软件定义的BYOD安全防护体系

着员工智能终端日益增多和企业减少办公开支的需求，BYOD（Bring Your Own Device）已经成为企业移动办公的重要形式。然而，移动设备接入位置多变、属主身份复杂，以及企业网络的传统安全控制限于静态网络环境等因素，都给访客接入和移动办公的安全管理带来了诸多限制。

在传统的企业网络访问控制机制中，最普遍的解决方案是在网络边界部署访问控制设备，如防火墙，对未知的网络访问进行限制，但当存在移动设备可接入任意网络位置时，以往的网络边界被打破，所以在 BYOD 场景中，不能将访问控制机制部署在某个关键位置，而是需要将安全策略统一推送到全网络的所有相关控制点。

NAC（Network Admission Control）通过一个NAC Appliance，将安全策略统一地下发到所有的网络设施中，进而通过这些网络设施识别用户、评估设备与安全策略的兼容性，进而对为满足安全要求的设备进行阻断、隔离或修复，最终提供安全的移动访问接入。然而在非软件定义的环境中，NAC 只能对流经网络设备上的某 IP 的流量进行处理，无法提供更细粒度的流量牵引和隔离，此外这种方案依附于特定网络厂商的整体解决方案，容易形成厂商锁定，也不容易与其他安全防护手段结合。

所以，在企业网络中部署全局的访问控制系统，按需向网络边界下发安全策略，根据策略可对需确认或恶意的访问做细粒度的接入检查，并根据上下文环境自适应地提供安全防护。

在一个典型的 BYOD 场景中，如公司总部大楼，任意楼层的公司员工需将自己的手机或 PAD 接入无线网络，并实时收发邮件或访问公司内部各类资源 ；同时，在大厅和若干公共区域内，访客可以自由接入网络，但只能访问公司对外的 Web 服务和 Internet 服务。

在很多细化的场景中，安全策略还可能基于用户的属性，如不同部门的员工也有规定的访问资源区域 ；实习员工限于访问某服务器上的特定服务，而不能访问该服务器上的其他服务，在一些高安全级别的场景中，还需要将这些端口级别的服务访问数据动态有序地牵引到多个安全防护设备中，诸如此类。

在典型案例中的环境中，只需一个集中的安全控制平台、一个SDN 控制器和一个有足够多端口的 SDN 交换机即可实现基本的BYOD 访问控制机制。

在部署阶段，可在任意物理位置部署一台实体 SDN 交换机，然后在所有需要提供 WIFI 接入的位置放置普通的无线路由器，并将这些无线路由器通过桥接的方式直接连接到 SDN 交换机。根据所需网络服务部署相关应用，如 DHCP 服务、认证服务、网关服务，以及相关的安全服务。
原文发布时间为：2015年02月06日
本文作者：陈广成
本文来自云栖社区合作伙伴至顶网，了解相关信息可以关注至顶网。