 'wissen'
Cisco Bring Your Own Device
16
Cisco BYOD Architecture
Een eenvoudig voorbeeld: veel bedrijven filteren en controleren regelmatig internettoegang om naleving te garanderen van beleid omtrent het bezoeken van ongepaste websites tijdens het werk. De meeste BYOD–devices hebben directe internettoegang via openbare WiFi–netwerken en/of mobiel 3G/4G–internet. Het is gebruikelijk om beleid te hebben over het bezoeken van websites met volwassen inhoud op een device dat is verbonden via het bedrijfsnetwerk. Is hetzelfde beleid van toepassing als de werknemer besluit om deze sites te bezoeken op het eigen device, in diens eigen tijd en via openbare internettoegang? Een ander voorbeeld: het is gebruikelijk om beleid te hebben omtrent het verzenden van ongepaste e-mails met zeer persoonlijke foto's via een e-mailprogramma of tekstberichten terwijl gebruik wordt gemaakt van een bedrijfsdevice of een bedrijfsnetwerk. Is hetzelfde beleid van toepassing op privé–e-mails of –tekstberichten op een device dat eigendom is van een medewerker? Welke communicatie wordt gecontroleerd? Welke niet? Er zijn onlangs verschillende juridische moeilijkheden geweest bij zaken waarbij een werkgever op afstand een device van een werknemer heeft 'gewist', waaronder de bedrijfsgegevens en privégegevens op het device. Stelt u zich de verbazing van een werknemer voor wanneer deze een nieuwe tablet gebruikt voor toegang tot het bedrijfsnetwerk en niet weet dat hij/zij ermee akkoord is gegaan dat de IT–afdeling zijn/haar favoriete gezinsfoto's heeft verwijderd. Er zijn andere problemen omtrent mogelijk illegale aftappingspraktijken, waarbij werknemers beweren dat hun tekstberichten op onwettige wijze werden gecontroleerd door hun bedrijf dat had nagelaten om hun daarvan een kennisgeving te geven. De sleutel tot voorkoming van juridische risico's is duidelijke communicatie. U dient het in schriftelijk beleid aan werknemers duidelijk te maken dat zij dienen te accepteren hoe het bedrijf omgaat met bedrijfs– en privé–gegevens en –communicatie op het BYOD–device. Bij het akkoord gaan met de EUA dient u duidelijk te maken welke rechten de werknemer verliest om toegang tot het netwerk te krijgen met een device dat eigendom is van de werknemer.
Zorg voor een beleid voor kwijtgeraakte of gestolen devices hebben Net als bij het vorige onderwerp over het hebben van een volledige EUA, moeten bedrijven een plan hebben voor het omgaan met kwijtgeraakte of gestolen devices. Wat is de procedure voor kennisgeving door werknemers? Wat zijn de benodigde stappen om toegang tot het bedrijfsnetwerk te beëindigen? Welke stappen kunnen en worden genomen om op afstand lokale gegevens op het device te verwijderen? De verschillende oplossingen die op de markt worden aangeboden, bieden verschillende gradaties van mogelijkheden om op afstand toegang tot een device te krijgen en gegevens of toepassingen te vernietigen, zodat het zeker is dat deze geheim blijven. Bedenk welke soorten gegevens waarschijnlijk op de BYOD–devices worden opgeslagen en integreer risicobeperkingsplannen in de algehele BYOD–strategie voordat de implementatie wordt uitgevoerd.
Cisco BYOD Architecture Cisco biedt een uitgebreide BYOD–oplossingsarchitectuur, waarbij elementen in het netwerk worden gecombineerd voor een samengebundelde methode voor beveiliging van toegang, zichtbaarheid en beleidscontrole van het device. Voor het oplossen van veel problemen die hiervoor zijn beschreven, is een BYOD–implementatie niet één product, maar moet deze worden geïntegreerd in het intelligente netwerk. De Cisco BYOD–oplossing wordt gebouwd op de Cisco Borderless Network–architectuur en hierbij wordt ervan uitgegaan dat best practices worden gevolgd in het ontwerpen van infrastructuren voor implementaties op campussen, vestigingskantoren, internet edges en thuiskantoren.
