WiFi инфраструктура от ново поколение: редизайн с фокус върху киберсигурността
Благодарение на дългогодишната си експертиза и капацитет, Парафлоу реализира критично важна трансформация в международна компания.
Редизайн на WiFi мрежа за повишаване на нивото на киберсигурност
Международна компания
Производство
Киберсигурност и мрежова инфраструктура
Cisco, Cisco ISE, Microsoft Intune, Microsoft Cloud PKI
Парафлоу получи задание от свой дългогодишен клиент, международна компания с дъщерни компании в няколко държави, сред които и България, за препроектиране на корпоративната Wi-Fi инфраструктура, за да се справи с множество проблеми, свързани със сигурността на предоставяните Wi-Fi мрежи. В повечето от своите офиси, компанията предоставя Wi-Fi достъп на своите служители, изпълнители и посетители. Външните сътрудници и доставчици на компанията често се нуждаят от Wi-Fi достъп до корпоративната мрежа, за да могат да изпълняват задълженията си по поддръжка на оборудване, софтуерни и хардуерни решения. Обикновено изпълнителите и сътрудниците работят на принципа BYOD, като за Wi-Fi достъп се използва удостоверяване с потребителско име и парола. В някои случаи компанията предоставя на изпълнителите корпоративни устройства за периода на работа. Служителите на организацията обикновено свързват своите устройства - лаптопи и мобилни устройства към корпоративната Wi-Fi мрежа чрез удостоверяване с потребителско име и парола, което е по-малко сигурно като метод. Използват се всички видове операционни системи – Windows OS, MacOS, iOS и Android.
Предизвикателства
Предизвикателствата, с които се сблъска екипът от експерти на Парафлоу при подготовката на проекта, бяха свързани с осигуряването на безжичен достъп и по-конкретно:
- Служители сменят паролите си редовно, но промените в паролите не се разпространяват автоматично на всички устройства. Това води до заключване на потребителски акаунти и засегнатите устройства се изключват от Wi-Fi мрежата.
- Подходът за автентикация, базирана на машинни сертификати, дава колебливи резултати, поради голямото разнообразие от устройства, операционни системи и липса на централизирано решение за издаване и инсталиране на тези сертификати по устройствата.
- Изпълнителите и сътрудниците имат достъп до корпоративната Wi-Fi мрежа, като използват личните си устройства. Понякога компанията предоставя на този персонал корпоративни устройства за изпълнение на техните задължения.
За да се разрешат гореспоменатите проблеми е иницииран проект за препроектиране на корпоративната Wi-Fi инфраструктура, главно по отношение на сигурността.
- Намаляване на броя на Wi-Fi мрежите в организацията.
- Ясно разграничение на Wi-Fi мрежите за служители, за външни посетители и доставчици, и за мобилни устройства, собственост на компанията.
- Повишаване на нивото на сигурност в Wi-Fi инфраструктурата чрез използване на цифрови сертификати за всички устройства (стационарни компютри, мобилни устройства, преносими компютри) и централизирано управление на достъпа до Wi-Fi мрежите чрез системни профили, дефинирани в Microsoft Intune.
Методи
Подходите, които използва Парафлоу бяха следните:
- Използване на предефинирани профили в Microsoft Intune за управление на достъп до Wi-Fi мрежите.
- Използване на машинни сертификати, като допълнителен фактор за сигурност, издадени от Microsoft Cloud PKI.
- Контрол на достъпа (AAA) до Wi-Fi мрежите със Cisco ISE
- Интеграция на Cisco ISE с Microsoft 365
Експертният екип на Парафлоу предложи решение от хибриден тип, базирано на колаборация между Cisco ISE, Microsoft Intune и Microsoft Cloud PKI. Решението обхвана всички стационарни и мобилни устройства на компанията с операционни системи Windows, MacOS, iOS и Android.
Резултати
- Ясно дефинирани изисквания за киберсигурност при свързване на устройства към безжичната мрежа на компанията.
- Централизирано управление на безжичния достъп за всички устройства на компанията, чрез системни профили в Microsoft Intune. Корпоративните устройства могат да се закачат само до разрешените Wi-Fi мрежи, дефинирани чрез системните профили и при спазване на съответните изисквания за киберсигурност.
- Централизирана проверка на статусa (Compliant/Non-compliant) на всяко устройство, поискало достъп до корпоративната Wi-Fi мрежа, чрез интеграция между Cisco ISE и Microsoft Intune. Ако статусът на устройството е Non-compliant, устройството не бива допуснато до корпоративната Wi-Fi мрежа.
- Повишаване на нивото на киберсигурност в Wi-Fi мрежите на организацията чрез използване на машинни сертификати като допълнителен фактор за автентикация.
- Намаляване на броя Wi-Fi мрежите.
Microsoft 365 Intune беше внедрен като централизирано решение за управление на крайни устройства, с цел прилагане на единни стандарти за сигурност, унификация на настройки, повишаване на ефективността и намаляване на усилията за поддръжка.
Такъв тип проект е стратегически избор за всяка организация, стремяща се към цялостна защита на безжичния достъп и сигурно свързване на всяко устройство в корпоративната среда. Екипът на Парафлоу притежава дългогодишна експертиза и капацитет за реализиране на такива критично важни трансформации.
