敏捷园区解决方案终端安全技术白皮书

1、【CloudCampus-技术白皮书】华为敏捷园区解决方案终端安全技术白皮书(Airwatch) 【CloudCampus-技术白皮书】华为敏捷园区解决方案终端安全技术白皮书(Airwatch)关键词：敏捷园区、集成、VMware AirWatch、终端合规检查摘要：本文详细介绍敏捷园区中与VMware AirWatch集成终端合规检查方案的基本工作原理和典型应用。缩略语：缩略语英文全名中文解释Agile Controller- CampusAgile Controller-Campus园区敏捷控制器5W1HWho, When, Where, What Device, Whose Device

2、, and HowAAAAuthentication, Authorization and Accounting认证、授权和计费ACLAccess Control List访问控制列表RADIUSRemote Authentication Dial In User Service拨号用户远程认证服务MDMMobile Device Management移动设备管理目录 HYPERLINK l _bookmark0 概述1 HYPERLINK l _bookmark1 技术背景1 HYPERLINK l _bookmark2 Agile Controller-Campus 1.0 接入控制技术概

3、述1 HYPERLINK l _bookmark3 终端合规检查联动技术概述2 HYPERLINK l _bookmark4 合作背景3 HYPERLINK l _bookmark5 VMware AirWatch 介绍4 HYPERLINK l _bookmark6 VMware AirWatch MDM 简介4 HYPERLINK l _bookmark7 VMware AirWatch MDM 简要规格5 HYPERLINK l _bookmark8 VMware AirWatch 部署模式6 HYPERLINK l _bookmark9 配套关系7 HYPERLINK l _bookm

4、ark10 技术方案8 HYPERLINK l _bookmark11 应用场景8 HYPERLINK l _bookmark12 部署模型9 HYPERLINK l _bookmark13 部署功能点9 HYPERLINK l _bookmark14 部署部件9 HYPERLINK l _bookmark15 业务流程11 HYPERLINK l _bookmark16 API 接口13 HYPERLINK l _bookmark17 VMware AirWatch 终端合规信息查询 API13 HYPERLINK l _bookmark18 典型部署15 HYPERLINK l _book

5、mark19 预置条件15 HYPERLINK l _bookmark20 VMware AirWatch 预置条件15 HYPERLINK l _bookmark21 Agile Controller-Campus 1.0 预置条件16 HYPERLINK l _bookmark22 限制说明20 HYPERLINK l _bookmark23 限制说明20 1 概 述技术背景随着企业信息化水平的提高，许多企业拥有了有线和无线网络、办公终端种类多样， 并且随着智能终端兴起，许多企业已经允许员工使用企业配发或者自带智能设备使用企业内部应用，实现了多种终端通过有线或无线网络，从公司内网或互联网，

6、灵活的接入办公网络和访问企业应用和资源。这大大提供了企业员工的办公效率和满足员工自身对于新科技和个性化追求，并降低企业在移动终端上的成本和投入。但是效率和安全是一把双刃剑。企业管理者一直考虑如何能够满足各类角色的用户通过各自终端安全的访问网络资源，这就引出了网络接入控制技术。早期的网络接入控制旨在对用户身份的认证，如果用户身份认证通过就可以按照访问策略进行网络资源使用。但是人们逐渐发现，因为终端的不安全因素，如病毒，系统漏洞等问题给网络带来了安全隐患，用户手中的终端成为了网络攻击者的温床。后来在网络接入控制中增加了对用户终端的安全合规性（或称为终端健康度）检查的要求，即使用户身份合法，但是如果

7、终端不符合接入的规定，即安全不合规，也不允许接入网络，除非终端修复了这些安全问题。本文就是介绍华为 Agile Controller-Campus 1.0 如何结合终端合规检查进行接入控制的。Agile Controller-Campus 1.0 接入控制技术概述Agile Controller-Campus 1.0 的接入控制组件通过与网络接入控制设备联动，控制企业内部和外部终端对网络的访问，实施统一的接入控制策略，同时提供灵活的认证策略和授权策略管理功能。Agile Controller-Campus 1.0 接入控制技术，包含三个主要部件：用户准入检查，终端合规检查和策略授权。Agile

