您现在的位置:融合网首页 > 终端 > 其他 >

针对企业iPad网络终端整合的安全策略

来源:TechTarget中国 作者:秩名 责任编辑:admin 发表时间:2011-03-07 23:14 
核心提示:那么,如今涌入产业界的下一代网络终端设备的性能又如何呢?平板电脑现在在业界正炙手可热,其中的佼佼者便是苹果的iPad。毫无疑问,在接下来的几个月里,iPad在企业中的应用将会增加。

随着人们不断地提高笔记本电脑的安全性和集成度,笔记本电脑的功能已经足够强大。那么,如今涌入产业界的下一代网络终端设备的性能又如何呢?平板电脑现在在业界正炙手可热,其中的佼佼者便是苹果的iPad。毫无疑问,在接下来的几个月里,iPad在企业中的应用将会增加。

要高效地使用这款流行的平板电脑,工人需要访问企业的应用程序和数据,但这也意味着企业的程序和数据等资源不能违反相关政策,并且不能对iPad进行“越狱”。接下来让我们讨论讨论,对于那些想要将iPad作为其企业网络终端的人们来说,集成iPad都有哪些方法。

方法1:来宾终端(Guest endpoints)

作为一款支持Wi-Fi的设备,iPad能够接入任何开放的无线局域网(WLAN),包括来宾式无线局域网(guest WLANs)。因此,一种在网络中集成iPad的方式就是默认将员工拥有的iPad当做来宾终端,就像对待其他无法管理的来宾终端一样。

网络访问控制(NAC)产品通常用于控制来宾对网络的访问,如对来宾接入网络的时间进行限制,或者在接入前对其进行安全扫描。但是,NAC服务器无法持续地为iPad布置NAC客户端,也不能强制iPad运行基于浏览器的安全扫描。因此,我们只应给予iPad基于Web或因特网方式的接入权限。

在这种方法中,网络访问控制器和网络入侵监测系统可配合使用,用于识别iPad、监测终端接入系统后的活动以及断开“不守规矩”的设备。虽然这两种技术能够提供可视化功能,并且也能够保护网络,但是仅对iPad设备提供普通的来宾访问权限并不能使其成为一个(真正意义上的)企业用网络终端,相反还会限制该设备的能力。

方法2:远程终端(Remote endpoints)

另外一种方法是将iPad当做远程终端来使用,即便是在本地无线局域网内也可以这样做。例如,已接入英特网的iPad可以通过Exchange ActiveSync(交流同步)检索公司邮件,或者使用由思科系统公司或Juniper网络公司提供的VPN客户端来获得比来宾账户更大的网络接入权限。

我们可以要求iPad的使用者浏览预提供的网络地址,安装配置档案进行批量系统设置,这些设置包括设备的加密和密码要求、数字证书、VPN和Exchange的使用参数及使用限制(如禁用摄像头)。配置档案能够被锁定并加密,以防止共享或者篡改,但关键还是在于强制执行配置档案;安装配置档案也不能够确保每一台iPad都兼容。

要解决这个问题,一个办法是每当电子邮件被阅读时,使用Exchange ActiveSync检测被选择的iPad的配置情况,剔除不兼容的终端。例如,在Exchange ActiveSync的政策设置里我们可以阻止未签名的应用程序阅读公司邮件。同样地,它也能够将政策设置传递给那些拥有Exchange访问权限的iPad,iPad还可以被设置为定期刷新这些政策设置。

另一种办法是安装与iOS兼容并具有整体系统评估能力的VPN客户端。例如,Juniper公司的Junos Pulse Mobile Security Suite,该套件结合了SSL VPN技术与终端安全措施,如反病毒、反垃圾邮件以及接入企业网络所必需的应用程序控制等。该VPN客户端甚至可以在受理相同的身份认证、整体监测或授权策略时自由地在Wi-Fi网络和移动通信网络之间漫游。我们还可以选择使用思科的与iOS兼容的AnyConnect。

方法3:受控终端(Managed endpoints)

最后,我们来讨论控制式的终端。许多企业通过采取某些移动设备管理(MDM)控制措施来实现对iPad的完整集成。这可以在如今运行iOS4的iPad上面实现。

在iOS4中,苹果为供应商如AirWatch、BoxTone、MobileIron、Sybase、Tangoe、Zenprise等提供了远程访问接口。通过这种方法,使用者通过浏览预提供的网络地址在公司的MDM服务器和iPad之间建立连接。然后,MDM的请求和响应由苹果的推进通知服务(Push Notification Service)转发。通过这种渠道,配置档案和企业应用程序将通过无线网络被发送至受控制的iPad,同时终端配置和应用事件也可以发送回MDM服务器。

这些技术能够为系统提供近乎实时的完整评估和执行能力。例如,配置档案可被用于配置企业的VPM或者Exchange访问权限。如果访问权限之后被吊销,MDM可以移除配置档案,删除所有相关的企业数据,包括电子邮件信息、联系人和日历条目。同样地,如果MDM检测到某一iPad被“越狱”了,那么该iPad与MDM服务器之间的协作关系可被解除,之前iPad上所安装的企业应用程序也可以被禁用。

苹果限制了iOS4 MDM能控制的配置以及可执行的命令。具体而言,你不能强制安装受推荐的苹果商店应用,这会使得你可以很方便地安装安全程序如VPN客户端或恶意软件扫描程序。虽然iOS4的版本可以被检测到,但目前还无法通过无线网络进行iOS4的更新;更新仍然必须通过iTunes进行。

然而,MDM产品目前已经开始使用这些接口在iPad上评估和执行某些特定规范。例如,AirWatch能够根据预先提供的黑名单,检查安装在任何iPad商店应用程序,从而采取相应的措施,如警告用户或者远程卸载iPad上的违规程序。MobileIron可以(当然它的功能不止于此)在任何拥有过期的管理策略、被禁用的加密、未授权硬件版本等的iPad上删除Exchange、VPN或者WLAN配置档案。

总结

像iPad这样的平板电脑需要新的工具去实现、评估和执行终端集成。但是,同笔记本电脑和上网本一样,iPad的安全策略控制方法繁多,有高度可视化/触摸类的工具,也有可提供广泛控制的高度集成工具。有些企业可能会根据需要同时采取多种方法,例如,控制管理那些装有企业程序的iPad,同时将那些没有安装企业程序的当做普通来宾。要学习更多有关iPad配置档案和安全设置的内容,请查阅苹果的“iPhone in Business”(PDF文件)指南。(作者:Lisa Phifer 译者:Sean  )

(责任编辑:admin)
    • “扫一扫”关注融合网微信号

    免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。

    第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。

    根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。

    第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。

    个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

    融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net

    对免责声明的解释、修改及更新权均属于融合网所有。

    今日头条

    更多>>

    热门关键字

    关于我们 - 融合文化 - 媒体报道 - 在线咨询 - 网站地图 - TAG标签 - 联系我们
    Copyright © 2010-2020 融合网|DWRH.net 版权所有 联系邮箱:dwrh@dwrh.net 京公网安备 11011202002094号 京ICP备11014553号