Libertà di scelta dei dispositivi senza compromettere la rete IT Ultimo aggiornamento: 9 maggio 2012
2 Cisco Validated Design
Informazioni sugli autori Informazioni sugli autori Neil Anderson, direttore dell'architettura di sistemi, SDU (Systems Development Unit), Cisco Systems Neil è direttore dell'architettura di sistemi di Cisco ed è responsabile dello sviluppo dei sistemi in Cisco da più di 10 anni. Ha più di 25 anni di esperienza nel campo dei sistemi, incluse reti telefoniche pubbliche, sistemi di telefonia mobile e reti IP. In Cisco, Neil si occupa principalmente dell'architettura di rete aziendale, che comprende le tecnologie di routing, switching, wireless e uso di dispositivi mobili, sicurezza, video ed emergenti. Neil è anche coautore di cinque libri della serie Networking Simplified pubblicati da Cisco Press. Neil Anderson 3
TUTTI I PROGETTI, LE SPECIFICHE, LE DICHIARAZIONI, LE INFORMAZIONI E LE RACCOMANDAZIONI (CONGIUNTAMENTE, "PROGETTI") CONTENUTI NEL PRESENTE MANUALE SONO PRESENTATI "COSÌ COME SONO", IVI INCLUSI EVENTUALI DIFETTI CISCO E I SUOI FORNITORI NON CONCEDONO ALCUNA GARANZIA, IVI COMPRESE, SENZA LIMITAZIONI, LA GARANZIA DI COMMERCIABILITÀ, DI IDONEITÀ A UNO SCOPO SPECIFICO, DI NON VIOLAZIONE DI DIRITTI ALTRUI O QUELLE DERIVANTI DA COMPOR- TAMENTI, USI O PRATICHE COMMERCIALI. IN NESSUN CASO CISCO O I SUOI FORNITORI SARANNO RESPONSABILI PER EVENTUALI DANNI INDIRETTI, SPECIALI, CONSEQUENZIALI O INCIDENTALI, INCLUSI SENZA LIMITAZIONE, LA PERDITA DI PROFITTI O LA PERDITA O IL DANNEGGIAMENTO DI DATI DERIVANTI DALL UTILIZZO O DALL IMPOSSIBILITÀ DI UTILIZZARE I PROGETTI, ANCHE QUALORA CISCO O I SUOI FORNITORI SIANO STATI INFORMATI DELLA POSSIBILITÀ DI TALI DANNI. I PROGETTI SONO SOGGETTI A CAMBIAMENTI SENZA PREAVVISO. GLI UTENTI SONO CONSIDERATI GLI UNICI RESPONSABILI DELL'APPLICAZIONE DEI PROGETTI. I PROGETTI NON COSTITUISCONO PARERE TECNICO O PROFESSIONALE DI CISCO, DEI FORNITORI O DEI PARTNER. GLI UTENTI DEVONO CONSULTARE I CONSULENTI TECNICI PRIMA DI IMPLEMENTARE I PROGETTI. I RISULTATI POSSONO VARIARE IN BASE A FATTORI NON TESTATI DA CISCO. L implementazione Cisco della compressione dell intestazione TCP è un adattamento di un programma sviluppato dalla University of California di Berkeley (UCB) nell'ambito della sua versione disponibile per tutti del sistema operativo UNIX. Tutti i diritti riservati. Copyright 1981, Regents of the University of California. Cisco e il logo Cisco sono marchi registrati di Cisco Systems, Inc. e/o delle relative affiliate negli Stati Uniti e in altri paesi. Un elenco dei marchi commerciali Cisco è disponibile all'indirizzo http://www.cisco.com/go/trademarks. I marchi commerciali e le immagini di terze parti citati sono proprietà dei rispettivi titolari. L'utilizzo del termine "partner" non implica una collaborazione tra Cisco e altre aziende. (1005R) Nel presente documento vengono utilizzati indirizzi IP e numeri di telefono fittizi. Gli esempi, l'output di visualizzazione dei comandi, i diagrammi di topologia di rete e le altre immagini contenute nel documento hanno scopo puramente illustrativo. L'utilizzo di indirizzi IP o numeri di telefono reali nei contenuti delle illustrazioni è del tutto fortuito. 2012 Cisco Systems, Inc. Tutti i diritti riservati. 4
Introduzione L'uso del dispositivo mobile personale per il lavoro, o BYOD (Bring Your Own Device), è diventato una delle tendenze più influenti che ha interessato o interesserà qualsiasi azienda operante nel comparto IT. Il termine indica una tendenza del settore IT che implica profonde trasformazioni del modo di utilizzare i dispositivi nell'ambiente di lavoro. Cos'è BYOD? Significa che i dipendenti pagano i dispositivi che utilizzano per lavoro? In parte, ma la tendenza BYOD è molto di più. Implica che gli utenti finali possono utilizzare i dispositivi di elaborazione e comunicazione preferiti per migliorare la produttività e la mobilità. Può trattarsi di dispositivi acquistati dal datore di lavoro, dal dipendente o da entrambi. BYOD indica qualsiasi dispositivo, di qualsiasi proprietario, utilizzato ovunque. Questo documento illustra come tale tendenza influirà sulle aziende, esplora le sfide create per l'it e descrive le tecnologie Cisco che contribuiscono alla soluzione. Cisco offre un'architettura completa per affrontare queste sfide, consentendo agli utenti finali di utilizzare per il lavoro il dispositivo preferito e fornendo contemporaneamente all'it i controlli che garantiscono la sicurezza e prevengono la perdita dei dati. Esigenze aziendali Per comprendere le sfide poste da BYOD, è utile comprendere le tendenze aziendali che stanno alla base dell'adozione di BYOD. Dispositivi consumer In precedenza, i datori di lavoro fornivano computer desktop e laptop che costituivano in genere gli strumenti più avanzati accessibili ai dipendenti. Con l'enorme diffusione dei dispositivi consumer, inclusi laptop, netbook, tablet, smartphone, e-reader e altri, i dipendenti utilizzano in genere nella vita privata alcuni dei più avanzati strumenti di produttività. Ben presto i dipendenti hanno iniziato a chiedere ai reparti IT di poter utilizzare questi straordinari strumenti di produttività anche per il lavoro. Molti reparti IT hanno inizialmente respinto l'idea, adducendo motivi di sicurezza e l'impossibilità di arrivare ad approvare e supportare un gran numero di dispositivi. Sede centrale: Cisco Systems, Inc., 170 West Tasman Drive, San Jose, CA 95134-1706 USA Copyright 2012 Cisco Systems, Inc. Tutti i diritti riservati.