8、 Controller-Campus 1.0 通过用户分组策略授权方式，实现业务随行。图1-1 Agile Controller-Campus 1.0 接入控制方案逻辑流程用户准入检查，保证身份合法：在用户访问网络访问之前验证用户的身份，只有合法的用户才允许接入网络。这就是基于用户身份的准入机制，典型的认证方式包括 802.1x,Portal,MAC by pass。准入检查由客户端+网络设备+AAA 服务器组成。AAA 服务器可以使用自研的 Agile Controller-Campus 1.0，也可以与第三方对接，例如 Cisco ISE终端合规性检查，保证终端合规：检查用户使用的终端是否

9、符合企业最新制定合规策略，包括终端类型、操作系统版 本、防病毒和操作系统补丁等策略。可疑主机或有问题的主机将被隔离或限制网络接入范围，直到它经过修补或采取了相应的安全措施为止。终端合规检查由客户端+服务器组成，可独立部署。若需要将检查结果作为 NAC 控制条件，AAA 系统必须与终端合规检查服务器实现联动机制。目前 Agile Controller- Campus 1.0 不支持终端合规检查，需与第三方厂家产品和方案对接实现。业务随行，保证用户业务一致性体验基于安全组的策略规划，实现全网策略的统一部署与自动同步，确保全网策略一致， 让用户自由移动时享受一致的业务体验。业务随行由网络设备+策略服

10、务器组成。业务随行依赖系统部署 AAA 服务器，若客户需要实现业务随行功能，部署方案中 AAA 服务器+策略控制器必须使用 Agile Controller-Campus 1.0，如果客户需要实现终端合规性检查，Agile Controller-Campus1.0 需要与第三方厂家产品和方案对接。终端合规检查联动技术概述目前 Agile Controller-Campus 1.0 终端合规检查功能需要与第三方厂家终端合规检查方案对接联动实现，具体的思路如下：通过在客户的终端上部署第三方客户端程序，客户端对终端安全状态进行检测并将此状态信息通过接口与 Agile Controller-Campu

11、s 1.0 同步，Agile Controller-Campus 1.0 根据策略针对不安全的终端以及不满足企业安全策略的终端拒绝其接入网络，通过技术的手段强制实施企业的安全策略，来减少网络安全事件，增强对企业安全制度的遵 从。合作背景终端合规检查合作的场景，有下面几个维度：终端种类：固定终端：台式 PC、服务器、TC 终端移动终端：智能手机、Pad、笔记本电脑哑终端/IOT 设备：打印机、摄像头、门禁等设备终端归属：公司配发终端办公人员自带终端（BYOD）访客自带设备合规检查项：终端信息：终端类型、厂商软件：操作系统版本、指定软件（杀毒软件）版本、软件黑白名单硬件：摄像头、存储健康度：账号安

12、全、病毒、威胁、漏洞目前接触了多家与终端合规检查产品和方案相关的第三方厂家，这些厂家的产品方案能力有差异:固定终端合规检查，有 2 个合作厂家：Ivanti 和 Forescout，参见相关集成方案Ivanti 方案技术特点： IT 统一终端管理，维护能力强，合规检查全面Forescout 方案技术特点： 可以无客户端实现合规检查移动终端合规检查：个人移动终端合规检查即结合第三方 MDM 产品实现的。主流 MDM 厂商：VMware AirWatch、Citrix、MobileIron 等。本文主要介绍 Agile Controller-Campus 1.0 集成VMware AirWatch

13、 终端合规检查方案。需要注意的是，厂家选择需要根据客户的应用场景、标书要求、商务条件综合选择。VMware AirWatch 介绍AirWatch 成立于 2003 年，总部美国亚特兰大，是一家移动安全解决方案服务商，为企业提供移动设备管理、安全服务等。 2016 年 Gartner 企业移动化管理魔力象限中的领导者，和 MobileIron、Ctrix 属于领导者象限，并且执行力最强。连续六年的领头羊 2014 年被 VMware 以 15.4 亿美金收购，更名为 VMware AirWatch。VMware AirWatch 占据 EMM 最大市场份额。客户超过 20，000 +家。拥有自

