移動技術與自帶設備(簡稱BYOD)正在徹底改變人們完成日常工作以及組織為員工提供技術支持的實際方式。移動技術絕不像單純的遠程訪問那么簡單——而移 動設備的適應能力也遠高于被限定了用途的功能性裝置。計算機、智能手機以及平板設備等所帶來的應用程序及數據訪問、存儲與傳輸能力幾乎能夠在任何類型的商 業事務當中發揮作用。為了徹底釋放蘊藏在企業級移動技術當中的全部潛力,IT部門需要為員工提供必要的自由空間、允許他們通過任何設備以無縫化方式對應用 程序及數據進行順暢訪問。
移動設備當然也需要通過正確的安全管理方案予以支持,從而保證員工在各個地點、利用非受信網絡處理業務信息時,企業仍然有能力扼制潛在數據丟失或者泄露的 安全風險。IT部門必須大力維護合規性要求,并對以任意方式保存在任意位置的敏感信息加以保護。由可穿戴式技術到物聯網所引發的新興移動趨勢也已經成為新 的、且需要認真考量的影響因素。時至今日,開發出一套真正具備綜合特性且融入安全意識的移動戰略已經成為每一家企業機構的當務之急。
本文共提出了十大關鍵性要點:
1. 對關鍵性因素加以管理與保護
當人們利用多種設備進行數據與應用程序訪問時——其中包括個人持有的智能手機與平板設備——那么強行利用技術手段由IT部門對環境當中的各個層面加以控制 與管理就失去了可行性。相反,大家應當專注于那些對于企業自身最為重要的關鍵性因素,并選擇最符合當前業務及移動用例的移動管理模式。目前我們可選擇的模 式主要分為四種,大家可以從中選擇其一或者全部使用。
移動設備管理(簡稱MDM)——MDM允許大家對用于訪問業務資源的移動設備進行管理與控制。在一臺設備——無論是由企業持有還是員工個人持有——訪問企 業網絡之前,大家可以驗證其是否存在越獄或者其它與安全保障規定相違背的狀況。加密、遠程鎖定與內容清除、移動VPN、應用程序黑名單以及對選定原生設備 功能加以禁用的能力足以共同構建起一套高水平的安全保護體系。
移動虛擬機管理程序與容器技術——特別是在對BYOD機制進行支持的情況下,此類模式允許大家在設備上的容器環境當中實現應用程序、數據、政策以及設置管 理,而且完全無需與設備上的員工個人內容產生任何交集。事實上,此類技術相當于將單一移動設備拆分成兩套彼此隔離的虛擬設備:一套面向工作、另一套則單純 面向個人生活。
移動應用程序管理(簡稱MAM)——作為一套構建在容器化基礎之上的方案,MAM允許大家以集中方式對各類移動應用程序進行安全管理與控制,包括與之相關且作為容器組成部分的數據及設置信息。應用級別的管理政策當中可包含驗證、網絡、位置、密碼以及加密等要素。
應用程序與桌面虛擬化——現有虛擬化安全機制在移動用例當中也同樣能夠發揮作用。企業級應用程序能夠針對移動設備進行優化并根據實際需要進行交付,而數據則在數據中心環境內得到充分保護。
2. “用戶體驗”至上
移動設備已經成為企業環境內消費化浪潮的主要推動力,同時也保證了用戶能夠在個人生活中以更為強大的全新方式使用應用程序及信息。這無疑給IT部門帶來了 更大壓力,要求其必須有能力為企業員工帶來可以與技術供應商相媲美的出色使用體驗。建議各位從業人士找機會與用戶面對面交流,共同探討對方的實際需求及喜 好、從而確保自己的移動戰略能夠真正貼合他們的心意與預期。
當大家努力提供卓越用戶體驗的同時,也請嘗試尋找更多能夠超出使用群體心理預期、甚至為其帶來前所未見的高實用性方案的可能性。舉例來說:
允許用戶在其使用的任意設備上訪問應用程序及數據,并配合其個性化設置方案,這樣他們才能以自己最熟悉的方式高效工作。
