Использование Планшетных компьютеров в сети WLAN. BYOD. Проблемы, особенности, рекомендации.
BYOD. Использование Планшетных компьютеров в сети стандарта Wi-Fi.
Проблемы, особенности, рекомендации.
Мобильные устройства и приложения позволяют своим владельцам постоянно находиться в сети. Такая возможность изменяет не только бизнес-модели и организационные модели. Меняются привычки сотрудников и методы их работы.
Несомненно, одним из наиболее важных катализаторов этих изменений явился выход на рынок удобных для пользователя планшетных компьютеров.
Тенденции использованиия Планшетных компьютеров.
Для многих пользователей эти устройства «достаточно хороши» и могут представляться как более продуктивный инструмент, чем традиционные компьютерные платформы, такие, как лаптопы. Как результат, планшеты быстро прокладывают дорогу в компании и корпорации. Наблюдаются три основные тенденции, которые возникают, когда компании открывают двери для использования планшетных компьютеров:
Спонсорство
Наиболее просвещенные компании предоставляют планшеты своим сотрудникам, как основное компьютерное устройство, и заходят с этим настолько далеко, насколько продвигается разработка соответствующих приложений, способных решать бизнес-проблемы. Идя по этому пути такие компании усиливают своё конкурентное преимущество. Эта категория компаний берет пока еще крупные пользовательские устройства и конвертирует их в управляемые (managed devices), чтобы иметь полный контроль. Известная консультационная компания Deloitte Consulting считает, что компании покупают порядка 25% всех проданных планшетов, в то время как Forrester говорит даже о 30% (вероятно цифры по миру в целом). Вне зависимости от того, какая цифра верна, это определенно тенденция, с которой надо считаться.
Осознание
Некоторые компании осознали, что продуктивность работы сотрудников сильно зависит от степени их удовлетворенности, что, в свою очередь, зависит от возможности использовать собственные мобильные устройства. В результате эти компании разрешили сотрудникам «выбрать», какой тип мобильных устройств они предпочитают, вместо того, чтобы заставлять их выбирать из своего типового ограниченного списка вариантов. Эта тенденция широко известна как “bring your device to work”(принеси собственное устройство) или BYOD. Проявились две особенности BYOD:
- Неуправляемые устройства: это наиболее популярный подход, т.к. не требует никаких ИТ-ресурсов. Это и дешевле, так как для компании нет необходимости покупать новые устройства или возмещать сотрудникам их затраты.
- Управляемые устройства: некоторые компании выберут политику возмещения затрат сотрудникам (с определенным верхним лимитом), которые купили их собственные устройства. При этом сотрудник должен выполненять требования компании по безопасности для этого устройства. Основным отличием между этой категорией и категорией Спонсорства является то, что сотрудники при спонсорской выдаче прекращают владение устройством после окончания корпоративного жизненного цикла устройства.
Игнорирование
С другой стороны, много компаний все еще игнорируют факт того, что сотрудники принесут свои «пользовательские устройства» для работы. Такие компании ставят себя в рискованное положение, не вводя системный контроль того, как эти устройства получают доступ к сетевым ресурсам. Если же просто запретить использование подобных устройств в корпоративной сети, то компании рискуют испортить отношения с сотрудниками и сущственно снизить их лояльность к компании и рвение в работе.
Проблемы использования Планшетных компьютеров
Приток планшетов в корпорации несет не только новые возможности, но и различные проблемы, которые должны разрешить ИТ-департаменты. Эти проблемы могут варьироваться в зависимости от того, где находится пользователь (внутри или вне корпоративной зоны), какой тип устройства используется (управляемый или неуправляемый) или какой тип доступа предоставляется/используется (проводной или беспроводный). Сгруппируем эти проблемы в три категории:
1. Опыт Пользователя
Компании, которые спонсируют или возмещают расходы за планшеты, естественно ищут пути увеличения скорости возврата их инвестиций (увеличения их ROI/Return of Investment) от этих устройств и увеличения продуктивности работы сотрудников насколько это возможно. Большинство этих устройств могут присоединяться только к беспроводной сети передачи (большинство просто не имеет проводного порта Ethernet), так что для них надежность, качество и безопасность беспроводной сети становится абсолютным. Итак, что же влияет на опыт конечного пользователя и его ощущение полезности от услуг сети WLAN.
