เจาะลึก ForeScout ตอนที่ 4 กับการรักษาความปลอดภัย BYOD และ MDM ให้แก่ Smart Phone และ Tablet ขององค์กร
หลังจากที่คราวที่แล้วได้เล่าถึงการบริหารจัดการและควบคุมเครื่องลูกข่ายจากศูนย์กลางด้วย ForeScout CounterACT ไปเรียบร้อยแล้ว คราวนี้เราจะมาดูกันต่อครับว่า ForeScout จะช่วยรักษาความปลอดภัยสำหรับอุปกรณ์ Smart Phone และ Tablet ที่พนักงานนำมาใช้งานเอง (BYOD) และอุปกรณ์ที่องค์กรจัดหาให้ (Corporate-owned) ได้อย่างไรบ้าง โดยใช้ความสามารถทั้งในส่วนของ BYOD และ MDM (Mobile Device Management)
BYOD คืออะไร?
BYOD (Bring Your Own Device) คือแนวคิดที่อนุญาตให้พนักงานนำอุปกรณ์ส่วนตัวเข้ามาใช้งานในองค์กร เช่น Notebook, Smart Phone, Tablet เป็นต้น ซึ่งในปัจจุบันนี้อุปกรณ์พวกนี้มีความสามารถสูงมาก ทั้งในด้านการทำงาน การติดต่อสื่อสาร และการเข้าถึงข้อมูลต่างๆ ทำให้พนักงานสามารถทำงานได้ทุกที่ทุกเวลา แต่ในขณะเดียวกันก็สร้างความเสี่ยงด้านความปลอดภัยที่สำคัญให้กับองค์กร
ForeScout สนับสนุน BYOD อย่างไร?
แก่นกลางของการดำเนินงาน BYOD คือความสามารถของระบบเครือข่ายในการจำแนกและจัดประเภทอุปกรณ์ที่เชื่อมต่อเข้ามาในระบบ — ว่าเป็น PC, Notebook, Smart Phone หรือ Tablet — แล้วบังคับใช้นโยบายความปลอดภัยตามความเหมาะสม นโยบายเหล่านี้อาจรวมถึงการลงทะเบียนผู้ใช้งาน, การยืนยันตัวตน, การควบคุมการเข้าถึง, การบริหารจัดการ Log, การตรวจจับและป้องกันการโจมตีที่เกิดจากอุปกรณ์เหล่านั้น องค์กรหลายแห่งเลือกกำหนดสิทธิ์การเข้าถึงระบบเครือข่ายให้ Smart Phone และ Tablet ต่ำกว่า PC และ Notebook ที่เป็นทรัพย์สินขององค์กร
ForeScout สนับสนุน BYOD ด้วยความสามารถดังนี้
- ตรวจจับอุปกรณ์ที่เชื่อมต่อเข้ามาในระบบเครือข่ายแบบ Real Time และจัดประเภทระบบปฏิบัติการ เช่น Microsoft Windows, Linux, Unix, Apple iOS, Google Android, Blackberry, Nokia Symbian และแม้แต่ Cisco IOS
- บังคับใช้นโยบายความปลอดภัยรวมถึงการยืนยันตัวตน, การควบคุมการเข้าถึง, และการตรวจสอบแบบลึก (Deep Inspection) ตามประเภทของอุปกรณ์ที่ตรวจจับได้, สถานะความปลอดภัยของอุปกรณ์ และตำแหน่งในระบบเครือข่าย
- จัดประเภทอุปกรณ์ตามความเป็นเจ้าของผ่านการยืนยันตัวตน, รายชื่อขาว (White Lists), การกำหนด MAC Address, และการตรวจสอบซอฟต์แวร์ที่ติดตั้ง
- จำกัดหรือบล็อกการเข้าถึงระบบเครือข่ายตามการจำแนกประเภทอุปกรณ์และระดับความปลอดภัยตามนโยบายความปลอดภัยที่กำหนด
- ส่งการแจ้งเตือนผ่านหน้า HTTP สำหรับการประกาศหรือการ Deploy Software ไปยังอุปกรณ์ปลายทาง
- ให้บริการหน้าลงทะเบียน (Registration Portal) ที่อนุญาตให้ผู้ใช้งานลงทะเบียนเพื่อเข้าถึงระบบเครือข่ายได้อย่างสะดวก พร้อมทั้งอนุญาตให้บุคคลภายในองค์กรที่ไม่ใช่ IT สามารถอนุมัติการเข้าถึงสำหรับแขก (Guest) ได้
- ตรวจจับและป้องกันการแพร่กระจาย Worm และ Virus รวมถึงการโจมตีจากอุปกรณ์ที่เชื่อมต่อทั้งหมดโดยอัตโนมัติโดยไม่ต้องติดตั้งซอฟต์แวร์ที่ปลายทาง
MDM (Mobile Device Management) คืออะไร?
