為行動應用築起防護堡壘
今時今日,環顧你我的四周,已是一個充滿著裝置與網路連線的世界,而不再是過往「One User= One Desktop」的時代,企業IT部門如何順應這個趨勢潮流,一方面滿足使用者期望的靈活彈性,二方面又兼顧成本、資訊安全及法規遵循需求,確實煞費苦心。
對於一個並非Power User,也不太追逐新穎科技的人士,只會依稀記得,iPad在2011年面市,不過是前年的事情,但他肯定料想不到,後續所牽動的行動裝置發展速度,竟會如此迅速猛烈!
2012年期間,智慧型手機加平板電腦的銷售量,首度超越個人電腦;預估在2013年期間,智慧型手機加平板電腦的銷售收入,將首度超越個人電腦,銷售量更可望來到個人電腦的兩倍之多;待至2015年,單單是平板電腦的銷售量,都很有機會超越個人電腦。
對照Gartner所提出的2013年十大策略技術發展趨勢,裡頭所指的技術項目,包括名列第一的「行動設備快速普及」、第二的「行動應用程式與HTML5」、第三的「個人雲端」,乃至於第十的「企業應用程式商店」,都呼應了行動應用的蓬勃興起之勢。
綜合這些現象,可以肯定,「行動」必然是今後企業普遍規劃的重點項目,也就是說,企業不分大小,全都希望能夠行動起來;但在此同時,企業若未因應此一發展趨勢,部署相對應的安全防護策略,恐將導致BYOD淪為「災難之始」!
Gartner曾經提出未來十年影響IT最重要的發展趨勢,其中有兩點,皆與BYOD息息相關,一是「新興的消費者端新技術擴散到企業組織內部」,另一則是「IT及消費電子合併成同一個工作及遊戲的設備」。這也意謂著,企業無法再像從前運用統購PC的模式,讓所有端點定於一尊,可以預見在內部應用環境中,將充斥著不同作業系統、不同廠牌、不同螢幕尺寸的形形色色裝置,每台裝置裡頭所承載的APP應用程式,更將是五花八門。
此一情境,無疑潛藏莫大危機。先不談別的,單指APP的安裝過程,就有許多足以讓管理冒出陣陣冷汗的怪異現象,例如使用者不假思索,竟允許應用程式讀取行動裝置儲存的聯絡人通話,傳送電子郵件或使用其他通訊方式的互動頻率,此項權限,將可讓應用程式儲存你的聯絡人資料;相同的道理,使用者也往往允許應用程式讀取行動裝置的通話記錄,包括來電及已撥電話的相關資料。
根據上述歷程,最壞的結局便是,惡意程式私自共用裝置持有人的聯絡人、通話記錄等資料。可別以為最終受害者為個人,在現今生活與工作界線漸趨模糊的情況下,單一個人的受害,亦有可能釀成整個企業的危機,豈可不慎!
若企業礙難部署MDM或MAM,如何是好?
企業究竟如何解決上述災難?經過近兩年多來廠商的大聲倡議,許多企業IT管理者心中都有解答,那便是行動裝置管理(Mobile Device Management;MDM)、行動應用程式管理(Mobile Application Management;MAM),或者是企業行動管理(Enterprise Mobility Management;EMM)等相關方案。
以其中最常被提及的MDM或MAM而論,前者可偵測並阻擋未經授權的行動裝置存取企業資料或應用程式,並確認各行動裝置的狀態,是否符合企業資安政策的規範;至於後者,則可辨識行動裝置所安裝的APP是否為惡意程式,如果企業另有考量,譬如顧及裝置所有權屬於員工,亦可選擇採取「黑名單」管控方式,防止員工下載有害的APP。
綜上所述,不管是MDM或MAM,效益都顯而易見,理應可滿足很大部分的行動安全管理需求,既然如此,企業本該積極部署才是;只不過,部分資安業者坦言,企業對於這些解決方案的詢問度確實不低,但真正決定導入者,卻是不成正比,足見企業要想引進這些方案,確實面臨一些阻礙。
有哪些阻礙?首先如同前述,行動裝置所有權屬於員工,此乃不爭的事實,企業若欲強加植入MDM或MAM代理程式(Agent),不免有踩到「侵權」紅線之虞;試想,如果員工返回家中,決定將這些Agent予以移除,基本上也算是其個人權利所在,此時企業不論是嚴加斥責、或強迫再次植入,似乎都有爭議。
其次,多數台灣企業皆屬中小型規模,不管在於IT部門的人力規模,抑或IT預算格局,都有其限度,對於自行建立並維運MDM或MAM伺服器,乃至於每年得按行動裝置數量,支付新台幣6千到8千元不等的維護費用,負擔確實吃重。
難道礙於上述種種因素,企業就得任令BYOD全不設防?當然萬萬不可。值此時刻,構築於公有雲基礎的MDM服務,無疑是化解此一扞格的解法之一。
舉例來說,中華電信推出的「企業行動安全防護」,即是以企業為導向之SaaS-based MDM服務,探究其主要特色,首先在於進入門檻低,企業無須斥資建立相關軟硬體架構,即可以支付月租費模式,順勢取得MDM管理能量;其次,企業IT人員可集中管控公司內部所有行動裝置(涵蓋 iOS、Android等不同平台),除可按不同部門別設定不同安全規範外,亦可藉由大量部署減輕管理負擔;再者,則是防毒、防盜、加密一次搞定。
兼管企業網域公用、私有裝置
而在微軟方面,亦已推出Windows Intune公有雲服務,標榜不僅可管理企業網域之內的個人電腦,即使面對無法加入網域的智慧型手機、平板電腦等行動裝置,甚至是非屬Windows陣營的iOS或Android設備,通通都能加以管控。
如同Office 365,Windows Intune亦採取訂閱服務模式,但值得留意之處,在於Windows Intune不可單獨引進,而須連同System Center Configuration Manager 2012(SCCM 2012)一併採購,但經由Windows Intune、SCCM 2012甚或Exchange Server等不同解方案的結合使用,也將因此繁衍更大應用價值。
比方說,企業如果一併採用上述三項管理方案,則不但可以管控行動裝置的郵件收發,也能發揮猶如MAM的管理效益,意即管控裝置之中的APP應用程式,此外,企業也可將應用程式套件直接上傳到Windows Intune服務,然後再側載到受管理的行動裝置之上。
總而言之,企業無論採用屬於公有雲性質的MDM或MAM服務,抑或自行部署來自SAP、IBM、MobileIron、AirWatch、Good Technology、Zenprise(已被Citrix購併)、Tend Micro、McAfee…等不同廠牌的解決方案,基本上仍是殊途同歸,目的都在於為行動裝置應用,築起嚴密的防護堡壘,同時確保行動設備、應用與資料的安全性。
值得一提的,包括MobileIron、Good Technology或Zenprise等廠商提供的MDM產品,都已內建資料外洩防護(DLP)功能,恰好與企業現正關注的個資防護議題,可謂不謀而合;其中MobileIron透過AppConnect與AppTunnel等技術所組合而成的DLP方案,可用以檢測諸如郵件附加檔案可否轉寄,或能否將內文複製、剪下或貼上等操作行為,藉此避免不宵員工意圖透過郵件將個資夾帶出境。
根據Gartner報告顯示,預估待至2017年,全球將有高達65%比例的企業,會導入MDM解決方案,到了那時候,企業只要環顧四周,便不難發現大多數公司都已部署此類管控機制;因此企業為了享有BYOD所造就的生產力,也能兼顧公司資料的保全性,實有必要跨出MDM、MAM或EMM這一步。