3.1MDM向EMM的演變勢(shì)在必行
3.2移動(dòng)設(shè)備管理策略
1.把公司與家劃清界線
移動(dòng)技術(shù)的發(fā)展,使我們很難區(qū)分哪里是辦公室,哪里是家。IT團(tuán)隊(duì)?wèi)?yīng)該劃分或隔離公司的數(shù)據(jù),以為員工提供流暢的移動(dòng)體驗(yàn)。員工可能會(huì)使用同一個(gè)移動(dòng)設(shè)備訪問(wèn)個(gè)人和公司數(shù)據(jù),但在后端必須將兩者明確區(qū)分。如果員工離職,IT團(tuán)隊(duì)?wèi)?yīng)該能夠刪除公司的數(shù)據(jù)。如果員工丟失設(shè)備,IT團(tuán)隊(duì)刪除設(shè)備上的所有數(shù)據(jù)。
2.保證可穿戴設(shè)備的安全
在不久的將來(lái),員工可能會(huì)廣泛使用可穿戴設(shè)備。例如一個(gè)銷售人員在客戶現(xiàn)場(chǎng),使用智能手表聯(lián)系公司領(lǐng)導(dǎo),與了解產(chǎn)品最低的價(jià)格折扣,從而盡快簽下訂單。這種情況下,就要求IT團(tuán)隊(duì)保證可穿戴設(shè)備的安全,確保數(shù)據(jù)不被他人獲取。未來(lái)的移動(dòng)設(shè)備管理解決方案將能夠?yàn)镮T管理員提供可穿戴設(shè)備使用的準(zhǔn)確地點(diǎn)、時(shí)間以及使用者。
3.集中管理所有資產(chǎn)
智能手機(jī)、平板電腦、筆記本電腦以及桌面PC之間需要無(wú)縫連接,最大化提高工作效率。IT團(tuán)隊(duì)可以從中央控制臺(tái)連接到任何設(shè)備,跟蹤分配人員的資產(chǎn)、管理數(shù)據(jù)訪問(wèn)和密碼、創(chuàng)建用戶或部門。
4.部署和掃描app
若一位員工通過(guò)家庭網(wǎng)絡(luò)下載一個(gè)公司禁止安裝的app,當(dāng)他進(jìn)入公司網(wǎng)絡(luò)時(shí)應(yīng)立即休眠應(yīng)用。IT團(tuán)隊(duì)?wèi)?yīng)該了解所有設(shè)備安裝的應(yīng)用,阻止某些應(yīng)用,例如內(nèi)置攝像功能的app。還可以向公司所有移動(dòng)設(shè)備或指定設(shè)置統(tǒng)一部署所需的應(yīng)用。
5.從云端進(jìn)行管理
與公司數(shù)據(jù)存儲(chǔ)在云端一樣,移動(dòng)設(shè)備管理操作也應(yīng)該可以從云端進(jìn)行。云端管理允許IT團(tuán)隊(duì)從遠(yuǎn)程位置記錄、鎖定和管理設(shè)備。
6.防止病毒攻擊
移動(dòng)終端很容易成為病毒攻擊的目標(biāo)。企業(yè)IT團(tuán)隊(duì)?wèi)?yīng)該實(shí)時(shí)監(jiān)控設(shè)備、記錄所有用戶的行為。當(dāng)發(fā)現(xiàn)異常威脅行為時(shí),第一時(shí)間產(chǎn)生告警通知。自動(dòng)更新病毒庫(kù),修復(fù)安全漏洞。
3.3 企業(yè)移動(dòng)化策略
隨著技術(shù)的不斷發(fā)展,和移動(dòng)辦公相關(guān)的術(shù)語(yǔ)也在不斷增加。從之前的MDM、MAD、MIM到現(xiàn)在的EMM:企業(yè)移動(dòng)辦公管理。
這些術(shù)語(yǔ)可能產(chǎn)生混淆的部分在于它們的目標(biāo)都是構(gòu)建一個(gè)更加安全的企業(yè)移動(dòng)辦公環(huán)境,但實(shí)現(xiàn)方式不同。移動(dòng)設(shè)備管理(MDM)、移動(dòng)應(yīng)用管理(MAM)和移動(dòng)信息管理(MIM)針對(duì)從物理設(shè)備到應(yīng)用和數(shù)據(jù)等移動(dòng)辦公的不同層面來(lái)加強(qiáng)安全性。除了這些之外,還有一種方式就是企業(yè)移動(dòng)辦公管理(EMM)。盡管MDM、MAM和MIM的使用情況不盡相同,但是它們?nèi)匀挥兄睾虾蛥f(xié)作的部分,它們都應(yīng)該成為移動(dòng)安全策略的一部分。
Palador移動(dòng)咨詢公司的聯(lián)合創(chuàng)始人Benjamin Robbins嘗試?yán)砬辶薓DM、MAM和MIM之間的差異,解釋了它們?nèi)绾螀f(xié)同工作來(lái)改善企業(yè)移動(dòng)辦公管理。
通常使用MDM的目的?
