自带设备（BYOD）能用零信任框架吗？

长期以来，自带设备（BYOD）都被视为办公安全的一大威胁，这主要是因为过去的网络安全方案无法管理这类设备，只能任由其随意访问企业资源。

现在，零信任安全框架正在成为以移动设备为主的远程办公环境的全新安全标准，这一新的安全方案是如何应对自带设备BYOD带来的风险呢？

本文将详细介绍自带设备（BYOD）在传统安全环境中可能带来的安全问题，零信任对这类问题的解决方法，以及企业为了确保自带设备在零信任框架中的安全需要哪些部署。

01

设备安全依然是主要的企业网络安全问题

自带设备（BYOD）环境在安全方面可以说是臭名昭著，在网络安全边界时代尤其如此。网络安全边界是指企业通过在中央网络建立基于防火墙的网络边界来保护资源，用户需要输入用户名密码等进行身份验证，还会根据 IP 地址对设备进行验证，通常通过一次验证后就不再重复。此外，网络边界外的身份验证通过后就会授予用户所有访问权限，换句话说只要黑客成功违规一次就能获取企业网络的全部访问权限。

此外，密码的安全性最低，IP 地址在验证单个移动设备时也不够可靠。面对如此复杂的网络威胁，大多数安全专家都建议企业未雨绸缪，在网络安全边界框架下，任何通过验证的用户都可以在企业网络内自由移动，很容易出现横向移动攻击等漏洞。

另一方面，随着远程办公的普及，网络边界安全问题成倍增加，原有的物理网络边界也难以保护远程办公场景下本地中央网络以外云资源的安全。

与此同时，用户在办公室以外的场所办公导致越来越多移动设备涌入去中心化的网络，其中很多安全性未知的非托管设备访问了企业资源，让安全问题雪上加霜。这类设备可能对企业网络造成以下方面的问题：

• 设备不可视：管理员看不到网络上的设备就无法监控设备活动，检测可疑行为，处理安全违规问题或从网络中删除未受保护的设备。一般来说，缺乏对网络设备的可视化会影响 IT 部门了解企业的网络状态和设备活动情况，可能在关键区域产生盲点。
• 安全合规和执行受阻：管理员无法对非托管设备强制执行密码验证、多因素认证 （MFA）、病毒查杀或软件更新等安全策略，结果是访问企业资源的设备中可能存在重大漏洞被黑客用于制造攻击。
• 个人数据和企业数据混杂：将企业数据暴露给未经批准和未受保护的设备可能存在敏感数据被篡改或破坏的风险，这和第三方应用和数据连接企业资源一样危险，还可能产生合规风险，尤其是涉及个人身份信息 （PII）的情况下。
• 缺乏遥测：自带设备（BYOD）不支持向企业 IT 部门提供遥测，可能会影响 IT 部门的故障调查。

02

零信任如何增强设备安全

零信任安全框架是为进一步规范网络边界安全模型无法保护的分散基础设施、云技术和移动设备应运而生。过去几年，很多推行远程办公的企业纷纷采用零信任框架，在提高网络安全方面取得了显著进展。现在，零信任被认为是保护现代远程办公环境最有效的方案。

03

零信任如何规范自带设备的安全性

设备安全对于零信任安全框架的成功部署是不可或缺的因素。Forrester 的《零信任实施实用指南》就将设备安全列为零信任的五大组成部分之一。

零信任安全依托最低特权（PLP）原则，对每次访问事件都强制执行身份验证。网络边界的概念也因此被淘汰，身份验证也拓展到资源级别。零信任规定，包括设备在内的所有身份都必须在充分验证后才能访问企业数据。

在零信任框架下，设备可以单独进行验证或拒绝访问，优化了对自带设备的管控，同时支持管理员针对设备访问进行参数设置和执行。例如，可以根据 IP 地址、PKI 证书以及设备健康状态和安全要求进行身份验证。

在零信任环境中，企业 IT 部门至少应该能够具备以下能力管理员工的自带设备（BYOD）：

• 查看和监控所有访问企业资源的设备
• 从网络中隔离或移除设备
• 为能够访问企业资源的设备指定所需配置。常见配置包括设置密码验证、启用远程锁定和远程擦除功能以及操作系统更新。

自带设备最好依照零信任框架通过移动设备管理（MDM）工具进行管理。MDM 工具允许 IT 部门管理企业网络上的设备，存在自带设备环境的企业应寻找具有可选注册策略的 MDM 工具，鼓励使用自带设备的员工将设备注册到 MDM 计划中，有助于建立设备信任并维护员工的自主使用权。

同样，企业对移动设备的管控程度取决于设备所有人是企业还是员工。如果是企业设备，企业就有更多空间全面执行设备管理策略并限制使用，包括禁用语音助手、不提交分析和崩溃报告，以及屏蔽全局搜索中来自互联网的结果。如果是员工设备，企业为了保护员工隐私，对设备的限制有限，但仍然可以通过 MDM 工具在这类设备上执行基本的设备管理功能：  

• 密码验证
• 将网页快捷方式添加到桌面
• 自定义配置策略、应用和配置文件
• 远程设备锁定和擦除

上述措施大大降低了员工设备给企业网络带来的风险。但需要注意的是，MDM 工具与身份和访问管理（IAM）工具结合使用会更加安全，支持用户身份和设备身份以及相关策略协作，进一步提升了基于情境的访问安全。

基于零信任安全理念，宁盾敏捷终端准入对自带设备（BYOD）也能进行识别归类、策略管控，如公司电脑可以接入办公 ssid，移动端只能接入guest ssid 并通过证书认证方式，或将办公网络分区，根据部门、人员角色接入不同 ssid 并配置不同认证方式，联动防火墙进行访问权限管控，从而实现企业内部终端、资产可视化识别、统一管控，保障信息安全。