Cisco Validated Design

Transkript

1 Freie Geräteauswahl ohne Gefährdung des IT-Netzwerks Letzte Aktualisierung: 11. Mai 2012

2 2 Cisco Validated Design

3 Informationen zu den Autoren Informationen zu den Autoren Neil Anderson Neil Anderson, Leiter der Abteilung Systemarchitekturen, Systems Development Unit (SDU), Cisco Systems Neil Anderson ist der Leiter der Systemarchitekturabteilung bei Cisco und schon seit über zehn Jahren mit Leitungsaufgaben bei der Systementwicklung betraut. Anderson blickt auf mehr als 25 Jahre Erfahrung im Bereich Systemumgebungen (z. B. öffentliche Telefonnetze, Mobilfunknetze und IP-Netzwerke) zurück. Der Schwerpunkt seiner Tätigkeit bei Cisco liegt bei der Architektur von Unternehmensnetzwerken: Routing, Switching, Wireless-Netzwerke und Mobilität, Sicherheit, Video-Kommunikation und neue Technologien. Anderson ist außerdem Co-Autor von fünf Büchern der Networking Simplified-Reihe, die von Cisco Press herausgegeben wird. 3

4 ALLE DESIGNS, SPEZIFIKATIONEN, AUSSAGEN, INFORMATIONEN UND EMPFEHLUNGEN DIESES HANDBUCHS (ZUSAMMENFASSEND ALS DESIGNS BEZEICHNET) WERDEN IN DER VORLIEGENDEN FORM EINSCHLIESSLICH MÖGLICHER FEHLER PRÄSENTIERT. CISCO UND SEINE ZULIEFERER SCHLIESSEN JEGLICHE GEWÄHRLEISTUNG AUS, DARUNTER AUCH, ABER NICHT NUR, GEWÄHRLEIS- TUNGEN DER MARKTFÄHIGKEIT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER NICHTVERLET- ZUNG DER RECHTE DRITTER SOWIE GEWÄHRLEISTUNGEN, DIE SICH AUS REGELMÄSSIGEN VERHALTENSWEISEN ODER HANDELSBRÄUCHEN ERGEBEN. UNTER KEINEN UMSTÄNDEN HAFTEN CISCO ODER SEINE ZULIEFERER FÜR INDIREKTE, SPEZIELLE, IN FOLGE ODER BEILÄUFIG ENTSTAN- DENE SCHÄDEN, DARUNTER AUCH, ABER NICHT NUR, ENTGANGENE GEWINNE ODER DATENVER- LUSTE BZW. -BESCHÄDIGUNGEN, DIE AUS DER VERWENDUNG ODER NICHTVERWENDBARKEIT DER DESIGNS ENTSTEHEN, SELBST WENN CISCO ODER SEINE ZULIEFERER AUF DIE MÖGLICHKEIT DER- ARTIGER SCHÄDEN HINGEWIESEN WURDEN. UNANGEKÜNDIGTE TECHNISCHE ÄNDERUNGEN AN DEN DESIGNS BEHALTEN WIR UNS VOR. DER BENUTZER IST ALLEIN FÜR DIE ANWENDUNG DER DESIGNS VERANTWORTLICH. DIE DESIGNS STELLEN KEINEN TECHNISCHEN ODER PROFESSIONELLEN RAT VON CISCO, SEINEN LIEFERANTEN ODER PARTNERN DAR. DER BENUTZER SOLLTE VOR DER EINRICHTUNG DER DESIGNS EINEN TECH- NISCHEN BERATER KONSULTIEREN. DIE ERGEBNISSE KÖNNEN VON FAKTOREN ABHÄNGEN, DIE NICHT VON CISCO GETESTET WURDEN. Die Cisco Implementierung der TCP-Headerkomprimierung ist eine Adaption eines Programms, das an der University of California, Berkeley (UCB) als Teil der Public-Domain-Version der UCB für das UNIX-Betriebssystem entwickelt wurde. Alle Rechte vorbehalten. Copyright 1981, Verwaltungsrat der University of California. Cisco und das Cisco Logo sind Marken von Cisco Systems, Inc. und/oder Partnerunternehmen in den Vereinigten Staaten und anderen Ländern. Eine Liste der eingetragenen Marken von Cisco finden Sie unter Die genannten Marken und Abbildungen anderer Anbieter sind Eigentum der jeweiligen Inhaber. Die Verwendung des Begriffs Partner impliziert keine gesellschaftsrechtliche Beziehung zwischen Cisco und anderen Unternehmen. (1005R) Sämtliche in diesem Dokument verwendeten IP-Adressen und Telefonnummern sind als Beispiele zu verstehen und beziehen sich nicht auf tatsächlich existierende Adressen und Telefonnummern. Die in diesem Dokument enthaltenen Beispiele, Befehlsausgaben, Netzwerktopologie-Diagramme und anderen Abbildungen dienen lediglich zur Veranschaulichung. Die Verwendung tatsächlicher IP-Adressen oder Telefonnummern in diesem Zusammenhang ist zufällig und nicht beabsichtigt Cisco Systems, Inc. Alle Rechte vorbehalten. 4

5 Einführung Bring Your Own Device (BYOD) wobei Mitarbeiter Endgeräte ihrer Wahl für die Arbeit nutzen ist eine nicht zu unterschätzende Entwicklung, mit der jede IT-Abteilung früher oder später in Berührung kommen wird. Wie die unterschiedlichen Endgeräte am Arbeitsplatz genutzt werden können, ist dabei die zentrale Frage, die auch ein gewisses Umdenken erfordert. Was genau versteht man unter BYOD? Etwa, dass Mitarbeiter die Endgeräte, die sie bei ihrer Arbeit einsetzen, aus eigenen Mitteln finanzieren? Das mag ein Aspekt sein, doch im Grunde geht es bei BYOD um viel mehr. Nämlich darum, dass Anwender die Computer- und Kommunikationsgeräte ihrer Wahl nutzen können, um ihre Produktivität und Mobilität zu optimieren. Ob die entsprechenden Geräte der Arbeitgeber, der Arbeitnehmer oder beide bezahlen, ist dabei nicht relevant: Bei BYOD geht es um jegliche Geräte, unabhängig vom Eigentümer, die überall verwendet werden können. Im vorliegenden Dokument wird dargestellt, welche Folgen und Auswirkungen diese Entwicklung für Unternehmen hat und welche IT-Herausforderungen damit verbunden sind. Außerdem werden Technologien von Cisco vorgestellt, die diesen Trend unterstützen. Mit der umfassenden Architektur von Cisco birgt der BYOD-Trend keine Schwierigkeiten: Anwender können die Geräte ihrer Wahl für die Arbeit nutzen, und den IT-Abteilungen werden Tools und Funktionen an die Hand gegeben, die Datenverluste verhindern und die Sicherheit gewährleisten. Erfolgsfaktoren für das Unternehmen Endgeräte Wer nachvollziehen möchte, welche Herausforderungen BYOD mit sich bringt, sollte sich mit den geschäftlichen Veränderungen beschäftigen, die diese Entwicklung überhaupt ermöglichen. In der Vergangenheit stellten die Arbeitgeber ihren Mitarbeitern Desktop-Computer bzw. Notebooks bereit, die in der Regel dem neuesten Stand der Technik entsprachen. Seit immer mehr High-End-Geräte Notebooks, Netbooks, Tablets, Smartphones, E-Reader etc. den Endverbrauchermarkt nahezu überschwemmen und zu vergleichsweise günstigen Preisen erhältlich sind, wird ein Großteil der produktivsten und fortschrittlichsten Technologien im Privatleben genutzt. Gleichzeitig wollten viele Mitarbeiter diese leistungsstarken Geräte auch gerne für die Arbeit einsetzen. Viele IT-Abteilungen lehnten dies zunächst ab; mit der Begründung, die vorhandene Infrastruktur unterstütze nur eine geringe Anzahl an Endgeräten und die Verwendung privater Geräte stelle ein zu hohes Sicherheitsrisiko dar. Unternehmenszentrale: Cisco Systems, Inc., 170 West Tasman Drive, San Jose, CA , USA Copyright 2012 Cisco Systems, Inc. Alle Rechte vorbehalten.

