Entendendo BYOD e como adotá-lo de forma segura na sua Empresa

Yuri DiogenesSenior Knowledge Engineer atData Center, Devices & Enterprise Client - CSI

@yuridiogenes

Adotar ou não BYOD?

Por que devo adotar BYOD?

Empresas estam saindo do modelo tradicional, onde eles são donos dos dispositivos e fornecem tais dispositivos para seus funcionários, para um modelo onde cada funcionário usa seu dispositivo pessoal para fazer as trarefas relacionadas ao trabalho.

Mundiamente o total de unidades de dispositivos inteligentes conectados chega a 1.2B em 2012, e cresce 14% para 2B de unidades em 2016

IDC Press Release, IDC Expects Smart Connected Device

Shipments to Grow by 14% Annually Through 2016, Led

by Tablets and Smartphones September 26, 2012

Não é maisUm Usuário =Um Desktop

Dispositivo Gerenciado

Antes

Por que devo adotar BYOD?

Dispositivo Gerenciado

32% dos funcionários usam dois ou três PCs para trabalhar de múltiplas localizaçõesFORRESTER RESEARCHTHE STATE OF WORKFORCE TECHNOLOGY ADOPTION: GLOBAL BENCHMARK 2012, FORRESTER RESEARCH, INC., APRIL 12, 2012

Não Gerenciado

90% das empresas vão ter dois ou mais mobile OS para suportar até 2017

GARTNERGARTNER PRESS RELEASE, GARTNER SAYS TWO-THIRDS OF ENTERPRISES WILL ADOPT A MOBILE DEVICE MANAGEMENT SOLUTION FOR CORPORATE LIABLE USERS THROUGH 2017, OCTOBER 25, 2012, HTTP://WWW.GARTNER.COM/NEWSROOM/ID/2213115

Por que devo adotar BYOD?

Desafios do BYOD

• Isso significa dizer que todos funcionários podem trazer seus brinquedinhos?

• E no final, caso não funcione, colocar a culpa no Departamento de TI?

Desafios do BYOD

• A atual infraestrutura de gerenciamento não é capaz de endereçar os novos desafios do BYOD

• A estratégia de segurança atual não endereça BYOD

• Tomadores de decisão da empresa entendem os benefícios em produtividade com BYOD, mas temem à adoção devido a segurança

Desafios do BYOD

• Cinco passos para ganhar acesso ao dispositivo móvel do funcionário

Uso indevido de redes Wi-Fi Free

Acesso a páginas falsas através do dispositivo móvel

Uso de uma senha única para todos os

sites

Uso de Phishing E-Mail para Instalar Malware

Acesso a recursos armazenados na nuvem (contendo

malware)

Desafios do BYOD

• E quando você pensa que já cobriu tudo....

Como adotar o BYOD de Forma Segura?

Arquitetura da Solução

• Não adianta comprar uma “caixinha” que diga “Resolva seus Problemas de BYOD”

• É preciso ter uma visão mais ampla do problema para melhor arquitetar a solução

Solução Proposta

• Comece por uma visão “Vendor Agnostic” da solução

• Papers sobre BYOD com a Solução proposta

Componentes da Solução

Entenda os Requisitos

• Não deixe se levar pela marketing de “One Size Fits All”, procure entender os requisitos do ambiente da sua Empresa para adoção de BYOD

Exemplo de Interação Entre Componentes e Mitigação de Ameaças

Ameaças Contramedidas

Próximos Passos

• Agora você já tem:• Requisitos/Necessidades• Desenho abstrato da solução• Threat Assessment

• Procure um vendor que possa endereçar estes pontos

• Esteja aberto a uma solução híbrida

Qual a Estratégia da Microsoft para Endereçar

BYOD?