Видео
Планшетные компьютеры широко применяются благодаря их выдающимся возможностям предоставления интерактивного мультимедийного сервиса.
Мы наблюдаем:
- Некоторые компании снабжают и услиливают своих специальных сотрудников устройствами с интерактивными мультимедийными возможностями, позволяющими демонстрировать презентации, продукцию и т.п. (в зависимости от бизнеса компании) в любом месте и в любое время, например, во время поездок,
- Продавцы (ритейлеры) усиливают и расширяют опыт пользователей/клиентов добавляя помощь от мобильного видео-эксперта,
- Медицинские компании предоставляют инструменты виртуализации для докторов с уровнями качества отображения информации и портативности, которые не были доступны никогда ранее.
Для доставки потокового видео (часто высокого разрешения/HD) на планшет беспроводная сеть должна эффективно обрабатывать и поддерживать мультикастовый трафик видеопотоков ко множеству конечных точек.
Интеллектуальные приложения
Компании, которые переходят к использованию планшетов, реализуют потенциал эффективного изменения бизнес-процессов, разрабатывая уникальное программное обеспечение. Во многих случаях создание собственных приложений для своих специфических задач помогает решить сложные и комплексные операционные проблемы. Такие приложения становятся даже более продуктивными, когда они могут использовать преимущества, предоставляемые «интеллектом» сети. Например, когда производственная компания создает приложение для мастера цеха, информация о местоположении объектов может поставляться из сети в реальном времени. Это может касаться критичных элементов производственного процесса, и такие возможности могут быть интегрированы непосредственно в приложение на мобильном устройстве мастера цеха.
Доступность полосы
Важно помнить, что Wi-Fi, являясь основным и единственным методом доступа для планшетов, это разделяемый ресурс (полудуплексная технология). Чем больше устройств подключаются к сети, тем этот разделямый ресурс становится уже и уже.
- Средний сотрудник компании в настоящее время может иметь три и даже более сетевых устройства (лаптоп, смартфон, планшет, ручной сканнер, Wi-Fi IP-телефон и т.п.). Улучшения в области портативности мобильных устройств создает проблемы обслуживания зон с высокой плотностью пользователей, которые существенно и негативно влияют на опыт пользователей от использования услуг сети.
- Эта проблема становится даже более тяжелой, когда в сети много устройств начинают использовать приложения виртуализации рабочих мест (virtual desktop) для уменьшения рисков в части безопасности. Виртуализированные рабочие места имеют всплески потребления трафика в момент инициации сессии и через частые интервалы, создавая даже более тяжелые требования к доступности полосы пропускания.
Роуминг (обеспечение бесперебойного сервиса при перемещении между Точками Доступа)
В противоположность лаптопам, на которых в принципе нельзя работать на ходу, планшеты более схожи со смартфонами. Они позволяют людям что-то делать даже во время движения. С ростом количества клиентов, которые перемещаются между Точками Доступа (происходит роуминг), беспроводная сеть испытывает все большую нагрузку. Что, соответственно, создает дополнительные сложности в обеспечении положительного опыта от бесшовной мобильности. Особенно это касается случаев, когда сеть не полностью приспособлена для того, чтобы обеспечивать подобный уровень мобильности.