6 Erfolgsfaktoren für das Unternehmen Abbildung 1 Verkauf von PCs und Nicht-PCs, 2011 (in Mio.) Quelle: Deloitte, 2011 PCs Nicht-PCs Desktop-PCs Laptops Netbooks Tablets Smartphones Die Anwender brachten ihr Anliegen jedoch hartnäckig an: Sie beabsichtigten, ihre Produktivität mithilfe von Tablets und Smartphones zu verbessern, und waren sogar dazu bereit, diese Geräte aus eigenen Mitteln zu zahlen. Viele IT-Abteilungen konnten sich dem nicht länger entziehen und lockerten im vergangenen Jahr ihre Sicherheitsrichtlinien, um den Mitarbeitern ständige Netzwerkanbindung oder gar vollständigen Zugriff auf das Unternehmensnetzwerk und geschäftliche Anwendungen zu ermöglichen. Da sich der BYOD-Trend mit sehr hoher Wahrscheinlichkeit fortsetzen wird, ist es für jedes Unternehmen an der Zeit, sich den neuen Anforderungen anzupassen. Viele neue Geräte, viele neue Anforderungen Bislang standen den meisten Arbeitnehmern ein Desktop-PC oder ein Notebook zur Verfügung; für Sprachanrufe wurden Mobiltelefone genutzt. Letztere wurden mittlerweile weitgehend von Smartphones ersetzt, auf denen Anwendungen ausgeführt werden können und die Internetzugriff und eine Kamera bieten. Viele Smartphones und Tablets sind so leistungsstark und vielseitig wie Notebooks und PCs und eröffnen völlig neue Anwendungsmöglichkeiten. Es werden sogar bereits Stimmen laut, dass in Zukunft nur noch ein einziges Gerät für alle Zwecke (EDV, Kommunikation und Anwendungen) zum Einsatz kommt. Doch die vorherrschende Ansicht derzeit ist, dass es weiter verschiedene spezifische Geräte für bestimmte Funktionen geben wird. Ein Notebook lässt sich beispielsweise weniger komfortabel mitnehmen als ein Smartphone, weswegen die meisten Menschen für die mobile Kommunikation zum Smartphone greifen dürften. Tablets sind ebenfalls leistungsstarke Geräte, aber Notebooks und PCs werden wahrscheinlich weiterhin für das Erstellen und Veröffentlichen von Dokumenten genutzt werden. Viel wahrscheinlicher als ein einziges Multifunktionsgerät ist es daher, dass ein Mitarbeiter auf mehrere Geräte zurückgreift. 6

7 Erfolgsfaktoren für das Unternehmen Abbildung 2 Gerätevielfalt Die Auswirkung dieses Trends ist, dass wesentlich mehr Geräte desselben Mitarbeiters oder derselben Person mit dem Netzwerk verbunden sein werden, oft sogar gleichzeitig, was zu einem starken Anstieg der insgesamt angeschlossenen Geräte führen wird. Überschneidung von privatem und geschäftlichem Gebrauch Die Arbeit wird in zunehmendem Maß zu einer Aktivität, die die Leute leisten. Sie ist nicht mehr nur ein Ort, an den sie sich begeben. Die zunehmende Anbindung über mobile Geräte und der Remote-Zugriff auf das Unternehmensnetzwerk bieten Mitarbeitern eine enorme Flexibilität und höhere Produktivität. Dabei schwindet auch immer mehr die Grenze zwischen Arbeitszeit und Freizeit. Statt starrer Arbeitszeiten möchten Mitarbeiter zu selbst gewählten Zeiten und von überall aus arbeiten, wodurch sich private und arbeitsbezogene Aufgaben zunehmend vermischen. Darüber hinaus empfinden Mitarbeiter die Notwendigkeit, sowohl ihre Privat- als auch Arbeitsgeräte mitnehmen und zwischen ihnen wechseln zu müssen, als unflexibel. Die meisten Mitarbeiter wollen ihr Smartphone, Tablet oder ihr Notebook sowohl für geschäftliche als auch für private Aufgaben nutzen und nicht auch noch Firmengeräte mit sich tragen. Der Gerätebesitz ist nicht klar getrennt. Nicht wenige Mitarbeiter sind bereit, beispielsweise ihren privaten Tablet-PC oder ihr Smartphone für den Zugriff auf Unternehmensanwendungen zu nutzen. Viele Arbeitgeber planen oder implementieren gerade Programme, in deren Rahmen Mitarbeiter Geld für den Kauf von Geräten erhalten, wobei es ihnen überlassen bleibt, welches Gerät sie kaufen. Diese Überschneidung von Arbeit und Freizeit führt dazu, dass zunehmend neben geschäftlichen auch private Daten auf den verschiedenen Endgeräten gespeichert werden. Daraus wiederum ergeben sich völlig neue Herausforderungen in punkto Datensicherheit und -schutz. Zeit- und standortunabhängige Mobilität Schätzungen zufolge wird sich der von mobilen Geräten in Netzwerken erzeugte Datenverkehr von 2010 bis 2015 um das 26-fache erhöhen, was durch leistungsstärkere Smartphones und Tablets sowie Benutzer verursacht wird, die jederzeit und überall einen Zugriff auf das Internet und auf Anwendungen verlangen. Ermöglicht wird dies durch den explosiven Ausbau von Wi-Fi-Netzen durch Unternehmen, von 3G- und 4G-Netzen durch Mobilfunkanbieter sowie von öffentlichen Wi-Fi-Netzen durch Einzelhändler, Kommunen usw. 7