Esigenze aziendali Figura 1 Vendite di PC e non PC, 2011 (milioni) - Fonte: Deloitte, 2011 PC 40 50 Non PC Desktop Laptop Netbook 200 375 Tablet Smartphone 150 292182 Lo scorso anno, l'insistenza da parte degli utenti finali che chiedevano di utilizzare i computer tablet e gli smartphone per aumentare la produttività, pur dovendo acquistare personalmente i dispositivi, ha spinto molti reparti IT ad adottare policy meno restrittive, fornendo ai dipendenti la connettività di base fino a concedere l'accesso completo alla rete IT e alle applicazioni aziendali. Questa tendenza sembra irreversibile e ogni reparto IT dovrà rapidamente adattarsi al fenomeno dei dispositivi consumer. Dispositivi diversi per esigenze diverse Molte persone disponevano di un PC desktop o di un laptop oltre a un cellulare per le chiamate vocali. I cellulari sono stati in gran parte sostituiti da smartphone in grado di eseguire applicazioni e dotati di accesso Internet e fotocamera. Molti smartphone e tablet hanno le stesse funzionalità e capacità dei laptop e dei PC e supportano una nuova classe di applicazioni e utilizzi. Alcuni ritengono che in futuro si utilizzerà un solo dispositivo per tutte le esigenze: elaborazione, comunicazioni e applicazioni. Tuttavia, l'opinione attualmente più diffusa è che si continueranno a utilizzare dispositivi diversi a seconda delle necessità. Poiché un laptop, ad esempio, non è comodo da portare con sé quanto uno smartphone, le persone continueranno probabilmente a utilizzare lo smartphone per le comunicazioni mobili. Sebbene anche i tablet siano dispositivi efficaci, è probabile che per la creazione e la pubblicazione di documenti si continueranno a utilizzare laptop e PC. Pertanto è più probabile che le persone porteranno con sé e utilizzeranno più dispositivi ed è meno probabile che si affermerà un solo dispositivo per tutti gli scopi. 6
Esigenze aziendali Figura 2 Varietà di dispositivi Un numero sempre maggiore di dispositivi verrà dunque connesso alla rete dallo stesso dipendente o utente, spesso contemporaneamente, con il conseguente aumento complessivo dei dispositivi connessi. Sovrapposizione di lavoro e vita privata Il lavoro è sempre più un'attività che le persone svolgono, non un luogo in cui si recano. La connettività estesa tramite l'accesso mobile e remoto alla rete aziendale garantisce ai dipendenti la massima flessibilità e una maggiore produttività. Anche la linea che separa l'orario di lavoro e il tempo libero è sempre meno marcata, in quanto i dipendenti abbandonano i piani di lavoro fissi per la flessibilità che consente loro di lavorare dove e quando preferiscono, spesso mescolando attività lavorative e personali. Un effetto collaterale di questa flessibilità è che gli utenti non vogliono portare con sé dispositivi personali e di lavoro e passare continuamente da uno all'altro. La maggior parte dei dipendenti preferisce utilizzare un solo smartphone, tablet o laptop sia per le attività di lavoro che per quelle personali senza portare con sé anche i dispositivi aziendali. La proprietà dei dispositivi non è definita in modo preciso. Molti dipendenti sono disposti a utilizzare il tablet o lo smartphone personale, ad esempio, per accedere alle applicazioni di lavoro. Molti datori di lavoro stanno prendendo in considerazione, se non l'hanno già fatto, di introdurre programmi di finanziamento per fornire ai dipendenti la somma per l'acquisto dei dispositivi, lasciando al dipendente la scelta del dispositivo da acquistare. Come conseguenza di questa sovrapposizione di tempo e di dispositivi, i dati aziendali e quelli personali coesisteranno nei dispositivi e si creeranno difficoltà per la gestione della sicurezza e della privacy. Mobilità ovunque e in qualsiasi momento Si prevede che tra il 2010 e il 2015 il numero di dispositivi mobili e il relativo traffico di rete saranno 26 volte quelli attuali, gli smartphone e i tablet saranno ancora più potenti e gli utenti richiederanno l'accesso a Internet e alle applicazioni ovunque e in qualsiasi momento. Ciò porterà a una vera e propria "esplosione" di reti WiFi create da datori di lavoro, di reti 3G e 4G sviluppate da provider di servizi mobili e di reti WiFi pubbliche create da rivenditori, amministrazioni locali e così via. 7
Sfide per i reparti IT Figura 3 Previsione mondiale relativa ai dati mobili 2010-2015 (fonte: Cisco Visual Networking Index, 2011) Terabyte al mese 6.000.000 CAGR 92% 2010-2015 6,3 EB 3,8 EB 3.000.000 2,2 EB 1,2 EB 0 0,24 EB 2010 0,6 EB 2011 2012 2013 2014 2015 292184 Con la crescita del numero di dipendenti che possono lavorare facilmente mediante reti WiFi e mobili, queste reti diventeranno sempre più diffuse e l'accesso risulterà ulteriormente semplificato. Il risultato finale è la connettività pervasiva ovunque e in qualsiasi momento, che implica un numero più elevato di dispositivi connessi più spesso alle reti aziendali, con un conseguente maggiore bisogno di applicazioni disponibili 24 ore su 24 e 7 giorni su 7. Applicazioni video, di collaborazione e multimediali avanzate Per le comunicazioni di lavoro e personali si utilizzano sempre più elementi multimediali avanzati, con un conseguente aumento di traffico video e multimediale attraverso la rete. Anche per le applicazioni di collaborazione e la mobilità pervasiva l'utilizzo di elementi multimediali avanzati continuerà ad aumentare. Man mano che i dipendenti adotteranno le applicazioni di collaborazione e gli stili di lavoro degli utenti mobili, le richieste di infrastrutture mobili e WiFi diventeranno più pressanti. Un'altra caratteristica di questa tendenza è l'integrazione delle funzionalità in dispositivi consumer più potenti, come avviene per le fotocamere e i video ad alta definizione (HD). Aumentando la larghezza di banda e la disponibilità di servizi 4G e WiFi, le applicazioni che trasmettono flussi multimediali HD saranno sempre più comuni. L'esperienza su più tablet e smartphone è quanto di meglio sia attualmente disponibile, ma è molto probabile che in futuro la qualità dei prodotti migliorerà ulteriormente. Con la diffusione di dispositivi per le comunicazioni e la collaborazione come Cisco Cius TM, aumenterà ulteriormente anche l'esigenza di soluzioni video e di collaborazione HD mobili più semplici. Sfide per i reparti IT L'adozione di BYOD comporta una serie di sfide per il reparto IT. Molti dei vantaggi di BYOD, ad esempio poter scegliere qualsiasi dispositivo ed effettuare l'accesso ovunque e in qualsiasi momento, sono in un certo senso contrari ai tradizionali requisiti IT di sicurezza e supporto. 8