Cisco Bring Your Own Device
17
Cisco BYOD Architecture
Oplossingsarchitectuur op hoog niveau Een uitgebreide BYOD–oplossing moet voorzien in bekabelde toegang, WiFi–toegang, externe en mobiele toegang, moet worden ondersteund op veel devicetypen en –merken en moet divers beleid kunnen uitvoeren in het gehele spectrum van bedrijven en branches. Omdat een device van één context naar een andere gaat, bijvoorbeeld van het WiFi–netwerk van het bedrijf naar een openbaar mobiel 3G/4G–netwerk, moet de BYOD–oplossing daarnaast beveiligde toegang kunnen bieden, terwijl de ervaring voor de gebruiker probleemloos blijft. Het is van essentieel belang voor elke BYOD–strategie om uitgebreide toegang tot het bedrijfsnetwerk te overwegen. Dat betekent niet alleen het bedrijfs–WLAN, maar ook bekabelde toegang in grote campussen, bekabelde en draadloze toegang in vestigings– en thuiskantoren en externe toegang via internet, mobiel 3G/4G en openbare WiFi–hotspots. Elk ontwerp waarbij niet een uitgebreide reeks van mogelijke netwerktoegangsmogelijkheden wordt overwogen, schiet tekort bij het voorzien in een beheerbare en schaalbare IT–oplossing. Afbeelding 7 geeft de hoogwaardige oplossingsarchitectuur en de belangrijkste onderdelen van de Cisco BYOD–oplossing weer.
Cisco Bring Your Own Device
18
Cisco BYOD Architecture
Afbeelding 7
BYODdevices
Hoogwaardige BYOD–oplossingsarchitectuur
Bekabeld, draadloos, mobiele toegang
Toegangsinfrastructuur
Gateways buiten locatie
Niet-vertrouwd netwerk
Infrastructuur beveiliging en beleid
Adaptive Security Appliance (ASA)
Trusted Enterprise Network
Mobiel netwerk
Internet
Openbaar WiFi
AnyConnect-client
Jabber-client
WLAN AP
Prime NCS
Active Certificate Directory Authority (AD) (CA)
Identity Services Engine (ISE)
Mobile RSA Device SecureID Manager (MDM)
WLAN Controller (WLC)
Access Switch
Wisselende kern
Campus Integrated Services Router (ISR)
Filiaalkantoor Draadloze router
WAN
Aggregation Services Router (ASR)
Thuiskantoor
Cisco Solution Components In de volgende gedeelten worden de verschillende Cisco–onderdelen van de oplossingsarchitectuur uiteengezet en de functies ervan.
Cisco Catalyst Switches Cisco Catalyst® switches, waaronder de series Catalyst 3000, Catalyst 4000 en Catalyst 6000, geven toegang tot het netwerk en maken voor verificatieaanvragen voor het netwerk gebruik van 802.1x. Daarnaast bieden toegangsswitches power-over-Ethernet (PoE) voor devices die voeding moeten hebben, waaronder VDI–werkstations, IP–telefoons en WLAN–acces points (AP's).
Cisco Bring Your Own Device
19
Cisco BYOD Architecture
Cisco Integrated Services Routers Cisco Integrated Services Routers (ISR), waaronder de ISR 1900, ISR 2900 en ISR 3900, leveren een WAN–connectiviteit voor vestigings– en thuiskantoren en connectiviteit voor de bekabelde en WLAN–infrastructuur in het vestigingskantoor. Daarnaast leveren ISR's rechtstreekse connectiviteit aan internet– en cloudservices, services voor WAN– en toepassingsoptimalisatie en kunnen deze ook dienen als eindpunt voor VPN–verbindingen bij mobiele devices. Met de functie Secure Device Provisioning (SDP) in de ISR is het ook mogelijk om als certificeringsinstantie (CA; Certificate Authority) te dienen, wat nuttig is voor relatieve kleinere implementaties.
