作者
2020年,一个联邦监管机构面临这一挑战。根据一项新的案例研究,联邦机构如何获得高度安全的Wi-Fi - 无需通过ATO流程,该机构希望在符合联邦风险和授权管理计划(FedRAMP)的基础设施上提供Wi-Fi解决方案,这是一项托管服务,并将在全国五个地点为1,300多名最终用户提供安全,受控的Wi-Fi覆盖。
办公室内的安全无线
为了实现这一功能,机构决策者求助于Paliton Networks和康普RUCKUS,他们设计和部署了一个高度可扩展的解决方案,使该机构内的所有员工能够在其政府提供的设备(GFE)笔记本电脑上进行官方业务,而无需部署两个单独的网络 - 一个用于官方业务,另一个用于非官方业务。
该解决方案称为受控非官方业务互联网,或Paliton的CNOBI,旨在为政府非官方业务提供Wi-Fi覆盖,但也可以用于为官方业务提供Wi-Fi覆盖。它是受控的,因为它只允许明确授权的访问。它是受控的,因为它提供RUCKUS URL过滤服务来限制对非工作场所安全内容的访问。它是受控的,因为 RUCKUS Analytics 提供了创建用户活动报告的能力。作为一项核心服务,它是非官方的,因为它虽然满足许多要求,但它位于该机构的安全和认证过程之外。与其他解决方案结合使用时具有明显的优势。
使用一个托管解决方案,可以在同一个网络上隔离不同类型的用户。机构可以认证员工在其 GFE 设备上开展官方业务,在 BYOD 设备上开展非官方业务,并支持其访问机构访客。
作为托管服务,CNOBI 及其组件由 Paliton 拥有、运营和维护。该解决方案高度安全,符合许多国家标准与技术研究所(NIST)的安全控制,符合联邦信息处理标准(FIPS),并在FedRAMP授权的基础设施Microsoft Azure GovCloud上运行。
CNOBI 福利
有了 CNOBI 解决方案,代理员工就可以在任何代理机构使用 GFE 笔记本电脑,并且能够以无线和安全的方式开展正式业务。
与疫情期间的许多机构一样,该联邦机构向其员工发放了 GFE 笔记本电脑,以便他们可以在家工作。这些笔记本电脑配备了安全软件和功能,迫使它们在连接到可信的Wi-Fi网络后立即自动连接到该机构的高度安全的虚拟专用网络(VPN)。
如果可以在家里完成,为什么不在办公环境中?
这两种解决方案的结合为机构员工提供了值得信赖的服务,可以在 GFE 笔记本电脑上执行正式工作,同时在办公室内保持移动性。用户可以简单地解除锁定,并通过Wi-Fi通过VPN自动重新连接CNOBI覆盖的任何地方。FIPS认证的康普RUCKUS硬件和软件位于FedRAMP基础设施之上,可提供服务保证,并使GFE设备能够应用更高的加密标准。
CNOBI还保护用户和无线网络免受Frag Attacks攻击,这是影响大多数Wi-Fi设备的新类别零日漏洞,包括客户端和网络。对手可以利用这些漏洞来运行恶意代码,控制设备,捕获数据,并使用设备来发起其他攻击。
CNOBI 的用户本质上受到保护,因为该解决方案依赖于 802.1X EAP-TLS(可扩展身份验证协议 - 传输层安全)协议来验证基于证书的单个身份,而不是共享密码。基于 EAP-TLS 的系统可减轻开裂、中间人或断层攻击,因为 Wi-Fi 连接的每一侧 — Wi-Fi 系统和最终用户设备 — 相互验证。如果任何一方不信任对方,他们就无法连接。这可以防止最终用户意外连接到恶意设备,确保只有授权用户才能连接到 Wi-Fi 系统。一旦用户注册了他们的设备,他们就不必再输入密码。
此外,康普RUCKUS分析有助于提高该机构的管理和效率。其中包括预测分析,以提醒机构官员有关预期资源利用指标的信息,从而在必要时实现先发制人的政策或控制调整。
CNOBI 消除了 IT 的复杂性,同时从部署服务的任何位置为代理员工提供高度安全的 Wi-Fi。
要了解更多信息,请下载联邦案例研究:联邦机构如何获得高度安全的Wi-Fi - 无需通过ATO流程
