Cloud-Computing
Benchmark BYOD und der Einfluss auf die Infrastruktur
Fortsetzung des Artikels von Teil 1
Mobile Endgeräte überfluten die Netze
Mobile Endgeräte und BYOD-Projekte sind nicht das Gleiche und unterscheiden sich in ihren Herausforderungen. Mobile Endgeräte wie Smartphones oder Tablets sind durch die Geräte und Betriebssystemvielfalt wesentlich schwieriger zu beherrschen als die traditionell gemanagten Desktops und Laptops - meist auf Windows- Basis. Bei den mobilen Geräten gilt es Blackberry-OS, I-OS, Android, Windows-Mobile und andere zu unterstützen. Oft fehlt es auch an der Instrumentierung von Managementmöglichkeiten wobei Apple mit I-OS 5 einiges nachgeholt hat, Microsoft aber erst Windows-Mobile 8 bringen muss, um gleichzuziehen. Mobile-Device-Management-Lösungen (MDM) und entsprechende Startups schießen wie Pilze aus dem Boden, um dies in einer gemanagten Umgebung mit mobilen Endgeräten zu adressieren. Und dann noch das Verlustrisiko dieser Geräte, was ebenfalls ein signifikantes Risiko darstellt. Bei BYOD wird die Problematik durch das private Eigentumsverhältnis und die Vermischung von privaten Daten und Geschäftsdaten auf einem Gerät noch verschärft. Und generell stellt sich die Frage, ob BYOD-Geräte von der IT gemanaged werden sollten? Es sind doch gerade die Kosten, die mit BYOD gesenkt werden sollen. Zudem soll die Flexibilität erhöht werden, die aber dann wiederum mit MDM-Lösungen und den entsprechenden Einschränkungen was die Nutzung von „Apps“ angeht, eingeschränkt werden.
Je nach Anforderung ergibt sich heute folgendes, eher uneinheitliches Nutzungsbild von entsprechenden Lösungen:
- 1. Von der Unternehmens-IT bereitgestellte Geräte werden über MDM-Lösungen gemanaged und stark eingeschränkt, was beispielsweise die Installation von Apps angeht. Remote-Wipe, Password-Enforcement, Interface-Control etc. sind gängige Methoden und gehören zu den Standardeinstellungen. Vorteil ist, die Kontrolle ist ähnlich dem eines gemanagten Desktops, Nachteile sind die zusätzlichen Kosten und die Komplexität.
- 2. Von der Unternehmens-IT bereitgestellte Geräte werden nur für Virtual-Desktop-Infrastructure-Lösungen (VDI) genutzt. Auf Netzwerkebene wird dies durch NAC und Policies realisiert. Dies eliminiert die Notwendigkeit von komplexen MDM-Lösungen und erhöht die Sicherheit beträchtlich, da unternehmenskritische Daten nicht oder nur verschlüsselt und temporär auf dem Gerät sind. Die Kosten für VDI sowie die Problematik mit der Nutzung von nativen „Apps“ kann ein Problem darstellen.
- 3. Von der Unternehmens-IT bereitgestellte Geräte werden über NAC und netzwerkspezifische Policies gemanaged und der Zugriff stark eingeschränkt, beispielsweise nur auf E-Mail, Web-Browsing oder Cloud-basierte Dienste. Die Sicherheit der Cloud-Dienste und pauschaler Remote-Wipe beispielweise durch Exchange werden als ausreichend angesehen, da Daten mit höherem Schutzbedarf über diese Geräte nicht zugreifbar sind.
- 4. BYOD-Geräte können vom Mitarbeiter registriert werden und erhalten dann in einer neuen Sicherheitszone mittels Policies etwas mehr Zugriff und Bandbreite als die normalen Gäste an der Infrastruktur. Nur E-Mail, Web-Browsing und Cloud-basierte Dienste sind zugreifbar über diese Systeme, ähnlich wie die von der Unternehmens-IT bereitgestellten, nicht-gemanagten Geräte.
- BYOD-Geräte können vom Mitarbeiter registriert werden und erhalten dann in einer neuen Sicherheitszone ausschließlich VDI-Zugriff in die Unternehmens-IT beziehungsweise Internet-Zugriff für den privaten Gebrauch.
- BYOD-Geräte werden auch mit MDM-Agenten ausgestattet - der Mitarbeiter muss dem zustimmen. Selektive Wipe- Mechanismen und ähnliches kommen zum Einsatz. Eine komplexe und zur initialen Intention von BYOD nicht unbedingt unterstützende Vorgehensweise der Unternehmens-IT. Aber je nach Schutzbedarf eventuell doch die richtige Antwort. Je nach Unternehmen kann es passieren dass alle sechs skizzierten Methoden oder zumindest verschiedene Mischformen dieser in der IT auftreten. Vor allem sollte vorab eine genaue Schutzbedarfsanalyse der Daten erfolgen, um die optimale Lösung für mobile Geräte und BYOD in der eignen IT zu finden.
Die Mobile-IAM-Lösung (Identity- and Access-Management) steht im Zentrum all dieser Nutzungsszenarien. Die Bereistellung aller notwendigen Services wie Auto-Discovery, Device-Profiling, Flexible-Onboarding (Zero-Effort, Portal, Automated), Context-based Policy-Management, Authentication-Services auf einer Appliance sowie die Integration von VDI, MDM und Threat-Management Lösungen zeichnen Mobile-IAM aus.
Wie sagte vor kurzem ein CIO: Ich messe meinen Erfolg an meiner Fähigkeit, wie schnell ich Kontrolle aufgeben kann.
- Benchmark BYOD und der Einfluss auf die Infrastruktur
- Mobile Endgeräte überfluten die Netze
- Fazit
Lesen Sie mehr zum Thema