Cisco Wireless LAN Access Points Access points van Cisco Wireless LAN (WLAN), waaronder de AP 3500 en de AP 3600, bieden WiFi–connectiviteit voor het bedrijfsnetwerk en maken voor verificatieaanvragen gebruik van 802.1x. Daarnaast heeft het WLAN essentiële functies voor betrouwbare connectiviteitsprestaties van mobiele devices.
Cisco Wireless LAN Controller Cisco Wireless LAN Controller (WLC) wordt gebruikt om draadloze configuratie en beheerfuncties te automatiseren en voor zichtbaarheid en controle van het WLAN. De WLC is kan interactief communiceren met de Identity Services Engine (ISE) om verificatie– en autorisatiebeleid uit te voeren op eindpunten van devices.
Cisco Adaptive Security Appliance Cisco Adaptive Security Appliance (ASA) biedt gangbare functies voor edgebeveiliging, waaronder firewalls en IPS (Intrusion Prevention System) en voorziet het essentiële beveiligde VPN–eindpunt (AnyConnect) voor mobiele devices van een internetverbinding, waaronder openbare WiFi–hotspots en mobiele 3G/4G–netwerken.
Cisco AnyConnect Client Cisco AnyConnectTM–client biedt 802.1x–aanvraagcapaciteit voor vertrouwde netwerken en VPN–connectiviteit voor devices die toegang tot het bedrijfsnetwerk krijgen vanaf niet-vertrouwde netwerken, waaronder openbaar internet, openbare WiFi–hotspots en mobiele 3G/4G–netwerken. Implementatie en beheer van één aanvraagclient heeft operationele voordelen en biedt een universeel uiterlijk, gevoel en universele procedures voor gebruikers. Daarnaast kan de AnyConnect–client worden ingezet voor een statusbeoordeling van het BYOD–device en voor een mate van beleidsuitvoering en het uitvoeren van gebruiksbeleid.
Cisco Identity Services Engine Cisco Identity Services Engine (ISE) is een essentieel onderdeel van de Cisco BYOD–oplossingsarchitectuur en biedt een aantal services, waaronder: •
Self-serviceregistratie en portals voor inschrijving
•
Verificatie
Cisco Bring Your Own Device
20
Cisco BYOD Architecture
•
Autorisatie
•
deviceprofilering
•
Registratie en facilitering van devices
•
Certificaatinschrijving
•
Statusbeoordeling
•
Definiëren van beleid
•
Interface voor identiteitsopslag (bijvoorbeeld Active Directory® [AD])
•
Melding en registratie (zwarte lijst) van kwijtgeraakte of gestolen devices
Een van de meest belangrijke functies van Cisco ISE is de mogelijkheid om één locatie voor registratie van devices te hebben. Wanneer devices voor de eerste keer een verbinding via het netwerk hebben, kunnen deze worden omgeleid naar een registratieportal voor self-service (of voor IT–ondersteuning) waar gebruikers het device kunnen registreren en inschrijven, en waar automatische facilitering naar het device wordt gepusht. Dit is een essentiële service voor het verminderen van de werklast voor de IT–afdeling wat betreft het gereedmaken en vooraf faciliteren van elk device in het netwerk en geeft de IT–afdeling zichtbaarheid voor devices die toegang hebben tot het netwerk. Naast essentiële functies als verificatie en autorisatie biedt Cisco ISE via deviceprofilering informatie over devices waarmee verbinding wordt gemaakt met het netwerk. deviceprofilering kan worden gebruikt voor het ontdekken, zoeken en vaststellen van type en mogelijkheden van eindpunten die toegang willen hebben tot het netwerk. Toegang kan worden geweigerd of er kunnen speciale autorisatieregels worden opgelegd. De combinatie van deviceprofilering, statusbeoordeling en beleidsuitvoering kan bijvoorbeeld worden gebruikt om BYOD–beleid uit te voeren, zoals: •
Toestaan dat iPads® van werknemers toegang krijgen tot het netwerk, maar alleen HTTP–verkeer
•
Netwerktoegang weigeren voor iPhones® waarop een jailbreak is uitgevoerd
•
Als het AndroidTM–device eigendom is van het bedrijf, wordt volledige toegang verleend
Cisco Prime Cisco PrimeTM biedt functies voor netwerkbeheer en –controle, waaronder zichtbaarheid van de belangrijkste gebruikers en devices en het faciliteren van netwerkdevices.