Benjamin Robbins:將設(shè)備管理作為第一線。你想要擦除設(shè)備中的數(shù)據(jù)、鎖定設(shè)備,想要在設(shè)備層面追蹤設(shè)備的運(yùn)行情況。但是實(shí)現(xiàn)移動(dòng)安全的最佳實(shí)踐在不斷發(fā)展的過(guò)程中,MDM只能作為大策略中的一部分,不能依靠它來(lái)解決所有問(wèn)題。
MDM中最有用的特性是什么?
Robbins: 如果設(shè)備不在我手中了,并且沒(méi)有機(jī)會(huì)再將它找回來(lái)了,你想要通過(guò)一切方式保證設(shè)備上的數(shù)據(jù)不會(huì)丟失。除了郵件、日歷和聯(lián)系人,存儲(chǔ)在設(shè)備的文檔也含有私有信息。所以我認(rèn)為短時(shí)間內(nèi),設(shè)備仍會(huì)具備鎖定和擦除數(shù)據(jù)的功能。
MDM不能做什么?
Robbins:這依賴于你對(duì)MDM的定義。有很多MDM供應(yīng)商現(xiàn)在可以提供應(yīng)用程序管理特性,甚至可能包含信息管理特性。MDM不能在應(yīng)用程序?qū)幼鋈魏问虑?。通常情況下它是一個(gè)底層的解決方案,只關(guān)注于設(shè)備管理和操作系統(tǒng)層面的特性。所以MDM不能在信息管理層做任何事情。
管理員需要使用MDM來(lái)處理攜帶私人設(shè)備(BYOD)嗎?
Robbins:相比于企業(yè)擁有的設(shè)備,BYOD在安全方面還需要實(shí)際擁有者進(jìn)行更多的配置。不論你使用的是企業(yè)的設(shè)備還是私人設(shè)備,你都會(huì)希望安全策略可以同時(shí)涵蓋這兩方面。
對(duì)于簡(jiǎn)化BYOD方面,MDM平臺(tái)可以幫助進(jìn)行設(shè)備登記、在這些設(shè)備上設(shè)定安全策略、將這些安全策略和所有其他的基礎(chǔ)特性通知給用戶。MDM并不是必需的,但是如果你需要更加全面的移動(dòng)安全策略來(lái)滿足需要,那么它會(huì)是其中的一個(gè)組成部分。
MDM和MAM的區(qū)別是什么?它們和MIM又有哪些不同?
Robbins:我們稱這些為“字母湯”。所有這些都只是企業(yè)移動(dòng)管理中的特性集。MAM可以管理設(shè)備允許運(yùn)行哪些應(yīng)用、不允許運(yùn)行哪些,哪些應(yīng)用需要讓用戶使用或者限制用戶使用。
MIM看起來(lái)只能加強(qiáng)信息的安全性。所以忽略了設(shè)備,忽略了應(yīng)用。如果真的將信息鎖定,那么將不得不擔(dān)心一切事情:是否可以控制誰(shuí)可以進(jìn)行訪問(wèn)、什么時(shí)間進(jìn)行訪問(wèn)、從哪些地方進(jìn)行訪問(wèn)。使用MIM最大的挑戰(zhàn)在于其還處于起步階段,所以它聽(tīng)起來(lái)像一顆銀色子彈,現(xiàn)在還并不是必須的。
看起來(lái)MDM、MAM和MIM的管理有重合部分。你覺(jué)得他們中的重合部分在哪里?