8 Herausforderungen für die IT Abbildung 3 Prognose für das weltweite Wachstum mobiler Daten (Quelle: Cisco Visual Networking Index, 2011) Terabytes pro Monat % CAGR ,3 EB 3,8 EB ,2 EB 1,2 EB 0 0,24 EB ,6 EB Je einfacher Mitarbeiter über Wi-Fi- und Mobilfunknetze auf ihre geschäftlichen Daten zugreifen können, desto mehr werden sich diese Netze ausbreiten und so den Zugriff weiter erleichtern. Eine Netzwerkanbindung ist somit überall und jederzeit verfügbar. Immer mehr Geräte werden also immer häufiger auf Unternehmensnetzwerke zugreifen, weshalb es zunehmend wichtig ist, dass Anwendungen rund um die Uhr verfügbar sind. Video-, Collaboration- und Multimedia-Anwendungen Bei der Kommunikation im beruflichen und privaten Bereich kommen immer mehr Multimedia-Inhalte zum Einsatz, was einen höheren Datenverkehr im Netzwerk zur Folge hat. Collaboration-Anwendungen und die universelle Mobilität treiben diese Entwicklung noch weiter voran. Je mehr Mitarbeiter Collaboration-Anwendungen nutzen und je mobiler sie arbeiten, desto größer werden die Anforderungen an Mobilfunknetz- und Wi-Fi-Infrastrukturen. Ein weiterer Faktor dieses Trends sind die Funktionsmerkmale, die in immer leistungsstärkere Endgeräte integriert werden, z. B. HD-Foto- und Videokameras. Dank immer umfassender verfügbarer Bandbreiten und 4G- und Wi-Fi-Services sind Anwendungen, die HD-Mediendatenströme übertragen, bald an der Tagesordnung. Das Anwendererlebnis auf vielen Tablets und Smartphones ist derzeit üblicherweise noch nicht optimal, wird aber in Zukunft höchste Qualität erreichen. Geräte für Kommunikation und Zusammenarbeit wie das Cisco Cius TM werden die Nachfrage nach nahtloser mobiler HD-Videotechnik und Zusammenarbeit weiter steigern. Herausforderungen für die IT Im Zuge des BYOD-Trends stehen IT-Abteilungen verschiedenen Herausforderungen gegenüber. Viele der Vorzüge von BYOD, die freie Auswahl bei den Geräten und ein zeit- und ortsunabhängiger Netzwerkzugriff, stehen gewissermaßen im Gegensatz zu den traditionellen IT-Anforderungen nach Sicherheit und Support. 8

9 Herausforderungen für die IT Umfassende Geräteauswahl und Support Bislang wurde von IT-Abteilungen eine Liste genehmigter Geräte für den Arbeitsplatz vordefiniert, zumeist ein Standard-Desktop oder -Notebook und ggf. eine kleine, standardisierte Gruppe von Mobiltelefonen und Smartphones. Mitarbeiter durften unter diesen Geräten wählen, aber in der Regel nicht von der Liste der genehmigten Geräte abweichen. Bei BYOD muss die IT-Abteilung das Problem anders angehen. Der Gerätemarkt entwickelt sich so schnell, dass es praktisch nicht möglich ist, jede Gerätemarke und jeden Formfaktor vorab zu genehmigen. Ebenso wenig ist von der IT-Abteilung zu erwarten, dass sie für alle Geräte, die die Mitarbeiter mit zur Arbeit bringen, denselben Grad an Support leistet. Deshalb müssen IT-Abteilungen auf übergeordneter Ebene festlegen, welche Gerätetypen auf das Netzwerk zugreifen dürfen, wobei ggf. eine Kategorie oder Marke aufgrund unzureichender Sicherheitsvorkehrungen oder anderer Faktoren ausgeschlossen wird. Auch der Support muss berücksichtigt werden, beispielsweise durch Einführung von mehr IT-gestützten und Self-Service-Modellen. Sicherer Zugriff auf das Unternehmensnetzwerk Integration neuer Geräte Die Geräteauswahl muss nicht auf Kosten der Sicherheit gehen. Die IT muss Mindestanforderungen an die Sicherheit definieren, die alle Geräte erfüllen müssen, um im Firmennetzwerk zum Einsatz zu kommen, einschließlich Wi-Fi-Sicherheit, VPN-Zugriff und ggf. Zusatzprogramme zum Schutz vor Malware. Darüber hinaus ist es aufgrund der Vielzahl von Geräten überaus wichtig, jedes Gerät zu identifizieren, das sich mit dem Netzwerk verbindet, und sowohl das Gerät als auch seinen Nutzer zu authentifizieren. Bei den meisten BYOD-Implementierungen geht es um die unterschiedlichsten Geräte, z. B. Desktop-PCs, Notebooks, Netbooks, Smartphones, Tablets, E-Reader und Collaboration-Geräte wie das Cisco Cius. Es ist davon auszugehen, dass einige der Geräte vom Unternehmen beschafft und verwaltet werden, während andere Geräte von den Mitarbeitern erworben und unterstützt werden. Die Integration neuer Geräte, d. h. das erstmalige Anbinden eines neuen Geräts an das Netzwerk, sollte einfach und im Idealfall vom Benutzer selbst mit minimalen Eingriffen durch die IT erfolgen, insbesondere bei von Mitarbeitern gekauften Geräten. Die IT-Abteilung muss auch in der Lage sein, bei Bedarf Updates im Push-Verfahren auf integrierte Geräte spielen zu können. Die Integration sollte im Idealfall ohne Client erfolgen, was bedeutet, dass keine vorinstallierte Software erforderlich ist. Dies hat einen zusätzlichen Vorteil, denn wenn ein Integrationsmodell nach dem Self-Service-Prinzip erfolgreich eingeführt wird, kann es problemlos durch einen Gastzugriff erweitert werden. Durchsetzung unternehmenseigener Nutzungsrichtlinien Unternehmen arbeiten zum einen mit einer Vielzahl von branchenspezifischen Richtlinien, die befolgt werden müssen, und zum anderen mit eigenen expliziten Richtlinien. Bei Übernahme des BYOD-Prinzips muss eine Möglichkeit zum Durchsetzen von Richtlinien eingerichtet werden, was auf Endgeräten wie Tablets und Smartphones schwieriger sein kann. Eine weitere Komplikation ergibt sich aus der Kombination privater und beruflicher Aufgaben auf demselben Gerät. Smartphones werden meist für geschäftliche und private Anrufe genutzt, während auf Tablets in der Regel sowohl private als auch geschäftliche Anwendungen installiert sind. Der Zugriff auf das Internet, der Dateiaustausch mit Kollegen und die Anwendungsnutzung unterliegen ggf. unterschiedlichen Richtlinien, wenn Benutzer in ihrer Freizeit im Netzwerk sind und wenn sie während der Arbeitszeiten auf das Firmennetzwerk zugreifen. 9

