在15年前，Wi-Fi開始了其漫長而穩(wěn)步的發(fā)展，從家庭到辦公室，最終取代以太網(wǎng)成為很多企業(yè)首選網(wǎng)絡(luò)接入方式。

　　現(xiàn)在，在802.11ac的推動(dòng)下，企業(yè)Wi-Fi部署正在進(jìn)一步發(fā)展，2014年，802.11ac占全球1.76億接入點(diǎn)(AP)出貨量的18%。Wi-Fi不僅將改變員工的連接方式，還將改變保護(hù)通信的方式。Wi-Fi安全不再是附加品;它必須成為安全政策執(zhí)行的重要組成部分。在本文中，我們將探討企業(yè)應(yīng)如何面對(duì)這種網(wǎng)絡(luò)安全轉(zhuǎn)型。

　　安全做法

　　多年前，Wi-Fi部署的安全做法主要是鏈路層加密：首先是有線等效保密(WEP);接著是Wi-Fi保護(hù)接入(WPA)和臨時(shí)密鑰完整性協(xié)議(TKIP)。然后是WPA 2和高級(jí)加密標(biāo)準(zhǔn)(AES)。近十年來，所有Wi-Fi認(rèn)證產(chǎn)品都支持著WPA 2與預(yù)先共享密鑰(PSK)或802.11X接入控制。同時(shí)，原來是通過Wi-Fi嗅探器和手動(dòng)現(xiàn)場調(diào)查阻止無線攻擊者，而現(xiàn)在完全自動(dòng)化的無線入侵檢測和防御(WIDS/WIPS)已經(jīng)成為主流，每個(gè)企業(yè)級(jí)無線LAN(WLAN)產(chǎn)品都包含該技術(shù)。

　　雖然這些技術(shù)主要是針對(duì)無線網(wǎng)絡(luò)，但它們現(xiàn)在已經(jīng)成為構(gòu)建網(wǎng)絡(luò)的基礎(chǔ)。例如，802.11X為控制局域網(wǎng)(無線和有線)接入奠定了基礎(chǔ)。而WIPS遏制通常會(huì)被觸發(fā)以在網(wǎng)絡(luò)連接點(diǎn)阻止可疑攻擊者，無論是無線連接還是有線連接。現(xiàn)在安全政策不再是關(guān)于設(shè)備如何連接，而是誰在連接、他們正在做什么以及他們?cè)谀睦铩?/p>

　　Wi-Fi部署和政策執(zhí)行

　　Aruba Networks公司產(chǎn)品和解決方案營銷高級(jí)主管Ozer Dondurmacioglu表示，很多大型企業(yè)在設(shè)法創(chuàng)建并執(zhí)行單個(gè)安全政策來解決所有問題。

　　“當(dāng)我的醫(yī)生在食堂，他可能只需要接入互聯(lián)網(wǎng)—僅此而已;當(dāng)他在辦公室，他可能還要訪問患者數(shù)據(jù);而當(dāng)他在其他高風(fēng)險(xiǎn)地點(diǎn)工作，他可能需要采取額外的保護(hù)措施，”Dondurmacioglu表示，“應(yīng)該有一種方法將所有這些封裝在單個(gè)政策中，然后利用工具來執(zhí)行政策。”

　　企業(yè)可以利用現(xiàn)有工具來幫助他們執(zhí)行這種統(tǒng)一安全政策，包括身份管理服務(wù)、網(wǎng)絡(luò)和應(yīng)用程序防火墻、移動(dòng)設(shè)備和應(yīng)用程序管理器、安全有線交換機(jī)端口和接入點(diǎn)、基于位置的服務(wù)、訪客接入服務(wù)等。然而，企業(yè)最好將實(shí)現(xiàn)這種單個(gè)政策的工作視為階段性的過程，應(yīng)該從目標(biāo)政策開始，使用可用的工具來執(zhí)行基本工作，然后逐步增加新工具來增強(qiáng)政策、威脅抵御和用戶工作效率。