Sfide per i reparti IT Scelta e supporto dei dispositivi In genere il reparto IT stabiliva in anticipo un elenco di dispositivi per l'ambiente di lavoro, per lo più un desktop e un laptop standardizzati e talvolta anche una serie limitata e standardizzata di cellulari e smartphone. I dipendenti normalmente potevano scegliere tra questi dispositivi e non avevano alternative all'elenco di dispositivi approvati. Con BYOD, l'it deve affrontare il problema in modo diverso. L'evoluzione dei dispositivi è così rapida che non è pratico approvare in anticipo ogni singolo marchio e fattore di forma dei dispositivi. È anche poco realistico pensare che i reparti IT dispongano dello stesso livello di supporto per ogni singolo dispositivo introdotto dai dipendenti nell'ambiente di lavoro. I reparti IT devono pertanto stabilire, a un livello più ampio, a quali tipi di dispositivi sarà consentito accedere alla rete, escludendo eventualmente una categoria o un marchio a causa della predisposizione alla sicurezza non accettabile o di altri fattori. Si deve inoltre tenere in considerazione il supporto tecnico, ad esempio l'adozione di modelli con maggiore assistenza IT e maggiore autoassistenza. Mantenere l'accesso sicuro alla rete aziendale La scelta dei dispositivi non deve compromettere la sicurezza. L'IT deve stabilire i criteri minimi di sicurezza per ogni dispositivo da utilizzare sulla rete aziendale, inclusi la sicurezza WiFi, l'accesso alla VPN e l'eventuale software aggiuntivo per la protezione contro il malware. Inoltre, dato l'elevato numero di dispositivi, è fondamentale poter identificare ogni dispositivo che si connette alla rete e autenticare sia il dispositivo che l'utente. Primo acceso alla rete dei nuovi dispositivi La maggior parte delle implementazioni BYOD comprenderà un'ampia gamma di dispositivi, inclusi PC desktop, laptop, netbook, smartphone, tablet, e-reader e dispositivi di collaborazione come Cisco Cius. È probabile che alcuni dispositivi saranno di proprietà e gestiti dall'azienda, mentre altri potranno essere acquistati dai dipendenti e dotati di autoassistenza. Il primo accesso alla rete dei nuovi dispositivi, ovvero la loro introduzione nella rete per la prima volta, deve essere semplice e, se possibile, basata sul self-service con un intervento IT minimo, soprattutto per i dispositivi di proprietà dei dipendenti. L'IT deve anche poter inserire gli aggiornamenti nei dispositivi già introdotti, se necessario. L'ideale è che il primo accesso alla rete sia senza client, ovvero che non sia necessario preinstallare alcun software. Ciò offre un ulteriore vantaggio: un modello di primo accesso self-service, se implementato correttamente, può essere facilmente esteso per fornire l'accesso anche agli utenti guest. Applicazione di policy d'uso aziendali Le policy aziendali da implementare sono molte e variano a seconda del settore, delle normative e dei criteri specifici delle singole società. L'adozione di BYOD deve prevedere l'applicazione di tali policy, che potrebbe risultare più complessa per i dispositivi consumer come tablet e smartphone. Un'altra difficoltà deriva dalla presenza di attività personali e lavorative sullo stesso dispositivo. È probabile che gli smartphone vengano utilizzati per chiamate di lavoro e personali e che nei tablet siano installate sia applicazioni personali sia di lavoro. L'accesso a Internet, la condivisione di file peer-to-peer e l'utilizzo di applicazioni potrebbero essere soggetti a policy diverse a seconda che gli utenti usino la propria rete durante il tempo libero o accedano invece alla rete aziendale durante l'orario di lavoro. 9
Sfide per i reparti IT Visibilità dei dispositivi in rete Abitualmente un dipendente aveva un solo PC desktop o laptop in rete e probabilmente un telefono fisso IP. Se il dipendente chiamava il reparto IT per avere assistenza, era certamente semplice individuare il dispositivo dell'utente in rete e risolvere il problema. Con l'adozione di BYOD, è probabile che ogni dipendente disponga di tre, quattro o più dispositivi connessi contemporaneamente alla rete. Poiché molti dispositivi saranno dotati di più modalità che consentono la transizione da reti Ethernet cablate a reti WiFi e mobili 3G o 4G, durante una stessa sessione passeranno da una modalità di connessione all'altra. È indispensabile per l'it disporre degli strumenti che rendono tutti i dispositivi visibili sulla rete aziendale e oltre. Protezione dei dati e prevenzione della perdita Una delle sfide maggiori che comporta l'implementazione di BYOD è la protezione dei dati aziendali. Una risorsa aziendale, ad esempio un laptop, se utilizzata per accedere ad applicazioni e dati aziendali, è in genere direttamente controllata dal reparto IT e probabilmente soggetta a policy d'uso più restrittive. Alcuni settori devono rispettare normative relative alla riservatezza come HIPAA, normative di conformità alla sicurezza come PCI o normative sulla sicurezza più generali come il Sarbanes-Oxley Act e altri. Le società devono dimostrare che, con l'adozione di BYOD, la conformità è possibile, il che può risultare più difficile che con un dispositivo appartenente all'azienda e da essa gestito. È probabile che un tablet o uno smartphone di proprietà di un dipendente venga utilizzato regolarmente per l'accesso personale e per le applicazioni aziendali. I servizi di storage e di condivisione file basati su cloud sono utili per i dati personali, ma potrebbero causare la perdita di dati aziendali riservati. Il reparto IT deve prevedere una strategia di protezione dei dati aziendali su tutti i dispositivi, indipendentemente dal fatto che siano gestiti dall'azienda o dal dipendente. Tale strategia può includere una partizione sicura sul dispositivo, che funga da contenitore per i dati aziendali e possa essere strettamente controllata, e, se necessario, un'applicazione VDI (Virtual Desktop Infrastructure) che consenta l'accesso a dati sensibili o riservati senza archiviare i dati sul dispositivo. Revoca dell'accesso Durante il ciclo di vita di un dispositivo o di un dipendente, potrebbe rendersi necessario terminare l'accesso al dispositivo, ad esempio a causa della perdita o del furto del dispositivo, dell'interruzione del rapporto di lavoro con il dipendente o anche di un cambiamento di ruoli all'interno della società. Il reparto IT deve essere in grado di revocare rapidamente l'accesso concesso a qualsiasi dispositivo ed eventualmente cancellare in remoto alcuni o tutti i dati e le applicazioni presenti sul dispositivo. Potenziale per nuovi vettori di attacco Poiché i dispositivi che accedono alla rete aziendale dispongono di un'ampia gamma di funzionalità e il reparto IT potrebbe non essere in grado di valutare, qualificare e approvare completamente ogni singolo dispositivo, esiste la possibilità che vengano aperti nuovi vettori di attacco. Molti tablet, ad esempio, sono in grado di abilitare una WLAN ad hoc. Se a un dispositivo autenticato sono connessi via tethering altri dispositivi tramite una WLAN ad hoc, è possibile che i dispositivi e gli utenti non autenticati riescano ad accedere alla rete aziendale tramite il dispositivo autenticato. Lo stesso può accadere quando si connette via tethering un laptop a uno smartphone tramite Bluetooth. 10