10 Herausforderungen für die IT Gerätetransparenz im Netzwerk Mitarbeiter hatten für gewöhnlich einen einzelnen Desktop-PC oder ein Notebook im Netzwerk und vielleicht auch ein IP-Schreibtischtelefon. Wenn ein Mitarbeiter die IT-Abteilung mit einem Supportanliegen anrief, war es relativ einfach, das Gerät dieses Benutzers im Netzwerk zu orten und das Problem zu beheben. Bei Umsetzung des BYOD-Prinzips können Mitarbeiter drei, vier oder mehr gleichzeitig mit dem Netzwerk verbundene Geräte haben. Viele der Geräte unterstützen mehrere Modi (kabelgebundene Ethernet-, Wi-Fi-, 3G/4G-Mobilfunknetze), zwischen denen sie während einer Sitzung flexibel wechseln können. Die IT muss deshalb unbedingt über Tools verfügen, die bei allen Geräten im Firmennetzwerk und darüber hinaus für Transparenz sorgen. Vermeidung von Datenlecks und -verlust Eine der größten Herausforderungen jeder BYOD-Implementierung ist die Gewährleistung des Schutzes von Unternehmensdaten. Wenn eine Unternehmensressource, z. B. ein Notebook, für den Zugriff auf geschäftliche Anwendungen und Daten genutzt wird, unterliegt diese Ressource zumeist einer strengen Kontrolle durch die IT-Abteilung und ggf. auch eingeschränkteren Nutzungsrichtlinien. Einige Branchen müssen Vertraulichkeitsvorschriften (z. B. HIPAA), Sicherheitsvorschriften (z. B. PCI) oder allgemeinere Sicherheitsrichtlinien (z. B. Sarbanes-Oxley) befolgen. Unternehmen müssen nachweisen, dass bei Einführung des BYOD-Ansatzes die Einhaltung dieser Vorgaben möglich ist, was schwieriger sein kann als bei einem vom Unternehmen beschafften und verwalteten Gerät. Ein Tablet oder Smartphone im Besitz des Mitarbeiters wird in der Regel für private und geschäftliche Zwecke genutzt. Ein Cloud-basierter gemeinsamer Dateizugriff und entsprechende Speicherservices sind für private Daten praktisch, stellen aber potenzielle Lecks für vertrauliche Unternehmensdaten dar. Die IT muss eine Strategie für den Schutz von Unternehmensdaten auf allen Geräten unabhängig davon ausarbeiten, ob diese vom Unternehmen oder vom Benutzer beschafft und verwaltet werden. Dazu zählen eine sichere Unternehmenspartition auf dem Gerät, die als Container für Unternehmensdaten dient und streng kontrolliert werden kann, und auch eine VDI-Anwendung (Virtual Desktop Infrastructure), die einen Zugriff auf vertrauliche Daten zulassen kann, ohne dass die Daten auf dem Gerät gespeichert werden. Entzug von Zugriffsrechten Unter bestimmten Umständen kann es erforderlich sein, den Zugriff auf ein Gerät aufzuheben. Der Grund kann der Verlust oder Diebstahl eines Geräts, die Kündigung eines Mitarbeiters oder eine Änderung des Aufgabenbereichs des Mitarbeiters im Unternehmen sein. IT-Abteilungen müssen in der Lage sein, den für ein Gerät erteilten Zugriff rasch aufzuheben und nach Möglichkeit einige oder alle Daten (und Anwendungen) auf dem Gerät remote zu löschen. Potenzielle neue Angriffsvektoren Da die Geräte, die auf das Firmennetzwerk zugreifen, über weitreichende Funktionen verfügen und die IT-Abteilung ggf. nicht alle Geräte umfassend bewerten, kategorisieren und genehmigen kann, besteht die Gefahr, dass sich neue Angriffsvektoren für die Sicherheit eröffnen. 10

11 Herausforderungen für Endnutzer Viele Tablets können beispielsweise ein Ad-hoc-WLAN aktivieren. Wenn an ein authentifiziertes Gerät über ein Ad-hoc-WLAN andere Geräte angebunden sind, können möglicherweise nicht authentifizierte Geräte und Benutzer durch eine Verbindung über das authentifizierte Gerät auf das Firmennetzwerk zugreifen. Dasselbe gilt beim Anbinden eines Notebooks per Bluetooth über ein Smartphone. Die Herausforderung für die IT besteht darin, die wachsende Anzahl zu nutzender Geräte und Funktionen zuzulassen und gleichzeitig die Kontrolle zum Durchsetzen von Richtlinien zu behalten, z. B. automatisches Deaktivieren einer Ad-hoc-WLAN-Funktion auf einem autorisierten angebundenen Gerät. Hohe WLAN-Performance und Zuverlässigkeit Da der Funkzugriff immer stärker zunimmt, entsprechen die Erwartungen an Leistung und Zuverlässigkeit denen an kabelgebundene Netzwerke hinsichtlich stabiler Anbindung, Durchsatz, Anwendungsreaktionszeiten und in zunehmendem Maß Sprach-, Video- und andere Anwendungen für die Zusammenarbeit in Echtzeit. Dieser Paradigmenwechsel erfordert, dass IT-Abteilungen den Service Level des WLANs des Unternehmens an den des kabelgebundenen Netzwerks anpassen und ihm die gleiche Bedeutung für das Unternehmen beimessen. Bei Design und Betrieb des WLAN müssen hohe Verfügbarkeit, Leistungsüberwachung und Schutzfunktionen sowie nahtloses Roaming berücksichtigt werden. Bewältigung der Herausforderungen durch die rasche Verbreitung neuer Geräte Die zunehmende Anzahl von mit dem Netzwerk verbundenen Geräten, wobei viele Mitarbeiter ggf. zahlreiche Geräte gleichzeitig angebunden haben, kann zu einem Mangel an IP-Adressen führen, da bei den meisten älteren IP-Adressplänen von wesentlich weniger Geräten ausgegangen wurde. Dadurch können IPv6-Bereitstellungen sowohl am Internet-Edge als auch im Firmennetzwerk schneller erforderlich werden. Herausforderungen für Endnutzer Der Wunsch nach BYOD geht größtenteils von Benutzern aus, die sich die Geräte aussuchen wollen, die sie am Arbeitsplatz nutzen. Auch aus Sicht der Benutzer sind Herausforderungen zu bewältigen. Einfacher ist besser BYOD-Lösungen und -Technologien entwickeln sich schnell. Doch eine der größten Herausforderungen besteht darin, den Benutzern die Anbindung an das Netzwerk und die Nutzung von Unternehmensressourcen so einfach wie möglich zu machen. Die Anzahl von Geräteoptionen, der Umfang von Verbindungstypen und Standorten sowie das Fehlen etablierter Ansätze können bei den Benutzern für Schwierigkeiten sorgen. Jede Gerätemarke und jeder Formfaktor kann für die Integration und Anbindung geringfügig andere Schritte erforderlich machen. Auch die Sicherheitsvorkehrungen und erforderlichen Schritte können abhängig davon variieren, wie und wo der Benutzer die Anbindung versucht. Das Wi-Fi-Netz des 11