Robbins:這依賴于你的定義有多大的靈活性。在一些平臺(tái)中,MAM可以完成MIM的功能,或者M(jìn)DM可以完成MAM的功能。但是只要你看見(jiàn)組織中的真實(shí)使用情況,我認(rèn)為這和定義的關(guān)系并不大,因?yàn)檫@只能給你帶來(lái)困惑。
這些管理的最終目標(biāo)是確保信息安全,確保設(shè)備是安全的。實(shí)現(xiàn)這個(gè)目標(biāo)的最佳方法是什么?你想要尋找一些可以滿足需求的方法,在組織不斷發(fā)展的特殊平臺(tái)上實(shí)現(xiàn)安全性。設(shè)備將會(huì)不斷發(fā)展,以后的設(shè)備將會(huì)和現(xiàn)在有所不同,你需要確保不局限于目前的情況來(lái)加強(qiáng)安全性,那將會(huì)是MDM的一種倒退。
3.4MDM的是針對(duì)BYOD安全威脅的有效手段
通過(guò)MDM解決BYOD風(fēng)險(xiǎn)
部署異構(gòu)MDM產(chǎn)品允許企業(yè)保護(hù)和控制移動(dòng)訪問(wèn)。在Aberdeen Group對(duì)移動(dòng)性的研究中,受訪者列出這些具體優(yōu)勢(shì):
對(duì)移動(dòng)性舉措的控制整合
對(duì)設(shè)備正確配置后才向員工授予訪問(wèn)權(quán)限
跨各種不同設(shè)備人群創(chuàng)造規(guī)模經(jīng)濟(jì)
降低每個(gè)用戶的支持成本
降低丟失或被盜設(shè)備的風(fēng)險(xiǎn)
執(zhí)行移動(dòng)安全政策
持續(xù)驗(yàn)證政策合規(guī)性
移動(dòng)設(shè)備對(duì)IT安全影響的具體例子發(fā)生在蘋(píng)果iPhone最早進(jìn)入市場(chǎng)隨后進(jìn)入工作環(huán)境的時(shí)候。最初,IT部門缺乏工具來(lái)在其整個(gè)生命周期內(nèi)對(duì)其進(jìn)行管理。 通常情況下,IT安全部門對(duì)通過(guò)這些iOS設(shè)備提供有限的移動(dòng)訪問(wèn)。然后,他們開(kāi)發(fā)了專門的設(shè)備管理流程來(lái)填補(bǔ)這個(gè)空白。當(dāng)谷歌Android設(shè)備在消費(fèi)者間流行時(shí)也出現(xiàn)了類似的現(xiàn)象。隨著業(yè)務(wù)部門要求靈活性和支持,IT部門開(kāi)始失去對(duì)移動(dòng)性舉措的控制。
而MDM產(chǎn)品能夠管理所有設(shè)備,不受所有權(quán)的限制,并橫跨所有移動(dòng)操作系統(tǒng),這打破了這些壁壘,讓IT再次獲得掌控權(quán)?,F(xiàn)在IT不再是一味地選擇每個(gè)支持的設(shè)備,同時(shí),異構(gòu)MDM產(chǎn)品幫助IT確保所有這些設(shè)備的安全性。
此外,現(xiàn)在的MDM產(chǎn)品并沒(méi)有止步于經(jīng)典的設(shè)備管理—即操縱設(shè)備設(shè)置和追蹤其情況。相反地,這些產(chǎn)品提供廣泛的基本和高級(jí)功能,包括從安全政策執(zhí)行到移動(dòng)應(yīng) 用管理。雖然每個(gè)MDM產(chǎn)品提供的功能各不相同,大多數(shù)產(chǎn)品提供工具來(lái)幫助IT滿足業(yè)務(wù)需求以及減少移動(dòng)性帶來(lái)的風(fēng)險(xiǎn)。
例如,在2013 年LinkedIn對(duì)信息安全社區(qū)成員的調(diào)查中,72%的受訪者表示他們?cè)谌ツ牦w驗(yàn)了BYOD帶來(lái)的不利影響,包括惡意軟件清理成本、維修時(shí)間、業(yè)務(wù)中斷、生產(chǎn)效率降低、額外付費(fèi)服務(wù)和監(jiān)管罰款?;蛟S這解釋了為什么70%的受訪者提出安全是成功BYOD部署的首要標(biāo)準(zhǔn)。
使用MDM執(zhí)行企業(yè)和合規(guī)要求
