ISE? AirWatch? Proč ne obojí!

Zveřejněno:

Základním prvkem podnikové informační architektury je bezesporu síťová infrastruktura. I krátkodobá nedostupnost síťové komunikace může způsobit nemalé problémy, které se zákonitě zvyšují s velikostí konkrétní společnosti. Obdobně mohu mít značné dopady i výpadky důležitých serverových služeb a někdy také konkrétních klientských počítačů.

Příčin způsobujících uvedené problémy je celá řada a velmi často souvisí s umožněním přístupu do chráněných oblastí firemní infrastruktury zařízením, která nejsou dostatečně prověřena. Taková zařízení mohou být zneužita jak k šíření škodlivého software včetně virů, tak i pro realizaci hackerského útoku. A obojí je problém. Rizikové jsou přitom jak přístroje návštěvníků, tak i zařízení vlastněná zaměstnanci a využívaná k řešení pracovních povinností. Vedle notebooků jde hlavně o tablety a chytré telefony.

Jdeme k vám, ale potřebujeme internet

Základním problémem je, jakým způsobem přístup k síťovým zdrojům řídit. Mnohé firmy i dnes považují za ideální řešení existenci dvou oddělených sítí – jedné pro přístup k firemnímu intranetu i internetu a jedné pro přístup výhradně k internetu. Návštěvníci pak mohou svá zařízení připojit pouze ke konkrétním zásuvkám vyhrazeným pro druhou síť, případně pouze ke konkrétní oddělené bezdrátové síti. Tito uživatelé sice získají přístup k internetu, ale jsou zcela odstíněni od zabezpečených zdrojů a služeb.

Dalším využívaným řešením je fyzické odpojení zásuvek ve vybraných místnostech a jejich povolování v odůvodněných konkrétních případech. Tato a jím podobná řešení jsou ale takovým drbáním levou rukou za pravým uchem. Jednodušší řešení pro dosažení dostatečné míry bezpečnosti existuje, ale i když je relativně snadné, v praxi naráží na některá osobní podprahová odmítání. Zejména pak ze strany členů vedení společností, kteří mají pocit přílišné kontroly svých zařízení.

Identity Services Engine

Na úrovni drátových připojení lze popsanou problematiku pokrýt řešením Cisco Identity Services Engine. Pomocí tohoto systému lze na softwarové úrovni řídit síťový přístup pro jednotlivá předem známá i nová zařízení. Administrátoři nenastavují restrikce na síťových zásuvkách či segmentech sítě, ale definují politiky určující přístup pro jednotlivá zařízení.

Po připojení k síti dojde k identifikaci koncového zařízení a ověření, zda jde o zařízení známé. Pokud ano, je zpřístupněna odpovídající síťová infrastruktura – nejčastěji intranet i internet. Jde-li o zařízení neznámé, jsou uplatněna restriktivní pravidla a zařízení získá přístup k předem vymezené části sítě nebo internetu. Velmi důležité je, že identifikace se vztahuje na konkrétní zařízení, nikoli na přihlášeného uživatele – lze tak zabránit nežádoucím aktivitám například na základě zneužití cizího profilu.

A co BYOD?

Jak jsme si již řekli, významným rizikem jsou i zařízení vlastněná zaměstnanci (tzv. BYOD – Bring Your Own Device) využívaná pro přístup do firemního prostředí. Koncepce BYOD je dostatečně srozumitelná a často výhodná pro obě strany, zaměstnanci mohou využít své konkrétní zařízení a zaměstnavatelé ušetří na nákupu hardware. Technologicky je vše potřebné dostupné, ale ve skutečnosti firmy na BYOD nejsou moc připravené procesně. A na individuální správu IT oddělení nemají ani dostatek zkušeností, ani zdrojů.

Situaci umí usnadnit nástroje ze skupiny řešení pro správu mobilních zařízení. Jedním z předních produktů této kategorie je AirWatch, který díky široké vývojové základně velmi rychle reaguje jak na nová zařízení, tak i na změny v mobilních operačních systémech (od iOS až po Android). Princip činnosti AirWatch lze přirovnat k antiviru běžícímu na pozadí. Díky tomuto řešení lze provést vzdálené nastavení nebo vynutit dodržování definovaných politik, například ochranu zařízení heslem, pravidelnou obměnu hesla, nespouštění rizikových aplikací apod. V případě ztráty či odcizení zařízení je možné na dálku zařízení zablokovat či vymazat firemní nebo všechna uživatelská data. Uplatnění tyto možnosti mohou najít v i případě propuštění zaměstnance – v okamžiku jeho odchodu lze firemní data kompletně odstranit. Prakticky bez jeho vědomí a souhlasu.

Kombinací k jednotnému řešení

Z dlouhodobého pohledu a usnadnění správy je vhodné pro oba zde popisované cíle využít propojených řešení. AirWatch lze díky aplikačnímu rozhraní integrovat do Cisco ISE a hlavní činnosti BYOD správy mohou být realizovány přímo z prostředí ISE. Jen některé speciální úkony musí být provedeny z prostředí AirWatch.

Společnost Dimension Data v uvedené oblasti nabízí řešení založená právě na produktech Cisco ISE a AirWatch, samozřejmě včetně podrobných analýz a zohlednění individuálních specifik. Dimension Data chápe danou problematiku jako oblast neoddělitelnou od firemní architektury, a to je něco, co svým klientům nabízí jen někteří dodavatelé.

Adam Hornik

Adam Horník

Presales Manager
Dimension Data Czech Republic

Vystudoval Českou zemědělskou univerzitu v Praze obor Informatika. Od roku 2002 získává pracovní zkušenosti při návrhu řešení konvergovaných sítí (Unified Communications). Podílel se také na návrhu řešení videokonferenční sítě ve společnosti Škoda-Auto a.s., Ministerstvo Financí - Finanční ředitelství, Kofola, Tescoma a mnoha dalších. V současné době se zaměřuje na integrace komunikačních audio/video řešení různých předních světových výrobců. Má na starosti odborné vzdělávání interních zaměstnanců a prezentace na konferencích, které pořádá Dimension Data. Od roku 2014 je ve společnosti Dimension Data zodpovědný za chod presales oddělení.

Téma aktuálního čísla

ZÁKAZNICKÁ ZKUŠENOST

Kontakt

Dimension Data Czech Republic s.r.o.
Na Hřebenech II 10
140 00 Praha 4
Tel: +420 255 770 111
Email: info.cz@dimensiondata.com
www.dimensiondata.com