Bring Your Own Device (And be happy with it)
Agenda Wat is BYOD? En waar komt het vandaan? BYOD feiten en trends Nu en binnenkort De IaaS service-benadering Een nieuw infrastructuur model (Groei)modellen Het gekozen beleid bepaalt de netwerkinrichting Praktische uitdagingen De zweetparel van elke beheerder Technische benadering Oplossingsbreed denken Oplossingsrealisatie Het groeimodel praktisch toegepast
Wat is BYOD? En waar komt het vandaan? Draagbare Smart Devices zijn directe oorzaak: Netbooks Smartphones Tablets Deze worden gebruikt om contact te maken met het internet en het bouwen van persoonlijke clouds door applicaties te kiezen die hun persoonlijke productiviteit ondersteunen. Tevens wordt men er afhankelijk van. De cloud wordt belangrijker voor werknemers/gebruikers dan de PC. Gebruikers realiseren dat deze persoonlijke clouddiensten ook gebruikt kunnen worden in hun educatieve en/of professionele carrière.
Wat is BYOD? En waar komt het vandaan? Men gebruikt de applicaties Op een voor henzelf geoptimaliseerde en gepersonaliseerde manier Wanneer men maar kan en raakt hieraan gewend (dus ook op het werk) MKB en enterprise ondersteunende fabrikanten brengen producten en diensten meer en meer naar cloudachtige benaderingen. Bijvoorbeeld:
Wat is BYOD? En waar komt het vandaan? Als organisatie kan men: Weigeren Toestaan Toestaan is de beste optie met het oog op de toekomst. Toestaan vereist een effectieve benadering van de IT-afdeling met betrekking tot de dragende infrastructuur.
BYOD feiten en trends Nu en binnenkort 120 % Groei in tablet-gebruik binnen enterprise-markt 45 % Van de gebruikers vindt eigen persoonlijke device bruikbaarder dan dat van de organisatie 50 % Van de gebruikers zal een smartphone of tablet gebruiken voor e-mail 27 % Van de gebruikers wil betalen om eigen device op het netwerk te mogen gebruiken 87 % Mobiele penetratie in 2011 90 % Van de bedrijven zal corporate apps ondersteunen op persoonlijke devices
IaaS benadering Nieuw infrastructuur-model Infrastructure as a Service Omgevingen waar BYOD wordt ondersteund of ondersteund gaat worden, dienen de traditionele wijze van het aanbieden van netwerkdiensten te herzien. Een IaaS-infrastructuur die BYOD ondersteunt, dient: Diensten niet enkel vast te koppelen aan specifieke apparaten Onafhankelijk te kunnen zijn ten opzichte van het aangesloten device Dit bij voorkeur zowel bedraad als draadloos te ondersteunen Een optimale applicatie-/ eindgebruikerservaring te bieden Veiligheid te bieden voor zowel de gebruikers alswel de infrastructuur Een vooraf uitgewerkt beleid is hierbij onontkoombaar!!!