14、行运营的全球SaaS 环境。图1-2 VMware AirWatch 在Gartner 领导者象限VMware AirWatch MDM 简介企业移动化管理 (EMM) 是一个不限设备和平台的解决方案，其中将对组织机构中所有设备的管理、配置和安全防护集中在一起，包括 BYO 设备和企业拥有设备。EMM 包括对企业应用和内容的管理，因而超越了传统设备管理的范畴。 一个全方位的EMM 解决方案包括 MDM、MAM、MCM、适于访问控制的标识管理，以及便于轻松访问企业电子邮件、日历、联系人、内容储存库和内联网站点的生产力应用。正确开发的 EMM 解决方案应当不但能够为 IT 提供简化管理和安全防护的

15、技术功能，而且能为员工带来良好的用户体验。图1-3 VMware AirWatch EMM 方案其中 MDM( Mobility Device Management，移动设备管理) 是一种设备生命周期管理技术，使 IT 能够通过安装在设备上的 MDM 配置文件来部署、配置、管理、支持和保护移动设备。MDM 软件提供资产清单，隔空配置电子邮件、应用和 Wi-Fi，进行远程故障排查并执行远程锁定和擦除功能，以此保护设备和企业数据的安全。MDM 是全方位企业移动化管理 (EMM) 解决方案的基础。移动设备管理针对企业移动性所固有的安全问题和可访问性提供了卓越的解决方案。从一个单一控制台管理移动设备的

16、大规模部署。快速而轻松地注册您企业环境中的设备。隔空配置和更新设备设置。强制执行安全和合规策略。保障企业资源的移动访问安全。远程锁定和擦除纳管设备。MDM 可以对终端强制执行安全和合规策略，这就意味着我们可以通过 MDM 来或者终端最新的安全合规信息。VMware AirWatch MDM 简要规格VMware AirWatch MDM 支持以下设备和操作系统。Android 4.0+Tizen 2.3+Apple iOS 7.0+Windows Desktop (8/8.1/RT/10)Apple macOS 10.9+Windows 7（Windows 7 或更高版本）Chrome OS（

17、最新版本）Windows Phone（Windows Phone 8/ 8.1、Windows 10 Mobile）QNX 6.5+Windows 强固型（Mobile 5/6 和 Windows CE 4/5/6）提供单一管理的控制台支持与企业自身服务集成：如 AD/LDAP、公司网络等简单的设备注册：管理员和最终用户通过 AirWatch代理，二维码，电子邮件或短信注册设备。用户身份认证：用户名/密码，目录服务凭证，SAML，令牌或代理身份验证方法。定制终端配置：可以在不需要用户交互的情况下为设备定义企业设置，策略和限制。可以根据操作系统或设备所有权类型分配配置文件，并部署到组或单个用户。

18、可得到包括密码，限制，Wi-Fi，VPN，电子邮件，应用程序等等。自动合规：AirWatch 持续监控未经授权的用户，受到危害的设备和其他风险。说明：该规格仅做参考，正式规格以 AirWatch 官方渠道为准VMware AirWatch 部署模式图1-4 VMware AirWatch 云模式图1-5 VMware AirWatch 本地部署模式配套关系表1-1 方案配套关系部件版本说明Agile Controller-Campus 1.0V100R003C50网络部件参 考 Agile Controller- Campus 1.0 配套关系，无特殊要求VMware AirWatch MDM

19、客户端V7.3VMware AirWatch SaaS(云V9.1Airwatch 推荐部署 Saas部署方式)方式，其部署、运维成或者 VMWare AirWatch本都比较低MDM Server(本地部署方式) 2 技术方案应用场景针对大企业或者教育客户，公司允许人员使用配发或者办公人员自带的移动终端，并通过 MDM 产品进行集中管理。这种类型客户适合使用本方案进行基于终端合规检查的网络接入控制方案。MDM 联动方案组网图如下：图2-1 组网图InternetAgile Controller管理员配置Agile Controller和第三方MDM服务器返回认证结果（认证通过/MDM隔离/认