Sfide per gli utenti finali La sfida per l'it consiste nel permettere l'utilizzo di un numero sempre maggiore di dispositivi e funzionalità, mantenendo al contempo il controllo per applicare policy come la disabilitazione automatica di una funzione WLAN ad hoc su un dispositivo connesso autorizzato. Assicurare le prestazioni e l'affidabilità della LAN wireless Quando l'accesso wireless diventa pervasivo, le aspettative relative a prestazioni e affidabilità sono le stesse della rete cablata, come ad esempio connettività affidabile, velocità di trasmissione, tempi di risposta delle applicazioni e aumento dell'uso di voce, video e altre applicazioni di collaborazione in tempo reale. Questo passaggio fondamentale richiede al reparto IT di cambiare il livello di servizio della rete WLAN aziendale che non deve più essere semplicemente pratica, ma deve diventare una rete aziendale mission critical, analoga alla rete cablata. La struttura e il funzionamento della WLAN devono includere elevata disponibilità, monitoraggio delle prestazioni e riduzione dei rischi, oltre al roaming ottimizzato. Gestione dell'aumento dei dispositivi connessi L'aumento del numero di dispositivi connessi alla rete, inevitabile dal momento che ogni dipendente connette contemporaneamente più dispositivi, può rendere insufficienti gli indirizzi IP poiché la maggior parte dei piani di indirizzi IP era stata creata con il presupposto di un minor numero di dispositivi. Pertanto diventano sempre più necessarie le implementazioni IPv6 sia sull'edge Internet che all'interno della rete aziendale. Sfide per gli utenti finali La richiesta relativa a BYOD è avanzata soprattutto dagli utenti che desiderano scegliere i dispositivi utilizzati nell'ambiente di lavoro. Dal punto di vista dell'utente, ci sono alcune sfide da affrontare. Semplicità Sebbene le soluzioni e le tecnologie BYOD stiano evolvendo rapidamente, una delle sfide maggiori è quella di semplificare la connessione e l'utilizzo delle risorse aziendali per gli utenti. Il numero di possibili dispositivi, la gamma di ubicazioni e tipi di connessione e la mancanza di approcci adottati su larga scala possono creare difficoltà agli utenti. Il primo accesso alla rete e la connessione di ogni dispositivo possono richiedere procedure leggermente diverse a seconda del marchio e del fattore di forma. Le precauzioni per la sicurezza e le procedure possono inoltre variare in base a come e dove l'utente cerca di connettersi. La rete WiFi aziendale, ad esempio, può richiedere credenziali, mentre la connessione tramite un hotspot WiFi pubblico può richiedere credenziali, una rete privata virtuale (VPN) e altri tipi di sicurezza. Infine, è necessario che qualsiasi soluzione BYOD sia il più semplice possibile per gli utenti, garantisca un'esperienza comune indipendentemente da dove e quando avviene la connessione e sia il più possibile simile su tutti i dispositivi. Utilizzo del dispositivo personale per lavoro BYOD fa confluire attività personali e lavorative sullo stesso dispositivo. Elenchi di contatti, e-mail, file di dati, applicazioni e accesso Internet possono porre delle sfide. Per gli utenti l'ideale è separare i dati e le attività personali da quelli di lavoro. Le foto, gli SMS e le telefonate personali e la navigazione 11
Considerazioni per l'adozione di BYOD Internet effettuata durante il tempo libero devono essere protetti dalla privacy, mentre i documenti, i file, le applicazioni che utilizzano i dati aziendali e la navigazione Internet effettuata durante l'orario di lavoro devono essere conformi alle policy aziendali. Alcuni datori di lavoro regolano con un accordo firmato la connessione con un dispositivo di proprietà di un dipendente, in modo che la società possa monitorare la conformità e le policy d'uso accettabili e, se necessario, intervenire per proteggere i dati aziendali. In alcuni casi tali provvedimenti possono includere la cancellazione in remoto di tutti i dati sul dispositivo, inclusi i dati personali. Questa operazione, se non gestita in modo appropriato, può ovviamente diventare fonte di conflitti tra il reparto IT e gli utenti. Raggiungimento della produttività e dell'esperienza necessarie Come si è affermato in precedenza, uno dei principali fattori trainanti di BYOD sono i dipendenti che desiderano sfruttare nell'ambiente di lavoro gli strumenti di produttività utilizzati come consumatori. Le società desiderano ottenere tale produttività e trarne vantaggio, ma devono anche applicare la sicurezza e le policy appropriate per proteggere i dati aziendali. Se tali misure di sicurezza sono troppo invasive, possono annullare qualsiasi incremento della produttività. Una lamentela comune, ad esempio, è che le società che bloccano l'accesso alle applicazioni e ai dati aziendali tramite la distribuzione di client VDI su un dispositivo tablet limitano a tal punto l'esperienza utente che per un dipendente il tablet diventa praticamente inutile. È probabile che i client VDI e la relativa esperienza utente verranno migliorati, dal momento che le distribuzioni di tablet e smartphone continuano a crescere. Considerazioni per l'adozione di BYOD Prima di adottare su larga scala BYOD, devono essere fatte alcune considerazioni. Comprendere i segmenti e le necessità degli utenti È importante comprendere che in un'implementazione BYOD esistono segmenti di utenti diversi. Si consiglia di analizzare la segmentazione degli utenti all'interno della società per comprendere le esigenze e il probabile livello di supporto richiesto. Un esempio è illustrato nella Figura 4. 12
