當(dāng)涉及安全問(wèn)題時(shí)，你不能像對(duì)待桌面一樣對(duì)待移動(dòng)設(shè)備。

自帶設(shè)備辦公(BYOD)引發(fā)了一場(chǎng)革新，關(guān)于雇主如何啟用安全而富有成效的移動(dòng)性，這迫使以硬件為中心的移動(dòng)設(shè)備管理(MDM)產(chǎn)品發(fā)展成為企業(yè)移動(dòng)管理(EMM)套件。隨著BYOD接受度的發(fā)展，安全移動(dòng)性挑戰(zhàn)以及EMM市場(chǎng)也在增長(zhǎng)。根據(jù)技術(shù)研究公司Radicati Group Inc.，今年全球EMM市場(chǎng)收入將達(dá)到14億美元，到2018年將超過(guò)57億美元。為了理解EMM如何應(yīng)對(duì)BYOD風(fēng)險(xiǎn)，讓我們來(lái)考慮是什么力量驅(qū)動(dòng)了這種演變。

[[123174]]

MDM不足之處

十多年前，MDM出現(xiàn)在管理Windows CE及黑莓手機(jī)的產(chǎn)品中。當(dāng)iPhone啟動(dòng)BYOD的采用時(shí)，MDM產(chǎn)品對(duì)蘋果和安卓手機(jī)進(jìn)行了支持，但仍然主要側(cè)重于以設(shè)備為中心的目標(biāo)：硬件資產(chǎn)管理、OS配置以及遠(yuǎn)程發(fā)現(xiàn)和擦除功能?？傊琈DM提供針對(duì)整體設(shè)備的管理功能，協(xié)助IT部門控制員工自帶的個(gè)人設(shè)備。

這種傳統(tǒng)的桌面管理方法可能適用于公司配發(fā)的手機(jī)，但對(duì)公私混用的設(shè)備就捉襟見(jiàn)肘了;員工們顧慮個(gè)人隱私，而這種方法也將IT部門置于因處理個(gè)人應(yīng)用和數(shù)據(jù)而不受歡迎的處境。此外，MobileIron的戰(zhàn)略副總裁Ojas Rege認(rèn)為，設(shè)備管理關(guān)注錯(cuò)了攻擊向量。

Rege說(shuō)，“架構(gòu)驅(qū)動(dòng)攻擊向量。”

Rege認(rèn)為，在Windows桌面世界，攻擊主要利用開放文件系統(tǒng)以及內(nèi)核態(tài)的應(yīng)用程序。但iOS、Windows Phone以及(在較小程度上)安卓通過(guò)嚴(yán)格的用戶空間分離以及應(yīng)用沙箱技術(shù)消除了這些向量。而事實(shí)上移動(dòng)設(shè)備面臨的威脅包括越獄、間諜軟件、無(wú)線輻射以及用戶行為—需要不同方法的架構(gòu)差異。

因此EMM轉(zhuǎn)移了IT的關(guān)注重點(diǎn)，從保護(hù)設(shè)備轉(zhuǎn)移到保護(hù)數(shù)據(jù)以及控制企業(yè)數(shù)據(jù)如何在應(yīng)用間流動(dòng)，從而保障數(shù)據(jù)處于靜止和移動(dòng)狀態(tài)的安全。這種EMM方法不僅能更好處理移動(dòng)威脅，也使得IT部門可以只管理每部智能手機(jī)或平板電腦的“業(yè)務(wù)部分”。

#p#

應(yīng)用EMM來(lái)加強(qiáng)安全策略

根據(jù)Gartner評(píng)估標(biāo)準(zhǔn)，EMM產(chǎn)品必須包括如下功能：硬件和應(yīng)用清單，OS配置管理，移動(dòng)應(yīng)用部署、更新、移除以及配置和策略管理，遠(yuǎn)程故障診斷和行動(dòng)，還有移動(dòng)內(nèi)容管理。許多這些功能由MDM產(chǎn)品開創(chuàng)，并繼續(xù)作為EMM的競(jìng)爭(zhēng)籌碼。MDM產(chǎn)品發(fā)展成為EMM套件的EMM引爆點(diǎn)附帶有內(nèi)容和應(yīng)用管理功能，使得IT部門有能力提供、監(jiān)測(cè)和加強(qiáng)更細(xì)粒度的安全策略。