允許用戶在任何需要的應用程序中通過配備單點登錄機制的企業應用程序商店使用自助式配置方案——包括托管、移動或者SaaS應用。
提供共享式瘦客戶端或者其它企業級設備,從而保證用戶在發現自己的消費級設備出于安全要求而無法運行某些特定應用時、能夠輕松快捷地通過切換解決問題。
利用自動控制機制實現數據共享與管理,例如保證用戶能夠在不同應用程序之間實現數據復制,這樣他們才不必刻意記憶具體管理政策。
以各款應用程序為基礎定義所允許的設備功能,這樣用戶能夠在IT不得不關閉某些應用程序時、繼續正常使用某些相關功能,例如打印、拍照以及本地數據存儲。
最大可能簡化用戶在不同設備之間進行文件共享與同步所需要執行的操作流程,另外通過發送鏈接實現與外部通信對象的文件共享。
通過開發屬于自己的移動戰略方案并充分考慮到用戶的協作需求,大家能夠在切實滿足對方需要的同時獲得寶貴的安全保障機遇——即確保用戶理解IT部門自身的管理要求,從而滿足合規性條款,例如保護應用程序與數據、控制網絡訪問并對設備加以適當管理等。
3. 避免旁側回避
旁側回避可以說是擺在企業移動方案面前的最大難題:一位BYOD用戶所使用的消費級設備可能需要涉及高敏感性企業數據并直接與云環境對接。但旁側機制徹底 回避了IT部門所部署的控制與可視化管理方案,而且可怕的是此類情況在當今企業中可謂屢見不鮮。當然,我們能夠理解用戶采取此類作法的理由。云應用程序能 夠幫助員工節約時間并大大簡化工作執行流程,他們同時也可以借此為企業創造更為可觀的收益。問題的核心在于,當云應用程序以錯誤的方式與企業敏感數據產生 了交集,安全性與合規性要求也將瞬間淪為一紙空文。
IT 管理政策與用戶培訓恐怕是目前惟一能夠阻扼旁側回避狀況的方案——事實上,如果僅僅是IT部門明令禁止此類作法、但員工卻將其視為完成工作的必要括,那么 旁側回避將永遠不會徹底消失、而且IT部門甚至根本不會發現。在這種情況下,IT部門需要強制要求用戶與其合作,特別是在涉及敏感性數據與應用程序的關鍵 性領域。最好的激勵性舉措就是提供良好的用戶體驗,并以積極的設計成果滿足員工需要、從而通過競爭方式將不受監管的備選方案排擠出去。
4. 關注自己的服務交付策略
移動用戶往往同時依賴于多種不同應用程序類型——除了定制化移動應用之外,還包括第三方原生移動應用、移動化Windows應用以及SaaS解決方案等 等。在開發自己的移動戰略時,大家應當考慮到如何將企業當中員工與部門所使用的不同應用程序加以整合,并設計出合理的移動設備訪問機制。
用戶一般通過以下四種方式利用移動設備實現應用程序訪問:
原生設備體驗——在這類情況下,用戶的設備處于完全未受管理狀態。人們會購買自己的應用程序,能夠自由將個人數據與業務信息相結合,并且通過任意網絡進行 日常操作。與前面提到的旁側回避狀況相似,這種作法存在極高風險且毫無安全性可言、因此應該被徹底消除出敏感數據的活動范疇。
虛擬化訪問體驗——虛擬化應用程序與數據——必要時也包括虛擬桌面機制——由數據中心負責托管,并通過遠程顯示協議加以呈現。IT部門能夠對訪問活動加以 管理,從而確保員工能夠在移動平臺上以高度安全方式運行Windows應用程序。全部數據完全不會超出數據中心控制范疇,這就大大減輕了設備本身對于數據 保護的相關負擔。不過這種方式對于網絡連接存在高度依賴性,意味著限制了脫機使用場景的實現。
