HPE Aruba Ülke Müdür Ersin Uyar, BYOD ortamında ağ güvenliğini güçlendirmek için yapabilecek sekiz konuyu ele alan bir makale kaleme aldı. İşte o yazı:
Akıllı telefonlar ve diğer kişisel cihazlar artık neredeyse her kurumda bulunuyor ve kullanıcılar bunlarla herhangi bir yerden herhangi bir zamanda kurumsal ağa bağlanabiliyor. BT ve güvenlik yöneticilerinin geceleri uykularını kaçıran şey; mobil kullanıcılar, kullanıcı başına düşen birden fazla cihaz ve bu cihazlarla ulaşılabilecek kurumsal verilerdir.
BYOD (Bring Your Own Device / Kendi Cihazını Getir) ve mobilite için güvenlik, yeni dijital işyerlerinin ağları söz konusu olduğunda, şimdi uzun konuşmaların nedeni olabilir. Mevcut müşterilerin en iyi uygulamalarına dayanan bu yazı, BYOD ortamında ağ güvenliğini güçlendirmek için yapabileceğiniz sekiz şeyin altını çiziyor.
Kullanıcılara Ve Cihazlara Görev Atama
Kullanıcılar birden fazla cihaz taşırlarken, organizasyon çapında kullanıcıların görevlerini standartlaştırmak ve sonra da cihazlara da görev atamak akıllıcadır. BT birimi tarafından özel bir amaçla verilen bir akıllı telefon, kişisel bir cihazdan daha fazla erişim ayrıcalığı gerektirebilir. BT tarafından verilen bir dizüstü bilgisayar, akıllı telefonlardan ve tabletlerden daha farklı görevlere sahip olacaktır. Bunun avantajı, her cihaz türü veya görevi için farklı kurallar oluşturma olanağınızdır.
Kullanıcı ve cihaz görevleri, aynı kullanıcı için cihaz tiplerine göre farklı ayrıcalıklar tanımlamanıza izin verir. Bir BT yöneticisinin, kurumsal kullanıma yönelik bir dizüstü bilgisayar ile anahtar ve denetleyici konfigürasyonlarını değiştirmesine izin verilebilir. Ancak aynı kişi, BYOD görevi atanmış bir tableti kullanarak hassas ağ ekipmanına erişemeyebilecektir.
Cihaz Kategorileri Yaratmak İçin Profil Çıkarmayı Kullanın
Profili doğru bir şekilde çıkarılmış cihazlar, güvenli bir BYOD girişiminde planınızın önemli bir parçası olabilirler. Ortamınızda BYOD cihazlar arttıkça, bütün kullanıcılar işletim sisteminin son sürümlerini indirme konusunda pek gayretli olmayacaklardır. Burada, kimin iOS, kiminse Android, Chrome veya diğer işletim sistemlerinin hangi sürümlerini çalıştırdığını takip etmek isteyebilirsiniz.
Yeni sürümler piyasaya çıktıkça bu veriler, kimlik doğrulamasında neden başarısız olunduğunu, sorun yaşayan cihaz türlerini ve daha fazlasını tanımlamanıza yardımcı olacak görünürlüğü sağlayacaktır.
Bir konumun anlaşılması, eğer kurum çok üreticili bir ortamda çalışıyorsa, sorunun Wi-Fi ekipmanına özel olup olmadığını belirlemenize de yardımcı olabilir.
Politikalarda Context Kullanın
Verileri yönetmek için, birden fazla kaynak kullanmak önemlidir. Veriler; kullanıcı rolü, cihaz profilleme, konum ve belirli bir kullanıcının cihazına verilen ve bunun bir BYOD olduğunu gösteren bir sertifikadan oluşabilir. Bunu yapmak üretkenliği, kullanılabilirliği ve güvenliği büyük ölçüde artırır. Bilinen verilerin kullanımına izin vererek, kullanıcıların politikaları atlatmak için yollar bulmalarını önleyebilirsiniz.
Cihaz kategorilerinin kullanımı da araştırılmalıdır. Buradaki anafikir, büyük bir cihaz kategorisinde ayrıcalıkların uygulanması için yine contexten faydalanmaktır. Bir VPN üzerinden bağlanan tüm BYOD uç noktaları, ofiste bağlanırkenkinden farklı şekilde değerlendirilebilir. Yazıcılar, oyun konsollarından veya Apple TV’lerden farklı olarak yönetilebilir.
Mobil Aplikasyonların Kullanımını Yönetme
İşletmelerin, akıllı telefonları, tabletleri, dizüstü bilgisayarları veya IOT cihazlarını ayırt edecek şekilde, kimin hangi cihazlardan özel veri tiplerine erişebileceğini belirleyen politikaları tanımlaması ve uygulaması gerekir. Etkili olabilmek için uygulama, MDM/EMM, bir politika yönetimi platformu ve güvenlik duvarlarına kadar yayılmalıdır.