Cisco ScanSafe Cloud Web Security Met Cisco ScanSafe worden de beveiligingsmogelijkheden die de meeste klanten (bedrijven) op locatie hebben, uitgebreid via een oplossing in de cloud. Zo zijn BYOD–clients beschermd wanneer deze zich buiten de locatie bevinden. Door BYOD–clients verbinding met internet te laten maken via de ScanSafe–cloud, wordt een beveiligingsscan uitgevoerd om internettoegang te filteren, malware op te sporen, afwijkend gedrag te ontdekken en real–time feedback te geven aan bedrijven. Uitbreiding van BYOD–devicebescherming is essentieel wanneer het device het bedrijfsnetwerk verlaat. Dit voorkomt inbreuk en mogelijke attack vectors wanneer het device opnieuw verbinding maakt met het bedrijfsnetwerk op locatie.
Cisco Bring Your Own Device
21
Cisco BYOD Architecture
Cisco Jabber Met Cisco Jabber wordt samenwerking uitgebreid naar BYOD–devices door het device te integreren in de Unified Communications–suite van producten. Gebruikers kunnen probleemloos spraak– en videocommunicatie gebruiken, toegang krijgen tot spraakberichten en communiceren via IM. Jabber–clients maken ook deel uit van Presence en hiermee hebt u ook toegang tot dezelfde toepassingen voor vergaderings– en desktopdeling (waaronder Cisco WebEx) als met meer gangbare computers van werknemers. Afbeelding 8
Cisco Jabber op Apple iPad
Onderdelen van oplossingen van derden In de volgende gedeelten worden de verschillende onderdelen van de oplossingsarchitectuur van derden (niet–Cisco) en de functies ervan uiteengezet.
RSA SecurID De RSA SecurID–tokens en de verificatieserver worden gebruikt om een tweedelige verificatie uit te voeren (geheime PIN–code en eenmalige wachtwoordcode) voor een sterke beveiliging wanneer verbinding wordt gemaakt via een VPN.
Mobile Device Manager De Mobile Device Manager (MDM) biedt gecentraliseerd eindpuntbeheer voor meerdere besturingssystemen van BYOD–devices. Functionaliteit en ondersteuning zijn verschillend per MDM–leverancier. Gangbare functionaliteit is echter onder meer: deviceconfiguratie, versleuteling op het device, wachtwoordforcering en facilitering van self-service. Naast de hiervoor genoemde functies met betrekking tot netwerktoegang kan de MDM ook fungeren als een belangrijke beveiligingsservice op het einddevice. Deze biedt dan verificatieservices voor toepassingen.
Cisco Bring Your Own Device
22
Cisco BYOD Architecture
De Cisco BYOD–oplossingsarchitectuur kan in combinatie met een groot aantal MDM–producten als optioneel onderdeel worden gebruikt.
Certificeringsinstantie De certificeringsinstantie (CA) wordt gebruikt om digitale certificaten aan devices uit te geven om met behulp van een PKI–implementatie (Public Key Infrastructure) vertrouwen tot stand te brengen bij netwerktoegang. Een groot aantal CA–implementaties kan worden gebruikt als onderdeel van de BYOD–oplossing. Ten behoeve van dit artikel is de oplossing gevalideerd met twee typen CA: Microsoft® CA–services en Cisco IOS Secure Device Provisioning (SDP) gehost op een ISR (zie Cisco Integrated Services Routers).
Microsoft Active Directory De Microsoft Active Directory (AD) heeft een centrale database met identiteiten en groepen en wordt door veel bedrijven gebruikt voor gecentraliseerd beheer. In plaats van een identiteitsopslag te dupliceren, is de Cisco BYOD–oplossingsarchitectuur gevalideerd met behulp van de AD als de externe identiteitsopslag voor de Cisco ISE.
