BYOD. Überlegungen zur Organisation und Sicherheit bei der Nutzung privater Geräte für den Zugriff auf Unternehmensdaten.

Transkript

3 Nahezu überall vorzufinden: Smart Devices Im Jahr 2015, haben 58% der Mobilen User ein smartphone Anstieg von 38% im Jahr 2011 Quelle: emarketer, August 2011 Smartphones sind nicht mehr wegzudenken Was Nutzer über Ihr Smartphone sagen Quelle: Pew Research Center, July 2011 Installierte Basis (1000 Einheiten) 160, , , ,000 80,000 60,000 40,000 20,000 Android Geräte dominieren Quelle: Gartner, July 2011 BlackBerry (RIM) MS Windows Apple Android Quelle: Gartner September 2011 Der Wachstum von Tablet PCs ist nicht aufzuhalten Der Verkauf von Tablet PC s erreicht rund 326 Millionen Geräte im Jahr Cisco and/or its affiliates. All rights reserved. 3

10 LIMIT BASIC ENHANCED ADVANCED Das Netzwerk unterliegt einer strengen Zugangskontrolle Basis Netzwerk Services und einfacher Zugang Unterschiedliche Netzwerk Services, On-Boarding, Sicherheitsebenen Zugriff auf Firmen Applikationen, Neue Services, Endgeräte Kontrolle NUR Firmen Endgeräte Industrie Umgebung, Finanzhandel, Behörden Netzwerke, Enterprise Umgebung Zugang für andere Geräte möglich - nur Internet Zugang Forschung und Entwicklung, Allgemeine Institutionen, Einfacher Gast Zugang Multiple Device Types + Access Methods Innovative Unternehmen, Einzelhandel, Jedes Geräte, unabhängig davon wer es besitzt Innovative Unternehmen, Einzelhandel, Mobile Sales Services (Video, Collaboration, etc.) 2010 Cisco and/or its affiliates. All rights reserved. 10

13 Identität und Regeln Identity Services Engine für ein zentrales Regel Management IDENTITÄT Haupt gebäude 14: x EAP User Authentifizierung Firmen Endgerät Persönliches Endgerät 2 Identity Service Engine (ISE) Profil erstellen um Endgeräte zu erkennen Single SSID 3 Überprüfen der Endgeräte Wireless LAN Controller Zentrales Netzwerk Management VLAN 10 VLAN 20 Regel Entscheidung 4 5 Umsetzen der Regeln wird erzwungen Fimen Resourcen Nur Internet 6 PROFIL HTTP NETFLOW SNMP DNS RADIUS DHCP Voller oder eingeschränkter Zugang 2010 Cisco and/or its affiliates. All rights reserved. 13

14 Identität und Regeln Management Konsolidierte Software Bundles Konsolidierte Kontext Information Integrierte Geräte Erkennung und Überprüfung des Sicherheitsstatus NAC Manager ACS NAC Profiler USER ID LOCATION ACCESS RIGHTS DEVICE (and IP/MAC) Profiling of wired and wireless devices Integrated and built into ISE policy NAC Server NAC Guest ISE Echt-Zeit Erkennung Aktiver Nutzer und Endgeräte Einheitliche Regeln für Geräte Kategorien Vereinfachung des Rollen basierten Zugangs Gäste Management System Visibilität mit Cisco Prime Infrastruktur und ISE Regel Policy Public Private Mitarbeiter Employee Permit Permit Partner Permit Deny Zuweisung von Regeln anhand von Rollen Gast Zugang auf sichere und einfache Weise erstellen Fehlersuche und Monitoring 2010 Cisco and/or its affiliates. All rights reserved. 14

15 Die 5 Dimensionen einer Regel User (Wer) Gerät (Was) Zugang (Wie) Lokation (Wo) Zeit (Wann) Regel Gast Persönliches Endgerät Wireless Meeting Raum M S 8 am 6 pm Auth Portal DMZ GastTunnel Gast VLAN Partner Partner Endgerät Wired Partner Bereiche Anytime Partner VLAN Persönliches Endgerät Wireless Kein HR oder Finanz Bereich M S 8 am -6 pm Partner ACL Mitarbeiter Firmen Endgerät Wired Anywhere Anywhere Mitarbeiter VLAN Persönliches Endgerät Wireless Anywhere Anywhere Mitarbeiter ACL VPN Anywhere WENN $User UND $Gerät UND $Zugang UND $Lokation UND $Zeit DANN $Regel 2012 Cisco and/or its affiliates. All rights reserved. 15