Otomatikleştirme Ve Basitleştirme
Otomasyon, hem başlangıçta alınan cihazlar hem de uyumlu olmayan cihazlarla harekete geçmek için gereklidir (örneğin bu cihazlar uyumlu olana kadar karantinaya alınabilirler). MDM / EMM çözümleri, cihazlara erişim izni verilmeden önce uyumlu olmasını sağlamak için, cihazın durumunu bir NAC çözümüyle paylaşmalıdır. Yardım masası uygulamalarını SIEM ile entegre etmek, kullanıcı ve BT birimi için sorun çözümünde gelişmiş bir deneyim sağlayabilir.
Uyumlu olmayan cihazların keşfedilmesini ve kullanıma alınmasını otomatize ederek maliyetleri azaltabilir ve güvenlik durumunuzu iyileştirebilirsiniz. Bu aynı zamanda akıllı telefonlar ve tabletler değiştirildiğinde kullanıcıların kendi cihazlarını tekrar kullanmalarına olanak tanır ve bu da BT’nin cihazın devreye alınması için harcayacağı zamanı azaltır.
Sertifikalarla Devam Edin– Şifrelerden Daha Güvenlidir
Kullanıcılar, şifrelerini genellikle çalınabilecek şekilde bırakarak misafir ağlarına bağlanırlar ve bu da sertifikaları güvenli bir mobil cihaz dağıtımının temel taşı haline getirmektedir. BYOD için etkin dizin ve dahili PKI kullanımı en iyi uygulama değilken, kişisel cihazları desteklemek için kurulmuş olan bağımsız bir Sertifika Otoritesi (CA) tercih edilmektedir.
Sertifikaları iptal etmenin yanı sıra aynı zamanda dağıtım ve güncelleme yeteneğini içeren bir politika yönetimi çözümü araştırılmalıdır. Cihaz yönetimi uygulamasında MDM / EMM çözümü ile entegrasyon, ağ erişim politikası yönetimi çözümüne yatırım yapmadan önce mutlaka bir seçenek olmalıdır.
Herkes Mutlu Olsun – Basitleştirilmiş SSID’ler
Çoklu SSID’ler IT ve kullanıcılar için yaşamı zorlaştırır. Etkili bir politika yönetiminin uygulanması ile, BYOD ve kurumlara ait cihazlar ortak SSID’lere bağlanabilirler. Kullanıcıların seçebileceği seçenekleri azaltmak+, kullanıcı deneyimini basitleştirir ve BT’nin birden fazla yerde SSID’lerin bakımını sürdürmesini kolaylaştırır. SSID’lerin konsolidasyonu Wi-Fi performansını da artırabilir.
Güvenlik durumunuzu iyileştirmenin anahtarı, ortak SSID’leri kullansalar da IT’nin beklediği cihazların erişimini garantilemek için, rolleri, konumu ve politika uygulamanızı kullanma becerinizle ilgilidir. Kişisel cihazlar ortak bir 802.1X ağına bağlandığında BT, yalnızca istendiğinde Internet erişimi sağlayabilir.
Yeni Nesil Çok Faktörlü Kimlik Doğrulamayı Düşünün (Multı-Factor Authentıcatıon / Mfa)
Bugünlerde, kurumsal veri erişimi genellikle akıllı telefonlardan ve tabletlerden başlatılıyor. Bu cihazlar kolaylıkla paylaşıldığından, birçok BT uzmanı, bir cihazın kullanıcısının gerçekten erişim isteyen kişi olduğundan emin olmak için yeni MFA biçimlerini tercih ediyor. Kolayca kaybolan token üreten cihazlar yerine, daha iyi bir yol var.
Artık bir kullanıcı bir ağa bağlandığında veya bir uygulamayı açtığında BT, akıllı telefonunuzu ve parmak izinizi taramak, bir selfie çekmek veya resim kütüphanesinden önceden belirlenmiş bir görüntüyü tıklamak kadar basit bir ikinci sorgulama getirebilir.
Sonuç
BYOD’un sürekli yükselişi kaçınılmazdır ve çok az sayıda kurumsal lider herhangi bir maliyeti olmadan yararlanabilecekleri bir mobil işgücünün üretkenlik kazanç fırsatını kaçırır. Ancak sağlam bir planınız yoksa, uzun vadeli hedeflerde şaşma kolaylaşır. Bu yazıda sunulan sekiz fikir, BYOD’a hazırlanırken BT’nin düşünmesi gereken bazı şeylerden sadece birkaçıdır.
Nihayetinde, her şeyi bir araya getiren merkezi bir bileşen, gelişmiş bir politika yönetimi platformuyla başlar. Bu da, AAA servisleri, NAC, BYOD kullanımı ve case odaklı iyileştirme ile üçüncü parti entegrasyonunu içermektedir.