2011-02-25 12:38:29 来源:ZDNET安全频道
要高效地使用这款流行的平板电脑,工人需要访问企业的应用程序和数据,但这也意味着企业的程序和数据等资源不能违反相关政策,并且不能对iPad进行“越狱”。接下来让我们讨论讨论,对于那些想要将iPad作为其企业网络终端的人们来说,集成iPad都有哪些方法。
方法1:来宾终端(Guest endpoints)
作为一款支持Wi-Fi的设备,iPad能够接入任何开放的无线局域网(WLAN),包括来宾式无线局域网(guest WLANs)。因此,一种在网络中集成iPad的方式就是默认将员工拥有的iPad当做来宾终端,就像对待其他无法管理的来宾终端一样。
网络访问控制(NAC)产品通常用于控制来宾对网络的访问,如对来宾接入网络的时间进行限制,或者在接入前对其进行安全扫描。但是,NAC服务器无法持续地为iPad布置NAC客户端,也不能强制iPad运行基于浏览器的安全扫描。因此,我们只应给予iPad基于Web或因特网方式的接入权限。
在这种方法中,网络访问控制器和网络入侵监测系统可配合使用,用于识别iPad、监测终端接入系统后的活动以及断开“不守规矩”的设备。虽然这两种技术能够提供可视化功能,并且也能够保护网络,但是仅对iPad设备提供普通的来宾访问权限并不能使其成为一个(真正意义上的)企业用网络终端,相反还会限制该设备的能力。
方法2:远程终端(Remote endpoints)
另外一种方法是将iPad当做远程终端来使用,即便是在本地无线局域网内也可以这样做。例如,已接入英特网的iPad可以通过Exchange ActiveSync(交流同步)检索公司邮件,或者使用由思科系统公司或Juniper网络公司提供的VPN客户端来获得比来宾账户更大的网络接入权限。
我们可以要求iPad的使用者浏览预提供的网络地址,安装配置档案进行批量系统设置,这些设置包括设备的加密和密码要求、数字证书、VPN和Exchange的使用参数及使用限制(如禁用摄像头)。配置档案能够被锁定并加密,以防止共享或者篡改,但关键还是在于强制执行配置档案;安装配置档案也不能够确保每一台iPad都兼容。
要解决这个问题,一个办法是每当电子邮件被阅读时,使用Exchange ActiveSync检测被选择的iPad的配置情况,剔除不兼容的终端。例如,在Exchange ActiveSync的政策设置里我们可以阻止未签名的应用程序阅读公司邮件。同样地,它也能够将政策设置传递给那些拥有Exchange访问权限的iPad,iPad还可以被设置为定期刷新这些政策设置。
另一种办法是安装与iOS兼容并具有整体系统评估能力的VPN客户端。例如,Juniper公司的Junos Pulse Mobile Security Suite,该套件结合了SSL VPN技术与终端安全措施,如反病毒、反垃圾邮件以及接入企业网络所必需的应用程序控制等。该VPN客户端甚至可以在受理相同的身份认证、整体监测或授权策略时自由地在Wi-Fi网络和移动通信网络之间漫游。我们还可以选择使用思科的与iOS兼容的AnyConnect。
方法3:受控终端(Managed endpoints)
最后,我们来讨论控制式的终端。许多企业通过采取某些移动设备管理(MDM)控制措施来实现对iPad的完整集成。这可以在如今运行iOS4的iPad上面实现。
在iOS4中,苹果为供应商如AirWatch、BoxTone、MobileIron、Sybase、Tangoe、Zenprise等提供了远程访问接口。通过这种方法,使用者通过浏览预提供的网络地址在公司的MDM服务器和iPad之间建立连接。然后,MDM的请求和响应由苹果的推进通知服务(Push Notification Service)转发。通过这种渠道,配置档案和企业应用程序将通过无线网络被发送至受控制的iPad,同时终端配置和应用事件也可以发送回MDM服务器。
这些技术能够为系统提供近乎实时的完整评估和执行能力。例如,配置档案可被用于配置企业的VPM或者Exchange访问权限。如果访问权限之后被吊销,MDM可以移除配置档案,删除所有相关的企业数据,包括电子邮件信息、联系人和日历条目。同样地,如果MDM检测到某一iPad被“越狱”了,那么该iPad与MDM服务器之间的协作关系可被解除,之前iPad上所安装的企业应用程序也可以被禁用。
苹果限制了iOS4 MDM能控制的配置以及可执行的命令。具体而言,你不能强制安装受推荐的苹果商店应用,这会使得你可以很方便地安装安全程序如VPN客户端或恶意软件扫描程序。虽然iOS4的版本可以被检测到,但目前还无法通过无线网络进行iOS4的更新;更新仍然必须通过iTunes进行。
然而,MDM产品目前已经开始使用这些接口在iPad上评估和执行某些特定规范。例如,AirWatch能够根据预先提供的黑名单,检查安装在任何iPad商店应用程序,从而采取相应的措施,如警告用户或者远程卸载iPad上的违规程序。MobileIron可以(当然它的功能不止于此)在任何拥有过期的管理策略、被禁用的加密、未授权硬件版本等的iPad上删除Exchange、VPN或者WLAN配置档案。
总结
像iPad这样的平板电脑需要新的工具去实现、评估和执行终端集成。但是,同笔记本电脑和上网本一样,iPad的安全策略控制方法繁多,有高度可视化/触摸类的工具,也有可提供广泛控制的高度集成工具。有些企业可能会根据需要同时采取多种方法,例如,控制管理那些装有企业程序的iPad,同时将那些没有安装企业程序的当做普通来宾。要学习更多有关iPad配置档案和安全设置的内容,请查阅苹果的“iPhone in Business”(PDF文件)指南。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。