Considerazioni per l'adozione di BYOD Figura 4 Segmenti e necessità degli utenti Esigenza di supporto Alta Amministrazione e uffici Call center e supporto Servizi finanziari Supporto IT Docenti e istruttori Supporto tecnico Dirigenti Rappresentanti di vendita Operatori sanitari Tecnici Personale IT Tecnici di vendita Bassa Bassa Esigenza di mobilità Alta 292185 Ogni azienda è diversa. Nella Figura 4 vengono valutati i ruoli dei dipendenti rispetto alla necessità di mobilità e le applicazioni mobili rispetto al probabile livello di supporto richiesto. Le implementazioni BYOD risultano più semplici con gli utenti che hanno bisogno solo di bassi livelli di supporto IT, utilizzando ad esempio community di autoassistenza in cui vengono condivise le best practice. Le implementazioni possono essere più difficili con gli utenti che hanno esigenze di mobilità elevata, ma anche di livelli di supporto elevati, ad esempio i dirigenti. Una tale analisi consentirà di comprendere le policy di idoneità e i modelli di supporto e potrà evitare frustrazioni e sforamenti del budget IT. Determinazione di una strategia di adozione di BYOD Le diverse aziende si avvicineranno a BYOD con aspettative diverse a seconda dello scenario di adozione. Ogni azienda necessita di una strategia BYOD, anche se l'intenzione è quella di escludere tutti i dispositivi tranne quelli approvati e gestiti dal reparto IT. La Figura 5 mostra alcuni possibili scenari di adozione adatti alla maggior parte delle aziende. Figura 5 Scenari di adozione di BYOD Limite Base Avanzata Integrata Ambiente che richiede controlli rigidi Accesso di base per dispositivi aggiuntivi Qualsiasi dispositivo, ovunque, maggiore sicurezza Qualsiasi dispositivo, ovunque, chiunque Dispositivi scelti dal reparto IT Gamma di dispositivi più ampia Ampia gamma di dispositivi Ampia gamma di dispositivi Dispositivi gestiti dal reparto IT con accesso principalmente in sede Non sono consentiti altri dispositivi Dispositivi gestiti dal reparto IT con accesso principalmente in sede Dispositivi guest e di proprietà dell'utente solo con Internet Dispositivi di proprietà dell'azienda e del dipendente con accesso completo in sede e fuori sede Sicurezza lato dispositivo Dispositivi guest solo con Internet Dispositivi di proprietà dell'azienda e del dipendente con accesso completo in sede e fuori sede Sicurezza lato dispositivo Applicazioni native personalizzate Dispositivi guest/cliente con servizi migliorati 292186 13
Considerazioni per l'adozione di BYOD Per le aziende che fanno parte di settori con normative complesse, ad esempio le agenzie finanziarie o governative, potrebbe essere necessario un approccio di adozione di BYOD più restrittivo per proteggere i dati riservati. Potrebbe essere necessario controllare e gestire direttamente i dispositivi come nel tradizionale approccio IT, che in questi casi può rivelarsi ancora valido. Per molte aziende, l'adozione significherà semplicemente consentire una gamma più ampia di dispositivi con accesso limitato alle applicazioni o, al contrario, adottare totalmente BYOD, incoraggiare l'ampia diffusione di molti o di tutti i tipi di dispositivi e implementare misure di sicurezza per consentire l'accesso a un'ampia gamma di applicazioni e dati aziendali. Più in generale, alcune aziende adotteranno una strategia mobile innanzitutto, in cui sarà data la priorità allo sviluppo di applicazioni interne per tablet e smartphone, per ottenere un vantaggio competitivo tramite l'uso della più ampia gamma di strumenti e dispositivi per la produttività. Comprendere come la propria azienda si inserirà ora e in futuro nello scenario di adozione è utile per preparare le policy di sicurezza, l'idoneità e la strategia complessiva per l'iniziativa BYOD. Panoramica delle modalità nativa, browser e virtuale Proteggere i dati aziendali ed evitarne la perdita è una delle preoccupazioni principali durante l'implementazione di BYOD. È importante comprendere le tre possibili architetture applicative e i compromessi richiesti: nativa, browser e virtuale, illustrate nella Figura 6. Figura 6 Modalità nativa e virtuale Applicazione nativa Applicazione nativa Data center Nativo Dati locali sul dispositivo Prestazioni massime Esperienza su dispositivo nativo Browser Web Interfaccia HTML Applicazione nativa Data center Browser Dati locali sul dispositivo Portatile in più dispositivi Interfaccia browser Client di virtualizzazione desktop Client di virtualizzazione desktop Applicazione nativa Data center Ambiente virtuale Nessun dato locale sul dispositivo Sicurezza massima Esperienza trasformata 292197 14
Considerazioni per l'adozione di BYOD In modalità nativa, le applicazioni in esecuzione sul dispositivo comunicano direttamente con il server applicativo nel data center (o cloud) host. È possibile scambiare e archiviare i dati direttamente sul dispositivo BYOD. Le prestazioni dell'applicazione e l'esperienza utente sono in genere molto legate al dispositivo specifico, ovvero il funzionamento di un'applicazione aziendale è molto simile a quello di qualsiasi altra applicazione presente sul dispositivo. Tutti i vantaggi della produttività e il comportamento del dispositivo rimangono invariati e le applicazioni possono essere personalizzate per migliorarne l'utilizzo. Per l'accesso alle applicazioni si va sempre più diffondendo l'approccio browser vista la facile portabilità su tutti i dispositivi e i sistemi operativi. In pratica, qualsiasi dispositivo con una funzionalità browser HTML standard può essere utilizzato per accedere all'applicazione. Poiché però, come nella modalità nativa, i dati possono essere scambiati e archiviati direttamente sul dispositivo BYOD, sorgono purtroppo problematiche legate alla sicurezza e alla perdita di dati. Inoltre, anche l'esperienza utente potrebbe risultarne compromessa. Al contrario, nella modalità virtuale le applicazioni si trovano sul server applicativo nel data center (o cloud) e vengono rappresentate sul dispositivo tramite un client VDI. I dati non vengono archiviati localmente sul dispositivo BYOD. Sul dispositivo BYOD vengono solo eseguiti lo scambio e il rendering delle informazioni visualizzate. Sebbene questo metodo garantisca la massima sicurezza dei dati, l'esperienza utente può risultarne compromessa a causa della conversione da un server applicativo al fattore di forma e al sistema operativo nativo nel dispositivo BYOD. I primi ad adottare questo approccio hanno espresso un feedback parzialmente negativo. È importante decidere quale modalità, nativa o virtuale, sarà alla base dell'architettura applicativa. Molte aziende