MDM (Mobile Device Management) เป็นแนวทางที่ออกแบบมาเพื่อควบคุมอุปกรณ์ Mobile เช่น Smart Phone และ Tablet จากศูนย์กลางผ่านการติดตั้งซอฟต์แวร์หรือการตั้งค่าอุปกรณ์ ซึ่งรวมถึงการบังคับใช้รหัสผ่าน (Passcode), การป้องกันการ Jailbreak, การ Deploy หรือจำกัด Mobile Application, การเข้ารหัสอุปกรณ์, การปิดใช้งานฟีเจอร์ฮาร์ดแวร์บางอย่าง และแม้แต่การลบข้อมูลระยะไกล (Remote Wipe) หากอุปกรณ์สูญหาย MDM เหมาะสมกับองค์กรที่จัดหาอุปกรณ์ Mobile ให้พนักงานใช้งานและต้องการรักษาความปลอดภัยข้อมูลที่จัดเก็บไว้ในอุปกรณ์เหล่านั้น ซึ่งต่างจากสภาพแวดล้อม BYOD ที่อุปกรณ์เป็นของส่วนตัวและผู้ใช้งานอาจไม่สะดวกที่จะติดตั้งซอฟต์แวร์จัดการ
ForeScout สนับสนุน MDM ด้วยความสามารถดังนี้
- ตรวจสอบข้อมูลฮาร์ดแวร์ เช่น ผู้ผลิต, รุ่น, เวอร์ชัน OS, Application ที่ติดตั้ง, และหมายเลขซีเรียล
- ตรวจจับอุปกรณ์ iOS ที่ทำ Jailbreak และอุปกรณ์ Android ที่ทำ Root
- บังคับใช้นโยบายรหัสผ่านและ Passcode
- บังคับการเข้ารหัสข้อมูลที่จัดเก็บ
- ส่งการประกาศและการแจ้งเตือนผ่าน Push Notifications
- ติดตั้งและอัพเดตซอฟต์แวร์อุปกรณ์ Mobile แบบระยะไกล
- ตั้งค่านโยบายความปลอดภัยและโปรไฟล์อุปกรณ์ Mobile
- ล็อกอุปกรณ์หรือลบข้อมูลทั้งหมด หรือลบข้อมูลเฉพาะส่วนที่เป็นข้อมูลองค์กร
- ทำการบริหารจัดการทรัพย์สิน (Asset Management) โดยรักษาคลังซอฟต์แวร์และฮาร์ดแวร์
- ให้บริการบริการแชร์ไฟล์คลาวด์ที่ปลอดภัยแก่ผู้ใช้งาน
- สร้างร้านค้า Application ขององค์กร (Enterprise App Storefront)
- กำหนดนโยบาย Roaming เสียงและ Roaming ข้อมูล
- ตั้งค่าโปรไฟล์ไร้สายและ VPN
- ใช้นโยบายและการควบคุมเฉพาะเมื่ออุปกรณ์เชื่อมต่อภายในองค์กร และยังรองรับการจัดการการเชื่อมต่อภายนอกองค์กรด้วย
ข้อดีของ ForeScout เหนือโซลูชัน BYOD และ MDM อื่นๆ
- การ Deploy ที่ง่ายโดยไม่ต้องแก้ไขระบบเครือข่ายใหญ่ๆ ไม่เหมือนโซลูชัน BYOD หลายๆ อย่างที่ขึ้นอยู่กับ 802.1X, SNMP, การย้าย VLAN หรือ ARP Spoofing ซึ่ง ForeScout ทำให้การ Deploy ง่ายขึ้นและเพิ่มอัตราความสำเร็จในการนำไปใช้
- การจัดการแบบรวมศูนย์สำหรับทั้ง PC และอุปกรณ์ Mobile บนแพลตฟอร์มเดียวกัน ไม่เหมือนคู่แข่งขันที่แยกสภาพแวดล้อมแบบมีสายและไร้สาย
- การตรวจจับและป้องกันภัยคุกคามภายในเครือข่ายที่ติดตั้งมาในตัว ทำให้ ForeScout สามารถเพิ่มความปลอดภัยโดยรวมของระบบเครือข่ายได้มากกว่าการจัดการอุปกรณ์แบบง่ายๆ
- การปรับแต่งการจำแนกประเภทอุปกรณ์ได้อย่างยืดหยุ่น ทำให้ผู้ดูแลระบบสามารถปรับแต่งการตรวจจับและบังคับนโยบายให้เหมาะสมกับสภาพแวดล้อมเครือข่ายของตนเอง
- การสร้างคลังฮาร์ดแวร์และซอฟต์แวร์แบบ Real Time ทำให้การบริหารจัดการทั้ง PC และอุปกรณ์ Mobile ง่ายขึ้น และช่วยให้การ Deploy ซอฟต์แวร์แบบรวมศูนย์เป็นไปได้
- รองรับ Virtual Desktop Infrastructure (VDI) ทำให้ ForeScout สามารถจัดการทั้งอุปกรณ์ฟิสิคัลและเสมือนร่วมกับสภาพแวดล้อม BYOD และ MDM ได้
หากท่านสนใจโซลูชัน ForeScout สามารถติดต่อได้ที่ info@throughwave.co.th หรือโทร +66 2-210-0969 เพื่อรับคำปรึกษาโดยตรงจากบริษัททรูเวฟ ประเทศไทย จำกัด ท่านยังสามารถเรียนรู้เพิ่มเติมเกี่ยวกับโซลูชัน ForeScout ได้จาก Datasheet ต่อไปนี้
ForeScout CounterACT – Automated Security Control / Next Generation Network Access Control (NAC + BYOD + IPS + PC Management)
ForeScout MDM – Mobile Management / Mobile Device Management / Mobile Security Management
ที่มา: www.throughwave.co.th