聽說有種BYOD和移動安全的方法，它涉及圍繞各種應(yīng)用(消費類和企業(yè)類)使用應(yīng)用封裝來部署加密、安全協(xié)議和其他措施。應(yīng)用封裝能否提供足夠的安全性，這種方法比移動設(shè)備管理軟件更好嗎?

[[163789]]

Michael Cobb：現(xiàn)在有廣泛的移動設(shè)備管理(MDM)和移動應(yīng)用管理(MAM)產(chǎn)品可供企業(yè)選擇，以幫助他們管理其BYOD環(huán)境。MDM的問題是，它采用全設(shè)備的方法來保護和控制智能手機及平板電腦，而智能手機和平板電腦都是員工自己持有的設(shè)備。在另一方面，MAM提供更細粒度的控制，但它受限于移動設(shè)備底層操作系統(tǒng)的安全功能。雖然微軟、谷歌和蘋果等供應(yīng)商不斷提高自己操作系統(tǒng)的安全性，他們永遠不可能做到100%的安全，并且，糟糕編寫的應(yīng)用可讓攻擊者利用潛在的漏洞。

大多數(shù)MAM產(chǎn)品基于這樣的假設(shè)，即BYOD設(shè)備使用的移動應(yīng)用可安全運作以及保護其處理的數(shù)據(jù)。根據(jù)BlueBox Security最新報告顯示，這是一個錯誤的假設(shè)，因為在接受調(diào)查的開發(fā)人員中，超過50%承認使用快捷鍵或臨時解決方案來更快構(gòu)建應(yīng)用，而96%使用可能不安全的第三方軟件框架。這種“倉促開發(fā)”的方法讓很多應(yīng)用沒有基本的安全控制或隱私政策，有時候?qū)е滤鼈儼幋a錯誤，而導致設(shè)備容易受到攻擊。

應(yīng)用封裝是修改移動應(yīng)用二進制來提高增加其安全和管理功能的做法，它在MAM中發(fā)揮有用的作用。通過在新的容器化程序(內(nèi)置所需的應(yīng)用級MAM功能)中“封裝”應(yīng)用，應(yīng)用封裝對移動應(yīng)用構(gòu)建了管理層。這個過程不需要對底層應(yīng)用有任何改變--它需要訪問應(yīng)用二進制，但它讓管理員仍然能夠設(shè)置特定政策元素，例如是否需要用戶身份驗證、是否在默認情況下啟用數(shù)據(jù)加密以及與應(yīng)用有關(guān)的數(shù)據(jù)是否存在在設(shè)備或共享。當設(shè)備缺乏足夠的設(shè)備級MAM功能(例如不同的Android手機和平板電腦)時，這是很有用的方法。并且，在無法使用MDM產(chǎn)品管理設(shè)備時，應(yīng)用封裝也是有效的工具，這種情況BYOD環(huán)境很常見，因為其中涉及很多承包商和其他第三方用戶。

然而，由于應(yīng)用封裝可以改變應(yīng)用的行為，并可重新設(shè)計以及重新發(fā)布應(yīng)用，這帶來了各種許可證問題，而整個行業(yè)對這個問題仍然沒有定論。普遍的共識是，使用應(yīng)用封裝與公共應(yīng)用商店的規(guī)則相沖突，否則任何人都可以封裝現(xiàn)有的應(yīng)用并重新發(fā)布它。隨iOS 9同時發(fā)布的蘋果開發(fā)者企業(yè)許可協(xié)議中有新的規(guī)定，禁止應(yīng)用封裝公共應(yīng)用的做法。此前未公共應(yīng)用提供應(yīng)用封裝的Bluebox Security不再為Google Play或Apple App Store的應(yīng)用提供應(yīng)用封裝。另外，微軟認為管理微軟應(yīng)用的唯一方法是通過微軟Intune或者使用設(shè)備級MAM。

隨著移動設(shè)備操作系統(tǒng)供應(yīng)商為工作和個人數(shù)據(jù)及應(yīng)用推出內(nèi)置分離功能，使用應(yīng)用封裝的做法可能會逐漸減少。另外，針對企業(yè)市場的軟件供應(yīng)商正讓其應(yīng)用更易于通過MAM進行管理。但是，應(yīng)用封裝仍然可在操作系統(tǒng)提供的安全之上增加安全層，或者在內(nèi)部構(gòu)建應(yīng)用的情況下，從一般開發(fā)過程抽象化MAM的部署以及安全功能。現(xiàn)在有各種供應(yīng)商提供應(yīng)用封裝產(chǎn)品，例如Mocana Atlas Appliance、Citrix和AppSense、Nukona(現(xiàn)在屬于賽門鐵克)以及OpenPeak，但企業(yè)應(yīng)該確保在開發(fā)應(yīng)用封裝戰(zhàn)略之前，他們完全了解所有許可問題。