Ondersteunde devices De Cisco BYOD–oplosssing ondersteunt een grote verscheidenheid aan devices, hoewel de mogelijkheden en functionaliteit verschillend zijn per device of besturingssysteem. Raadpleeg de gedetailleerde ontwerpuitleg voor speciale functionaliteiten en beperkingen per devicetype. In Tabel 1 worden de devicetypen weergegeven die momenteel zijn gevalideerd met de oplossing. Tabel 1
Ondersteunde devices
device
Bekabeld
Smartphones en tablets met Android1 Apple® OS X® Mac® Apple iOS
TM
Ja
iPhone
Apple iOS iPad/iPad2 Cisco Cius (Android) Samsung
TM
Galaxy
TM
Ja (Android)
Bedrijfs–WiFi
Openbaar WiFi
3G/4G–mobiel
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Microsoft Windows® XP–pc
Ja
Ja
Ja
Microsoft Windows 7–laptop
Ja
Ja
Ja
1. Android–deviceondersteuning, afhankelijk van de versie en ondersteuning van het besturingssysteem
Over het algemeen is deviceondersteuning een ondersteuningsfunctie van Cisco AnyConnect en de MDM die wordt gebruikt. De meeste devices waarmee veilig een WiFi–verbinding tot stand kan worden gebracht, komen hiervoor in aanmerking.
Cisco Bring Your Own Device
23
Belangrijkste voordelen van de Cisco BYOD–oplossing
Belangrijkste voordelen van de Cisco BYOD–oplossing Met de Cisco BYOD–oplossing worden Cisco–producten, producten van andere leveranciers en de hiervoor besproken devices geïntegreerd in een uitgebreid BYOD–systeem dat nauwgezet is geïntegreerd in de netwerkstructuur. Hiermee krijgt u unieke voordelen in vergelijking met andere oplossingen.
Beveiligde toegang voor alle devices Door middel van een combinatie van X.509 digitale certificaten, tweedelige verificatie, de Cisco AnyConnect–client en 802.1x kan een groot aantal devices worden ondersteund met veilige toegang tot het netwerk.
Self-service voor on-boarding Door de geïntegreerde methode kunnen devices automatisch worden geregistreerd wanneer er voor de eerste keer verbinding met het netwerk wordt gemaakt. Elk device heeft een uniek identificatiemiddel (fingerprint) en kan dus worden geïdentificeerd wanneer achtereenvolgende toegangspogingen tot het netwerk worden gedaan.
Gecentraliseerd uitvoeren van gebruiksbeleid van het bedrijf Cisco Identity Services Engine (ISE) biedt één gecentraliseerde bron voor beleid in de gehele organisatie, dat kan worden uitgevoerd bij methoden voor netwerktoegang.
Gedifferentieerde toegang en services De Cisco BYOD–oplossing biedt middelen om devices en gebruikers te identificeren en biedt gedifferentieerde services op basis van opties voor aangepast beleid. Werknemers die bijvoorbeeld devices gebruiken die eigendom zijn van het bedrijf en door het bedrijf worden beheerd, kunnen anders worden behandeld dan werknemers die hun eigen, niet–beheerde devices op het werk gebruiken. Op dezelfde manier worden contractwerknemers, partners, gasten, klanten, studenten en overige categorieën die belangrijk zijn voor het bedrijf of de eenheid, geïdentificeerd en behandeld volgens het bedrijfsbeleid, waarbij toegang uitsluitend beperkt is tot de services en toegang die aan hen is toegekend.
Betrouwbaar Wireless LAN met hoge prestaties De Cisco BYOD–oplossing bestaat onder meer uit toonaangevende WLAN–technologieën voor het realiseren van de best mogelijke prestaties en betrouwbaarheid van draadloze clients. Technologieën als Cisco CleanAirTM, ClientLink en 4x4–antenneontwerp verbeteren de RF–prestaties aanzienlijk. Veilig snel roamen, VideoStream en draadloze QoS zorgen voor verbetering van de ervaring met toepassingen. Er is geen andere oplossing die de breedte en diepte van de Cisco WLAN–productenserie kan bieden.
