移動(dòng)終端整合解決方案

移動(dòng)終端整合解決方案李

嵩Songl@BN

Security

Team移動(dòng)終端整合解決方案李嵩統(tǒng)一安全接入架構(gòu)統(tǒng)一安全接入架構(gòu)SOURCES:A,PublicFilings,MorganStanleyResearch,Gartner,IDCPC/Web時(shí)代后-PC時(shí)代移動(dòng)優(yōu)先

時(shí)代個(gè)人應(yīng)用平臺(tái)的演化SOURCES:A,PublicFi“如何掌控多種移動(dòng)OS?”“如何分發(fā)APP應(yīng)用，如何推進(jìn)BYOD?”“如何分發(fā)文檔資料并保證安全?”“如何保證信息安全合規(guī)?”“我需要不停的去滿足用戶的新需求,

同時(shí)還有確保安全合規(guī)”“如何掌控多種移動(dòng)OS?”“如何分發(fā)APP應(yīng)用，“如何分發(fā)統(tǒng)一安全接入架構(gòu)

統(tǒng)一的網(wǎng)絡(luò),統(tǒng)一的策略,統(tǒng)一的管理無線網(wǎng)絡(luò)Cisco

PrimeInfrastructure有線網(wǎng)絡(luò)Catalyst

SwitchesIdentity

ServicesEngine(ISE)CiscoWLCMDM MobileDeviceManagerVPN接入

MDMManagerMobility

ServicesEngine(MSE)CiscoAnyConnect統(tǒng)一安全接入架構(gòu)

統(tǒng)一的網(wǎng)絡(luò),統(tǒng)一的策略,統(tǒng)一的管理無線服務(wù)端到客戶端的管控融合EnterpriseAppMgmt(Distribution,Config)InventoryManagementDeviceManagement(Backup,RemoteWipe,etc.)PolicyCompliance(Jailbreakdetection,PINlock,etc.)SecureDataContainersAcceptableUsePolicy(AUP)Classification/ProfilingRegistrationSecureNetworkAccess(Wireless,Wired,VPN)Context-AwareAccessControl(Role,Location,etc.)Cert+SupplicantProvisioningUser<->DeviceOwnershipMobile+PC設(shè)備管理網(wǎng)絡(luò)層管控管控融合MDM服務(wù)端到客戶端的管控融合EnterpriseAppMgmISE-MDM互聯(lián)廠商ISE通過和下面六家MDM廠商合作，開放API接口進(jìn)行互聯(lián)Cisco通過測試的廠商如下，ISE

1.3我們會(huì)有更多的MDM廠商加入:?AirWatchVersion6.2 ?MobileIronVersion5.5 ?SAPAfaria7.0SP3 ?Citrix(Zenprise)Version7.1?GoodTechnologyVersion2.3?FiberlinkMaaS360ISE-MDM互聯(lián)廠商ISE通過和下面六家MDM廠商合作，ISE&MDM結(jié)合常見連接方式ISE&MDM結(jié)合常見連接方式ISE1.2MDM集成常用使用場景設(shè)備注冊周期性的合規(guī)性檢測非合規(guī)性修復(fù)通過ISE進(jìn)行設(shè)備遠(yuǎn)程操作客戶終端設(shè)備自管理功能ISE1.2MDM集成常用使用場景設(shè)備注冊User:

Group:Certificates:DeviceRegistered:Manufacturer:Model:

OSVersion:Apps:Encryption:Password:Compromised:Profiles:Ownership:Location:CiscoISEMobileIron設(shè)備注冊設(shè)備注冊啟用VLAN移除企業(yè)Email啟用ACL初始提示安裝企業(yè)應(yīng)用啟用groupACL移除被管控的企業(yè)應(yīng)用啟用ToS(為QoS使用)移除企業(yè)應(yīng)用訪問權(quán)限URL重定向移除企業(yè)數(shù)據(jù)Tag數(shù)據(jù)包選擇性擦除企業(yè)數(shù)據(jù)整機(jī)擦除數(shù)據(jù)應(yīng)用企業(yè)網(wǎng)絡(luò)及安全配置移除企業(yè)網(wǎng)絡(luò)及安全配置設(shè)備狀態(tài)+管控動(dòng)作MobileIron深度設(shè)備狀態(tài)識(shí)別CiscoISE網(wǎng)絡(luò)層管理動(dòng)作ISE1.2MDM集成常用使用場景User:CiscoISEMobileIron設(shè)備注冊設(shè)User:

Group:Certificates:DeviceRegistered:Manufacturer:Model:

OSVersion:Apps:Encryption:Password:Compromised:Profiles:Ownership:Location:模擬場景:未注冊iPad進(jìn)入企業(yè)網(wǎng)絡(luò)環(huán)境場景模擬User:模擬場景:未注冊iPad進(jìn)入企業(yè)網(wǎng)絡(luò)環(huán)境場景模注冊成功:設(shè)備網(wǎng)絡(luò)策略部署完畢，給予企業(yè)內(nèi)網(wǎng)訪問權(quán)限終端狀態(tài)Posture實(shí)時(shí)檢查設(shè)備是否合規(guī)User:UnknownGroup:UnknownCertificates:NoneDeviceRegistered:NoManufacturer:UnknownModel:UnknownOSVersion:UnknownApps:UnknownEncryption:UnknownPassword:UnknownCompromised:UnknownProfiles:UnknownOwnership:UnknownLocation:HQCiscoISE:授權(quán)訪問WiFi限制訪問權(quán)限