20、证失败） 终端连接无线SSID，发起网络接入认证 查询终端MDM状态（注册/未注册/违规/未违规）终端下载第三方ACMDM APP，并安装注册第三方 MDM 服务器移动终端APP周期对终端进行安全检查，并上报检查结果流程说明：管理员配置 Agile Controller-Campus 1.0 和第三方 MDM 服务器，包括管理员在Agile Controller-Campus 1.0 上配置第三方 MDM 服务器、MDM 的查询 API、MDM 的授权规则和授权结果等；管理员在第三方 MDM 上配置MDM 终端安全检查策略终端下载第三方 MDM APP，并安装注册。终端注册成功后，APP 对终

21、端进行安全检查并将结果上报至 MDM 服务器终端连接无线 SSID，进行无线网络接入认证。查询终端 MDM 状态、信息（注册/未注册/违规/未违规/基本信息等）。Agile Controller-Campus 1.0 在授权时，会通过 MDM 查询API,根据终端的 MAC，查询终端是否 MDM 违规。如果违规，则将其隔离（匹配MDM 隔离的授权结果）。根据认证结果（认证通过/MDM 隔离/认证失败）进行授权。根据匹配的授权结果，下发不同的 ACL/AAA 用户组/VLAN，控制终端能够访问的资源。部署模型整体方案需要部署网络接入认证授权、合规检查、业务随行(可选)功能点，部署区域涉及终端、网

22、络、数据中心三个部分。部署功能点认证/授权认证方式可以采用 802.1x,portal,MAC 认证中的一种或者多种。从安全性考虑，现网中员工终端一般部署 802.1x 认证方式，访客终端一般使用 Portal 认证方式。终端合规检查终端合规检查需要部署 VMware AirWatch 产品。业务随行(可选)业务随行功能可以与合规检查同时部署，合规检查结果作为业务随行 5W1H 的输入条件。部署部件某企业部署了 VMware AirWatch 作为 MDM 系统，对移动设备管理。同时引入园区控制器作为认证授权系统，对接入网络的用户认证授权。基于安全考虑，希望只有符合安全检查的移动设备能够访问后

23、域资源和 Internet，不符合安全检查的移动设备只能访问 Internet，未在 MDM 系统注册的移动设备禁止接入网络。图2-2 部署组网图Airwatch Saas开放API传统防火墙 App 终端终端上需要部署 MDM 客户端，实现移动终端管理功能。园区网络园区网络使用传统 Agile Campus 组网方式，不支持云管理模式。数据中心本地数据中心部署方式。若存在分支网络，分支网络需要通过 VPN 方式接入数据中心。数据中心需要部署：Agile Controller-Campus 1.0VMware AirWatch MDM 服务器可以选择本地模式在数据中心，云模式使用 AirWat

24、ch Saas 服务）业务流程Agile Controller-Campus 1.0 与 MDM 对接流程园区控制器和 MDM 服务器对接实现认证授权的流程图如下：图2-3 Agile Controller-Campus 1.0 与MDM 对接流程Agile Controller-Campus 1.0 与 MDM 系统对接，根据移动设备状态授权，实际上是将移动设备状态作为一个授权条件。认证阶段和未对接 MDM 系统时的无线 802.1X、无线 Portal 认证一样，只在授权阶段Agile Controller-Campus 1.0 根据 MDM 系统返回的移动设备状态匹配授权规则在授权规则中

25、，如果启用 MDM 检查，Agile Controller-Campus 1.0 在授权规则匹配时将移动设备状态作为授权条件。假设只设置了 MDM 检查一个授权条件，未设置其他授权条件情况下，匹配流程如下：图2-4 Agile Controller-Campus 1.0 与MDM 匹配流程启用 MDM 检查后，Agile Controller-Campus 1.0 首先检查能否与 MDM 系统连接成功，能否从 MDM 系统获取移动设备状态检查结果。管理员可以在 Agile Controller-Campus 1.0 授权规则中选择“连接失败，或者查询移动设备状态超时”情况下如何处理：1）本授权

26、规则匹配失败，继续匹配下一个授权规则2）忽略 MDM 条件，不启用后台查询：忽略 MDM 条件，认为授权规则匹配成功，按授权规则中指定的授权结果授权。授权完成后Agile Controller-Campus 1.0 不再尝试从 MDM 系统获取移动设备状态。3）忽略 MDM 条件，启用后台查询：忽略 MDM 条件，认为授权规则匹配成功， 按授权规则中指定的授权结果授权。授权完成后 Agile Controller-Campus 1.0 后台继续尝试从 MDM 系统获取移动设备状态。如果三次内获得移动设备状态，根据移动设备状态重新匹配授权规则。如果三次尝试后依然未获得移动设备状态，则本授权规则匹