12 Aspekte bei der Umsetzung des BYOD-Prinzips Unternehmens kann beispielsweise Anmeldedaten anfordern, während bei der Anbindung über einen öffentlichen Wi-Fi-Hotspot ggf. Anmeldedaten, ein virtuelles privates Netzwerk (VPN) und andere Sicherheitsmaßnahmen erforderlich sind. Schlussendlich müssen BYOD-Lösungen für die Benutzer so einfach wie möglich sein, unabhängig von der Anbindung eine einheitliche Umgebung bieten und auf allen Geräten so ähnlich wie möglich sein. Kombination privater und beruflicher Aufgaben auf einem Gerät BYOD bewirkt, dass persönliche und berufliche Aufgaben auf demselben Gerät ausgeführt werden. Kontaktlisten, -Programme, Datendateien, Anwendungen und Internetzugriff können Herausforderungen darstellen. Im Idealfall sollten Benutzer ihre persönlichen Daten von ihren arbeitsbezogenen Aktivitäten trennen. Persönliche Fotos, SMS-Nachrichten, Telefonanrufe und Internetsuchen in der Freizeit müssen der Privatsphäre unterliegen. Dokumente, Dateien, mit Unternehmensdaten arbeitende Anwendungen und Internetsuchen während der Arbeitszeit müssen in Übereinstimmung mit den Unternehmensrichtlinien sein. Einige Arbeitgeber machen die Anbindung mit einem Gerät im Besitz des Mitarbeiters von der Unterzeichnung einer Vereinbarung abhängig, sodass das Unternehmen die Vorschrifteneinhaltung und akzeptierte Nutzungsrichtlinien überwachen und auch in anderer Form agieren kann, um Unternehmensdaten zu schützen. Dies kann in bestimmten Fällen dazu führen, dass alle Daten auf dem Gerät (möglicherweise auch private Daten) remote gelöscht werden, was bei fehlenden Absprachen offenkundig zu Konflikten zwischen der IT und den Benutzern führen kann. Optimierung der Arbeitsumgebung und Produktivität Wie bereits erwähnt, ist einer der wichtigsten Antriebsfaktoren von BYOD, dass Mitarbeiter die Endgeräte, die sie privat nutzen, als Produktivitätstools am Arbeitsplatz einsetzen möchten. Unternehmen möchten von dieser Produktivität profitieren, müssen allerdings auch zum Schutz von Unternehmensdaten entsprechende Sicherheitseinstellungen und Richtlinien aktivieren. Wenn diese Sicherheitsmaßnahmen zu streng sind, können etwaige Produktivitätsvorteile gleich wieder verloren gehen. Ein häufiger Einwand ist beispielsweise, dass Unternehmen, die den Zugriff auf Geschäftsanwendungen und -daten über die Bereitstellung von VDI-Clients auf einem Tablet sperren, das Anwendererlebnis so weit einschränken, dass die Mitarbeiter nicht in den Genuss des Tablet-Erlebnisses kommen. VDI-Client einschließlich Anwendererlebnis werden sich aber in Zukunft im Einklang mit dem Wachstum des Tablet- und Smartphone-Markts weiterentwickeln. Aspekte bei der Umsetzung des BYOD-Prinzips Damit BYOD eine weite Verbreitung findet, müssen im Vorfeld verschiedene Aspekte durchdacht werden. Benutzersegmente und Anforderungen Wichtig ist es, zu verstehen, dass es bei jeder BYOD-Implementierung verschiedene Benutzersegmente gibt. Eine Empfehlung besteht darin, im Unternehmen eine Benutzersegmentierungsanalyse durchzuführen, um Anforderungen und den benötigten Grad an Support zu erfassen. Abbildung 4 zeigt ein Beispiel. 12

13 Aspekte bei der Umsetzung des BYOD-Prinzips Abbildung 4 Benutzersegmente und Anforderungen Support-Bedarf Hoch Niedrig Niedrig Administration/ Verwaltung Callcenter/Support Finanzen IT-Support Lehr-/Schulungspersonal Technischer Support Mobilitätsbedarf Führungskräfte Vertriebsmitarbeiter Mitarbeiter im Gesundheitswesen Ingenieure und Techniker IT-Mitarbeiter Technische Vertriebsmitarbeiter Hoch Jedes Unternehmen ist anders. In Abbildung 4 werden die Mitarbeiterrollen mit dem Bedarf an Mobilität und mobilen Anwendungen und mit dem wahrscheinlich benötigten Grad an Support verglichen. BYOD-Bereitstellungen sind bei Benutzern einfach, die nur wenig IT-Support benötigen, da sie sich im Internet in Support-Communitys über bewährte Vorgehensweisen informieren. Bereitstellungen werden umso schwieriger bei Benutzern mit hohen Mobilitätsanforderungen, die zugleich ein hohes Maß an Support benötigen, z. B. Führungskräfte. Eine solche Analyse veranschaulicht Berechtigungsrichtlinien und Support-Modelle und kann Enttäuschungen und eine Überziehung des IT-Budgets vermeiden helfen. Strategie für die Übernahme des BYOD-Prinzips Jedes Unternehmen geht die Übernahme des BYOD-Prinzips im Rahmen verschiedener möglicher Szenarien mit anderen Erwartungen an. Und jedes Unternehmen benötigt eine BYOD-Strategie, auch wenn beabsichtigt ist, alle Geräte auszuschließen, die nicht von der IT-Abteilung genehmigt und verwaltet werden. Abbildung 5 zeigt verschiedene Einführungsszenarien, die für die meisten Unternehmen zutreffen. Abbildung 5 Einführungsszenarien für BYOD Eingeschränkt Standard Erweitert Volle Unterstützung Umgebung erfordert strenge Kontrollen Basiszugriff für zusätzliche Geräte Geräte- und ortsunabhängig, optimierte Sicherheit Geräte-, orts- und personenunabhängig Von der IT-Abteilung gewählte Geräte Von der IT-Abteilung verwaltete Geräte mit Zugriff am Standort Alle anderen Geräte unzulässig Größere Gerätegruppe Von der IT-Abteilung verwaltete Geräte mit Zugriff am Standort Geräte im Besitz der Mitarbeiter und Gastgeräte nur mit Zugang zum Internet Große Geräteauswahl Geräte im Besitz von Unternehmen und Mitarbeitern mit vollständigem standortinternen und -externen Zugriff Sicherheit auf Geräteseite Gastgeräte nur mit Zugang zum Internet Große Geräteauswahl Geräte im Besitz von Unternehmen und Mitarbeitern mit vollständigem standortinternen und -externen Zugriff Sicherheit auf Geräteseite Angepasste native Anwendungen Gast-/Endgeräte mit optimierten Services

