BYOD是管控设备、网络还是APP?

近年来IT市场最热门的话题,除了云端虚拟化之外就是移动办公了,随着智能型手机、平板计算机、3G及无线网络的普及,人们无论走到何处都能透过手中的移动装置收发Email、处理公事,而企业安全风险也因此蔓延到办公环境之外,如何降低BYOD(Bring You Own Device)的安全风险,成为企业最想知道的课题。

目前市场上有很多解决方案,功能与定位皆不尽相同,有些以管控设备为主,有些则管控设备上所能使用的APP,还有一些是做设备连网管控。在《从应用规划安全  BYOD提升生产力》一文中,曾经提到几个解决方案,象是MDM、桌面虚拟化、设备识别与网络存取控制、SSL-VPNEmail with DRM…等,都可以用来管控BYOD

MDM

由于BYOD管控是个新兴市场,相关解决方案也在不断发展中,因此我们看到在2013年初又出现新的发展趋势—移动应用管理(MAM, Mobile Application Management),也就是以移动装置上的应用程序为主要管控标的,许多原本就在经营BYOD解决方案的厂商,都在既有产品上添加MAM模块,象是F5ArubaMobileIronCitrix…等。

其中,Citrix和精诚都认为,MAM概念出现后,市场上询问BYOD解决方案的企业变多了,主要原因在于MAM可以在移动装置上独立一块加密空间,以此区隔企业与个人用的APP及资料,同时兼顾企业资料安全性与员工个人隐私。且许多企业之所以导入移动化并开放BYOD的主要需求,就是要能在外使用特定应用程序,因此管控应用程序为概念的MAM获得不少青睐。

Citrix资深技术顾问周伯彦指出,员工通常不愿意在办公环境以外还要被公司管理,尤其MDM多数都有GPS定位功能,更不希望公司随时掌握自身行踪,且BYOD强调让员工使用自己的设备,而MDM会搜集手机里的资料,这不仅容易有侵犯个人隐私的争议,倘若员工离职时,IT人员在抹除装置内的公司资料时,不小心连员工私人资料也一并删除,对企业来说反而是种困扰。而精诚信息企业产品应用部产品经理郑宗贤则表示,传统MDM管控移动装置的功能,如:关闭相机、强制设定开机密码等,虽然能降低资料外泄风险,但不能确保资料下载至移动装置后的安全性。

MAM七大功能剖析  从APP进行管控 究竟,MAM解决方案应该具备哪些功能?从各家解决方案来看,不外乎以下7点: 1. 企业专属应用程序发布平台(即APP Store): 负责派送企业用APP至员工手机中,只有被授权的人才能看到这些应用程序,换句话说,非企业员工无法下载APP,而且即便同一家企业的员工,也会因为自身权限不同,所能下载的APP项目也不一样,一来避免任何人都能下载企业用APP,二来则可省略繁杂的上架程序,这点对使用iOS平台的装置来说尤为重要。

2. 可以针对每一支企业用APP设定专属管控原则: 举例来说,当员工在使用某支企业APP时,禁用手机的剪下、复制、贴上、荧幕撷图…等功能,或是开放使用这些功能但限制只能将文字复制到某些特定应用程序,又或者是限制在某些特殊状况下才能(或不能)开启企业用APP,各家业者所提供policy设定的项目其实差异颇大,通常企业会视APP机密性、使用者职务内容与位阶来定义policy。

3. 自动VPN设定:当企业后台服务器与手机用APP传输资料时,移动装置会自动开启VPN加密传输。传统作法是要叫出VPN应用程序,登入之后连上线,后台服务器与APP之间的传输才会转成VPN模式,但是IT人员如果没有作些特殊设定,员工登入VPN应用程序这段期间,若同时使用个人APP(如:FBDropbox…等),这些资料都会经由公司VPN网络传送出去,相关资料也可能会留存在企业系统中。而MAM自动VPN设定功能则是,让企业用APP自动走VPN通道连回企业后台服务器,不必再另外登入VPN应用程序或做设定,至于个人用APP则走一般网络出去,其好处是确保员工个人隐私、避免员工使用不安全的WiFi连线存取企业用APP、降低塞爆企业网络频宽的风险。

4. 移动装置中建立加密区域: 这是用来存放企业APP、相关设定与资料,让APP本身及其所使用到的资料都可以受到加密保护,倘若未来员工遗失手机、离职或调职时,IT人员可从管理后台移除在此加密区域内的资料(甚至直接移除整个加密区域),避免发生误删员工私人资料的窘境。

