为移动应用筑起防护堡垒 智能应用 影音
EVmember
ADI

为移动应用筑起防护堡垒

  • DIGITIMES企划

微软推出的Windows Intune云端服务,可协助企业管理Windows Phone、Windows RT、iOS或Android等各式移动设备。数据来源:Microsoft
微软推出的Windows Intune云端服务,可协助企业管理Windows Phone、Windows RT、iOS或Android等各式移动设备。数据来源:Microsoft

今时今日,环顾你我的四周,已是一个充满着装置与网络连线的世界,而不再是过往「One User= One Desktop」的时代,企业IT部门如何顺应这个趋势潮流,一方面满足使用者期望的灵活弹性,二方面又兼顾成本、信息安全及法规遵循需求,确实煞费苦心。

对于一个并非Power User,也不太追逐新颖科技的人士,只会依稀记得,iPad在2011年面市,不过是前年的事情,但他肯定料想不到,后续所牵动的移动设备发展速度,竟会如此迅速猛烈!

2012年期间,智能手机加平板电脑的销售量,首度超越个人电脑;预估在2013年期间,智能手机加平板电脑的销售收入,将首度超越个人电脑,销售量更可望来到个人电脑的两倍之多;待至2015年,单单是平板电脑的销售量,都很有机会超越个人电脑。

对照Gartner所提出的2013年十大策略技术发展趋势,里头所指的技术项目,包括名列第一的「移动设备快速普及」、第二的「移动应用程序与HTML5」、第三的「个人云端」,乃至于第十的「企业应用程序商店」,都呼应了移动应用的蓬勃兴起之势。

综合这些现象,可以肯定,「移动」必然是今后企业普遍规划的重点项目,也就是说,企业不分大小,全都希望能够移动起来;但在此同时,企业若未因应此一发展趋势,部署相对应的安全防护策略,恐将导致BYOD沦为「灾难之始」!

Gartner曾经提出未来十年影响IT最重要的发展趋势,其中有两点,皆与BYOD息息相关,一是「新兴的消费者端新技术扩散到企业组织内部」,另一则是「IT及消费电子合并成同一个工作及游戏的设备」。这也意谓着,企业无法再像从前运用统购PC的模式,让所有端点定于一尊,可以预见在内部应用环境中,将充斥着不同操作系统、不同厂牌、不同屏幕尺寸的形形色色装置,每台装置里头所承载的APP应用程序,更将是五花八门。

此一情境,无疑潜藏莫大危机。先不谈别的,单指APP的安装过程,就有许多足以让管理冒出阵阵冷汗的怪异现象,例如使用者不假思索,竟允许应用程序读取移动设备储存的联络人通话,传送电子邮件或使用其他通讯方式的互动频率,此项权限,将可让应用程序储存你的联络人数据;相同的道理,使用者也往往允许应用程序读取移动设备的通话记录,包括来电及已拨电话的相关数据。

根据上述历程,最坏的结局便是,恶意程序私自共享装置持有人的联络人、通话记录等数据。可别以为最终受害者为个人,在现今生活与工作界线渐趋模糊的情况下,单一个人的受害,亦有可能酿成整个企业的危机,岂可不慎!

若企业碍难部署MDM或MAM,如何是好?
企业究竟如何解决上述灾难?经过近两年多来厂商的大声倡议,许多企业IT管理者心中都有解答,那便是移动设备管理(Mobile Device Management;MDM)、移动应用程序管理(Mobile Application Management;MAM),或者是企业移动管理(Enterprise Mobility Management;EMM)等相关方案。

以其中最常被提及的MDM或MAM而论,前者可侦测并阻挡未经授权的移动设备存取企业数据或应用程序,并确认各移动设备的状态,是否符合企业网安政策的规范;至于后者,则可识别移动设备所安装的APP是否为恶意程序,如果企业另有考量,譬如顾及装置所有权属于员工,亦可选择采取「黑名单」管控方式,防止员工下载有害的APP。