potrebbero ricorrere a un approccio ibrido, utilizzando la modalità nativa per la maggior parte delle applicazioni aziendali standard e quella virtuale per un sottoinsieme di applicazioni con requisiti più rigorosi di riservatezza o sensibilità dei dati. Avere un contratto globale con l'utente finale Sebbene il contratto con l'utente finale non faccia parte dell'architettura di rete, prima di eseguire l'implementazione di BYOD, è bene prenderlo in considerazione. Poiché i dati personali si mescoleranno a quelli aziendali e i dispositivi utilizzati per il lavoro potranno essere di proprietà dei dipendenti, è fondamentale stabilire le policy per tempo e comunicarle ai dipendenti in anticipo. I reparti IT devono familiarizzare con le leggi, inclusi il Computer Fraud and Abuse Act, il Wiretap Act e il Communications Assistance for Law Enforcement Act (CALEA). Quali saranno le policy aziendali? Le comunicazioni saranno soggette a monitoraggio? Le policy saranno applicate sia al contenuto aziendale che a quello personale? Le aree da considerare includono, tra le altre: Messaggi di testo Chiamate vocali Navigazione Internet Messaggistica istantanea E-mail GPS e informazioni sulla posizione geografica Applicazioni acquistate e installate Fotografie e video archiviati Cancellazione dei dati del dispositivo Ad esempio, molte aziende normalmente filtrano e monitorano l'accesso Internet per verificare la conformità alle policy relative all'accesso a siti inappropriati sul luogo di lavoro. La maggior parte dei dispositivi BYOD dispone di accesso Internet diretto di tipo WiFi pubblico e/o mobile 3G/4G. Sarebbe 15
Architettura Cisco BYOD normale avere una policy che vieta la navigazione in siti Web per adulti su un dispositivo connesso tramite la rete aziendale. La stessa policy verrà applicata anche se il dipendente decide di navigare nei siti dal dispositivo di sua proprietà, nel tempo libero, tramite accesso Internet pubblico? Come ulteriore esempio, sarebbe normale avere policy contro la trasmissione di e-mail inappropriate contenenti foto molto personali tramite e-mail o SMS mentre si utilizza un dispositivo di proprietà dell'azienda o la rete aziendale. Le stesse policy saranno applicate alle e-mail o ai messaggi di testo personali su un dispositivo di proprietà del dipendente? Quali comunicazioni verranno monitorate? Quali non lo saranno? Di recente sono sorti diversi problemi legali per casi in cui un datore di lavoro ha cancellato in remoto il contenuto di un dispositivo di proprietà di un dipendente, inclusi eventuali dati aziendali e personali. Si può immaginare la sorpresa del dipendente che, utilizzando il nuovo tablet per accedere alla rete aziendale, ha inconsapevolmente consentito al reparto IT di eliminare le sue foto di famiglia preferite. Esistono altre problematiche relative a casi di intercettazione potenzialmente illegali in cui i dipendenti contestano che le loro conversazioni via messaggi di testo sono state illegalmente monitorate dall'azienda che non ne ha dato notifica. Per evitare responsabilità legali è indispensabile informare sempre i dipendenti. Indicare chiaramente in una policy scritta che i dipendenti devono accettare il trattamento dei dati e delle comunicazioni aziendali e personali da parte della società sul dispositivo BYOD. Indicare chiaramente a quali diritti il dipendente rinuncia per ottenere l'accesso alla rete con un dispositivo di sua proprietà, quando accetta il contratto con l'utente finale. Avere una policy relativa alla perdita o al furto di dispositivi Oltre che di un contratto completo con l'utente finale, le aziende dovrebbero disporre di un piano di intervento in caso di perdita o furto dei dispositivi. Quale sarà il processo di notifica da parte dei dipendenti? Qual è la procedura necessaria per rimuovere l'accesso alla rete aziendale? Quale procedura può essere eseguita e verrà eseguita per rimuovere in remoto i dati locali archiviati sul dispositivo? Il mercato offre soluzioni diverse con funzionalità di vario livello per raggiungere un dispositivo in remoto ed eliminare definitivamente i dati o le applicazioni e assicurarsi in tal modo che rimangano riservate. Tenere in considerazione i tipi di dati che verranno probabilmente archiviati sui dispositivi BYOD e integrare i piani di riduzione dei rischi nella strategia BYOD generale prima della distribuzione. Architettura Cisco BYOD Cisco offre un'architettura della soluzione BYOD completa, che combina gli elementi attraverso la rete per la gestione unificata dell'accesso sicuro con i dispositivi, della visibilità e del controllo delle policy. Per superare le molte sfide descritte in precedenza, un'implementazione BYOD non può essere costituita da un singolo prodotto, ma deve essere integrata nella rete intelligente. La soluzione Cisco BYOD si basa sull'architettura Cisco Borderless Network e presuppone che vengano seguite le best practice nelle progettazioni delle infrastrutture di rete per implementazioni di campus, filiali, edge Internet e uffici domestici. Architettura di livello elevato della soluzione Una soluzione BYOD completa deve fornire l'accesso cablato, WiFi, remoto e mobile alla rete, essere supportata in più tipi e marchi di dispositivi e consentire l'applicazione di diverse policy nelle varie aziende e nei vari settori. Inoltre, poiché i dispositivi passano da un contesto all'altro, ad esempio dalla rete WiFi aziendale a una rete mobile 3G/4G pubblica, la soluzione BYOD deve consentire l'accesso sicuro senza compromettere l'esperienza utente. 16
Architettura Cisco BYOD È indispensabile per qualsiasi strategia BYOD considerare l'accesso completo alla rete aziendale, che comprende non solo la WLAN aziendale, ma anche l'accesso cablato nei principali campus, l'accesso cablato e wireless nelle filiali e negli uffici domestici, oltre all'accesso remoto tramite Internet, reti 3G/4G mobili e hotspot WiFi pubblici. Se non si tiene in considerazione l'ampia gamma di possibili contesti di accesso alla rete, in nessuna progettazione sarà possibile realizzare una soluzione gestibile e scalabile per l'it. Nella Figura 7 vengono illustrati l'architettura di livello elevato e i principali componenti della soluzione Cisco BYOD. Figura 7 Architettura di livello elevato della soluzione BYOD Dispositivi BYOD Accesso cablato, wireless, mobile Infrastruttura di accesso Gateway off-premise Infrastruttura di sicurezza e policy Rete non affidabile ASA (Adaptive Security Appliance) Rete aziendale affidabile Rete mobile Internet WiFi pubblica Prime NCS AD Autorità di (Active certificazione Directory) (CA) AP WLAN Controller WLAN Switch di accesso Campus ISR (Integrated Services Router) Core switching ISE (Identity Services Engine) MDM (Mobile Device Manager) RSA SecureID Filiale Router wireless WAN ASR (Aggregation Services Router) AnyConnect Ufficio domestico Componenti della soluzione Cisco Nelle sezioni seguenti vengono illustrati i diversi componenti Cisco dell'architettura della soluzione e i relativi ruoli. 17
