企业无法仅靠MDM或MAM因应BYOD
扞卫企业信息资产的安全,乃是IT部门无可回避的天职,因此面对山雨欲来的「员工携带自有装置(Bring Your Own Device;BYOD)」浪潮,多数MIS可说又爱又恨,如何在满足同仁方便性之余,亦能顾及网安防御的初衷?
为何BYOD会成为备受讨论的议题?看看以下数据,理应不难获得解答。根据网安厂商研究,在2010年,全球企业PC总台数为1.77亿、整体智能手机总台数为3亿、整体平板电脑总台数为0.15亿,预估到了2015年,上述三个数字将分别成为2.46亿、10.17亿、3.26亿。
也就是,前后达五年的期间内,企业个人电脑数量不过才增加39%,但在此同时,散居全球各个角落的智能手机与平板电脑,其数量竟分别大增340%、2,170%,伴随着移动设备的爆炸性成长,员工人人都可望持有一台以上的可携式设备,将之带入企业办公场域,同时满足公私等不同面向的应用需求,势将成为稀松平常之事。
但问题来了,纵使智能手机、平板电脑规格不断演进,再怎麽说,不论在运算速度、储存容量等方面,都有一定的限度,还不太可能在短短几年之内,就发展到等同于个人电脑的水准,所以员工倘若拿这些移动设备存取企业的应用程序或数据,并经过一番编辑(含新增或删除)之后,所产生的新档案或新数据,将不可能悉数留存在装置内部,最方便的去向即是云端,包含私有云或公有云都有可能。
倘若是私有云,由于尚且座落在公司高度管制的辖区内,倒没有什麽大问题,但如果是私有云,可就后患无穷。举一个简单的例子,假使企业为了遵循新版个人数据保护法,已经卯足全劲部署数据外泄防护(DLP)等相关防御系统,其终极目标,就是避免员工有心或无意将个资机敏泄露出去,然而万一员工个个都以移动设备存取公司的应用程序或数据,并将之转存于Dropbox,那麽先前大费周章所做的努力,恐将轻易破功,因为黑客根本不必绞尽脑汁突破企业设下的防线,只需要针对公有云动手,便能搜括到大批个资。
由此看来,BYOD的后遗症并不算小,难免会让MIS心生厌恶,为了阻止公司机敏数据或个人数据,IT团队已经疲于奔命,费了九牛二虎之力,好不容易把防御机制弄得有模有样,如今不过是同仁的便宜行事,随随便便就将这些成果摧毁殆尽,到头来,一旦发生数据外泄,倒楣的不会是别人,一定就是MIS,既然如此,倒不如把BYOD的路封死,凡是有人带自己的装置到办公室,要想连结无线网络、收发电子邮件、连结Intranet、读取任何数据…,很抱歉,通通都不准!
但MIS力阻BYOD风潮蔓延,或许能撑得了一时,但绝非永久,先不说别的,公司高端主管如果表明想以移动设备连结无线网络、收发电子邮件、连结Intranet、读取任何数据,身为下属的MIS,还能豪气干云地说不?此门一开,其他同仁岂能不比照办理?到了那时,先前的禁令便将无疾而终!
