隨著平板電腦和智能手機日益進入企業(yè),BYOD已經(jīng)成為了當前企業(yè)CIO信息化建設(shè)的熱點。根據(jù)Info-tech預(yù)測2013年將有35%的企業(yè)實現(xiàn)BYOD移動辦公。讓員工BYOD可以說是企業(yè)實現(xiàn)無邊界移動辦公的重要環(huán)節(jié),這將意味著員工在工作中將更多的使用自己的設(shè)備,但同時這種無邊界移動辦公的趨勢意味著更多,我們可以先看幾個例子:
- 員工使用自己的智能手機在家或咖啡廳收發(fā)工作郵件;
- 銀行的客戶經(jīng)理在營業(yè)大廳使用Pad為等候辦理業(yè)務(wù)的客戶提供金融理財業(yè)務(wù)介紹服務(wù);
- 電力、石油等能源企業(yè)員工在工地現(xiàn)場使用Pad或智能手機做移動巡檢。
在上面的例子里,終端設(shè)備有員工個人私有,但也可能由雇主統(tǒng)一購買和派發(fā)。事實上 “Bring your own device”并非實現(xiàn)無邊界移動辦公的唯一主要特征,最終用戶關(guān)注更多的是接入網(wǎng)絡(luò)并使用業(yè)務(wù)的便捷體驗,和如何實現(xiàn)任意設(shè)備可在任何時間、地點便捷可控的接入網(wǎng)絡(luò),實質(zhì)上這是一種工作方式和企業(yè)運作模式上的趨勢創(chuàng)新。
這種趨勢將給企業(yè)IT架構(gòu)建設(shè)帶來更大挑戰(zhàn),如果聚焦在攜帶自己設(shè)備辦公,企業(yè)往往關(guān)注如何隔離個人和企業(yè)數(shù)據(jù),防止個人終端丟失給企業(yè)帶來的影響,避免個人終端的安全威脅給整個網(wǎng)絡(luò)運行帶來影響等安全方面的問題,事實上建設(shè)關(guān)鍵點遠不止于此。
無處不在的接入需求將導(dǎo)致網(wǎng)絡(luò)邊界逐漸模糊:逐漸普及的Wi-fi、3G/4G網(wǎng)絡(luò)為用戶便捷接入提供了基礎(chǔ),但這也導(dǎo)致原有的企業(yè)園區(qū)網(wǎng)絡(luò)清晰的邊界逐漸模糊化,一方面企業(yè)需要對有線/無線多張網(wǎng)絡(luò)統(tǒng)一規(guī)劃,復(fù)雜度急劇增加,另一方面用戶卻需要和有線網(wǎng)絡(luò)一樣的快速、穩(wěn)定的體驗。
不同身份、時間、地點的接入需求導(dǎo)致應(yīng)用場景多樣化:員工、顧問等不同身份在咖啡店和園區(qū)內(nèi)等不同地點的接入不應(yīng)該被授權(quán)相同網(wǎng)絡(luò)資源,這就帶來了對接入人員身份、接入網(wǎng)絡(luò)的工作場景以及用戶可訪問業(yè)務(wù)做識別和鑒權(quán)的需求。
另外,“如何避免員工用移動設(shè)備做不該做的事?”也成為CIO關(guān)注的焦點,擔心員工工作時玩游戲、微博影響工作效率;擔心電影下載或者流媒體會拖慢公司網(wǎng)絡(luò);當然還有智能終端廣泛應(yīng)用帶來的企業(yè)數(shù)據(jù)安全性問題和智能終端可管理性問題也仍然是持續(xù)關(guān)注的重點。
為滿足這些需求,需要從泛BYOD的視角出發(fā),構(gòu)建泛BYOD的融合企業(yè)網(wǎng)絡(luò),包括融合有線無線的網(wǎng)絡(luò),基于情景感知的統(tǒng)一策略和統(tǒng)一管理、無漏洞的安全防護,確保企業(yè)員工可以在任意工作場所、使用任意終端設(shè)備自由暢享可移動的網(wǎng)絡(luò)服務(wù)。
有線無線融合網(wǎng)絡(luò)構(gòu)成BYOD的基礎(chǔ):大量智能終端進入企業(yè),引起接入流量增加,VOIP、虛擬桌面、視頻會議、智真等應(yīng)用的逐漸普及要求企業(yè)的核心網(wǎng)絡(luò)擁有大容量轉(zhuǎn)發(fā)的能力、穩(wěn)定的性能。千兆接入、萬兆匯聚、40GE核心將是建網(wǎng)標準,網(wǎng)絡(luò)核心需要具備更高轉(zhuǎn)發(fā)能力,匯聚節(jié)點需要更智能以接受策略頻繁變更,接入則需要更輕量和自動化。
同時,網(wǎng)絡(luò)資源不應(yīng)再受地域和業(yè)務(wù)形態(tài)限制,網(wǎng)絡(luò)會協(xié)同融合全網(wǎng)安全設(shè)備,適應(yīng)BYOD移動化趨勢下的全面安全管理;網(wǎng)絡(luò)資源能全面虛擬化,有線、無線網(wǎng)絡(luò)向深度融合演進,比如從設(shè)備層面實現(xiàn)AC隨板,融合成一個網(wǎng)元;把AP當成交換機的而一個端口,統(tǒng)一網(wǎng)管、發(fā)現(xiàn)、配置等,通過這些方式大幅度降低管理的復(fù)雜度,從而讓網(wǎng)絡(luò)敏捷地為業(yè)務(wù)服務(wù)。