Proteção e Acesso a Informação

Proteja seus Dados

Centralizar informações corporativas por motivos de conformidade e proteção dos dados

Política baseada em controle de acesso para aplicações e dados

Identidade HíbridaIdentidade comum para acessar recursos on-premises e na nuvem

Habilitar usuários

Simplificar registro e inscrição (enrollment) para BYOD

Automaticamente conectar a recursos quando necessário

Acessar os recursos da empresa de forma consistente de vários dispositivos

√

Cenário 1: Habilitar Usuários

Registro e Inscrição dos DispositivosRegistro e Inscriçao de Dispositivos

O departamento de TI pode publicar acesso acesso aos recursos da empresa com o Web Application Proxy baseado no dispositivo e na identidade do usuário. Authenticação de Multiplos Fatores pode ser usada com a integração do Windows Azure Multi-Factor Authentication com o Active Directory Federation Services.

Usuários podem registrar dispositivos para single sign-on e acesso aos dados da empresa com Workplace Join. Como parte deste processo, um certificado é instalado no dispositivo.

Usuário podem inscrever (ennroll) seus dispositivos que por sua vez configura o dispositivo para gerenciamento via Windows Intune. Desta forma o usuário podera fazer uso do Company Portal para ter acesso às aplicações

Como parte do processo de registrar um novo dispositivo, um novo registro de dispositivo é criado no Active Directory, estabelecendo o link entre o usuário e o dispositivo

Os dados coletados via Windows Intune pode ser sincronizado com o Configuration Manager que fornece gerenciamento unificado tanto on-premises quanto na nuvem

Web Application Proxy

AD FS

Publicação de Recursos com o Web Application Proxy

Usuários podem apps e dados corporativos de qualquer local IT can use the Web

Application Proxy to pre-authenticate users and devices with multi-factor authentication through integration with AD FS

Uso de controle de acesso condicional e controle granular sobre de onde e como as apps podem ser acessadas

Active Directory fornece um repositório central de identidade dos usuários assim como informação sobre o dispositivo registrado

Web Application

Proxy

Desenvolvedores podem fazer uso do Windows Azure Mobile Services para integrar e melhorar as apps

Dispositivos

Apps & Dados

AD FS

Active Directory

Reverse proxy pass throughe.g. NTLM &

Basic

Aplicações Publicadas

Restful OAuth apps

Office Forms Based Access

Claims & Kerberos web apps

Integração com AD

Usuários podem sincronizar os dados do trabalho com seus dispositivos.

Usuários podem registrar os dispositivos para serem capazes de sincronizar dados quando forçado pelo departamento de TI via acesso condicional

Departamento de TI pode publicar acesso direto do Web Application Proxy

Departamento de TI pode configurar o servidor de arquivos para fornecer sincronismo de compartilhamentos com Work Folder para cada usuário armazenar dados que sincroniza com seu dispositivo, o que inclui integração com Rights Management

Departamento de TI pode fazer limpeza seletiva de dados corporativos com os dispositivos gerenciáveis

Dispositivos

Apps & Dados

Tornar dados corporativos disponíveis para usuários com o uso de Work Folders

Reverse Proxy

Web Application Proxy

Active Directory discoverability fornece localização dos usuários para Work Folders

File ServicesDispositivo

parte do Domínio

Active Directory

AD FS

Trabalhando de Forma Efetiva com Acesso Remoto

VPN

DirectAccess

DirectAccess

VPN Tradicional

Conexão de VPN Automática

FirewallWeb Apps

Session host

LOB Apps

Files

VDI

Demo

• Demonstração de Workplace Join e Company Portal nas Plataformas Windows 8.1 e iPad

Referências

• Artigo sobre BYOD no ISSA Journal UShttp://blogs.technet.com/b/yuridiogenes/archive/2014/03/11/byod-article-published-at-issa-journal.aspx

• BYOD Design Considerations Guidehttp://aka.ms/byodcg

• Apresentação sobre BYOD no TechED North America 2014http://blogs.technet.com/b/yuridiogenes/archive/2014/05/19/breakout-session-at-teched-north-america-2014.aspx

Dúvidas