自帶裝置（BYOD）能用零信任架構嗎？

長期以來，自帶裝置（BYOD）都被視為辦公安全的一大威脅，這主要是因為過去的網絡安全方案無法管理這類裝置，隻能任由其随意通路企業資源。

現在，零信任安全架構正在成為以移動裝置為主的遠端辦公環境的全新安全标準，這一新的安全方案是如何應對自帶裝置BYOD帶來的風險呢？

本文将詳細介紹自帶裝置（BYOD）在傳統安全環境中可能帶來的安全問題，零信任對這類問題的解決方法，以及企業為了確定自帶裝置在零信任架構中的安全需要哪些部署。

01

裝置安全依然是主要的企業網絡安全問題

自帶裝置（BYOD）環境在安全方面可以說是臭名昭著，在網絡安全邊界時代尤其如此。網絡安全邊界是指企業通過在中央網絡建立基于防火牆的網絡邊界來保護資源，使用者需要輸入使用者名密碼等進行身份驗證，還會根據 IP 位址對裝置進行驗證，通常通過一次驗證後就不再重複。此外，網絡邊界外的身份驗證通過後就會授予使用者所有通路權限，換句話說隻要黑客成功違規一次就能擷取企業網絡的全部通路權限。

此外，密碼的安全性最低，IP 位址在驗證單個移動裝置時也不夠可靠。面對如此複雜的網絡威脅，大多數安全專家都建議企業未雨綢缪，在網絡安全邊界架構下，任何通過驗證的使用者都可以在企業網絡内自由移動，很容易出現橫向移動攻擊等漏洞。

另一方面，随着遠端辦公的普及，網絡邊界安全問題成倍增加，原有的實體網絡邊界也難以保護遠端辦公場景下本地中央網絡以外雲資源的安全。

與此同時，使用者在辦公室以外的場所辦公導緻越來越多移動裝置湧入去中心化的網絡，其中很多安全性未知的非托管裝置通路了企業資源，讓安全問題雪上加霜。這類裝置可能對企業網絡造成以下方面的問題：

• 裝置不可視：管理者看不到網絡上的裝置就無法監控裝置活動，檢測可疑行為，處理安全違規問題或從網絡中删除未受保護的裝置。一般來說，缺乏對網絡裝置的可視化會影響 IT 部門了解企業的網絡狀态和裝置活動情況，可能在關鍵區域産生盲點。
• 安全合規和執行受阻：管理者無法對非托管裝置強制執行密碼驗證、多因素認證 （MFA）、病毒清除或軟體更新等安全政策，結果是通路企業資源的裝置中可能存在重大漏洞被黑客用于制造攻擊。
• 個人資料和企業資料混雜：将企業資料暴露給未經準許和未受保護的裝置可能存在敏感資料被篡改或破壞的風險，這和第三方應用和資料連接配接企業資源一樣危險，還可能産生合規風險，尤其是涉及個人身份資訊 （PII）的情況下。
• 缺乏遙測：自帶裝置（BYOD）不支援向企業 IT 部門提供遙測，可能會影響 IT 部門的故障調查。

02

零信任如何增強裝置安全

零信任安全架構是為進一步規範網絡邊界安全模型無法保護的分散基礎設施、雲技術和移動裝置應運而生。過去幾年，很多推行遠端辦公的企業紛紛采用零信任架構，在提高網絡安全方面取得了顯著進展。現在，零信任被認為是保護現代遠端辦公環境最有效的方案。

03

零信任如何規範自帶裝置的安全性

裝置安全對于零信任安全架構的成功部署是不可或缺的因素。Forrester 的《零信任實施實用指南》就将裝置安全列為零信任的五大組成部分之一。

零信任安全依托最低特權（PLP）原則，對每次通路事件都強制執行身份驗證。網絡邊界的概念也是以被淘汰，身份驗證也拓展到資源級别。零信任規定，包括裝置在内的所有身份都必須在充分驗證後才能通路企業資料。

在零信任架構下，裝置可以單獨進行驗證或拒絕通路，優化了對自帶裝置的管控，同時支援管理者針對裝置通路進行參數設定和執行。例如，可以根據 IP 位址、PKI 證書以及裝置健康狀态和安全要求進行身份驗證。

在零信任環境中，企業 IT 部門至少應該能夠具備以下能力管理者工的自帶裝置（BYOD）：

• 檢視和監控所有通路企業資源的裝置
• 從網絡中隔離或移除裝置
• 為能夠通路企業資源的裝置指定所需配置。常見配置包括設定密碼驗證、啟用遠端鎖定和遠端擦除功能以及作業系統更新。

自帶裝置最好依照零信任架構通過移動裝置管理（MDM）工具進行管理。MDM 工具允許 IT 部門管理企業網絡上的裝置，存在自帶裝置環境的企業應尋找具有可選注冊政策的 MDM 工具，鼓勵使用自帶裝置的員工将裝置注冊到 MDM 計劃中，有助于建立裝置信任并維護員工的自主使用權。

同樣，企業對移動裝置的管控程度取決于裝置所有人是企業還是員工。如果是企業裝置，企業就有更多空間全面執行裝置管理政策并限制使用，包括禁用語音助手、不送出分析和崩潰報告，以及屏蔽全局搜尋中來自網際網路的結果。如果是員工裝置，企業為了保護員工隐私，對裝置的限制有限，但仍然可以通過 MDM 工具在這類裝置上執行基本的裝置管理功能：  

• 密碼驗證
• 将網頁快捷方式添加到桌面
• 自定義配置政策、應用和配置檔案
• 遠端裝置鎖定和擦除

上述措施大大降低了員工裝置給企業網絡帶來的風險。但需要注意的是，MDM 工具與身份和通路管理（IAM）工具結合使用會更加安全，支援使用者身份和裝置身份以及相關政策協作，進一步提升了基于情境的通路安全。

基于零信任安全理念，甯盾靈活終端準入對自帶裝置（BYOD）也能進行識别歸類、政策管控，如公司電腦可以接入辦公 ssid，移動端隻能接入guest ssid 并通過證書認證方式，或将辦公網絡分區，根據部門、人員角色接入不同 ssid 并配置不同認證方式，關聯防火牆進行通路權限管控，進而實作企業内部終端、資産可視化識别、統一管控，保障資訊安全。