另外,BYOD帶來的可移動性流量往往在小范圍內(nèi)密集接入,所以無線接入網(wǎng)絡(luò)需要選擇全覆蓋、高速、高密的方案,比如支持基于終端自動逐包控制發(fā)送功率、限制低速率用戶接入、提供5GHz/2.4GHz雙頻智能混合接入,從而減少高密度時同頻用戶終端干擾,提高可用帶寬。最后,面向未來網(wǎng)絡(luò)演進的趨勢,需要考慮將SDN架構(gòu)引入園區(qū),為支撐企業(yè)網(wǎng)絡(luò)動態(tài)化、云化發(fā)展提供保障。
統(tǒng)一接入、策略和管理提供用戶無以倫比的接入體驗:統(tǒng)一的接入?yún)f(xié)助企業(yè)提供內(nèi)部LAN有線、Wi-Fi無線、分支遠程以及企業(yè)外部VPN遠程等多種接入認證手段,保障用戶平滑地從一種接入環(huán)境遷移到另一種接入環(huán)境(比如員工從3G網(wǎng)絡(luò)遷移到企業(yè)內(nèi)網(wǎng)Wi-fi),享受無感知的網(wǎng)絡(luò)切換體驗。
統(tǒng)一的情景感知策略需要遵從5W1H(Who,Whose,What,When,Where,How)的控制策略,根據(jù)接入用戶身份、終端類型、位置和網(wǎng)絡(luò)接入方式等,來判斷并自動下發(fā)網(wǎng)絡(luò)權(quán)限和帶寬等控制策略。比如:在工作時間員工手持Pad或智能手機在企業(yè)內(nèi)網(wǎng)辦公時,可以訪問企業(yè)的高密級業(yè)務(wù),獲得高優(yōu)先級QoS從而保障良好的視頻會議等業(yè)務(wù)體驗,但不能夠使用微博以及諸如“憤怒的小鳥”等游戲,甚至在某些更嚴格的場景中不能使用藍牙、照相、攝影等功能。當這名員工離開受限區(qū)域,對其終端功能的限制將自動解除,而當其在非工作時間通過運營商3G或者Wi-fi網(wǎng)絡(luò)接入公司時,將不能訪問企業(yè)高密業(yè)務(wù),并限制QoS為低優(yōu)先級。
最后,網(wǎng)絡(luò)中并存多種網(wǎng)絡(luò)設(shè)備、多種來自不同廠商的移動終端、iOS、Android等多種操作系統(tǒng)、員工/訪客/VIP多種身份的用戶等,這些組成元素需要IT管理者統(tǒng)一關(guān)注。因而需要考慮通過統(tǒng)一集成的管理平臺,實現(xiàn)設(shè)備、終端、用戶多維度統(tǒng)一管理,及時了解各項業(yè)務(wù)、資源、終端的運轉(zhuǎn)狀態(tài)。
端到端立體防護保障BYOD安全:BYOD新引入的安全問題首要在如何防止數(shù)據(jù)泄漏和隔離終端安全威脅對內(nèi)網(wǎng)的影響,在移動終端可以通過安全沙箱技術(shù),隔離存放個人和企業(yè)數(shù)據(jù),防止數(shù)據(jù)外泄;通過移動設(shè)備管理(MDM)實現(xiàn)終端設(shè)備全生命周期的管理,包括功能控制、應(yīng)用管理、設(shè)備丟失時遠程鎖定和擦除等,同時在移動終端入網(wǎng)前可實施安全檢查,檢測終端越獄/root、軟件安裝情況等,防止不安全的智能終端接入企業(yè)網(wǎng)絡(luò)。在此基礎(chǔ)上還需要結(jié)合L3/L4 VPN高強度加密傳輸、用戶上網(wǎng)行為管控、全面的DDos、防病毒、IPS/IDS、WIPS/WIDS等傳統(tǒng)安全方案,為用戶在云、管、端整個網(wǎng)絡(luò)架構(gòu)中提供安全保障。
BYOD的建設(shè)需要統(tǒng)籌考慮到網(wǎng)絡(luò)、安全、策略、管理等多方面,需要切實可行、行之有效。華為早自2009年起就在公司內(nèi)部實踐BYOD,截止目前面向全球410多個辦事處、15個地區(qū)部、覆蓋140多個國家的15萬員工提供Push Mail、移動電話會議、業(yè)務(wù)審批流程等多種BYOD辦公服務(wù)。從自身實踐出發(fā),華為提出了泛BYOD融合網(wǎng)絡(luò)解決方案,涵蓋高效網(wǎng)絡(luò)建設(shè)、統(tǒng)一情景感知策略和管理、無漏洞安全等所有BYOD建設(shè)應(yīng)關(guān)注的領(lǐng)域,協(xié)助企業(yè)和華為一樣逐步走向無邊界自由移動辦公。