2. Проблемы безопасности
Практически всегда обеспечение безопасности ведет к действиям, которые не слишком удобны для пользователей, но от сети требуется обеспечить надежное и безопасное соединение. Формирование безопасного соединения и обеспечение использования правильных критериев доступа может стать одной из наибольших проблем. ИТ-служба должна будет это решать с планшетами, в особенности с неуправляемыми устройствами (unmanaged devices). Основные проблемы безопасности можно суммировать следующим образом:
Профили и Текущий Статус (Profiling & Posture)
Неуправляемые устройства по определению опасны и должны подвергаться тщательной проверке безопасности для применения правильных и актуальных апдейтов безопасности и патчей требуемого уровня (наличие антивируса с актуальной базой данных и т.п.) прежде, чем будет получено разрешение на доступ в сеть. Это важно для того, чтобы избежать распространения вирусов и защитить критичные данные компании.
- Создание профилей устройств (fingerprinting/снятие «отпечатков пальцев» устройств) - важнейший инструмент для идентификации устройства и для его соответствующей «отработки».
- Изучение текущего статуса устройства (Posture) - важнейший шаг в минимизации рисков от распространения вирусов и различного вредоносного ПО к сетевым ресурсам после того, как устройство получает доступ в сеть. Устройствам, несовместимым с требованиями безопасности, может быть запрещен доступ, они могут быть помещены в специальную зону карантина или им может быть предоставлен ограниченный доступ к ресурсам корпоративной сети. Это критично для предохранения сети от небезопасных устройств.
Назначение Политик
После прохождения аутентификации устройства на сети ИТ-службе необходимо определить уровень доступа, который должен быть обеспечен устройству. Политики обычно зависят от таких переменных, как "кто есть пользователь" (его роль в организации), какое устройство он использует, куда и в какое время ему разрешен доступ, а также любые другие атрибуты, которые компания решает применить. Политики применяются в управлении большим количеством пользователей с использованием минимальных ИТ-ресурсов. Типовые варианты Политик в качестве примера:
- Сотрудник может получить доступ ко всему со своего корпоративного или персонального устройств, но не сотрудник блокируется.
- Сотрудники должны использовать корпоративные устройства. Персональные устройства не разрешены, и нет гостевого доступа.
- Сотрудники могут получить доступ ко всем ресурсам с корпоративных устройств. Сотрудники, использующие личные устройства и не сотрудники имеют ограниченный доступ.
Доступ вне корпоративной территории
Если Вам разрешен доступ с персональным устройством, то важным вопросом становится, что может произойти с корпоративной информацией, которая находится на устройстве, пока оно используется вне корпоративной территории. Таких рисков много, например:
- Устройство может быть потеряно или украдено, что позволяет похитителю получить доступ к корпоративной информации.
- Сотрудник может быть не единственным пользователем данного устройства.
- Устройство может быть неумышлено присоединено к небезопасным (и, возможно, зараженным) сетям в аэропортах, кафе и т.п.
Защита от опасностей
Картина опасностей постоянно изменяется. Очень быстро меняется и количество и характер атак на сети доступа стандарта WiFi. И, не смотря на то что устройства проходят стадию определения их текущего статуса и его коррекцию до последних обновлений систем безопасности, если необходимо (Posture), это не предоотвращает от входа в корпоративную сеть зараженного устройства. Необходим многоуровневый подход для обеспечения защиты пользователей от таких опасностей как:
- Инфицированные веб-сайты, которые создают наибольшее количество инфицированных устройств в настоящее время,
- Злонамеренный трафик (атака) на 80-й порт (http) - такой, как атаки через методы социального инжиниринга путем задействования чатов (instant messaging) или приложений Web 2.0.
3. Проблемы управления
Типовой ИТ-департамент видит, что их ресурсы иссякают из-за необходимости обеспечения управления устройствами и разрешения проблем пользователей. Во многих случаях (особенно до эры BYOD) подобные требования могли потреблять больше 25-30% ИТ-бюджета.
Разрешение проблем
Неуправляемые устройства представляют собой даже большую проблему, в особенности, когда пользователи звонят в службу поддержки, требуя решения проблемы. Основополагающие моменты: ИТ-департамент должен поддерживать высокий уровень собственной информированности относительно всех устройств, получающих доступ в сеть. ИТ-служба должна избегать ситуация связывания ресурсов из-за накатывающейся волны подобных клиентов.