容器化體驗——企業在設備上為全部企業移動應用程序創建一套容器環境——其中包括定制化與第三方原生移動應用——而且不同應用擁有屬于自己的隔離式容器載 體。IT部門能夠在對進入容器的應用程序及數據進行管理的同時,允許用戶通過企業應用程序商店配置屬于自己的應用方案。相關應用程序能夠在IT管理政策的 引導下以自動化方式進行更新、配置與修改。包括SSL、加密以及應用指定VPN在內的網絡設置同樣可以被包含在容器環境當中,從而保證員工以更為簡單的方 式通過正確途徑進行聯網。除此之外,一旦設備丟失、被盜、需要進行升級或者員工離職,此類容器能夠以遠程方式加以清除。
全面管理企業體驗——此類方案利用嵌入式管理政策對移動設備進行全面控制,其中包括遠程數據清除、地理位置限制、數據失效以及其它安全性措施。所有移動應 用都經過嚴格篩選并由IT部門負責配置,整個流程不存在任何個性化空間。盡管這種解決辦法的安全效果最出色而且特別適合一部分機構及用例,但卻會嚴重影響 到用戶體驗而且無法與BYOD場景相兼容。
對于大多數企業而言,將虛擬化訪問與容器化體驗相結合已經足以支持員工日常工作所需要的全部應用程序及用例。這也使得IT部門能夠在提供理想用戶體驗的同 時,保證其對于業務環境的監管與控制能力。用戶可以通過統一化企業單點登錄方式訪問托管應用程序及原生移動應用——以及SaaS應用,例如 Salesforce以及NetSuite。當某位員工離開企業時,IT部門能夠立即禁用該員工的全部賬戶并移除其通過移動設備訪問任何原生移動、托管及 SaaS應用的權限。
5. 以自動化方式實現預期目標
自動化不僅能夠降低IT日常工作的難度,同時也可以幫助大家提供更出色的使用體驗。下面我們一起來看自動化在解決日常移動需求時帶來的神奇效果:
員工更換了丟失設備或者出于升級需求購買新設備。只需點擊一條URL,全部與該員工相關的業務應用程序及工作信息都將直接同步到新設備之上——包括完整配 置與個性化設定——并準備好應對日常工作。新員工或者外包商也能夠享受到同樣的便利,全部企業移動應用都被配置到任意由個人或者企業持有設備的容器環境當 中。單點登錄(簡稱SSO)機制則能夠以無縫化方式實現對托管及SaaS應用的訪問。
當某位員工由當前位置前往其它位置、或者由當前網絡轉向其它網絡環境,狀態性自適應訪問控制機制將自動對應用程序進行重新配置、從而保證執行流程的安全性水平——而且整個過程以透明化方式向用戶呈現。
董事會成員在出席會議時自帶平板設備。全部與會議相關的文檔內容將被自動載入到該設備當中,并根據IT作出的選定配置實現只讀訪問控制,同時根據需求為其提供限制性容器化應用。而在用戶離開會議室之外,設備中的全部信息、特別是敏感性文檔都會被自動清除。
當員工在企業中的崗位發生變動時,與其新工作相關的應用會被自動部署到位、而不再相關的應用則被立即清除。第三方SaaS使用許可也將及時回收并進行再次分配。
實現此類自動化管控機制的手段之一在于利用Active Directory。首先,將特定角色與對應的容器進行匹配。任何被定義為該角色的員工都將自動獲得相關容器及全部應用程序、數據、設置以及權限。而在設 備方面,大家可以利用MDM以集中化方式為其設置WiFi PIN碼與密碼、用戶證書、雙因素驗證以及其它用于支持上述自動化流程的元素。
6. 對網絡進行明確定義
不同應用程序及用例對于網絡可能存在多種差異化要求,包括企業內網、微軟SharePoint站點以及要求使用SSL驗證的外部合作伙伴門戶等等。在設備 層面強制執行最高級別安全設置會給用戶體驗造成不必要的負面影響,而在另一方面,要求員工為每款應用程序選擇不同的設置機制甚至有可能引發企業成員們的廣 泛抗議。
