隨著移動(dòng)設(shè)備的普及，多數(shù)企業(yè)都已意識(shí)到BYOD(Bring Your Own Device)的重要性，也亟思援引適當(dāng)解決方案，來(lái)滿(mǎn)足BYOD環(huán)境建置需求。但F5 Networks技術(shù)經(jīng)理林志斌認(rèn)為，意欲打造BYOD，必須一并就網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)加以考慮，尤其對(duì)于制造業(yè)來(lái)說(shuō)，與外部供應(yīng)商、協(xié)力伙伴之間經(jīng)常會(huì)有協(xié)同作業(yè)需求，所以BYOD所需審視的面向更加復(fù)雜，除了內(nèi)部員工外，還摻雜了一些外人，在此情況下，企業(yè)總得需要知道存取者是誰(shuí)，然后根據(jù)他的角色，適才適所地賦予正確權(quán)限、給予不同資源，才能有效地推展BYOD應(yīng)用。

林志斌強(qiáng)調(diào)，企業(yè)要想建立安全可靠的BYOD環(huán)境，先決條件就是簡(jiǎn)化單一簽入(SSO)流程，藉由安全、簡(jiǎn)化、自動(dòng)登入等簡(jiǎn)單步驟，好讓使用者易于分享虛擬桌面基礎(chǔ)架構(gòu)(Virtual Desktop Infrastructure；VDI)資源。

[[85808]]

一直以來(lái)，F(xiàn)5所提供的設(shè)備，向來(lái)介于前端使用者、后端應(yīng)用服務(wù)器等兩端之間，其間所有進(jìn)進(jìn)出出的封包內(nèi)容，都可以一目了然，所以想要獲悉使用者是何人、從哪里來(lái)、采用哪種設(shè)備等訊息，無(wú)疑是輕而易舉；如此一來(lái)，企業(yè)一旦透過(guò)F5設(shè)備居間管控，即可根據(jù)存取者的IP安全等級(jí)、或是欲傳送的內(nèi)容，精確判斷應(yīng)當(dāng)對(duì)此人實(shí)施何等安全控制。

比方說(shuō)，倘若存取者的IP位址，已被系統(tǒng)認(rèn)定為Botnet IP，此時(shí)企業(yè)便可將之引入安全區(qū)域，僅允許他存取極有限度的資源，而不管他要寫(xiě)入或帶出任何資料，都需要嚴(yán)加盤(pán)查。

何以F5設(shè)備能協(xié)助企業(yè)善盡嚴(yán)密的存取管控？主因在于，其處在網(wǎng)絡(luò)之中的關(guān)鍵位置，執(zhí)行遠(yuǎn)端存取控制、SSL VPN、應(yīng)用防火墻等重要任務(wù)，由于可做遠(yuǎn)端存取控制，所以能夠?qū)λ性煸L者進(jìn)行精細(xì)盤(pán)查；由于做SSL VPN，因此可以針對(duì)后端不同應(yīng)用系統(tǒng)，連同各個(gè)應(yīng)用系統(tǒng)的認(rèn)證與授權(quán)機(jī)制，一并進(jìn)行深度整合，據(jù)此營(yíng)造SSO之利基；由于做應(yīng)用防火墻，所以也可充分保障后端服務(wù)器的安全，不管它是實(shí)體主機(jī)、虛擬機(jī)器，抑或是時(shí)下最夯的云端服務(wù)器，安全控管無(wú)一例外。

“為了針對(duì)不同應(yīng)用情境，強(qiáng)化使用者登入的安全等級(jí)，F(xiàn)5特別提供三層式把關(guān)機(jī)制，”林志斌說(shuō)，第一道機(jī)制為AD，F(xiàn)5設(shè)備可串聯(lián)企業(yè)AD或LDAP等賬號(hào)認(rèn)證系統(tǒng)，但是光是做到這樣還不夠，即使使用者賬號(hào)無(wú)誤，但所在位置異常(譬如從國(guó)外連結(jié)企業(yè)網(wǎng)絡(luò))，就必須適時(shí)提高安全等級(jí)，此時(shí)即可搭配第二道機(jī)制－OTA(Over The Air)，透過(guò)軟件Token、簡(jiǎn)訊Token或E-mail Token進(jìn)行雙因素認(rèn)證，至于第三道機(jī)制，則是ACL控管，可讓企業(yè)針對(duì)某些重要封包，進(jìn)行更嚴(yán)格的過(guò)濾把關(guān)。