难道MIS可以双手一摊,昭告天下说「都是你们自己要BYOD,一切后果自负」,然后索性采取完全放任的态度?当然不行!此时,MIS少不得需要针对BYOD议题做足功课,思考如何导入相对应的防护系统,以免真的出了乱子。
何谓相对应的防护系统?由于BYOD热潮方兴未艾,各路网安厂商打铁趁热,一定将十八般武艺倾巢而出,但说是英雄所见略也好、大家了无新意也罢,这些十八般武艺,到头来通常只剩下两招,一是「移动设备管理(Mobile Device Management;MDM)」,另一就是「移动应用程序管理(Mobile Application Management;MAM)」,影响所及,不少MIS就自然而然地认定,只要手持MDM与MAM两道令牌,即可练就金刚不坏之身,进而在险恶的BYOD丛林里悠然自得。
这样的想法,并不能说大错特错,因为一来有做总比没做好,二来既然那麽多网安业者都力挺MDM及MAM,它们肯定不是空包弹,必然具有相当程度的功效;只不过,若说MIS只此一步,其余再无任何努力空间,听来似乎又有些不对劲。
细数MDM的罩门
深究MDM解决方案的设计理念,其实并不乏「人性本善」的意味,也就是说,公司坚信员工个个都不会蓄意泄露机密数据,只是对于移动设备的使用行为,难免百密一疏,意外沦为数据外泄的帮凶,所以才运用MDM,竭尽所能帮助员工好好地控制移动设备。
于是乎,假使公司只部署了MDM系统,暂未在其他BYOD管控措施上,有太多着墨,在此情况下,员工若欲以自己的移动设备存取公司网络,少不得需要通过帐密输入等层层关卡,某种程度上,可能造成使用上的不便,此即为MDM的罩门之一。
但为了呵护公司数码资产,人人责无旁贷,牺牲一己的不便换得企业营运的永续运转,忍一忍也就过去了,所以当然有人不会将上述罩门看得太过严重;只不过,MDM的缺陷当然并不仅止于此。
MDM还存在哪些弱点?事实上,倘若MIS有心,把市面多达近80余个不同厂牌系统,全都一字排开,看完后一定会有一种感觉,这些MDM都是大同小异,彼此功能项目的差距并不大,大抵不脱设定装置、管理资产、派送程序、套用政策等格局,为何如此?只因MDM功能范围受到先天限制,唯有苹果(Apple)、谷歌(Google)允许这些厂商能做什麽,他们才能做,在此界线之外,如果想发展任何独门秘技,只能走上JB或Root等装置破解之路,然而冒然破解的代价相当之大,因为不管是JB或Root,都可能破坏系统安全性,未蒙其利反先招惹祸害,此为第二道缺憾所在。
至于第三道缺憾,则更加令人堪虑。万一员工遗失装置,里头又存在一些公司的应用程序或数据的话,此时MIS不假思索,一定想动用MDM解决方案之中的线上抹除功能,先将此命令上传至Apple或Google,接着再下达到该移动设备,这般运作方式看似严谨,但其实存在致命弱点,万一拾获装置的有心人士,刻意移驾至没有联网的环境,那麽企业所欲传送的抹除命令便宣告失效,此人就可好整以暇,慢慢地向这台装置挖宝。
MAM情况稍好 但亦非无懈可击
由于MDM尚不足以确保BYOD安全,而且又抑制了使用弹性,导致MAM逐步抬头,成为企业评估导入的第二个标的。MAM的主要精神是,将要求输入帐密的时间点,后推到意欲执行企业App之际,所以较MDM多了几分弹性。
MAM顾名思义是移动应用程序管理,所以使用者在存取企业App时,当然受到一些限制,也隐含若干不便。比方说,万一企业未建立单一签入(SSO)机制,员工每开启一种App,就得输入一次口令,但一旦执行SSO则无此疑虑;再者,员工在执行App之余,若想将个中内容复制或分享到其他App、上传到Dropbox等云端硬盘,或者外传到白名单之外的IP位址,都可能受到限制,端视企业移动安全政策的严谨度而定。
万一企业管制得过严,就会出现一个后遗症。举例来说,假使员工意欲读取附加于邮件的图档,或想要编辑附加档案的文字,除非公司费心开发看图或编辑工具,否则都将变得滞碍难行,但企业欲自行发展具备这些功能的App,可行性其实也不大,所以终将对员工生产力造成不小冲击。
有监于此,若干MAM供应商开始铺陈应用程序生态系统概念,亦即在一定框限内,置入一些已确定安全无虞的功能型App,使得企业无须变更程序码,即可将档案加以分享并后制,一旦处理完毕,也绝无外流之虞,借此填补上述缺憾。
总括而论,MDM及MAM之于企业移动管理方案,不过是其中一环、而非全部,更重要的,企业的移动安全管理政策(例如凭证、口令控制原则)、及相关基础架构,也必须都要到位,才能确保BYOD安全性。