Cisco Bring Your Own Device
24
Aan de slag met BYOD
Samengebundelde methode voor bekabelde, draadloze, externe en mobiele toegang De strategie van de Cisco BYOD–oplossing is om overal een eenduidige methode te leveren waar met devices verbinding wordt gemaakt met het netwerk, waaronder bekabelde netwerken, WiFi, openbaar WiFi en mobiele 3G/4G–netwerken en ongeacht of de verbinding tot stand wordt gebracht op een campus, vestigingskantoor, thuiskantoor of een mobiele telewerklocatie.
Samengebundelde ervaring voor eindgebruikers De samengebundelde methode bij allerlei soorten netwerktoegang en locaties, en het gebruik van de Cisco AnyConnect–client, biedt een samengebundelde ervaring voor gebruikers die consistent is, ongeacht of zij via WiFi een verbinding tot stand brengen op het kantoor van het bedrijf of op afstand via mobiele aanbieders van 3G/4G.
Samengebundelde zichtbaarheid en devicebeheer Cisco ISE en Cisco Prime bieden één bron en zichtbaarheid voor gebruikers en devices, waardoor het oplossen van problemen en het uitvoeren van audits eenvoudiger wordt.
Unified Communcations Cisco UC en Cisco Jabber breiden samenwerking uit naar BYOD–devices, waarbij gebruikers worden geïntegreerd met bedrijfssystemen voor communicatie, zoals spraak–, video– en vergadersystemen, waardoor de productiviteit verder wordt vergroot.
Gevalideerde oplossingsarchitectuur Tenslotte doet Cisco investeringen om ervoor te zorgen dat de onderdelen van de BYOD–oplossingsarchitectuur samen naadloos integreren en biedt Cisco een gevalideerde ontwerpuitleg en best practices om implementatieproblemen zo veel mogelijk te beperken. Daarnaast is de BYOD–oplossing gevalideerd voor andere architecturen van Cisco–oplossingen.
Aan de slag met BYOD Een uitgebreide Cisco BYOD–oplossing implementeren Zoals besproken is de Cisco BYOD–oplossing een uitgebreide oplossing die de belangrijkste vereisten en problemen aanpakt voor zowel de IT–afdeling als de gebruikers. Belangrijke overwegingen voor implementatie worden besproken om aan de slag te kunnen gaan met planning en implementatie. Cisco biedt gevalideerde ontwerpen en best practices om implementatieproblemen zo veel mogelijk te beperken. Raadpleeg voor meer informatie de Cisco Design Zone op: http://www.cisco.com/go/designzone.
Cisco Bring Your Own Device
25
Meer informatie
Services voor beoordeling en implementatie Grote of complexe BYOD–implementaties kunnen problematisch zijn. Als hulpmiddel biedt Cisco een uitgebreide serie services voor beoordeling, ontwerp en implementatie om zeker te weten dat uw implementaties goed worden gepland en zonder problemen worden uitgerold.
Meer informatie •
Cisco Design Zone: http://www.cisco.com/go/designzone
•
Cisco Adaptive Security Appliances (ASA): http://www.cisco.com/go/asa
•
Cisco AnyConnect: http://www.cisco.com/en/US/netsol/ns1049/index.html
•
Cisco Cius: http://www.cisco.com/go/cius
•
Cisco Identity Services Engine (ISE): http://www.cisco.com/go/ise
•
Cisco Jabber: http://www.cisco.com/go/jabber
•
Cisco ScanSafe: http://www.cisco.com/go/scansafe
•
Cisco TrustSec: http://www.cisco.com/go/trustsec
•
Cisco Unified Access: http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns815/landing_unified_access.html
•
Cisco Wireless–producten: http://www.cisco.com/go/wireless
Cisco Bring Your Own Device
26