通過針對特定容器或者應用程序采用獨立設置定義并對網絡進行鎖定,大家能夠在無需用戶采取額外操作的前提下讓每款應用使用與之相符的網絡機制。員工能夠直 接點擊應用程序并開始日常工作,而與安全相關的登錄、接受憑證或者開啟應用特定VPN等操作則能夠在后臺中根據管理政策自動完成。
7. 將敏感數據視為高于一切的被保護對象
在大多數企業當中,IT部門并不了解最為敏感的數據到底駐留于何方,因此往往會將全部數據都作為最高級別的受保護對象——這種作法效率極低而且會帶來高昂 的維護成本。移動技術的普及則為大家指出一條明路,即根據針對特定業務及安全性需求的分類模式為數據帶來更具選擇性的保護措施。
很多企業會采用一套相對簡單的分類模式,即將數據劃分成三大類別——公開、保密以及受限——但也有一些企業會采取更為復雜的分類模式、即將所使用的設備及平臺類型考慮進來,甚至將用戶角色及使用位置作為附加驗證因素。總而言之,我們可以通過以下方式實現簡單的分類模式:
不包含保密、隱私或者合規性影響因素的公開數據能夠以不受限方式加以移動,并允許用戶根據需要在任何位置通過任何設備隨意使用。員工不需要通過企業基礎設 施使用此類公開數據——大家可以在針對獨立應用的網絡設置中進行配置,從而允許用戶以便捷性為前提選擇理想的接入網絡。
保密數據是指非公開且在遭遇泄露之后有可能引發風險的信息,因此需要以更高保護級別實現安全保障。在此類情況下,大家可以通過企業網絡在BYOD或者消費 級設備上交付虛擬化訪問機制,同時在配合加密及遠程數據清除等MDM功能的前提下允許企業級設備、或者通過專門針對惡劣條件下實現數據保護的任務級設備對 此類內容進行全面移動訪問。
一部分企業可能認為基于容器環境的解決方案已經足以應對此類數據。在這種情況下,數據可以在任意移動設備上隨時進行共享與同步——前提是其活動范圍僅限于受到IT部門保護與控制的隔離式容器環境。
受限數據可能導致巨大的合規性違背風險、企業信譽損害、業務利益影響以及其它負面后果,因此需要得到大家的高度重視。請確保只在任務級設備以及采用虛擬化 訪問機制的企業級設備上提供全面的數據移動訪問權限。BYOD與其它消費級設備不應對其擁有任何訪問權限,在某些情況下、大家甚至有必要將采用虛擬化及容 器化方案的移動設備排除在外。
前面提到的各類模式同時考慮到了數據定位與設備類型。大家可以還希望在安全管理政策中引入更為細化的劃分標準,例如設備平臺、使用位置以及用戶角色等等。一部分企業以及大多數政府機構都會創建出規模更為龐大的細化數據分類方案,各類方案擁有屬于自己的管理規則。
通過在自有企業基礎設施當中貫徹針對保密及受限數據的網絡訪問配置方案,大家能夠隨時掌握與之相關的各類信息,包括員工如何使用此類信息、當前數據敏感性模式以及移動控制政策的實際效果等等。
8. 對角色與歸屬權進行明確劃分
在大家的企業中,哪些員工會使用歸屬于企業的移動設備?在大多數情況下,移動技術問題都會通過專門的針對性方案加以解決,通常由委員會從基礎設施、網絡以 及應用程序的角度出發對IT功能予以監管。由于移動方案在企業中的戰略性角色以及用戶及IT需求所構成的復雜問題集合,我們的當務之急在于以移動為核心對 組織結構、角色以及流程作出明確定義。員工應當了解誰該為移動方案負責,這些負責人又將如何跨越多種不同IT功能對其實施整體管理。
而在移動設備本身方面,歸屬權問題也同樣需要明確,特別是在那些移動方案與BYOD并行不悖的企業環境當中。大家的BYOD管理政策應該有能力切實解決全面管理、企業持有以及用戶持有型設備在實際使用當中所存在的灰色過渡區域——舉例來說:
誰來為自帶設備的數據備份事務負責?誰又該為此類設備提供技術支持及維護,并承擔由此帶來的資金成本?