　　對(duì)于初步部署者來說，身份管理可以推動(dòng)安全政策，并且，應(yīng)該捆綁訪問權(quán)限和要求到個(gè)人和角色，而不是設(shè)備或網(wǎng)絡(luò)連接點(diǎn);例如在上述情況中，醫(yī)生可以在整個(gè)工作日基于政策驅(qū)動(dòng)的標(biāo)準(zhǔn)來被授予不同的訪問權(quán)限。

　　其次，防火墻、交換機(jī)和AP可以監(jiān)控和部署這些訪問權(quán)限。廣泛的網(wǎng)絡(luò)分段可以通過VLAN和SSID來部署，由交換機(jī)和AP來執(zhí)行。網(wǎng)絡(luò)流量也可以通過這些邊緣設(shè)備來過濾，例如確定醫(yī)生是否可以訪問互聯(lián)網(wǎng)或患者數(shù)據(jù)。然而，基于現(xiàn)在日益復(fù)雜的移動(dòng)應(yīng)用程序和相關(guān)風(fēng)險(xiǎn)，應(yīng)用程序防火墻可以幫助實(shí)現(xiàn)更精細(xì)的政策，以降低風(fēng)險(xiǎn)、阻止惡意軟件和防止數(shù)據(jù)泄露。

　　第三，政策可能需要考慮設(shè)備類型、所有權(quán)和信任水平，主要通過利用移動(dòng)設(shè)備和應(yīng)用程序管理器來實(shí)現(xiàn)。例如，醫(yī)生可能攜帶智能手機(jī)和平板電腦，并在其工作中同時(shí)使用。同樣的政策可能對(duì)企業(yè)發(fā)放的平板電腦和BYOD智能手機(jī)設(shè)置不同的訪問權(quán)限，或者可能要求在每臺(tái)設(shè)備安裝安全容器作為訪問患者數(shù)據(jù)的條件。

　　另外，政策也開始利用基于位置的服務(wù)，利用地理圍欄等技術(shù)來限制對(duì)特定場所和授權(quán)區(qū)域的訪問。基于位置的服務(wù)正在不斷發(fā)展，例如，企業(yè)可以利用蘋果公司的iBeacon等新設(shè)備來提高精確度(特別是在室內(nèi))，這可以是單獨(dú)運(yùn)行也可以整合網(wǎng)絡(luò)基礎(chǔ)設(shè)施。在我們的例子中，醫(yī)生的平板電腦可以識(shí)別其位置(醫(yī)院內(nèi)部或咖啡廳)，并相應(yīng)地改變其行為，盡管其設(shè)備通過這兩個(gè)位置的Wi-Fi連接。

　　最后，訪客接入服務(wù)在安全政策執(zhí)行中也發(fā)揮著越來越重要的作用，這不僅僅是對(duì)訪客，同時(shí)也是針對(duì)使用BYOD或其他設(shè)備的員工。具體來說，網(wǎng)絡(luò)基礎(chǔ)設(shè)施可以用來手動(dòng)或自動(dòng)重新定向新設(shè)備到設(shè)備注冊(cè)門戶網(wǎng)站，讓員工可以注冊(cè)設(shè)備、同意服務(wù)條款、接受設(shè)備證書，并配置為安全Wi-Fi接入。在連接到安全網(wǎng)絡(luò)后，還需要采取額外的步驟來實(shí)現(xiàn)安全移動(dòng)性，例如在醫(yī)生現(xiàn)已授權(quán)和認(rèn)證的移動(dòng)設(shè)備部署安全容器或應(yīng)用程序。

　　現(xiàn)在構(gòu)建 未來擴(kuò)展

　　上文中所描述的可實(shí)現(xiàn)靈活移動(dòng)安全政策的網(wǎng)絡(luò)技術(shù)已經(jīng)存在多年：有些技術(shù)則相對(duì)較新。所有這些技術(shù)都可以幫助加強(qiáng)網(wǎng)絡(luò)來執(zhí)行安全政策，發(fā)現(xiàn)Wi-Fi部署的固有風(fēng)險(xiǎn)，同時(shí)在整體水平(即專注于用戶和滿足其計(jì)算需求)內(nèi)解決這些風(fēng)險(xiǎn)。隨著無線變得更加普遍，企業(yè)應(yīng)該采用這種方式來執(zhí)行和加強(qiáng)安全移動(dòng)。