Architettura Cisco BYOD Switch Cisco Catalyst Gli switch Cisco Catalyst, incluse le famiglie Catalyst 3000, Catalyst 4000 e Catalyst 6000, forniscono l'accesso cablato alla rete e gestiscono le richieste di autenticazione alla rete con 802.1x. Inoltre, gli switch di accesso forniscono PoE (Power-over-Ethernet) per i dispositivi che devono essere alimentati, inclusi workstation VDI, telefoni IP e AP (Access Point) WLAN. Cisco Integrated Services Router Access point wireless LAN Cisco I Cisco ISR (Integrated Services Router), inclusi ISR 1900, ISR 2900 e ISR 3900, forniscono la connettività WAN per le filiali e gli uffici domestici e la connettività per l'infrastruttura cablata e WLAN nella filiale. Inoltre, gli ISR possono fornire la connettività diretta a Internet e servizi cloud, servizi di ottimizzazione delle applicazioni e WAN nonché fungere da punti terminali per le connessioni VPN tramite dispositivi mobili. Grazie alla funzione SDP (Secure Device Provisioning) nell'isr, è anche possibile fungere da autorità di certificazione (CA), il che è utile per le implementazioni relativamente più piccole. Gli AP WLAN (Wireless LAN) Cisco, inclusi AP3500 e AP3600, forniscono la connettività WiFi per la rete aziendale e gestiscono le richieste di autenticazione alla rete tramite 802.1x. Inoltre, la WLAN fornisce le funzioni essenziali che consentono alla connettività dei dispositivi mobili di essere affidabile e avere prestazioni elevate. Cisco Wireless LAN Controller Cisco WLC (Wireless LAN Controller) viene utilizzato per automatizzare le funzioni di configurazione e gestione wireless e per fornire la visibilità e il controllo della WLAN. WLC consente di interagire con ISE (Identity Services Engine) per applicare le policy di autenticazione e autorizzazione in tutti gli endpoint dei dispositivi. Cisco Adaptive Security Appliance Cisco ASA (Adaptive Security Appliance) offre le normali funzioni di sicurezza periferica, inclusi firewall e IPS (Intrusion Prevention System), oltre al fondamentale punto terminale per VPN (AnyConnect) sicuro per i dispositivi mobili che si connettono tramite Internet, inclusi hotspot WiFi pubblici e reti mobili 3G/4G. Client Cisco AnyConnect Il client Cisco AnyConnect TM fornisce la funzionalità supplicant 802.1x sulle reti affidabili e la connettività VPN per i dispositivi che accedono alla rete aziendale da reti non affidabili, inclusi gli hotspot Internet e WiFi pubblici e le reti mobili 3G/4G. La distribuzione e la gestione di un solo client supplicant offrono vantaggi operativi, oltre a fornire un aspetto e una procedura comuni agli utenti. Inoltre, il client AnyConnect può essere utilizzato per valutare lo stato di sicurezza del dispositivo BYOD, oltre che per fornire il grado di applicazione delle policy e in particolare delle policy d'uso. 18
Architettura Cisco BYOD Cisco Identity Services Engine Cisco Prime Cisco ISE (Identity Services Engine) è un componente principale dell'architettura della soluzione Cisco BYOD, che offre alcuni servizi, tra cui: Autenticazione Autorizzazione Profili dei dispositivi Registrazione certificato Valutazione dello stato di sicurezza Definizione e applicazione delle policy Interfaccia per gli archivi di identificazione (ad esempio, Active Directory [AD], RSA SecurID, altro server CA) Oltre alle funzioni principali come l'autenticazione e l'autorizzazione, Cisco ISE fornisce informazioni sui dispositivi che si connettono alla rete tramite i profili dei dispositivi. I profili dei dispositivi possono essere utilizzati per rilevare, individuare e determinare il tipo e le funzionalità degli endpoint che si collegano alla rete per rifiutare o applicare regole di autorizzazione specifiche. Ad esempio, la combinazione di profili dei dispositivi, valutazione dello stato di sicurezza e applicazione delle policy può essere utilizzata per applicare policy BYOD, quali: Consentire l'accesso alla rete agli ipad di proprietà dei dipendenti, ma solo per il traffico HTTP Rifiutare agli iphone l'accesso alla rete se hanno subito jailbreaking Se il dispositivo Android TM è di proprietà dell'azienda, concedere l'accesso completo Cisco Prime TM fornisce funzioni di gestione e controllo della rete, inclusa la visibilità dei principali utenti e dispositivi, oltre al provisioning dei dispositivi di rete. Componenti di terze parti della soluzione Nelle sezioni seguenti vengono illustrati i diversi componenti di terze parti (non Cisco) dell'architettura della soluzione e i relativi ruoli. RSA SecurID Il server di autenticazione e i token RSA SecurID vengono utilizzati per fornire l'autenticazione basata su due fattori (codice PIN segreto e password monouso) per garantire una sicurezza elevata quando ci si connette tramite una VPN. Mobile Device Manager MDM (Mobile Device Manager) consente la gestione centralizzata degli endpoint per i diversi sistemi operativi dei dispositivi BYOD. Sebbene la funzionalità e l'assistenza siano diverse a seconda del fornitore MDM, la funzionalità tipica include la configurazione del dispositivo, la crittografia su dispositivo, l'imposizione della password e il provisioning self-service. 19
