從消費端興起智能型手機、平板計算機應用型態,近年來正逐漸被帶入日常工作中,尤其來自高級管理層的需求強勁,才得以打破以往的限制,加速推動員工自帶設備(Bring Your Own Device,BYOD)應用趨勢。然而,目前移動載具主流平臺以Android與iOS為首,而既有IT基礎架構的端點系統則是Windows、Mac OS與Linux為主,該如何確保新興應用模式的可管理性與存取安全性,成為BYOD時代下備受關注的議題。
就應用的角度來看,Citrix表示:若公司開放員工攜帶私人設備,日常工作得以采用順手的系統接口與操作模式,方便性自然提高,只是如此一來,即代表允許私人設備存取內部信息系統,數據也可能存放在設備中,即使離開公司也可以處理工作事項。但設備一旦離開公司內網就無法運用安全控管政策把關,可能因此違反公司資安政策或法規遵循。在IT控管與員工方便性互斥下,企業對于BYOD的應用難免有所顧忌。
防范數據外泄為移動化核心需求
Sophos表示:關注BYOD相關議題的企業確實不少,實際因應的作為卻不多見。盡管市場上已陸續出現從不同技術領域提出可協助控管的解決方案,像是因應iOS、Android系統平臺而生、或由防病毒軟件廠商增添的MDM(Mobile Device Management)機制,只是許多企業實測后仍舊認為解決方案不符合預期。BYOD方案的詢問度高,甚至主動要求測試建置,但真正編列預算執行計劃的客戶確實不多。
很多企業思維較趨保守,希望在生產力提升的同時,又能夠全面掌握應用安全,例如類似桌面端控管,掌握員工在LINE、Facebook等手機通訊App上聊天的內容,即使技術上可達成,合法與否卻仍待商榷。現階段BYOD或移動化應用的阻力并非在IT技術面,而是整體安全思維導致控管政策沒有跟上科技應用的腳步,才導致出現保守觀望的態度。
除非類似保險業,本來就有補助員工自行采購筆記本電腦的政策,讓業務人員方便向客戶解說保單內容,并且開放移動設備透過VPN介接至公司內部網絡,如今若要進一步開放不同移動載具應用,門坎自然較低。然而,”公司對于員工私人設備應該控管到多細微的程度”仍是無可避免的爭議,最后評估的結果往往是決定暫時先開放設備使用,至于安全性則由控管數據端訪問權限來把關,畢竟無論終端應用如何變化,企業端最核心的思維皆是以防止機敏數據外泄為主。
安全容器隔離 限制機敏數據存取
近年來因應移動化應用需求,為iOS、Android等新興操作系統專屬研發的MDM解決方案,實作方式大致分為安全容器(Container)與輕量化(Lite-way)機制。安全容器的作法是在手機上切割一塊獨立的區域,要瀏覽網頁、收發郵件等行為,皆要登入至此區域才能執行,同時也具備更細部控管政策的能力;另一種輕量化的方式,主要是呼叫手機內建功能,以進行強制啟動或關閉,好處是耗電較低、部署方便,價格也可被接受,只是資安較嚴謹的企業會認為數據保護機制不夠完善。
“現階段較務實的控管手段,則是在手機為私人設備狀況下,僅開放連接公司郵件系統,至少藉此確認郵件不致被改用私人信箱轉發,且附件檔案只能被特定App存取,不得被附加到LINE等私人用的實時通訊App,來達到區隔的目的。”詹鴻基說。
一般談到移動設備安全控管,往往會提出MDM解決方案,但并非所有IT應用環境皆適合導入,常見像是BYOD多屬私人設備,公司要全權控管可能會引起反彈。而公司欲控管的目的在于員工會利用移動設備存取內部IT信息系統,例如最常見的網頁登入存取與收發電子郵件,僅透過移動載具本身內建功能連接難以管控,因此首先即可利用Sandbox機制,如同安全容器概念,將私人用的App與公司的App分離,讓兩者數據彼此間無法溝通。
為了避免IT建置控管機制后讓移動化應用喪失便利性,要建立可鏈接郵件系統與Web登入信息系統的App,往往還需要單一登錄(Single sign-on)機制來協助,才不致個別App都必須輸入賬號與密碼,還可藉此搭配身分驗證管控,不論在公司內部或外部皆可存取,才能達到安全控管與方便性兼顧。
內部信息系統 朝向App化發展
在獨立的安全容器中建置內部連網行為所需的App,可說是目前移動管理應用主要發展方向。林皇興觀察,如同早期從Client-Server架構逐漸轉向以網頁瀏覽為基礎的Web化,未來可預期將進一步推動IT信息系統朝向M化發展。在移動應用環境下,即使Web操控接口設計得再友善,對于輸入數據、瀏覽圖表等操作行為而言,仍會受到屏幕尺寸大小限制。因此信息系統的M化,也就是同時提供App存取操控,以及建立Enterprise Store,讓企業端自行發布內部軟件,將逐漸成為移動化應用下不可或缺的一環。
像是基于Android與iOS平臺技術發展的Good Technology以及MobileIron,皆結合借助企業端應用系統廠商之力,協助App化應用落實。MobileIron資深地區銷售經理陳威綸說明,近來提供AppConnect Program,主要即偕同第三方App建立生態鏈,例如IBM Notes、Novell Filr、Box等,協助iOS與Android系統中運行的App,可在不影響使用者操作體驗下達到安全與管控。
Good Technology則是提供一個平臺,讓企業得以基于此平臺開發App,不需額外開發身分認證、單一登錄、加密等基本機制。林皇興說明,企業內部自行撰寫開發App程序時,大多沒有建立數據加密保存機制,一旦員工離職或設備遺失,都可能導致數據外泄。此時即可藉由平臺提供的App Wrapping封裝工具進行隔離,讓數據只能在此容器中運行,不需再學習API整合開發,撰寫好的App經封裝后就可直接派送。
“然而若企業內部重要的核心系統,無法任意變更也難以轉化為App方式存取,加上移動化應用控管范疇也涵蓋筆記本電腦時,解決方案就必須進一步提供支持傳統Windows運行環境。”潘先國舉例,像是最常見以Word檔案主要流通格式,在移動載具上沒有針對開啟Word格式而開發出專屬的App應用下,即可利用”應用程序虛擬化”機制,讓移動載具擁有執行傳統Windows版本應用程序的能力,藉此利用遠程資源來運算執行,不僅不致消耗過多載具實體資源,操作接口亦不需額外學習,以協助既有IT基礎架構立即可發揮移動化之便,提高工作生產力。
京公網安備 11010502049343號