Mobile Device Management (MDM)
Khái niệm quản lý thiết bị di động
Mục đích cơ bản của việc quản lý thiết bị di động (MDM) là triển khai, bảo trì và giám sát các thiết bị di động tạo nên giải pháp BYOD.
Các thiết bị có thể bao gồm laptop, smartphone, tablet, notebook hoặc bất kỳ thiết bị điện tử nào khác có thể được di chuyển bên ngoài văn phòng công ty đến nhà hoặc một số nơi công cộng và sau đó được kết nối với văn phòng công ty. Sau đây là một số chức năng của MDM:
- Buộc khóa thiết bị sau một số lần đăng nhập thất bại.
- Thực thi chính sách mật khẩu mạnh cho tất cả các thiết bị BYOD.
- Phát hiện bất kỳ nỗ lực tấn công thiết bị BYOD nào và sau đó giới hạn quyền truy cập mạng của các thiết bị bị ảnh hưởng này.
- Tăng cường bảo mật bằng cách sử dụng mã hóa theo chính sách của tổ chức.
- Quản lý và triển khai Data Loss Prevention (DLP) cho các thiết bị BYOD. Nó giúp ngăn chặn bất kỳ loại mất mát dữ liệu nào do sự bất cẩn của người dùng cuối.
Phương pháp triển khai MDM
Triển khai MDM tại chỗ
Triển khai MDM tại chỗ/cơ sở liên quan đến việc cài đặt ứng dụng MDM trên các máy chủ cục bộ bên trong trung tâm dữ liệu công ty hoặc các văn phòng và việc quản lý nó được thực hiện bởi nhân viên địa phương có mặt trên trang web.
Ưu điểm chính của MDM tại chỗ là kiểm soát chi tiết việc quản lý các thiết bị BYOD, giúp tăng tính bảo mật ở một mức độ nào đó.
Giải pháp MDM tại chỗ/cơ sở bao gồm kiến trúc sau:
- Data Center: có thể bao gồm các máy chủ ISE, DHCP và DNS để hỗ trợ một số dịch vụ nhất định ngoài phân phối và chuyển mạch lõi. ISE được sử dụng để cung cấp việc thực thi các chính sách bảo mật của tổ chức. Máy chủ DNS/DHCP được sử dụng để cung cấp kết nối mạng. Tương tự, máy chủ CA và AD cũng có thể được sử dụng để chỉ cung cấp quyền truy cập cho những người dùng có thông tin xác thực hợp lệ.
- Internet Edge: cung cấp kết nối với internet công cộng. Lớp này bao gồm tường lửa Cisco ASA để lọc và giám sát tất cả lưu lượng truy cập vào và ra internet công cộng. Wireless LAN Controller (WLC) cùng AP cũng có mặt để hỗ trợ người dùng khách. Một trong những thành phần quan trọng ở internet edge là giải pháp MDM tại chỗ, duy trì các chính sách và cài đặt cấu hình của tất cả các thiết bị BYOD, được kết nối với mạng công ty.
- Services Layer: lớp này chứa WLC cho tất cả các AP được người dùng sử dụng trong môi trường công ty. Bất kỳ dịch vụ nào khác được yêu cầu bởi người dùng doanh nghiệp như NTP và các máy chủ hỗ trợ của nó có thể được tìm thấy trong phần này
- Core Layer: tâm điểm của toàn mạng liên quan đến việc định tuyến lưu lượng trong môi trường mạng công ty.
- Campus Building: một công tắc lớp phân phối hoạt động như điểm vào/ra cho tất cả lưu lượng truy cập trong campus building. Người dùng có thể kết nối với nó bằng cách kết nối với công tắc truy cập hoặc điểm truy cập không dây (AP)
Triển khai MDM dựa trên đám mây
Trong kiểu triển khai này, phần mềm ứng dụng MDM được cài đặt và duy trì bởi một số nhà cung cấp dịch vụ được quản lý thuê ngoài.
Một trong những ưu điểm chính của kiểu thiết lập này là khách hàng sẽ ít phải chịu trách nhiệm quản trị hơn vì việc triển khai và bảo trì hoàn toàn thuộc trách nhiệm của nhà cung cấp dịch vụ.
Việc triển khai MDM dựa trên đám mây bao gồm các thành phần sau:
- Data Center: có thể bao gồm các máy chủ ISE, DHCP và DNS để hỗ trợ một số dịch vụ nhất định ngoài phân phối và chuyển mạch lõi. ISE được sử dụng để cung cấp việc thực thi các chính sách bảo mật của tổ chức. Máy chủ DNS/DHCP được sử dụng để cung cấp kết nối mạng. Tương tự, máy chủ CA và AD cũng có thể được sử dụng để chỉ cung cấp quyền truy cập cho những người dùng có thông tin xác thực hợp lệ.
- Internet Edge: cung cấp kết nối với Internet công cộng. Lớp này bao gồm tường lửa Cisco ASA để lọc và giám sát tất cả lưu lượng truy cập vào và ra internet công cộng. Wireless LAN Controller (WLC) cùng AP cũng có mặt để hỗ trợ người dùng khách.
- WAN: cung cấp kết nối MPLS VPN từ văn phòng chi nhánh đến văn phòng công ty, truy cập internet từ các văn phòng chi nhánh và kết nối với phần mềm ứng dụng MDM dựa trên đám mây. Giải pháp MDM dựa trên đám mây duy trì các chính sách và cài đặt cấu hình của tất cả các thiết bị BYOD được kết nối với mạng công ty.
- WAN edge: hoạt động như một tâm điểm của tất cả lưu lượng MPLS WAN vào/ra từ và đi đến các văn phòng chi nhánh.
- Services: lớp này chứa WLC cho tất cả các AP được người dùng sử dụng trong môi trường công ty. Bất kỳ dịch vụ nào khác được yêu cầu bởi người dùng doanh nghiệp như NTP và các máy chủ hỗ trợ của nó cũng có thể được tìm thấy trong phần này.
- Core Layer: tâm điểm của toàn mạng liên quan đến việc định tuyến lưu lượng trong môi trường mạng công ty.
- Branch offices: bao gồm một số bộ định tuyến hoạt động như tâm điểm của lưu lượng truy cập vào/ra khỏi các văn phòng chi nhánh. Người dùng có thể kết nối với mạng văn phòng chi nhánh bằng cách kết nối với công tắc truy cập hoặc điểm truy cập không dây (AP).