軟體定義的BYOD安全防護體系

着員工智能終端日益增多和企業減少辦公開支的需求，byod（bring your own device）已經成為企業移動辦公的重要形式。然而，移動裝置接入位置多變、屬主身份複雜，以及企業網絡的傳統安全控制限于靜态網絡環境等因素，都給訪客接入和移動辦公的安全管理帶來了諸多限制。

在傳統的企業網絡通路控制機制中，最普遍的解決方案是在網絡邊界部署通路控制裝置，如防火牆，對未知的網絡通路進行限制，但當存在移動裝置可接入任意網絡位置時，以往的網絡邊界被打破，是以在 byod 場景中，不能将通路控制機制部署在某個關鍵位置，而是需要将安全政策統一推送到全網絡的所有相關控制點。

nac（network admission control）通過一個nac appliance，将安全政策統一地下發到所有的網絡設施中，進而通過這些網絡設施識别使用者、評估裝置與安全政策的相容性，進而對為滿足安全要求的裝置進行阻斷、隔離或修複，最終提供安全的移動通路接入。然而在非軟體定義的環境中，nac 隻能對流經網絡裝置上的某 ip 的流量進行處理，無法提供更細粒度的流量牽引和隔離，此外這種方案依附于特定網絡廠商的整體解決方案，容易形成廠商鎖定，也不容易與其他安全防護手段結合。

是以，在企業網絡中部署全局的通路控制系統，按需向網絡邊界下發安全政策，根據政策可對需确認或惡意的通路做細粒度的接入檢查，并根據上下文環境自适應地提供安全防護。

在一個典型的 byod 場景中，如公司總部大樓，任意樓層的公司員工需将自己的手機或 pad 接入無線網絡，并實時收發郵件或通路公司内部各類資源 ；同時，在大廳和若幹公共區域内，訪客可以自由接入網絡，但隻能通路公司對外的 web 服務和 internet 服務。

在很多細化的場景中，安全政策還可能基于使用者的屬性，如不同部門的員工也有規定的通路資源區域 ；實習員工限于通路某伺服器上的特定服務，而不能通路該伺服器上的其他服務，在一些高安全級别的場景中，還需要将這些端口級别的服務通路資料動态有序地牽引到多個安全防護裝置中，諸如此類。

在典型案例中的環境中，隻需一個集中的安全控制平台、一個sdn 控制器和一個有足夠多端口的 sdn 交換機即可實作基本的byod 通路控制機制。

在部署階段，可在任意實體位置部署一台實體 sdn 交換機，然後在所有需要提供 wifi 接入的位置放置普通的無線路由器，并将這些無線路由器通過橋接的方式直接連接配接到 sdn 交換機。根據所需網絡服務部署相關應用，如 dhcp 服務、認證服務、網關服務，以及相關的安全服務。

原文釋出時間為：2015年02月06日

本文作者：陳廣成

本文來自雲栖社群合作夥伴至頂網，了解相關資訊可以關注至頂網。