于客戶vLan重定向?yàn)g覽器訪問設(shè)備注冊地址移交至MobileIron設(shè)備注冊MobileIron:設(shè)備注冊MDM配置設(shè)備安全策略: -鎖屏密碼 -數(shù)據(jù)加密策略 -禁用攝像頭 -禁用iCloud配置企業(yè)Email–加密附件策略分發(fā)企業(yè)應(yīng)用(初始化提醒安裝) -配置CiscoAnyConnect配置企業(yè)側(cè)SharePoint的安全訪問安裝快捷圖標(biāo)

訪問IT及財(cái)務(wù)門戶模擬場景:未注冊iPad進(jìn)入企業(yè)網(wǎng)絡(luò)環(huán)境–ISE及MDM管控動(dòng)作場景模擬注冊成功:User:UnknownCiscoISE:授權(quán)移除違規(guī)App后:恢復(fù)所有網(wǎng)絡(luò)權(quán)限SharePoint訪問,企業(yè)電子郵件及企業(yè)應(yīng)用Apps自動(dòng)重新部署User:

ChrisWilliamsGroup:FinanceCertificates:PresentDeviceRegistered:YesManufacturer:AppleModel:

iPadOSVersion:6.1Apps:Violation-DropboxEncryption:EnabledPassword:EnabledCompromised:NoProfiles:PresentOwnership:CorporateLocation:HQCiscoISE:禁止訪問企業(yè)文件服務(wù)器重定向?yàn)g覽器訪問AUP用戶規(guī)范內(nèi)網(wǎng)頁面設(shè)備處于隔離vLan環(huán)境–僅提供自我矯正所需的網(wǎng)絡(luò)權(quán)限模擬場景:用戶安裝違規(guī)應(yīng)用Apps自動(dòng)矯正違規(guī)行為場景模擬移除違規(guī)App后:User:ChrisWilliamsC基于域控AD的策略變化:所有的策略變化都基于企業(yè)AD的變化User:

MichelleJonesGroup:DirectorateCertificates:PresentDeviceRegistered:YesManufacturer:AppleModel:

iPadOSVersion:6.1Apps:NoneEncryption:EnabledPassword:EnabledCompromised:NoProfiles:PresentOwnership:CorporateLocation:HQCiscoISE:標(biāo)記數(shù)據(jù)包啟用加密傳輸標(biāo)記VOIP優(yōu)先傳輸授權(quán)訪問內(nèi)部加密文件模擬場景:用戶提升為管理層與企業(yè)AD無縫集成自動(dòng)授權(quán)場景模擬基于域控AD的User:MichelleJonesCis互聯(lián)部署和配置注意事項(xiàng)互聯(lián)部署和配置注意事項(xiàng)認(rèn)證流程Access-AcceptRegisteredDeviceNoMyDevicesISEBYODRegistrationStep1NSPStep2CoAYesMDMRegisteredNoISEPortal

LinktoMDMOnboardingStep3CoAYesMDMStep4認(rèn)證流程Access-AcceptRegisteredDe證書導(dǎo)入證書導(dǎo)入開啟MDM

API接口開啟MDMAPI接口MDM服務(wù)器配置連接這個(gè)需要注意證書中的FQDN是域名還是IP地址MDM服務(wù)器配置連接這個(gè)需要注意證書中的FQDN是域名還是MDM服務(wù)器配置連接注意事項(xiàng)導(dǎo)入MDM證書到ISE中ISE和MDM時(shí)間不能超過5分鐘。最后都設(shè)置NTP服務(wù)器。ISE添加MDM服務(wù)器時(shí)，可以用IP也可以用Domainname，但如果證書FQDN是DomainName就必須使用統(tǒng)一的信息。

分配API權(quán)限給互聯(lián)賬戶。MDM服務(wù)器配置連接注意事項(xiàng)導(dǎo)入MDM證書到ISE中

MDM屬性設(shè)置選項(xiàng)ISE能設(shè)置下面的15種屬性值，MDM合規(guī)屬性可以提供更多的組合合規(guī)性檢測類:此功能通MDM服務(wù)器反饋驗(yàn)證結(jié)果

移動(dòng)設(shè)備合規(guī)檢測PIN密碼檢測越獄信息硬件廠商信息，包括廠商名字，型號(hào)類型，序列號(hào)，操作系統(tǒng)版本。每4小時(shí)會(huì)重新檢測一次，如果不合規(guī)會(huì)發(fā)送CoA中斷認(rèn)證會(huì)話合規(guī)性設(shè)置需要在MDM合規(guī)性設(shè)置需要在ISE配置

MDM屬性設(shè)置選項(xiàng)ISE能設(shè)置下面的15種屬性值，MDM

ISE設(shè)定MDM授權(quán)策略移動(dòng)終端登錄需要進(jìn)行安全合規(guī)檢測JailBrokenEncryptionISERegisteredPINLockedMDMRegisteredJailBroken安全合規(guī)檢測條件授權(quán)策略

ISE設(shè)定MDM授權(quán)策略移動(dòng)終端登錄需要進(jìn)行安全合規(guī)檢測MDM客戶端自助部署OwnCommonTaskMDM客戶端自助部署OwnCommonTaskMDM功能集成為管理員和用戶界面集成了MDM功能，用戶可以通過自管理頁面發(fā)送請求給MDM服務(wù)器，進(jìn)行遠(yuǎn)程操作(例如:遠(yuǎn)程設(shè)備擦除)MyDevicesPortalEndpointsDirectoryinISE編輯復(fù)原設(shè)備丟失處理刪除全部擦除公司內(nèi)容擦除PIN鎖定選項(xiàng)MDM功能集成為管理員和用戶界面集成了MDM功能，用戶可以

ISE移動(dòng)客戶端管理報(bào)表25

ISE移動(dòng)客戶端管理報(bào)表25場景演示iOS平臺(tái)接入過程體驗(yàn)（以iOS7.x為例）Andriod