17 Management NETWORK ENABLEMENT (ISE) FULL MANAGEMENT (MDM) Classification/ Profiling Secure Network Access (Wireless, Wired, VPN) Mobile + PC AUP User <-> Device Ownership Context-Aware Access Control (Role, Location, etc.) Registration Cert + Supplicant Provisioning Inventory Management Enterprise Software Distribution Policy Compliance (Jailbreak, Pin Lock, etc.) Management (Backup, Remote Wipe, etc.) Secure Data Containers User Managed Device Netzwerk-Basierte IT Kontrolle User/IT Co-Managed Device Geräte und Netzwerk-Basierte IT Kontrolle 2010 Cisco and/or its affiliates. All rights reserved. 17

19 Business Policy ist es vollen Zugang zu erlauben Provisioning ISE Policy Engine Authorization USER ADMIN Digital Certificate AD CA WhiteList Full Access Corporate Device BYOD_Employee SSID * Gerät geht nicht zum Provisioning Portal Wireless LAN Controller Corporate Resources Internet Voller Zugang 1. Gerät wurde vom Administrator eingerichtet 2. Gerät wurde zur WhiteList Identity Group hinzugefügt 3. ISE prüft Zertifikat, WhiteList und AD Gruppe um vollen Zugang zu erlauben 2010 Cisco and/or its affiliates. All rights reserved. 19

20 Business Policy ist es teilweisen Zugang zu erlauben Provisioning ISE Policy Engine Authorization USER Digital Certificate DEVICE PROFILE Guest Portal AD CA RegisteredDevices Partial Access Personal Device BYOD_Provisioning SSID Wireless LAN Controller Some Corporate Resources Internet Eingeschränkter Zugang (Internet + einige Anwendungen) 1. Gerät wird mit Provisioning SSID verbunden 2. Gerät wird zum Gäste Portal redirected und provisioniert 3. ISE fügt Gerät zur RegisteredDevices Identity Group hinzu 4. Danach kann sich das Gerät mit BYOD_Employee SSID verbinden 5. ISE prüft Zertifikat, RegisteredDevices und AD Gruppe 2010 Cisco and/or its affiliates. All rights reserved. 20

21 Business Policy ist es Android Geräte zu verbieten Provisioning ISE Policy Engine Authorization USER AD Profile Device Deny Access Personal Android Device BYOD_Employee SSID * * Gerät geht nicht zum Provisioning Portal Wireless LAN Controller Verbot für Android Geräte 1. Gerät verbindet sich mit Employee SSID 2. ISE prüft Credentials und AD Gruppe 3. ISE prüft mittels Profiling den Gerätetyp 4. Wenn der Mitarbieter sich mit einem Android Gerät verbindet wird der Zugfang verboten 2010 Cisco and/or its affiliates. All rights reserved. 21

22 Business Policy ist es Gästen Zugang zu erlauben Provisioning ISE Policy Engine Authorization USER AD Guest OR Guest Portal Internet Only Personal /Guest Device Guest SSID Wireless LAN Controller Internet Internetzugang erlauben wenn der User zur AD Gruppe gehört (employee/partner) oder Gast ist (non-employee/non-partner) 1. Gerät verbindet sich mit Guest SSID 2. Gerät wird zum Gäste Portal redirected 3. Wenn User Mitglied der Active Directory Gruppe, erlaube Internet Zugang 4. Wenn User als Gast angelegt wurde, erlaube Internet Zugang 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22

24 User Verbindet sich mit der Provisioning SSID Die ISE authentisiert den User und führt, basierend auf den Regeln zur Authorisierung, ein Redirect zum Guest Portal durch nachdem der Browser gestartet wurde Die MAC Adresse wird übernommen, der User ergänzt eine Beschreibung Der Supplicant Provisioning Wizard wird installiert, Zertifikate werden provisioniert. AD CA ISE Corporate Resources Internet Only Wireless LAN Controller PEAP 1 2 Provisioning Internal 2010 Cisco and/or its affiliates. All rights reserved. 24

25 ipad Der Mitarbeiter verbindet sich mit der Provisioning SSID und wird nach Start des Browsers umgeleitet zum WebLogin Portal Wireless LAN Controller (WLC) Mit Redirect URL 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25

27 Folie 26 JB1 description of device is different from demo!!! Jay Bhansali;

28 Nach Installation des CA Zertifikats gibt der Benutzer eine Beschreibung des Gerätes ein ISE lernt die MAC Adresse des Gerätes Installation des Profiles beginnt ipad, iphone, ipod 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27

30 Das Mobile Profil enthält die Wi-Fi Konfiguration für die BYOD_Employee SSID Mitarbeiter verbindet sich mit der BYOD_Employee SSID 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29

33 Vielen Dank.