14 Aspekte bei der Umsetzung des BYOD-Prinzips Organisationen in stark regulierten Bereichen, z. B. Finanzwesen oder Sicherheitsbehörden, müssen zum Schutz vertraulicher Daten bei der BYOD-Übernahme einen eingeschränkteren Ansatz wählen. Geräte müssen ggf. wie beim traditionellen IT-Ansatz sorgfältig kontrolliert und verwaltet werden, was in diesen Fällen weiter so gelten kann. Bei vielen Unternehmen reicht die Übernahme des BYOD-Prinzips vom Zulassen einer größeren Gruppe von Geräten mit eingeschränktem Zugriff auf Anwendungen bis zu einem uneingeschränkten Wechsel zum BYOD-Ansatz, wobei eine große Anzahl oder sogar alle Gerätetypen zugelassen sind und Sicherheitsvorkehrungen entwickelt werden, um den Zugriff auf Unternehmensanwendungen und -daten umfassend zu unterstützen. Einige Unternehmen verfolgen im weitesten Sinne eine Strategie, bei der die Mobilität an erster Stelle steht. Dabei konzentriert sich die interne Anwendungsentwicklung auf Tablets und Smartphones mit dem Ziel, sich durch den Einsatz einer umfangreichen Palette von Produktivitätstools und Geräten einen Wettbewerbsvorteil zu verschaffen. Um die passenden Sicherheitsrichtlinien und Berechtigungen durchführen zu können und eine Strategie für den BYOD-Ansatz zu entwickeln, müssen Sie wissen auf welchem aktuellen Stand sich Ihr Unternehmen befindet und welche zukünftigen Entwicklungen sich ergeben werden. Nativer, Browser-basierter und virtueller Modus Der Schutz und das Verhindern des Verlusts von Unternehmensdaten hat bei der Implementierung einer BYOD-Strategie oberste Priorität. Es gibt drei unterschiedliche Anwendungsarchitekturen: nativ, Browser-basiert und virtuell. (Siehe Abbildung 6.) Abbildung 6 Nativer und virtueller Modus Native Anwendung Native Anwendung Rechenzentrum Nativ Lokale Daten auf Gerät Maximale Leistung Native Geräteumgebung Webbrowser HTML- Schnittstelle Native Anwendung Rechenzentrum Browser Lokale Daten auf Gerät Auf viele Geräte übertragbar Browserumgebung Desktop Virtualization Client Desktop Virtualization Client Native Anwendung Rechenzentrum Virtuell Keine lokalen Daten auf Gerät Maximale Sicherheit Übersetzte Umgebung

15 Aspekte bei der Umsetzung des BYOD-Prinzips Im nativen Modus kommunizieren auf dem Gerät ausgeführte Anwendungen direkt mit dem Anwendungsserver im Hostrechenzentrum (bzw. in der Cloud). Daten werden direkt auf dem BYOD-Gerät ausgetauscht und gespeichert. In der Regel hängen die Anwendungsleistung und das Anwendererlebnis eng mit dem jeweiligen Gerät zusammen, was bedeutet, dass eine Geschäftsanwendung nahezu so wie alle anderen Anwendungen auf dem Gerät funktioniert. Alle Produktivitätsvorteile und das Geräteverhalten bleiben erhalten, und Anwendungen können zur Ermöglichung eines optimierten Anwendererlebnisses angepasst werden. Für den Anwendungszugriff wird aufgrund der einfachen Portabilität zwischen Geräten und Betriebssystemen zunehmend ein Browseransatz gewählt. Praktisch jedes Gerät mit einem HTML-Standardbrowser kann für den Zugriff auf die Anwendung genutzt werden. Die Nachteile bestehen wie im nativen Modus darin, dass Daten direkt auf dem BYOD-Gerät ausgetauscht und gespeichert werden, was zu Herausforderungen hinsichtlich der Sicherheit und Datenverlusten führt. Darüber hinaus kann auch das Anwendererlebnis darunter leiden. Im Gegensatz dazu befinden sich Anwendungen im virtuellen Modus auf dem Anwendungsserver im Rechenzentrum (bzw. in der Cloud) und werden durch einen VDI-Client auf dem Gerät dargestellt. Auf dem BYOD-Gerät werden keine Daten lokal gespeichert. Es werden lediglich Anzeigeinformationen ausgetauscht und wiedergegeben. Wenngleich dieser Modus ein Höchstmaß an Sicherheit bietet, kann das Anwendererlebnis aufgrund der Übersetzung vom Anwendungsserver in den Formfaktor und das Betriebssystem des BYOD-Geräts eingeschränkt sein. Erste Nutzer dieses Ansatzes haben meist negatives Feedback gegeben. Für die Anwendungsarchitektur muss festgelegt werden, ob sie im nativen oder virtuellen Modus betrieben werden soll. In vielen Unternehmen kommt ein Hybridansatz zum Einsatz, bei dem der native Modus für zahlreiche standardmäßige Geschäftsanwendungen und der virtuelle Modus für eine Untergruppe von Anwendungen mit strengeren Anforderungen an die Datenvertraulichkeit genutzt wird. Umfassende Endbenutzervereinbarung Ein Bereich, der zwar nicht zur Netzwerkarchitektur gehört, aber dennoch nicht außer Acht gelassen werden darf, ist die Endbenutzervereinbarung. Aufgrund der Vermischung von privaten und Firmendaten und der Möglichkeit, dass Geräte im Besitz von Mitarbeitern für Arbeitszwecke genutzt werden, müssen im Vorfeld unbedingt Richtlinien definiert und den Mitarbeitern vermittelt werden. IT-Abteilungen müssen sich mit den geltenden Gesetzen beim Datenschutz und der Datenvertraulichkeit vertraut machen, z. B. mit dem Bundesdatenschutzgesetz und Landesdatenschutzgesetzen. Wie sehen die Unternehmensrichtlinien aus? Unterliegt die Kommunikation einer Überwachung? Gelten Richtlinien sowohl für den geschäftlichen als auch den privaten Bereich? Zu berücksichtigende Bereiche sind u. a.: SMS Sprachanrufe Suchen im Internet Instant Messaging s GPS- und Standortinformationen Kauf/Installation von Anwendungen Gespeicherte Fotos und Videos Zurücksetzen von Geräten Viele Unternehmen filtern und überwachen regelmäßig den Internetzugriff ihrer Mitarbeiter, um die Einhaltung von Vorschriften zum Zugriff auf unangemessene Websites während der Arbeitszeit sicherzustellen. Die meisten BYOD-Geräte haben über ein öffentliches Wi-Fi- und/oder 3G/4G-Mobilfunknetz einen direkten Zugriff auf das Internet. Üblicherweise gibt es eine Richtlinie, die den Besuch pornografischer Websites auf Geräten, die an das Firmennetzwerk angebunden sind, verbietet. Hat diese Richtlinie auch dann Bestand, wenn der Mitarbeiter auf seinem eigenen Gerät in seiner Freizeit und über einen öffentlichen Internetzugang Websites besucht? 15