EMM轉(zhuǎn)移了IT的關(guān)注重點(diǎn)，由保護(hù)設(shè)備到保護(hù)數(shù)據(jù)以及控制企業(yè)數(shù)據(jù)如何在應(yīng)用間流動(dòng)，以保障數(shù)據(jù)處于靜止和移動(dòng)狀態(tài)的安全。

AirWatch by VMware(VMware于2014年1月收購(gòu)了MDM提供商AirWatch)的首席方案工程師Blake Brannon認(rèn)為，圍繞移動(dòng)安全的需求通常會(huì)引發(fā)客戶采用EMM。他說(shuō)：“采用BYOD的廠商、承包商以及員工—所有這些用例分享圍繞容器化的更多控制需求，特別是應(yīng)用和數(shù)據(jù)。例如，許多設(shè)備都支持加密，但某些設(shè)備處理得比其他的更妥善。在某些情況下，你不想強(qiáng)制所有BYOD設(shè)備加密。而其他情況下，也許會(huì)要求FIPS級(jí)別的加密，或者僅僅是比原生更強(qiáng)壯的加密。容器這種方案允許更細(xì)粒度的加密策略，勝過(guò)任何給定設(shè)備在硬件級(jí)別進(jìn)行支持的方案。”

Fiberlink(IBM的一個(gè)公司)的高級(jí)產(chǎn)品經(jīng)理John Nielsen，描述了應(yīng)用上的類似趨勢(shì)。“在BYOD設(shè)備上，不僅僅要確保靜止內(nèi)容的安全性，還需要具備擦除(僅企業(yè))內(nèi)容以及控制容器間內(nèi)容流的能力。EMM能設(shè)置應(yīng)用白名單，確定數(shù)據(jù)被允許流向何處，包括第三方應(yīng)用、存儲(chǔ)以及云。EMM提供的策略控制可以簡(jiǎn)單如阻斷拷貝/粘貼或截屏或打印敏感內(nèi)容，也可以更高級(jí)，如一個(gè)文件只被允許在企業(yè)版Box.net中打開而不能在iCloud或者Google Drive中打開。”

Rege認(rèn)為，善意的用戶持續(xù)唾手可得。“用戶收到一封郵件，并打開DropBox中的一份附件—那么現(xiàn)在你有公司數(shù)據(jù)置于不受控制的公有云中了。該威脅存在于傳統(tǒng)設(shè)備中，但對(duì)于移動(dòng)設(shè)備更為嚴(yán)重，這是因?yàn)樵剖侨绱司o密地集成于移動(dòng)設(shè)備中。由于數(shù)據(jù)在設(shè)備間移動(dòng)，[EMM]必須確保數(shù)據(jù)始終是加密的。”這就是為什么移動(dòng)應(yīng)用管理(MAM)在EMM中扮演如此重要的角色。

例如，當(dāng)有人在智能手機(jī)或平板電腦上運(yùn)行商業(yè)應(yīng)用程序時(shí)，企業(yè)必須識(shí)別該應(yīng)用的用戶(也許使用企業(yè)認(rèn)證或者單點(diǎn)登錄)，也必須對(duì)應(yīng)用執(zhí)行進(jìn)行授權(quán)(基于設(shè)備完整性甚至還有地理位置)。必須正確安裝與配置應(yīng)用自身，必須將應(yīng)用相關(guān)的數(shù)據(jù)加密到要求級(jí)別，而且還必須應(yīng)用數(shù)據(jù)防泄漏機(jī)制。后者也許包括限制應(yīng)用至應(yīng)用的數(shù)據(jù)流，調(diào)用受信任的應(yīng)用程序(“開放”策略)或者強(qiáng)制數(shù)據(jù)通過(guò)安全的會(huì)話與網(wǎng)關(guān)。如果設(shè)備丟失或者員工出國(guó)，就破壞了應(yīng)用完整性，必須隔離或被擦除這個(gè)應(yīng)用以緩解業(yè)務(wù)風(fēng)險(xiǎn)，且不影響設(shè)備的其他應(yīng)用或工作人員的個(gè)人數(shù)據(jù)與應(yīng)用。#p#