MDM技術(shù)可以幫助IT配置安全設(shè)置符合企業(yè)政策要求,以及防止這些設(shè)置被修改—無(wú)論是有意、無(wú)意還是作為惡意軟件感染的副產(chǎn)品。此外,MDM產(chǎn)品可以幫助IT自動(dòng)應(yīng)用不同安全政策到各種類型或各組設(shè)備,以同時(shí)支持企業(yè)和BYOD用例。
當(dāng)設(shè)備不符合要求時(shí),MDM產(chǎn)品可以為IT提供可視性,并提供接近實(shí)時(shí)的路徑以便采取手動(dòng)或自動(dòng)操作。例如,MDM產(chǎn)品可用于隔離受感染的設(shè)備以防止對(duì)企業(yè)資產(chǎn)的進(jìn)一步移動(dòng)訪問(wèn),或者擦除設(shè)備以防止未來(lái)企業(yè)數(shù)據(jù)滲出或溢價(jià)服務(wù)費(fèi)用。
MDM產(chǎn)品是功能強(qiáng)大的工具,IT可以用來(lái)開(kāi)發(fā)和自動(dòng)化新的移動(dòng)管理流程。然而,實(shí)現(xiàn)這些優(yōu)勢(shì)需要編排流程來(lái)滿足業(yè)務(wù)。在Aberdeen的調(diào)查中,73%的最佳受訪者使用移動(dòng)管理來(lái)為停用丟失、被盜或報(bào)廢的設(shè)備制定正式流程。三分之二的受訪者已經(jīng)制定了流程來(lái)管理BYOD的企業(yè)使用,或者使用全面的生命周期管 理來(lái)確保安全政策合規(guī)性。
生命周期的詳細(xì)信息在不同公司可能有所不同,或者在給定公司的不同用戶、角色和設(shè)備也不同。然而,部署完全生命 周期管理的業(yè)務(wù)和技術(shù)優(yōu)勢(shì)非常明顯。通過(guò)最小化IT人員參與,移動(dòng)性可以以更低成本擴(kuò)展到更大的勞動(dòng)力。通過(guò)支持自主注冊(cè)和全自動(dòng)化配置BYOD,員工可 以更快速度提高生產(chǎn)力。當(dāng)自動(dòng)注冊(cè)的BYOD設(shè)備丟失或被盜,MDM控制可以快速安全地停用該設(shè)備,而員工已經(jīng)同意可接受使用政策,授權(quán)IT權(quán)限來(lái)采取行動(dòng)。
事實(shí)上,在選擇正確的MDM技術(shù)時(shí),評(píng)估員工的移動(dòng)需求和設(shè)計(jì)生命周期管理流程來(lái)滿足員工需求是關(guān)鍵。在之后的文章中,我們將陸續(xù)探討你應(yīng)該知道的MDM技術(shù),以及你應(yīng)該準(zhǔn)備好要提出的問(wèn)題,以最大限度地挖掘你采購(gòu)的異構(gòu)MDM產(chǎn)品的優(yōu)勢(shì)。
3.5MDM的同構(gòu)和異構(gòu)技術(shù)
十年前,MDM產(chǎn)品管理著整齊劃一的企業(yè)采購(gòu)的黑莓手機(jī)或Windows手持設(shè)備。但每個(gè)這些產(chǎn)品都處理單一的移動(dòng)操作系統(tǒng),這種同構(gòu)產(chǎn)品無(wú)法擴(kuò)大到包含蘋(píng)果和谷歌推出的新的消費(fèi)級(jí)手機(jī)。
因此,MDM行業(yè)進(jìn)行調(diào)整而創(chuàng)造了下一代技術(shù),提供“單窗格”控制來(lái)應(yīng)對(duì)現(xiàn)在日益廣泛和多樣化的智能手機(jī)、平板電腦、超極本和其他移動(dòng)設(shè)備。
這些異構(gòu)MDM技術(shù)運(yùn)行作為通用翻譯器,傳輸IT查詢和命令到各種移動(dòng)設(shè)備,使用每個(gè)移動(dòng)操作系統(tǒng)的生態(tài)系統(tǒng)提供的通知服務(wù)。通過(guò)異構(gòu)技術(shù),IT得到了單個(gè)統(tǒng)一的系統(tǒng),能夠快速擴(kuò)展來(lái)?yè)肀碌囊苿?dòng)設(shè)備類型和OS版本。
3.6MDM軟件/應(yīng)用是最便捷(容易部署和使用)的移動(dòng)設(shè)備安全控制手段
MDM軟件已經(jīng)成為移動(dòng)設(shè)備的首選基本安全控制,在部署你的MDM戰(zhàn)略時(shí)必須要考慮它。