(Groei)modellen Gekozen beleid bepaalt netwerkinrichting Voordelen Het snel ondersteunen van gebruikersbehoeften Productiviteit verhogen (Cloud diensten voor iedereen direct beschikbaar) Kostenreductie (bijvoorbeeld het niet hoeven voorzien in enduser-devices) NIET TOESTAAN BEPERKEN VERTROUWEN OMARMEN Alleen eigen devices Internet en beperkte Resources Volledige toegang Any device, any location access IT toegewezen devices Beperkte BYOD devices Gedifferentieerde BYOD devices Meerdere BYOD devices per user IT managed devices User managed devices IT provisioned, user managed devices IT and user provisioned Implementatie Meting Aanpassing
Praktische uitdagingen Wat bevindt zich op ons netwerk? Het herkennen van devices is key Kan men bijvoorbeeld bepaalde (ongewenste) devices weigeren? Wie bevindt zich op ons netwerk? Kan ik bepalen wie toegang krijgt? Kan ik privileges toekennen aan groepen gebruikers? Wat doet men op ons netwerk? Hoe voorkom ik ongewenst verkeer/gedrag? (Verantwoordelijkheden!!) Kan ik kwaliteitsgaranties inbouwen? Hoe kan ik snel aanpassingen maken op basis van trends die ontstaan? Device control Authenticatie/Authorisatie Control/reporting
Technische benadering Oplossingsbreed denken Oplossingen bestaan uit de combinatie van componenten die het gekozen beleid ondersteunen: Maak zoveel mogelijk gebruik van industriestandaarden Koppel zoveel mogelijk aan de bestaande authenticatie omgeving (AD) Houd rekening met latere uitbreiding van het dienstenportfolio Praktische zaken Beveiligen tegen aansluiten van ongewenste apparatuur Switches Accesspoints Beveiligen tegen ongewenste verkeersstromen DHCP/DNS Routing-invloeden Destructieve protocollen
Oplossingsrealisatie Groeimodel praktisch toegepast Directie Personeel SSID-Based Access Control Virtual AP 1 SSID: Bedrijf Directie Personeel Role-Based Access Control Access Rights Bedrijfsmiddelen Cloudservices RADIUS LDAP AD Voice Voice Domotica/Video Virtual AP 2 SSID: Gast Video Gasten Secure Tunnel To DMZ Captive Portal Gasten (externen) DMZ
Technische benadering Oplossingsbreed denken Gebruiker Management Ondersteun gelijktijdig gasten en medewerkers Identificeer medewerkers middels meerdere methoden Gastregistratie- en management Device Management Ondersteun alle devices ios, MacOSX, Windows en Linux Android en HTML 5 Device profiling en registratie voor agentless devices Authorization Policies die gebruikers, devices en audits combineren Uitgebreide policies die met meerdere attributen overweg kunnen
Oplossingsrealisatie Groeimodel praktisch toegepast 1 Personeel, directie of gast verbindt met het netwerk 802.1x User Regular LAN User Guest Switch stuurt het verkeer naar de NAC policy server en de remediation server 2 De switch verzorgt de authenticatie en het gebruikersprofiel. Ook wordt gekeken of HIC nodig is voor de gebruiker 802.1x, MAC, Captive Portal) 3 4 Access Switch NAC policy server ontvangt een HIC rapport van de NAC Agent and informeert de switch of het apparaat door mag of niet. Bedrijfsnetwerk Clouddiensten CyberGatekeeper Policy Server 5 Remediation Server(s) Bij goedkeuring van HIC, wordt door de switch het verkeer selectief doorgelaten volgens een policy in het gebruikersprofiel. Bij afkeuring door de HIC zal de switch alleen verkeer naar de remediation server toelaten. Resident or On-demand Agent Continuous Surveillance DMZ
Dynamic User Network Profiles #2 Client wordt geauthenticeerd en geaudit. AuthServ #3 Authenticatieserver zoekt in groepen en domeinen. #5 Client krijgt toegang op basis van het correcte profiel. HIC Server Domain X OmniSwitch #4 HIC server haalt gebruikers/groeps informatie op en update het profiel. #1 De switch herkent een nieuwe client en geeft deze een standaard (beperkt) profiel en registreert het MAC adres by de HIC server. Een naadloos NAC proces dat gebruik maakt van Windows Login en geen 802.1x vereist
Voorbeeld Bezoeker met tablet Gebruiker is geen medewerker User Device Compliance Req d Jan V. ipad Yes HIC Server Compliance passed Access group Internet Sponsor Netwerk access laag Bedrijfsnetwerk Clouddiensten
Voorbeeld Medewerker met tablet Gebruiker is wel een medewerker User Device Compliance Req d Anneke ipad No Compliance passed Access group Student CyberGatekeeper Netwerk accesslaag Bedrijfsnetwerk Clouddiensten
Voorbeeld Netwerkapparatuur User Device Compliance Req d N/A Printer No CyberGatekeeper Compliance passed Access group PrintSRV Netwerk accesslaag Bedrijfsetwerk
Voorbeeld Policy violation Handheld device voldoet neit aan de gestelde criteria (jailbroken)
Geïnteresseerd in een vrijblijvend advies? Bel: 0594-588588