Architettura Cisco BYOD Autorità di certificazione Oltre alle già citate funzioni di accesso alla rete, MDM può anche fungere da importante servizio di sicurezza sul dispositivo finale fornendo servizi di autenticazione per le applicazioni. L'architettura della soluzione Cisco BYOD può utilizzare alcuni MDM disponibili come componenti opzionali. L'autorità di certificazione (CA) viene utilizzata per emettere certificati digitali per i dispositivi in modo da stabilire l'attendibilità per l'accesso alla rete mediante un'implementazione PKI (Public Key Infrastructure). È possibile utilizzare alcune implementazioni CA standard come parte della soluzione BYOD. Ai fini del presente documento, la soluzione è stata convalidata con due tipi di CA: Microsoft CA Services e Cisco IOS SDP (Secure Device Provisioning) ospitati su un ISR (vedere Cisco Integrated Services Router). Microsoft Active Directory Microsoft AD (Active Directory) fornisce un database centrale di identità e gruppi e viene in genere utilizzato da molte aziende per la gestione centralizzata delle identità. Anziché duplicare un archivio identità, l'architettura della soluzione Cisco BYOD è stata convalidata utilizzando AD come archivio identità esterno per Cisco ISE. Dispositivi supportati La soluzione Cisco BYOD supporta un'ampia gamma di dispositivi, anche se le funzionalità sono diverse a seconda del dispositivo o del sistema operativo. Per conoscere le funzionalità e le limitazioni specifiche di ogni tipo di dispositivo, vedere la guida alla progettazione dettagliata. Nella Tabella 1 sono elencati i tipi di dispositivo correnti convalidati con la soluzione. Tabella 1 Dispositivi supportati Dispositivo Smartphone e tablet Android 1 Cablata WiFi aziendale WiFi pubblica Sì Sì Sì Apple OS X Macbook Sì Sì Sì Apple ios TM iphone Sì Sì Sì Apple ios ipad/ipad2 Sì Sì Sì Apple ios ipod touch Sì Sì Cisco Cius (Android) Sì Sì Sì Sì Samsung TM Galaxy TM (Android) Sì Sì Sì PC Microsoft Windows XP Sì Sì Sì Laptop Microsoft Windows 7 Sì Sì Sì 1. Il supporto per i dispositivi Android dipende dal supporto e dalla versione del sistema operativo. Mobile 3G/4G In genere, il supporto per i dispositivi è una funzione che dipende dal livello di supporto di Cisco AnyConnect e MDM (Mobile Device Manager) in uso. È compresa la maggior parte dei dispositivi in grado di connettersi a una rete WiFi in modo sicuro. 20
Vantaggi principali della soluzione Cisco BYOD Vantaggi principali della soluzione Cisco BYOD La soluzione Cisco BYOD integra i prodotti Cisco, i prodotti di terze parti e i dispositivi citati in precedenza in un approccio a BYOD completo strettamente integrato nell'infrastruttura di rete. Ne derivano vantaggi unici rispetto alle altre soluzioni. Accesso sicuro per qualsiasi dispositivo Grazie alla combinazione di certificati digitali X.509, autenticazione a due fattori, client Cisco AnyConnect e 802.1x, è possibile supportare un'ampia gamma di dispositivi con accesso sicuro alla rete. Primo accesso alla rete self-service L'approccio integrato consente ai dispositivi di autoregistrarsi quando si connettono per la prima volta alla rete. Vengono lette le impronte digitali di ogni dispositivo in modo che sia possibile identificarlo durante i successivi tentativi di accesso alla rete. Applicazione centralizzata delle policy d'uso aziendali Cisco ISE (Identity Services Engine) fornisce un'unica origine centralizzata della policy in tutta l'organizzazione. In tal modo la policy può essere applicata ai diversi tipi di accesso alla rete. Servizi e accesso differenziati La soluzione Cisco BYOD consente di identificare i dispositivi e gli utenti e offre servizi differenziati in base alle opzioni delle policy personalizzate. Gli utenti che utilizzano dispositivi di proprietà e gestiti dall'azienda, ad esempio, possono essere trattati in modo diverso da quelli che utilizzano per il lavoro i propri dispositivi non gestiti. Analogamente, i dipendenti a tempo determinato, i partner, gli ospiti, i clienti, gli studenti e altre categorie importanti per l'azienda o l'organizzazione possono essere identificati e trattati in base alle policy aziendali, limitando l'accesso solo al gruppo di servizi e al tipo di connessione a cui hanno diritto. LAN wireless affidabile e dalle prestazioni elevate La soluzione Cisco BYOD include le migliori tecnologie WLAN del settore, che consentono di raggiungere un livello ottimale di prestazioni e di affidabilità per i client wireless. Tecnologie quali Cisco CleanAir TM, ClientLink e la struttura con antenna 4x4 migliorano considerevolmente le prestazioni RF. Il roaming rapido e sicuro, VideoStream e il QoS wireless migliorano l'esperienza applicativa. Nessun'altra soluzione del settore offre la consistenza e l'ampiezza della famiglia di prodotti WLAN Cisco. Approccio unificato per accesso cablato, wireless, remoto e mobile La strategia della soluzione Cisco BYOD prevede un approccio comune ovunque i dispositivi si connettano alla rete, incluse le reti cablate, WiFi, WiFi pubbliche e mobili 3G/4G, e indipendentemente dal fatto che si connettano dal campus principale, da una filiale, da un ufficio domestico o dalla postazione di un telelavoratore mobile. 21
Primi passi con BYOD Esperienza unificata per gli utenti finali L'approccio unificato per tutti i tipi di accesso alla rete e per tutte le posizioni, oltre all'uso del client Cisco AnyConnect, consente un'esperienza unificata per gli utenti, che rimane la stessa indipendentemente dal fatto che si connettano dall'ufficio aziendale tramite WiFi o in remoto tramite provider di servizi mobili 3G/4G. Visibilità e gestione dei dispositivi unificate Cisco ISE e Cisco Prime forniscono una sola origine e assicurano visibilità per utenti e dispositivi, semplificando la risoluzione dei problemi e l'auditing. Architettura della soluzione convalidata Infine, Cisco investe per assicurare che i componenti dell'architettura della soluzione BYOD si integrino reciprocamente senza problemi e fornisce una guida alla progettazione e best practice convalidate per ridurre al minimo le difficoltà dell'implementazione. Inoltre, la soluzione BYOD viene convalidata con altre architetture della soluzione Cisco. Primi passi con BYOD Implementazione di una soluzione Cisco BYOD completa Come si è affermato, Cisco BYOD è una soluzione completa che risponde ai requisiti e alle sfide principali per il reparto IT e per gli utenti. Una panoramica delle principali considerazioni relative all'implementazione viene offerta prima di iniziare la pianificazione e l'implementazione. Cisco offre progettazioni e best practice convalidate per ridurre al minimo le difficoltà dell'implementazione. Per ulteriori informazioni, vedere la pagina Cisco Design Zone all'indirizzo: http://www.cisco.com/go/designzone. Servizi di valutazione e implementazione Le implementazioni BYOD di grandi dimensioni o complesse possono risultare difficoltose. A questo scopo, Cisco fornisce una gamma completa di servizi di valutazione, progettazione e implementazione che consentono di pianificare e implementare correttamente e facilmente le implementazioni. Ulteriori informazioni Cisco Design Zone: http://www.cisco.com/go/designzone Cisco ASA (Adaptive Security Appliances): http://www.cisco.com/go/asa Cisco AnyConnect: http://www.cisco.com/en/us/netsol/ns1049/index.html Cisco Cius: http://www.cisco.com/go/cius 22