從MDM到EMM:是什么驅(qū)動了這種演變
當涉及安全問題時,你不能像對待桌面一樣對待移動設備。
自帶設備辦公(BYOD)引發(fā)了一場革新,關于雇主如何啟用安全而富有成效的移動性,這迫使以硬件為中心的移動設備管理(MDM)產(chǎn)品發(fā)展成為企業(yè)移動管理(EMM)套件。隨著BYOD接受度的發(fā)展,安全移動性挑戰(zhàn)以及EMM市場也在增長。根據(jù)技術研究公司Radicati Group Inc.,今年全球EMM市場收入將達到14億美元,到2018年將超過57億美元。為了理解EMM如何應對BYOD風險,讓我們來考慮是什么力量驅(qū)動了這種演變。
MDM不足之處
十多年前,MDM出現(xiàn)在管理Windows CE及黑莓手機的產(chǎn)品中。當iPhone啟動BYOD的采用時,MDM產(chǎn)品對蘋果和安卓手機進行了支持,但仍然主要側重于以設備為中心的目標:硬件資產(chǎn)管理、OS配置以及遠程發(fā)現(xiàn)和擦除功能。總之,MDM提供針對整體設備的管理功能,協(xié)助IT部門控制員工自帶的個人設備。
這種傳統(tǒng)的桌面管理方法可能適用于公司配發(fā)的手機,但對公私混用的設備就捉襟見肘了;員工們顧慮個人隱私,而這種方法也將IT部門置于因處理個人應用和數(shù)據(jù)而不受歡迎的處境。此外,MobileIron的戰(zhàn)略副總裁Ojas Rege認為,設備管理關注錯了攻擊向量。
Rege說,“架構驅(qū)動攻擊向量。”
Rege認為,在Windows桌面世界,攻擊主要利用開放文件系統(tǒng)以及內(nèi)核態(tài)的應用程序。但iOS、Windows Phone以及(在較小程度上)安卓通過嚴格的用戶空間分離以及應用沙箱技術消除了這些向量。而事實上移動設備面臨的威脅包括越獄、間諜軟件、無線輻射以及用戶行為—需要不同方法的架構差異。
因此EMM轉(zhuǎn)移了IT的關注重點,從保護設備轉(zhuǎn)移到保護數(shù)據(jù)以及控制企業(yè)數(shù)據(jù)如何在應用間流動,從而保障數(shù)據(jù)處于靜止和移動狀態(tài)的安全。這種EMM方法不僅能更好處理移動威脅,也使得IT部門可以只管理每部智能手機或平板電腦的“業(yè)務部分”。
#p#
應用EMM來加強安全策略
根據(jù)Gartner評估標準,EMM產(chǎn)品必須包括如下功能:硬件和應用清單,OS配置管理,移動應用部署、更新、移除以及配置和策略管理,遠程故障診斷和行動,還有移動內(nèi)容管理。許多這些功能由MDM產(chǎn)品開創(chuàng),并繼續(xù)作為EMM的競爭籌碼。MDM產(chǎn)品發(fā)展成為EMM套件的EMM引爆點附帶有內(nèi)容和應用管理功能,使得IT部門有能力提供、監(jiān)測和加強更細粒度的安全策略。
EMM轉(zhuǎn)移了IT的關注重點,由保護設備到保護數(shù)據(jù)以及控制企業(yè)數(shù)據(jù)如何在應用間流動,以保障數(shù)據(jù)處于靜止和移動狀態(tài)的安全。
AirWatch by VMware(VMware于2014年1月收購了MDM提供商AirWatch)的首席方案工程師Blake Brannon認為,圍繞移動安全的需求通常會引發(fā)客戶采用EMM。他說:“采用BYOD的廠商、承包商以及員工—所有這些用例分享圍繞容器化的更多控制需求,特別是應用和數(shù)據(jù)。例如,許多設備都支持加密,但某些設備處理得比其他的更妥善。在某些情況下,你不想強制所有BYOD設備加密。而其他情況下,也許會要求FIPS級別的加密,或者僅僅是比原生更強壯的加密。容器這種方案允許更細粒度的加密策略,勝過任何給定設備在硬件級別進行支持的方案。”
Fiberlink(IBM的一個公司)的高級產(chǎn)品經(jīng)理John Nielsen,描述了應用上的類似趨勢。“在BYOD設備上,不僅僅要確保靜止內(nèi)容的安全性,還需要具備擦除(僅企業(yè))內(nèi)容以及控制容器間內(nèi)容流的能力。EMM能設置應用白名單,確定數(shù)據(jù)被允許流向何處,包括第三方應用、存儲以及云。EMM提供的策略控制可以簡單如阻斷拷貝/粘貼或截屏或打印敏感內(nèi)容,也可以更高級,如一個文件只被允許在企業(yè)版Box.net中打開而不能在iCloud或者Google Drive中打開。”