如果司法機構要求從個人持有的設備當中獲取數據或者日志信息,該如何解決并實現這一要求?
當員工將個人所有設備引入工作環境時,會給其中的私人內容帶來怎樣的影響?又該如何對隱私信息進行保護?
用戶與IT部門都應該了解自身的角色與職責所在,從而避免由此引發的種種誤解。明確定義BYOD管理規劃并獲得參與者的簽字確認,在此之后才能真正將個人設備帶入日常工作。
9. 在解決方案當中構建合規性機制
在全球范圍內,企業需要面對超過300項與安全及隱私保障相關的標準化條款、法律法規以及制度性要求,其具體控制舉措更是超過3500條。當然僅僅滿足這 些要求恐怕還不夠,大家也可以將自己的合規性與理想的可審計能力引入到解決方案當中。當然,我們最好不要在企業內部環境中構建完全獨立于外界的一套自有管 理體系。大家可能已經在內部網絡領域解決了合規性挑戰,而搞出獨立管理方案所帶來的衍生難題會讓剛剛松了一口氣的管理者再度陷入焦頭爛額的境地。請確保自 己的移動設備及平臺能夠以無縫化方式支持政府規定、行業標準以及企業安全政策中的合規性要求,其中包括基于政策及分類的訪問控制與安全數據存儲機制。我們 的解決方案應當有能力提供完整的日志記錄與報告信息,從而幫助自身快速高效——并且成功地——實現審計要求響應。
10. 為物聯網的全面來臨做好準備
不要單純以當下的情況作為設定管理政策的依據——我們同時也需要關注未來幾年中企業移動技術將呈現出怎樣的發展趨勢。以谷歌眼鏡與智能手表為代表的可穿戴 式技術將持續且進一步改變人們享用移動技術成果的方式,從而在不斷催生新型用例的同時帶來更加人性化的直觀使用體驗。聯網載具——其中也包括無人駕駛汽車 ——將以全新方式利用數據與云服務,從而幫助用戶以更為簡便高效的方式實現使用目標。工業控制系統(簡稱ICS)也將把企業數據作為人力工作流程以及后臺 運作體系中的組成部分。此類發展趨勢將進一步拓展移動技術所蘊藏的潛能,但同時也將給安全性、合規性、可管理性以及用戶體驗帶來新的影響。
關注目前行業內部對于上述新興技術所進行的討論,并以核心原則為基礎設計屬于自己的移動發展戰略,并保證其能夠適用于任何移動設備以及用例類型。通過這種方式,大家可以最大程度降低管理政策的變動頻率并避免大量方案迭代給用戶帶來的困擾甚至是打擊。
總結陳詞
企業移動方案已經快速突破了固有部門及用例的束縛,開始轉變為企業IT當中的基本組成元素。在大家逐步開發出自有企業移動實施戰略的過程中,請務必確保其 中考慮到了來自用戶及IT部門兩方面的全部實際需求。用戶期待著能夠以無縫化便捷方式通過任何移動設備對數據及應用程序加以訪問,而且同時擁有比個人生活 中所使用應用更為出色的用戶體驗。IT部門需要有能力為每種數據類型提供理想的控制、保護以及合規性管理級別,同時無需對員工所選擇的工作方式強加不必要 的限制性方案。通過在移動設備上推廣行之有效的安全、應用程序以及數據訪問模式及管理技術,大家將能夠為企業建立起一套適應當下要求且放眼于未來發展的綜 合性企業移動戰略。
京公網安備 11010502049343號