移动装置、云端/虚拟化都不是新的IT技术,但在企业追求成本与效率的前提下,成为越来越普及的IT应用模式,相关的安全与管理需求也应运而生。
移动装置改写端点定义 BYOD控管刻不容缓
随着智慧型手机或平板电脑盛行,带动BYOD议题兴起,促使企业重新改写对端点的定义,从PC扩大到移动装置,安全也就成为讨论焦点,Novell特约技术顾问李昆龙指出,移动装置管理已是现在进行式,企业IT需以更积极的态度来面对BYOD趋势。
李昆龙接着提出统计每分钟有113只手机遗失,而每周有12,000台平板电脑不见,约有50%掉在研讨会或机场等公开场合,但只有4%的手持式装置有安装相关的管理软件。另外为了与同事或客户分享资料,很多人会透过像Dropbox这类的网路储存空间来交换档案,也可能造成公司机密资料摆放在外部公有云的危险现象。
虽然这些移动装置极可能造成企业资料外泄的风险,但与笔记本电脑不同的是这些装置大多属于员工个人所有,也因此普遍不愿意让公司安装可追纵手机位置与其他监控功能的MDM管理软件。对此李昆龙建议企业应向员工说明,资料的保护不分个人或公司,以公司来看当然是商业机密,对员工而言就是个人隐私,这些都是需要保护的,而Novell的ZENworks Mobile Management能针对个人或公司的不同需求来管理。
如果是个人手机,可以设定只启动SD卡加密,或当手机遗失时进行手机定位或远端清除的基本防护;如果是公司配发的手机,则可进一步执行App安装控管、检查手机是否遭jailbreak(越狱)、简讯侧录等更严格的管控。至于在移动装置资料分享上,Novell提供企业私有储存云服务,就像企业专属Dropbox一样,提升与客户或厂商交换资料的安全性。
目前国内的厂商也有电子资料监控系统解决方案,对包括手机在内的多种电脑周边装置与员工的操作行为进行控管、稽核、监测与管理,透过安装代理程式来控管手机,甚至还能利用外挂模组来掌握特定人员的动态,详细记录一早上班后的所有动作并支援萤幕撷取功能。另外还提供机密记录防护功能,需同时有稽核人员在内的双重密码输入才能观看员工操作记录,确保员工隐私不致遭到滥用。
F5则强调手机AP管理(也就是MAM)的重要性,包括AP在传输过程中的连线安全性、企业APP的管理、管制浏览器的走向与连线位置、在手机内建立加密空间…等。F5台湾区技术经理陈建宏指出,一般MAM解决方案,企业通常会建立1个以上的管理平台,并搭配负载平衡(Load Balance)、Access point(即VPN Gateway)等网路设备,倘若遇到系统不能运作时,不容易厘清是AP或MDM出了问题。
因此,F5提供内建APM模组的AP(支援SSL VPN与IPSec VPN功能),可以同时管理移动装置与传统PC来的连线需求,至于MAM软件则放上云端,提供设定管理政策、产出报表功能,同时在移动装置内建立一个加密的虚拟空间workplace,储存与公司有关的APP、邮件或档案,由于云端MAM不会接触到资料,可以降低企业对资料传输至云端的安全疑虑。