Рисунок 1 показывает как Система Управления Cisco Prime Network Control System (NCS) объединяет процессы управления разрешения проблем как проводных, так и беспроводных клиентов в одном удобном инструменте.
Рисунок 1. Решение проблем Проводных и Беспроводных клиентов на Cisco Prime NCS
В настоящее время Cisco предлагает рынку следующее поколение системы управления - Cisco Prime Infrastructure, которая способна управлять и проводным и беспроводным сегментами доступа.
Решение Cisco для использования Любых устройств (BYOD).
Как это работает:
- Сотрудник приносит с собой корпоративный лаптоп и персональный планшетный компьютер.
- Этот сотрудник соединяет оба устройства с корпоративной сетью с помощью одного SSID. Сеть использует 802.1х EAP для аутентификации.
- Cisco ISE использует большое количество переменных для снятия отпечатка с устройства (fingerprinting) для аккуратной идентификации устройства, как корпоративного или персонального.
- Далее определяется подходящая политика с применением комбинации критериев, таких как, кто есть пользователь, какое устройство используется, местоположение и время и т.д.
- Затем Cisco ISE применяет политику, помещая/направляя каждое устройство в подходящий VLAN, в то время как оба устройства остаются присоединенными к одному SSID.
- Контроллер WLAN от Cisco дает доступ к разрешенным ресурсам, основываясь на принятой политике. В примере, показанном на рисунке 2, корпоративное устройство – лаптоп - получает неограниченный доступ к корпоративным ресурсам, в то время как планшет имеет ограниченный доступ только в Интернет.
Рисунок 2. Решение Cisco для доступа Любых устройств (BYOD)
Отличительные особенности решения Cisco для BYOD:
- Меньшее количество устройств для управления:
Cisco ISE комбинирует все необходимые функции, требующиеся для того, чтобы дать безопасный доступ Планшетным компьютерам в сеть. Нет необходимости управлять различными устройствами для аутентификации, снятия отпечатков устройств (fingerprinting), определения статуса безопасности устройств (Posture), управления политиками и гостевого доступа. Все это выполняет Cisco ISE.
- Единая Система Управления:
Доступ здесь не делится на проводной или беспроводный – все унифицировано для обоих типов. Система предлагает единое отображение проводной и беспроводной сетей. Cisco Prime NCS экономит средства в таких областях, как проектирование и развертывание сети, поиск и устранение неисправностей и разрешение проблем клиентов, операционная поддержка сети.
- Отличная производительность сети WLAN:
Такие функции, как:
/ Cisco CleanAir (встроенный в Точки Доступа от Cisco анализатор спектра физического уровня),
/ Cisco ClientLink (управление диаграммой направленности антенн),
/ Cisco VideoStream (комбинация функций для качественной доставки мультикастового потокового видео)
- предоставляют лучшие в своем классе Радиотехнологии, которые защищают производительность вашей сети cтандарта WiFi 802.11n и улучшают опыт пользователя при использовании на сети WLAN Планшетных компьютеров и других мобильных устройств.
Данная статья является частичным переводом оригинального, открытого источника. Оригинал статьи можно найти по адресу:
«Tablets Welcomed. How to Get Any Device, on Any Network Reliably and Securely. »
http://www.cisco.com/en/US/solutions/collateral/ns340/ns394/ns348/ns1070/c11_674197_00_ipads_so.pdf
Не пропускайте новости Wi-Fi, которые мы публикуем в Новостной Ленте.
Для получения анонсов по выходу новых статей или при появлении новых материалов на нашем сайте подписывайтесь на рассылку.
Присоединяйтесь к нашей группе на Facebook: www.facebook.com/Kom.Way.ru
Мы публикуем интересные новости о Wi-Fi со всего света, информацию о выходе новых статей и расширении контента основных модулей ресурса komway.ru
Kom-Way.Team
Использование материалов этого сайта разрешено только с согласия komway.ru и наличии прямой ссылки на источник.