Rege認為,善意的用戶持續(xù)唾手可得。“用戶收到一封郵件,并打開DropBox中的一份附件—那么現(xiàn)在你有公司數(shù)據(jù)置于不受控制的公有云中了。該威脅存在于傳統(tǒng)設備中,但對于移動設備更為嚴重,這是因為云是如此緊密地集成于移動設備中。由于數(shù)據(jù)在設備間移動,[EMM]必須確保數(shù)據(jù)始終是加密的。”這就是為什么移動應用管理(MAM)在EMM中扮演如此重要的角色。
例如,當有人在智能手機或平板電腦上運行商業(yè)應用程序時,企業(yè)必須識別該應用的用戶(也許使用企業(yè)認證或者單點登錄),也必須對應用執(zhí)行進行授權(基于設備完整性甚至還有地理位置)。必須正確安裝與配置應用自身,必須將應用相關的數(shù)據(jù)加密到要求級別,而且還必須應用數(shù)據(jù)防泄漏機制。后者也許包括限制應用至應用的數(shù)據(jù)流,調(diào)用受信任的應用程序(“開放”策略)或者強制數(shù)據(jù)通過安全的會話與網(wǎng)關。如果設備丟失或者員工出國,就破壞了應用完整性,必須隔離或被擦除這個應用以緩解業(yè)務風險,且不影響設備的其他應用或工作人員的個人數(shù)據(jù)與應用。#p#
企業(yè)如何使用EMM應對BYOD業(yè)務風險
EMM具備所有這些能力,針對個人設備中的安全容器提供全生命周期管理。然而,EMM套件趨于包含相當廣泛的能力,其中很多是單獨定價模塊。安全團隊必須調(diào)整他們的需求與MIS部門一致,確保任何EMM產(chǎn)品采購都將成本最優(yōu)地滿足這兩個群體的目標。為此,讓我們考慮EMM采用的當前狀態(tài)。
在過去一年,根據(jù)Nielsen的看法,有更多Fiberlink的客戶已在尋求容器化的解決方案。“但對于容器化的主要需求還是圍繞電子郵件,這仍然是移動設備上最重要的效率工具。”Nielsen說,“安全的郵件比以往任何時候都更受歡迎,但更多客戶正朝著應用的容器化遷移,確保第三方應用可以分享我們?nèi)萜骰沫h(huán)境并啟用帶有SDK的私有應用。”
換句話說,高效、易用的容器不能是孤島;它們必須允許安全的、且基于策略的數(shù)據(jù)在可信應用間流動,由這些可信應用共同在設備上創(chuàng)建安全移動的工作環(huán)境。
Brannon注意到,除了安全郵件和安全內(nèi)容外, 一些AirWatch的客戶還需要安全瀏覽器應用。“每個企業(yè)都有某種形式的企業(yè)內(nèi)網(wǎng)—也許是一個SharePoint站點或者幫助中心。我們的安全瀏覽器使得員工無需連接VPN即能安全訪問內(nèi)網(wǎng);也使得IT部門能確保數(shù)據(jù)安全地移動以及數(shù)據(jù)防泄露。”他這樣說。
Rege說,更多的MobileIron客戶正基于用戶身份以及設備狀態(tài)來決定應提供給每個用戶和設備的訪問級別。“有一些技術在移動世界變得重要得多—PKI和NAC是其中兩項這樣的技術。”這就是為什么在選擇一個EMM套件時,EMM與企業(yè)身份管理與網(wǎng)絡基礎設施集成的能力會如此重要,從而匯集分別管理的安全策略并提供更為健壯的移動威脅防護方案與更為無縫的用戶體驗。
例如,一個企業(yè)的無線局域網(wǎng)(WLAN)可以自動檢測一部新的個人設備,將它重定向到EMM系統(tǒng)進行注冊、證書安裝以及容器部署。此后,WLAN 在授權這部設備網(wǎng)絡訪問前,會咨詢 EMM以確認其完整性;EMM還扮演隔離不合規(guī)設備的角色。
在選擇EMM時思考這些場景并考慮自動化,會有助于企業(yè)不僅僅是容忍而是很大程度完全接受個人設備,這通過使用更細粒度的安全策略、功能更豐富的管理套件以及更佳的一體化來實現(xiàn)安全移動。
