簡化VDI存取應用 打造安全BYOD環境 智慧應用 影音
DFORUM
Event

簡化VDI存取應用 打造安全BYOD環境

  • DIGITIMES企劃

F5 Networks 台灣區技術經理 林志斌
F5 Networks 台灣區技術經理 林志斌

隨著行動裝置的普及,多數企業都已意識到BYOD(Bring Your Own Device)的重要性,也亟思援引適當解決方案,來滿足BYOD環境建置需求。但F5 Networks台灣區技術經理林志斌認為,意欲打造BYOD,必須一併就網路架構設計加以考慮,尤其對於製造業來說,與外部供應商、協力夥伴之間經常會有協同作業需求,所以BYOD所需審視的面向更加複雜,除了內部員工外,還摻雜了一些外人,在此情況下,企業總得需要知道存取者是誰,然後根據他的角色,適才適所地賦予正確權限、給予不同資源,才能有效地推展BYOD應用。

林志斌強調,企業要想建立安全可靠的BYOD環境,先決條件就是簡化單一簽入(SSO)流程,藉由安全、簡化、自動登入等簡單步驟,好讓使用者易於分享虛擬桌面基礎架構(Virtual Desktop Infrastructure;VDI)資源。

一直以來,F5所提供的設備,向來介於前端使用者、後端應用伺服器等兩端之間,其間所有進進出出的封包內容,都可以一目瞭然,所以想要獲悉使用者是何人、從哪裡來、採用哪種裝置等訊息,無疑是輕而易舉;如此一來,企業一旦透過F5設備居間管控,即可根據存取者的IP安全等級、或是欲傳送的內容,精確判斷應當對此人實施何等安全控制。

比方說,倘若存取者的IP位址,已被系統認定為Botnet IP,此時企業便可將之引入安全區域,僅允許他存取極有限度的資源,而不管他要寫入或帶出任何資料,都需要嚴加盤查。

何以F5設備能協助企業善盡嚴密的存取管控?主因在於,其處在網路之中的關鍵位置,執行遠端存取控制、SSL VPN、應用防火牆等重要任務,由於可做遠端存取控制,所以能夠對所有造訪者進行精細盤查;由於做SSL VPN,因此可以針對後端不同應用系統,連同各個應用系統的認證與授權機制,一併進行深度整合,據此營造SSO之利基;由於做應用防火牆,所以也可充分保障後端伺服器的安全,不管它是實體主機、虛擬機器,抑或是時下最夯的雲端伺服器,安全控管無一例外。

「為了針對不同應用情境,強化使用者登入的安全等級,F5特別提供三層式把關機制,」林志斌說,第一道機制為AD,F5設備可串聯企業AD或LDAP等帳號認證系統,但是光是做到這樣還不夠,即使使用者帳號無誤,但所在位置異常(譬如從國外連結企業網路),就必須適時提高安全等級,此時即可搭配第二道機制-OTA(Over The Air),透過軟體Token、簡訊Token或E-mail Token進行雙因素認證,至於第三道機制,則是ACL控管,可讓企業針對某些重要封包,進行更嚴格的過濾把關。

為呼應企業之於BYOD殷切需求,F5提供BIG-IP Access Policy Manager(APM)解決方案,它是一套集結了SSL VPN、SSO等功能,並支援VDI、Exchange或SharePoint等資源控制的附加模組,可與同為F5所供應的BIG-IP Local Traffic Manager(LTM)系統搭配運用。

林志斌指出,BIG-IP APM最予人深刻印象之處,即在於它的直覺化,有別於傳統SSL VPN頻頻需要切換不同頁面,藉以配置不同安全政策,BIG-IP APM則能讓所有事情在同一頁面完成;另值得一提的是,BIG-IP APM比起一般SSL VPN,更能妥善因應雲端應用需求,只因其可容納的同時使用人數高達10萬,不管進來或出去的內容,通通都可管控,同時也支援IPv6架構。

一旦採用了BIG-IP APM,則該企業使用者的遠端存取情境,就會變成這樣:用戶在登入企業網路時,除了得接受身分與權限的確認外,他所使用的裝置也得經過詳細檢查,針對特定的防毒軟體、防火牆以及更新,「該有都要有」,經過此一深層檢查程序後,才可如願採用企業應用資源。

更重要的是,對於特別講求資料安全的製造業來說,當員工下班返家後,仍想連線到公司網路執行某些應用操作,原本放行也不是、阻擋也不是,如今受惠於BIG-IP APM,此事便可迎刃而解,它會啟動一個虛擬桌面,作為員工執行作業的環境,作業過程中所產生的任何檔案資料,皆不得儲存在本地裝置。

此外,F5考量到使用者若以行動裝置執行遠端存取,恐囿於3G網路的速度較差、封包遺失率較高,因而產生不甚良好的使用體驗,因此也搭配BIG-IP APM悉心提供了BIG-IP Edge Client,其支援iOS與Android等高普及率的行動應用平台,也提供了Client-side的Cache及QoS功能,藉以化解上述缺憾。

另一方面,為了簡化並強化企業VDI應用環境,BIG-IP APM一方面能與企業現存的MDM或其他資產系統結合,憑藉身分、裝置等不同維度精確判別使用者為何人,從而實施細膩管控,另可適時扮演SSO Proxy角色,且一舉取代Secure Gateway、Web Gateway等慣常見於VDI環境的繁複機制,使得整體架構趨於簡潔單純,讓原本複雜VDI架構不利於施行SSO的負面因子,通通一掃而空。