為呼應(yīng)企業(yè)之于BYOD殷切需求，F(xiàn)5提供BIG-IP Access Policy Manager(APM)解決方案，它是一套集結(jié)了SSL VPN、SSO等功能，并支援VDI、Exchange或SharePoint等資源控制的附加模塊，可與同為F5所供應(yīng)的BIG-IP Local Traffic Manager(LTM)系統(tǒng)搭配運(yùn)用。

林志斌指出，BIG-IP APM最予人深刻印象之處，即在于它的直覺(jué)化，有別于傳統(tǒng)SSL VPN頻頻需要切換不同頁(yè)面，借以配置不同安全政策，BIG-IP APM則能讓所有事情在同一頁(yè)面完成；另值得一提的是，BIG-IP APM比起一般SSL VPN，更能妥善因應(yīng)云端應(yīng)用需求，只因其可容納的同時(shí)使用人數(shù)高達(dá)10萬(wàn)，不管進(jìn)來(lái)或出去的內(nèi)容，通通都可管控，同時(shí)也支援IPv6架構(gòu)。

一旦采用了BIG-IP APM，則該企業(yè)使用者的遠(yuǎn)端存取情境，就會(huì)變成這樣：用戶(hù)在登入企業(yè)網(wǎng)絡(luò)時(shí)，除了得接受身分與權(quán)限的確認(rèn)外，他所使用的設(shè)備也得經(jīng)過(guò)詳細(xì)檢查，針對(duì)特定的防毒軟件、防火墻以及更新，“該有都要有”，經(jīng)過(guò)此一深層檢查程序后，才可如愿采用企業(yè)應(yīng)用資源。

更重要的是，對(duì)于特別講求資料安全的制造業(yè)來(lái)說(shuō)，當(dāng)員工下班返家后，仍想連線到公司網(wǎng)絡(luò)執(zhí)行某些應(yīng)用操作，原本放行也不是、阻擋也不是，如今受惠于BIG-IP APM，此事便可迎刃而解，它會(huì)啟動(dòng)一個(gè)虛擬桌面，作為員工執(zhí)行作業(yè)的環(huán)境，作業(yè)過(guò)程中所產(chǎn)生的任何檔案資料，皆不得儲(chǔ)存在本地設(shè)備。

此外，F(xiàn)5考量到使用者若以移動(dòng)設(shè)備執(zhí)行遠(yuǎn)端存取，恐囿于3G網(wǎng)絡(luò)的速度較差、封包遺失率較高，因而產(chǎn)生不甚良好的使用體驗(yàn)，因此也搭配BIG-IP APM悉心提供了BIG-IP Edge Client，其支援iOS與Android等高普及率的移動(dòng)應(yīng)用平臺(tái)，也提供了Client-side的Cache及QoS功能，借以化解上述缺憾。

另一方面，為了簡(jiǎn)化并強(qiáng)化企業(yè)VDI應(yīng)用環(huán)境，BIG-IP APM一方面能與企業(yè)現(xiàn)存的MDM或其他資產(chǎn)系統(tǒng)結(jié)合，憑借身分、設(shè)備等不同維度精確判別使用者為何人，從而實(shí)施細(xì)膩管控，另可適時(shí)扮演SSO Proxy角色，且一舉取代Secure Gateway、Web Gateway等慣常見(jiàn)于VDI環(huán)境的繁復(fù)機(jī)制，使得整體架構(gòu)趨于簡(jiǎn)潔單純，讓原本復(fù)雜VDI架構(gòu)不利于施行SSO的負(fù)面因子，通通一掃而空。