Enterprise Mobile Device Security: Diskriminierende von Device Profile
Im Laufe der Zeit haben sich viele Unternehmen Richtlinien gebaut, die sie zwischen den verschiedenen Gerätetypen und Gerätesicherheitslage Ebenen zu setzen, um ein angemessenes Maß an Zugang für eine bestimmte Sitzung erlauben zu unterscheiden.
Zum Beispiel versucht ein Benutzer auf das Netzwerk von einem entsprechend geschützten und registrierten Mobilgerät zugreifen könnten vollen Netzwerkzugriff gewährt werden, während ein Benutzer versucht, von einem unbekannten mobilen Gerät zu verbinden, könnten ihre Daten und den Zugriff auf Anwendungen stark eingeschränkt haben. Oder dass Benutzer möglicherweise nicht in der Lage sein, auf das Netzwerk zuzugreifen überhaupt, bis sie die entsprechenden Schritte folgt das Gerät konform zu machen.
Um zwischen Geräten mit unterschiedlichen Sicherheitszustand Ebenen zu unterscheiden, ist es entscheidend, die Endpunktmaschine vor dem der Benutzer zu validieren an das Netzwerk in einem Fernzugriffseinstellung zu verbinden.
Beachten Sie, dass in diesem Abschnitt zum Zeitpunkt des Schreibens dieses Artikels skizziert, nur sehr wenige VPN-Produkte eine Lösung für die Herausforderungen bieten, aber es wird erwartet, dass weitere Anbieter diese Herausforderungen für ihre Kunden in naher Zukunft zu lösen versucht.
Im Folgenden finden Sie eine Darstellung eines typischen Szenario, in dem Zugangskontrollen basierend auf dem Gerät und dem Gerätesicherheitslage angewendet werden. In diesem Fall schreibt die SSL-VPN-Richtlinie, dass eine andere Ebene der Zugang zu den Endkunden gewährt wird basierend darauf, ob die Maschine des Benutzers in Übereinstimmung mit der Politik, wie in der folgenden Liste aufgeführt:
Corporate-Managed oder ein mobiles Gerät gepatcht: In diesem Fall wird der Benutzer versucht, das Netzwerk von einem Android-OS-Gerät zuzugreifen, die registriert ist und von der Organisation zur Verfügung gestellt worden. Antivirus und Personal Firewall-Software auf dem Gerät installiert ist, und die Organisation kann aus der Ferne löschen und das Gerät verfolgen sollte es verloren gehen oder gestohlen werden.
Auf der Basis dieser Geräteinformationen und auf der Authentifizierung des Benutzers mit einem Passwort einmalig gilt das verwaltete Rolle für diese spezielle Sitzung. Da der Benutzer herkommt, was scheint, ein verwaltetes Gerät, das alle Sicherheitsanforderungen erfüllt, wird der Benutzer voll, Layer-3-Netzwerkzugriff gewährt. Zusammen mit diesem Zugriff kommt die Möglichkeit, alle Anwendungen zu erreichen.
Persönliche Mobilgerät: In diesem Beispiel wird der Benutzer versucht, das Netzwerk von einem Android-OS-Gerät zugreifen zu können, aber dieses Mal ist es die eigene persönliche Gerät des Benutzers, die sie von zu Hause mitgebracht. In diesem Fall wird kein Endpoint-Security-Software installiert ist, und das Gerät wurde nicht registriert, so dass die Organisation, die sie nicht die Fähigkeit haben, aus der Ferne das Gerät abzuwischen oder zu verfolgen, wenn es verloren geht oder gestohlen wird.
Auf der Basis dieser Geräteinformationen und auf der Authentifizierung des Benutzers, gilt der unmanaged Rolle für diese spezielle Sitzung. In diesem Fall hat der Benutzer Zugriff auf weit weniger Anwendungen und Ressourcen, als sie hatte, als das Netzwerk aus der unternehmensverwalteten Gerät zugreifen.
Hier sie nur ein paar ausgewählte Web-basierte Anwendungen zugreifen können, hat sie keine Möglichkeit, Corporate-Dateifreigaben zugreifen zu können, und nur eine sehr kurze Inaktivität Timeout verwendet wird Schutz vor Verlust oder Diebstahl zu helfen, weil die IT-Administrator diese nicht zur Verfügung stellen kann Datenschutz auf diesem Gerät.