16 BYOD-Architektur von Cisco Darüber hinaus gibt es häufig Richtlinien, die die Übertragung unangemessener Nachrichten mit sehr persönlichen Fotos per oder SMS durch Geräte im Firmenbesitz oder über das Firmennetzwerk verbieten. Gelten dieselben Richtlinien auch für private s oder SMS auf einem Gerät im Besitz des Mitarbeiters? Welche Arten der Kommunikation werden überwacht? Welche nicht? Es gibt zahlreiche Fälle, in denen ein Arbeitgeber das Gerät im Besitz eines Mitarbeiters remote zurückgesetzt hat, wobei alle persönlichen und geschäftlichen Daten vom Gerät gelöscht wurden, was zur Einleitung rechtlicher Schritte führte. Stellen Sie sich als ein Mitarbeiter die Überraschung vor, wenn Sie durch die Nutzung Ihres neuen Tablets für den Zugriff auf das Firmennetzwerk unbewusst zugestimmt hätten, dass die IT-Abteilung die Fotos Ihrer Familie löschen soll. Andere Herausforderungen ergeben sich aus möglicherweise illegalen Abhöraktionen, wenn Mitarbeiter klagen, dass ihre SMS-Kommunikationen von ihrem Unternehmen unrechtmäßig überwacht wurden, ohne dass sie informiert wurden. Um Rechtsstreitigkeiten zu vermeiden gibt es eine einfache Regel: informieren, informieren und nochmals informieren. Machen Sie den Mitarbeitern in einer schriftlichen Richtlinie klar, dass sie sich einverstanden erklären müssen, wie das Unternehmen mit geschäftlichen und privaten Daten und Kommunikationsinhalten auf dem BYOD-Gerät umgeht. Geben Sie unmissverständlich zu verstehen, auf welche Rechte die Mitarbeiter durch ihr Einverständnis mit der Endbenutzervereinbarung verzichten, um mit ihrem eigenen Gerät auf das Unternehmensnetzwerk zuzugreifen. Richtlinien für verloren gegangene und gestohlene Geräte Ähnliche Bedeutung wie die bereits angesprochene umfassende Endbenutzervereinbarung hat der Umgang mit verloren gegangenen und gestohlenen Geräten. Welcher Benachrichtigungsprozess gilt für die Mitarbeiter? Welche Schritte sind erforderlich, um den Zugriff auf das Firmennetzwerk aufzuheben? Welche Schritte können und müssen erfolgen, um lokal auf dem Gerät gespeicherte Daten remote zu entfernen? Auf dem Markt gibt es mehrere Lösungen mit unterschiedlichem Funktionsangebot, um das Gerät remote zu erreichen und Daten oder Anwendungen dauerhaft zu löschen, damit deren Vertraulichkeit weiter sichergestellt ist. Untersuchen Sie die Datentypen, die vorwiegend auf BYOD-Geräten gespeichert werden, und integrieren Sie vor der Bereitstellung Pläne zur Risikominderung in die allgemeine BYOD-Strategie. BYOD-Architektur von Cisco Cisco bietet eine umfassende BYOD-Lösungsarchitektur, in der im gesamten Netzwerk Elemente für einen einheitlichen Ansatz zum Sicherstellen des Gerätezugriffs, von Transparenz und Richtliniensteuerung kombiniert werden. Zum Erfüllen der zahlreichen zuvor beschriebenen Anforderungen kann eine BYOD-Lösung nicht aus einem einzelnen Produkt bestehen, sondern muss in das intelligente Netzwerk integriert werden. Die BYOD-Lösung von Cisco basiert auf der Cisco Borderless Network-Architektur und setzt voraus, dass beim Design der Netzwerkinfrastruktur für Standorte, Niederlassungen, das Internet-Edge und Home Office-Implementierungen bewährte Verfahren befolgt werden. Umfassende Lösungsarchitektur Eine umfangreiche BYOD-Lösung muss einen kabelgebundenen, Wi-Fi-, Remote- und mobilen Zugriff auf das Netzwerk bieten, von vielen Gerätetypen und Marken unterstützt werden und dafür sorgen, dass die verschiedenen Unternehmens- und Branchenrichtlinien durchgesetzt werden. Darüber hinaus muss die BYOD-Lösung, wenn Geräte von einem Kontext in einen anderen wechseln, z. B. vom Wi-Fi-Netz des Unternehmens in ein öffentliches 3G/4G-Mobilfunknetz, in der Lage sein, einen sicheren Zugriff zu bieten, ohne dass es auf Benutzerseite zu Verlusten oder Anwendungsproblemen kommt. 16

17 BYOD-Architektur von Cisco Sehr wichtig für jede BYOD-Strategie ist das Sicherstellen eines umfassenden Zugriffs auf das Firmennetzwerk. Dies bezieht sich nicht nur auf das WLAN des Unternehmens, sondern auch auf den kabelgebundenen Zugriff an Hauptstandorten, den kabelgebundenen und Funkzugriff in Niederlassungen und Heimbüros sowie den Remote-Zugriff über das Internet, 3G/4G-Funknetze und öffentliche Wi-Fi-Hotspots. Entwürfe, die nicht die breite Palette möglicher Kontexte für den Netzwerkzugriff berücksichtigen, sind nicht in der Lage, die IT mit einer verwaltbaren und skalierbaren Lösung auszustatten. Abbildung 7 zeigt die umfassende Lösungsarchitektur und wichtigen Komponenten der BYOD-Lösung von Cisco. Abbildung 7 Umfassende Architektur der BYOD-Lösung BYOD- Geräte Kabelgebundener, Wireless-, mobiler Zugriff Zugriffsinfrastruktur Ausgelagerte Gateways Sicherheits- und Richtlinieninfrastruktur Mobilfunknetz Nicht vertrauenswürdiges Netzwerk Adaptive Security Appliance (ASA) Vertrauenswürdiges Unternehmensnetzwerk Internet Öffentliches Wi-Fi Prime NCS Active Directory (AD) Certificate Authority (CA) WLAN Access Point WLAN Controller (WLC) Access Switch Campus Integrated Services Router (ISR) Switching Core Identity Services Engine (ISE) Mobile Device Manager (MDM) RSA SecureID Zweigstelle Wireless Router WAN Aggregation Services Router (ASR) AnyConnect Home Office Komponenten der Cisco Lösung In den folgenden Abschnitten werden die verschiedenen Komponenten von Cisco in der Lösungsarchitektur und ihre Rollen beschrieben. 17

18 BYOD-Architektur von Cisco Cisco Catalyst Switches Cisco Integrated Services Router Cisco Catalyst Switches, einschließlich der Produktfamilien Catalyst 3000, Catalyst 4000 und Catalyst 6000, bieten einen kabelgebundenen Zugriff auf das Netzwerk und verarbeiten Authentifizierungsanforderungen an das Netzwerk mit 802.1x. Darüber hinaus bieten Access Switches Power-over-Ethernet (PoE) für Geräte mit hohem Leistungsbedarf, einschließlich VDI-Workstations, IP-Telefone und WLAN Access Points (APs). Cisco Integrated Services Router (ISR), einschließlich ISR 1900, ISR 2900 und ISR 3900, bieten eine WAN-Anbindung für Niederlassungen und Home Office-Umgebungen und eine Netzwerkanbindung für die LAN- und WLAN-Infrastruktur in Niederlassungen. Darüber hinaus können ISRs eine Direktanbindung an das Internet und Cloud-Services sowie an Anwendungs- und WAN-Optimierungsservices bereitstellen und ferner auch als Abschlusspunkte für VPN-Verbindungen durch mobile Geräte dienen. Dank der Secure Device Provisioning-Funktion (SDP) im ISR ist auch der Einsatz als Zertifizierungsstelle möglich, was für relativ kleine Implementierungen nützlich ist. Cisco Wireless LAN Access Points Cisco Wireless LAN Controller Cisco WLAN Access Points, einschließlich AP3500 und AP3600, bieten eine Wi-Fi-Anbindung für das Firmennetzwerk und verarbeiten Authentifizierungsanforderungen an das Netzwerk mit 802.1x. Darüber hinaus bietet das WLAN wichtige Funktionen für eine zuverlässige, leistungsstarke Anbindung mobiler Geräte. Der Cisco Wireless LAN Controller (WLC) dient zur Automatisierung von Konfigurations- und Managementfunktionen von WLANs und bietet für diese Transparenz und Steuerungsfunktionen. Der WLC kann mit der Identity Services Engine (ISE) zusammenarbeiten, um für Endgeräte Authentifizierungs- und Autorisierungsrichtlinien durchzusetzen. Cisco Adaptive Security Appliance Cisco AnyConnect-Client Cisco Adaptive Security Appliance (ASA) bietet herkömmliche Sicherheitsfunktionen am Netzwerk-Edge, beispielsweise Firewall und Intrusion Prevention System (IPS), sowie den sicheren VPN (AnyConnect)-Abschlusspunkt für mobile Geräte, die sich über das Internet verbinden, einschließlich öffentliche Wi-Fi-Hotspots und 3G/4G-Mobilfunknetze. Der Cisco AnyConnect TM -Client bietet 802.1x-Hilfsfunktionen für vertrauenswürdige Netzwerke und eine VPN-Anbindung für Geräte, die aus nicht vertrauenswürdigen Netzen, z. B. öffentliches Internet, öffentliche Wi-Fi-Hotspots und 3G/4G-Mobilfunknetze, auf das Firmennetzwerk zugreifen. Die Bereitstellung und das Management eines einzelnen Clients hat nicht nur Vorteile hinsichtlich des Betriebs, sondern ermöglicht auch eine einheitliche Benutzeroberfläche und Vorgehensweise für die Benutzer. Darüber hinaus kann der AnyConnect-Client für eine Statusüberprüfung des BYOD-Geräts und zur Durchsetzung von Nutzungsrichtlinien verwendet werden. 18