综上所述,不管是MDM或MAM,效益都显而易见,理应可满足很大部分的移动安全管理需求,既然如此,企业本该积极部署才是;只不过,部分网安业者坦言,企业对于这些解决方案的询问度确实不低,但真正决定导入者,却是不成正比,足见企业要想引进这些方案,确实面临一些阻碍。

有哪些阻碍?首先如同前述,移动设备所有权属于员工,此乃不争的事实,企业若欲强加植入MDM或MAM代理程序(Agent),不免有踩到「侵权」红线之虞;试想,如果员工返回家中,决定将这些Agent予以移除,基本上也算是其个人权利所在,此时企业不论是严加斥责、或强迫再次植入,似乎都有争议。

其次,多数台湾企业皆属中小型规模,不管在于IT部门的人力规模,抑或IT预算格局,都有其限度,对于自行建立并维运MDM或MAM服务器,乃至于每年得按移动设备数量,支付新台币6千到8千元不等的维护费用,负担确实吃重。

难道碍于上述种种因素,企业就得任令BYOD全不设防?当然万万不可。值此时刻,构筑于公有云基础的MDM服务,无疑是化解此一扞格的解法之一。

举例来说,中华电信推出的「企业移动安全防护」,即是以企业为导向之SaaS-based MDM服务,探究其主要特色,首先在于进入门槛低,企业无须斥资建立相关软硬件架构,即可以支付月租费模式,顺势取得MDM管理能量;其次,企业IT人员可集中管控公司内部所有移动设备(涵盖 iOS、Android等不同平台),除可按不同部门别设定不同安全规范外,亦可藉由大量部署减轻管理负担;再者,则是防毒、防盗、加密一次搞定。

兼管企业网域公用、私有装置
而在微软方面,亦已推出Windows Intune公有云服务,标榜不仅可管理企业网域之内的个人电脑,即使面对无法加入网域的智能手机、平板电脑等移动设备,甚至是非属Windows阵营的iOS或Android设备,通通都能加以管控。

如同Office 365,Windows Intune亦采取订阅服务模式,但值得留意之处,在于Windows Intune不可单独引进,而须连同System Center Configuration Manager 2012(SCCM 2012)一并采购,但经由Windows Intune、SCCM 2012甚或Exchange Server等不同解方案的结合使用,也将因此繁衍更大应用价值。

比方说,企业如果一并采用上述三项管理方案,则不但可以管控移动设备的邮件收发,也能发挥犹如MAM的管理效益,意即管控装置之中的APP应用程序,此外,企业也可将应用程序套件直接上传到Windows Intune服务,然后再侧载到受管理的移动设备之上。

总而言之,企业无论采用属于公有云性质的MDM或MAM服务,抑或自行部署来自SAP、IBM、MobileIron、AirWatch、Good Technology、Zenprise(已被Citrix购并)、Tend Micro、McAfee…等不同厂牌的解决方案,基本上仍是殊途同归,目的都在于为移动设备应用,筑起严密的防护堡垒,同时确保移动设备、应用与数据的安全性。

值得一提的,包括MobileIron、Good Technology或Zenprise等厂商提供的MDM产品,都已内建数据外泄防护(DLP)功能,恰好与企业现正关注的个资防护议题,可谓不谋而合;其中MobileIron透过AppConnect与AppTunnel等技术所组合而成的DLP方案,可用以检测诸如邮件附加档案可否转寄,或能否将内文复制、剪下或贴上等操作行为,借此避免不宵员工意图透过邮件将个资夹带出境。

根据Gartner报告显示,预估待至2017年,全球将有高达65%比例的企业,会导入MDM解决方案,到了那时候,企业只要环顾四周,便不难发现大多数公司都已部署此类管控机制;因此企业为了享有BYOD所造就的生产力,也能兼顾公司数据的保全性,实有必要跨出MDM、MAM或EMM这一步。