27、配失败，继续匹配下一个授权规则。如果 Agile Controller-Campus 1.0 与 MDM 系统连接成功，首先检查请求授权的移动设备在 MDM 系统是否注册。管理员可以在 Agile Controller-Campus 1.0 授权规则中分别设置对已注册移动设备授权、对未注册移动设备授权。如果请求授权的移动设备未在 MDM 系统注册，而且本授权规则刚好设置的是“终端未在 MDM 上注册”，则匹配该授权规则。如果设置的是“终端已在 MDM 系统注册”，则该授权规则匹配失败，继续匹配下一个授权规则。如果请求授权的移动设备已在MDM 系统注册，Agile Controller-Camp

28、us 1.0 再将移动设备的状态与授权规则中指定的 MDM 条件匹配。如果移动设备状态与 MDM 条件中定义的 MDM 属性一致，则匹配该 MDM 条件，命中该授权规则。如果移动设备状态与 MDM 条件中定义的 MDM 属性不一致，则未命中该 MDM 条件， 继续匹配下一个授权规则。API 接口VMware AirWatch 终端合规信息查询 API接口参考文档：REST API 9_0.pdf接口名：Retrieve Device Information接 口 URL 参 数 ： HTTP Method GET API URI https:/host/api/mdm/devices?sear

29、chby=searchby&id=idsearchby：默认填充 Macaddress id：填充终端 mac返回：终端信息返回值采用信息字段说明： 注册状态：EnrollmentStatus string（Enrolled 表示为注册；Unenrolled 表示未注册）CompliantStatus boolean（true 表示合规，false 表示不合规）表2-1 Request Header 格式Header NameValuesDescriptionRequiredAuthorizationSee Authentication for details，控制台自动生成的Identifi

30、es who is making a requestAlwaysAcceptComma separated list of media typesInforms the API what media types the client can processRecommended for requests that yield a response body. If notspecified, application/xml is assumedaw- tenant- codeValue is available in system settings when REST API access i

31、s enabled是 API 设置的时候控制台自动生成的APIkeyA unique code entered by the client. To be recognized by AirWatch, it needs to beappended in the URLAlwaysContent- LengthLength of the request body in bytesSpecifies the size of the message bodyRequired for requests that include a message bodyContent-TypeMedia type

32、describing the request message bodyDescribes what representation the API must use to interpret the message bodyRequired for requests that include a message bodyHostSpecifies the Internet host and port number of the origin host receiving the messageAllows support for multiple origin servers using the

33、 same IP addressAlwaysDateDate/time in HTTP date formatThe date and time at which the message was originatedAlways表2-2 Response HeaderHeader NameValuesDescriptionRequiredContent- LengthLength of the request body in bytesSpecifies the size of the message bodyRequired for requests that include a messa

34、ge bodyContent- TypeMedia type describing the request message bodyDescribes what representation the API must use to interpret the message bodyRequired for requests that include a message bodyLocationThe URL of newly createdresourcesReturns a URL that can be used torequest the newly created resourceR

35、equired on responses to requests that create new resourcesDateDate/time in HTTP date formatThe date and time at which the message was originatedAlways 3 典型部署预置条件VMware AirWatch 预置条件VMware AirWatch 使用云模式部署：WMware AirWatch 的配置分为两大部分，首先是与 MDM 业务相关配置，其次是MDM API 的配置。MDM 业务相关配置：根据企业 MDM 策略设置 MDM 相关配置。MDM

36、API 配置：使能 API 访问：登录到 AirWatch 主页面导航到：Groups & Settings All Settings System Advanced API REST API.图3-1 VMware AirWatch 管理平台 API 配置界面在 General 页面，配置“Add”中的配置：Service、Account Type、description、whitelisted domains在 Authentication 页面，配置设置：Basic，Certificates 或 directory图3-2 VMware AirWatch 管理平台 API 配置界面在 Advanced 页面，配置：Service throttling（服务流控），Daily quota（每天配额）图3-3 VMware AirWatch 管理平台 API 配置界面A