19 BYOD-Architektur von Cisco Cisco Identity Services Engine Cisco Prime Die Cisco Identity Services Engine (ISE) ist eine Hauptkomponente der BYOD-Lösungsarchitektur von Cisco und bietet eine Vielzahl von Services: Authentifizierung Autorisierung Erstellung von Geräteprofilen Zertifikatregistrierung Statusüberprüfung Richtliniendefinition und -durchsetzung Schnittstelle zu Identitätsdaten (z. B. Active Directory [AD], RSA SecurID, anderer Zertifizierungsstellenserver) Zusätzlich zu den Hauptfunktionen wie Authentifizierung und Autorisierung bietet die Cisco ISE mithilfe der Erstellung von Geräteprofilen eine intelligente Erkennung von Geräten, die sich mit dem Netzwerk verbinden. Die Erstellung von Geräteprofilen dient zum Erkennen, Lokalisieren und Bestimmen des Typs und der Funktionen von Endgeräten, die sich mit dem Netzwerk verbinden, um bestimmte Autorisierungsregeln abzulehnen oder durchzusetzen. Die Kombination von Erstellung von Geräteprofilen, Statusüberprüfung und Richtliniendurchsetzung dient zum Erzwingen von BYOD-Richtlinien wie beispielsweise: ipads den Zugriff auf das Netzwerk erlauben, jedoch nur für HTTP-Datenverkehr iphones den Zugriff auf das Netzwerk verweigern, bei denen ein Jailbreak durchgeführt wurde Wenn das Android TM -Gerät im Besitz des Unternehmens ist, Vollzugriff gewähren Cisco Prime TM bietet Netzwerkmanagement- und -steuerungsfunktionen, z. B. Hauptbenutzer- und Gerättransparenz, sowie die Bereitstellung von Netzwerkgeräten. Lösungskomponenten von Drittanbietern RSA SecurID Mobile Device Manager In den folgenden Abschnitten werden die verschiedenen Komponenten anderer Hersteller (nicht Cisco) in der Lösungsarchitektur und ihre Rollen beschrieben. Die RSA SecurID-Token und der Authentication Server ermöglichen eine aus zwei Elementen (geheime PIN und einmaliger Kennwortcode) bestehende Authentifizierung für eine Optimierung der Sicherheit bei einer Netzwerkanbindung über ein VPN. Der Mobile Device Manager (MDM) bietet ein zentrales Endgerätemanagement für mehrere Betriebssysteme von BYOD-Geräten. Funktionalität und Unterstützung variieren je nach MDM-Anbieter. Zu den typischen Funktionen zählen allerdings die Gerätekonfiguration, geräteinterne Verschlüsselung, Kennwortdurchsetzung und Self-Service-Bereitstellung. Zusätzlich zu den genannten Netzwerkzugriffsfunktionen kann der MDM auch als wichtiger Sicherheitsservice auf dem Endgerät dienen, der Authentifizierungsfunktionen für Anwendungen zur Verfügung stellt. 19

20 BYOD-Architektur von Cisco Certificate Authority Microsoft Active Directory Die BYOD-Lösungsarchitektur von Cisco kann mit vielen MDM-Angeboten als optionale Komponente zusammenarbeiten. Die Certificate Authority (CA) dient zum Ausstellen digitaler Zertifikate für Geräte, um eine Vertrauensstellung für den Netzwerkzugriff mithilfe einer PKI-Implementierung (Public Key-Infrastruktur) einzurichten. Für die BYOD-Lösung können verschiedene CA-Implementierungen genutzt werden. Für dieses Dokument wurde die Lösung mit zwei Typen von CAs geprüft: Microsoft CA Services und Cisco IOS Secure Device Provisioning (SDP), gehostet auf einem ISR (siehe Cisco Integrated Services Router). Microsoft Active Directory bietet eine zentrale Datenbank mit Identitäten und Gruppen und wird von vielen Unternehmen für das zentrale Identitätsmanagement genutzt. Anstatt einen Identitätsdatenspeicher zu duplizieren, wurde die BYOD-Lösungsarchitektur von Cisco mithilfe von Active Directory als externem Identitätsdatenspeicher für Cisco ISE überprüft. Unterstützte Geräte Die BYOD-Lösung von Cisco unterstützt eine Vielzahl von Geräten, auch wenn die Funktionen je nach Gerät oder Betriebssystem unterschiedlich sind. Spezifische Informationen zu Funktionalität und Einschränkungen von Gerätetypen finden Sie in den detaillierten Designanleitungen. Tabelle 1 zeigt die aktuellen Gerätetypen, die für die Lösung geprüft wurden. Tabelle 1 Unterstützte Geräte Gerät Android-Smartphones und -Tablets 1 Kabelgebunden Unternehmens- Wi-Fi Öffentliches Wi-Fi Ja Ja Ja Apple OS X Macbook Ja Ja Ja Apple ios TM iphone Ja Ja Ja Apple ios ipad/ipad2 Ja Ja Ja Apple ios ipod touch Ja Ja Cisco Cius (Android) Ja Ja Ja Ja Samsung TM Galaxy TM Ja Ja Ja (Android) Microsoft Windows XP-PC Ja Ja Ja Microsoft Windows 7 Laptop Ja Ja Ja 1. Die Unterstützung von Android-Geräten hängt von der Betriebssystemversion ab. 3G/4G-Mobilfunknetze Im Allgemeinen hängt die Geräteunterstützung vom Grad der Unterstützung durch Cisco AnyConnect und dem verwendeten Mobile Device Manager (MDM) ab. Die meisten Geräte, die sich sicher mit dem Wi-Fi-Netz verbinden können, sind für die Lösung geeignet. 20