5. 电子邮件与档案的安全管理: 就目前BYOD应用来看,员工使用移动装置最常处理的公事就是收发电子邮件,有时免不了得开启附件档案,此外,员工有时也会在移动装置上浏览公司内部的文件资料,此时档案的管控就很重要,其管控政策象是限制能够使用与开启档案的应用程序(如:不能上传至Dropbox)、强制档案加密、只能读取不能编辑、限制文书处理功能(即复制/剪下/贴上)、不能下载至本机端(即移动装置)、禁止转寄邮件等。

6. 安全浏览器: 一般移动装置的网页浏览器多为内建,象是iOS装置的Safari等,IT人员不具备管控权限,而安全浏览器可以提供MIS设定一些管理政策避免资料外泄,例如:限制只能用此浏览器开启公司内部网站,限制在此浏览器所能开启的网站,网页上的资料不能下载至手机中,在使用此浏览器浏览网页时,封锁荧幕撷图、相机、定位、分享网址…等功能。由于将现有应用程序转成手机APP,除.net或HTML5可跨平台外,必须使用程序语言重新撰写,企业一来没有此类人才,二来得投注许多时间与精神,因此目前企业在开发手机APP时,大多采取Web-Based作法,也就是外观看起来象是手机APP,点进去后其实是网页,对这种网页手机应用程序而言,这个功能就非常重要。

7. 支援APP离线使用:最后一次上网所收下来的信息,即便在离线时也能看到,而离线时的操作行为,在上线后也要能自动更新,如:离线时所写的E-mail,在恢复网络连线时会自动寄出。    以上所述乃是综合各家MAM解决方案所汇整出来的重点,并非每一个MAM解决方案都具备这些功能,且各家厂商在提供MAM解决方案的作法都不一样,Citrix与精诚提供的是模块化产品,F5Aruba则是整并至自家解决方案中。

F5是在无线连网设备中整合MAM功能,并将MAM管理软件放上云端,提供设定管理政策、产出报表功能,由于云端MAM不会直接接触到企业资料,可以降低企业对资料传输至云端的安全疑虑。Aruba则是将MAM整并至既有网络存取解决方案中,其强调企业可以根据使用者身份、装置类型、所在位置、执行的APP类别,制定不同管理政策,如:装置位在风险高的区域就取消相机功能,或是在公司以外的场所不能使用某些特定APP

Citrix虽然是模块化产品,但强调可与应用程序虚拟化整合,将企业目前在PC作业所使用的应用程序虚拟化,移动装置就能直接使用,省去自行开发手机APP的时间与成本。此外,周伯彦表示,Citrix MAM另一个特点是管理政策多元化,如:侦测移动装置有没有被破解、倘若被越狱(JB)Root过就不能下载企业用APP、连续N次密码输入错误就自动清除手机内的企业资料、只有在Wifi连线状态下才能使用企业APP…等,目前共有约20-30条管理政策,企业可视自身使用状况弹性设定。

MobileIronMAM模块则专注在企业用APP管理,并将电子邮件安全管理另外独立成MCM(Mobile Content Management)模块,针对电子邮件的本文与附件进行管控,避免使用者透过下载附件、转寄电子邮件等方式外泄企业机密资料。郑宗贤指出,无论是MAMMCMMobileIron特色都是管控完整性及对移动装置的支援度,部份MAM虽然具备此功能却不够完整,例如:有些Email附件可以自动加密有些则不行、有些移动装置可以远端?除资料有些却?除不掉等,造成此现象的可能原因有2个,一是软件设计时有Bug,二是移动装置种类太过多元化,尤其Android平台的装置还可区分不同制造商、手机型号或作业系统版本,复杂度更高,从而影响了MAM的运作。 也因此,在导入MAM解决方案时,POC测试非常重要(这个道理亦适用于其他BYOD解决方案),郑宗贤建议企业可以先参考厂商所提供的测试项目,再搭配自身管理政策,列出所需要的测试项目,进行至少为期2周的测试,用来进行测试的设备应涵盖iOSAndroid…等支援各种不同作业系统的移动装置(不过就实务上来看,企业在POC测试时仍以目前最热门的设备为主,也就是iOS装置、HTC及三星所出的Android装置),最忌讳直接请厂商提供测试报告,因为厂商的测试人员通常已经操作了无数次,操作方式都一样,不容易发现问题,但使用者自行测试的话,其操作方式势必会与厂商有所差异,如此才能找出解决方案中是否藏有软件Bug,避免白白花了冤枉钱。

MAM虽然是BYOD市场上的新趋势,但不是企业在移动装置管控上的唯一选择,在下篇文章中,我们将进一步探讨企业该如何评估BYOD解决方案。

移动信息化交流QQ群:一号群:211029692 二号群:344692795 CIO交流群:316076815(需认证)

移动化问答社区:wenda.yidonghua.com



1 星2 星3 星4 星5 星 (还没有打分,快来打分吧!)
Loading...
 
已有 0 条评论
返回顶部

无觅相关文章插件,快速提升流量