它為移動(dòng)設(shè)備安全提供了集中管理,可以保護(hù)存儲(chǔ)在移動(dòng)設(shè)備上的和由移動(dòng)設(shè)備訪問(wèn)的敏感數(shù)據(jù)。它可以“照顧”所有基本操作系統(tǒng)安全控制,例如安全地安裝補(bǔ)丁和配置操作系統(tǒng)。
它還添加了不同的數(shù)據(jù)安全控制,包括存儲(chǔ)加密、設(shè)備控制和數(shù)據(jù)丟失防護(hù)(DLP)技術(shù)。對(duì)于企業(yè)控制的移動(dòng)設(shè)備(包括筆記本)而言,MDM軟件是最容易部署和使用的軟件,但MDM也可以為有限數(shù)量的BYOD設(shè)備部署和使用。
3.7三個(gè)MDM可以采用的安全策略
1)專注于數(shù)據(jù) 而不是操作系統(tǒng)
盡管移動(dòng)操作系統(tǒng)帶來(lái)了很大的安全挑戰(zhàn),企業(yè)已經(jīng)能夠相對(duì)較好地保護(hù)它們,當(dāng)然,這主要?dú)w功于MDM軟件的崛起。同時(shí),數(shù)據(jù)已變得更有價(jià)值,特別是財(cái)務(wù)數(shù)據(jù)和個(gè)人身份信息。毫不奇怪,攻擊者已經(jīng)將其重點(diǎn)從利用操作系統(tǒng)漏洞轉(zhuǎn)變?yōu)楂@取數(shù)據(jù)。單個(gè)數(shù)據(jù)泄露事故可能讓企業(yè)損失數(shù)百萬(wàn)美元,而單個(gè)移動(dòng)設(shè)備的丟失或被盜就可能導(dǎo)致這種事故。
企業(yè)需要考慮其數(shù)據(jù)可能的位置,并保護(hù)這些數(shù)據(jù),抵御多種威脅。DLP技術(shù)和介質(zhì)加密(包括內(nèi)置和可移動(dòng)介質(zhì))已成為關(guān)鍵。幸運(yùn)的是,移動(dòng)操作系統(tǒng)已經(jīng)開(kāi)始提供介質(zhì)加密,而DLP技術(shù)和介質(zhì)加密都可通過(guò)MDM技術(shù)提供。
2)讓敏感數(shù)據(jù)遠(yuǎn)離移動(dòng)設(shè)備
這個(gè)規(guī)則可能看起來(lái)很簡(jiǎn)單,但企業(yè)通常會(huì)因?yàn)闆](méi)有堅(jiān)持這個(gè)規(guī)則而遭受重大泄露事故:確保企業(yè)敏感數(shù)據(jù)遠(yuǎn)離用戶的移動(dòng)設(shè)備。如果敏感數(shù)據(jù)從來(lái)沒(méi)有駐留在移動(dòng)設(shè)備上,這些設(shè)備的丟失或被盜對(duì)企業(yè)的影響要小得多。企業(yè)不應(yīng)該將敏感數(shù)據(jù)存儲(chǔ)在移動(dòng)設(shè)備上,而應(yīng)該集中存儲(chǔ)敏感數(shù)據(jù),并僅為移動(dòng)設(shè)備用戶提供必要的數(shù)據(jù),最好是該數(shù)據(jù)的圖像。這最大限度地減少了數(shù)據(jù)暴露風(fēng)險(xiǎn)。
3)阻止基于Web的惡意軟件
惡意軟件的威脅逐漸成為移動(dòng)設(shè)備的噩夢(mèng),特別是對(duì)于基于web的惡意軟件。企業(yè)通常會(huì)依賴web安全網(wǎng)關(guān)來(lái)檢測(cè)和阻止這種惡意軟件。不幸的是,隨著移動(dòng)性的增加,這些網(wǎng)關(guān)并沒(méi)有什么用,因?yàn)橐苿?dòng)設(shè)備通常在外部網(wǎng)絡(luò),并且通常不使用這些網(wǎng)關(guān)。我們有兩個(gè)辦法來(lái)解決這個(gè)問(wèn)題:為移動(dòng)設(shè)備部署web安全控制(可能通過(guò)MDM策略)或者強(qiáng)迫企業(yè)的移動(dòng)設(shè)備通過(guò)中央代理服務(wù)器“路由”流量,這可能包括網(wǎng)絡(luò)安全控制,例如web安全網(wǎng)關(guān)。雖然后面這種方法可以提供很高的安全性,通過(guò)對(duì)所有移動(dòng)設(shè)備流量部署企業(yè)級(jí)網(wǎng)絡(luò)安全控制,但這也會(huì)帶來(lái)顯著的成本和性能問(wèn)題,因此,企業(yè)在部署這種解決方案之前需要進(jìn)行仔細(xì)評(píng)估。