企業(yè)如何使用EMM應(yīng)對(duì)BYOD業(yè)務(wù)風(fēng)險(xiǎn)

EMM具備所有這些能力，針對(duì)個(gè)人設(shè)備中的安全容器提供全生命周期管理。然而，EMM套件趨于包含相當(dāng)廣泛的能力，其中很多是單獨(dú)定價(jià)模塊。安全團(tuán)隊(duì)必須調(diào)整他們的需求與MIS部門一致，確保任何EMM產(chǎn)品采購(gòu)都將成本最優(yōu)地滿足這兩個(gè)群體的目標(biāo)。為此，讓我們考慮EMM采用的當(dāng)前狀態(tài)。

在過(guò)去一年，根據(jù)Nielsen的看法，有更多Fiberlink的客戶已在尋求容器化的解決方案。“但對(duì)于容器化的主要需求還是圍繞電子郵件，這仍然是移動(dòng)設(shè)備上最重要的效率工具。”Nielsen說(shuō)，“安全的郵件比以往任何時(shí)候都更受歡迎，但更多客戶正朝著應(yīng)用的容器化遷移，確保第三方應(yīng)用可以分享我們?nèi)萜骰沫h(huán)境并啟用帶有SDK的私有應(yīng)用。”

換句話說(shuō)，高效、易用的容器不能是孤島;它們必須允許安全的、且基于策略的數(shù)據(jù)在可信應(yīng)用間流動(dòng)，由這些可信應(yīng)用共同在設(shè)備上創(chuàng)建安全移動(dòng)的工作環(huán)境。

Brannon注意到，除了安全郵件和安全內(nèi)容外， 一些AirWatch的客戶還需要安全瀏覽器應(yīng)用。“每個(gè)企業(yè)都有某種形式的企業(yè)內(nèi)網(wǎng)—也許是一個(gè)SharePoint站點(diǎn)或者幫助中心。我們的安全瀏覽器使得員工無(wú)需連接VPN即能安全訪問(wèn)內(nèi)網(wǎng);也使得IT部門能確保數(shù)據(jù)安全地移動(dòng)以及數(shù)據(jù)防泄露。”他這樣說(shuō)。

Rege說(shuō)，更多的MobileIron客戶正基于用戶身份以及設(shè)備狀態(tài)來(lái)決定應(yīng)提供給每個(gè)用戶和設(shè)備的訪問(wèn)級(jí)別。“有一些技術(shù)在移動(dòng)世界變得重要得多—PKI和NAC是其中兩項(xiàng)這樣的技術(shù)。”這就是為什么在選擇一個(gè)EMM套件時(shí)，EMM與企業(yè)身份管理與網(wǎng)絡(luò)基礎(chǔ)設(shè)施集成的能力會(huì)如此重要，從而匯集分別管理的安全策略并提供更為健壯的移動(dòng)威脅防護(hù)方案與更為無(wú)縫的用戶體驗(yàn)。

例如，一個(gè)企業(yè)的無(wú)線局域網(wǎng)(WLAN)可以自動(dòng)檢測(cè)一部新的個(gè)人設(shè)備，將它重定向到EMM系統(tǒng)進(jìn)行注冊(cè)、證書安裝以及容器部署。此后，WLAN 在授權(quán)這部設(shè)備網(wǎng)絡(luò)訪問(wèn)前，會(huì)咨詢 EMM以確認(rèn)其完整性;EMM還扮演隔離不合規(guī)設(shè)備的角色。

在選擇EMM時(shí)思考這些場(chǎng)景并考慮自動(dòng)化，會(huì)有助于企業(yè)不僅僅是容忍而是很大程度完全接受個(gè)人設(shè)備，這通過(guò)使用更細(xì)粒度的安全策略、功能更豐富的管理套件以及更佳的一體化來(lái)實(shí)現(xiàn)安全移動(dòng)。