Virtual Desktop Infrastructure Mobile Device Management Bring Your Own Device Good Technology Single sign-on App-Wrapping MobileIron AppConnect Container XenMobile ShareFile Zenprise Android Sandbox Sophos Citrix NetSc BYOD iOS MDM VDI

BYOD管控方案詢問度高 行動安全機制多元紛呈

2014-03-17
從消費端興起智慧型手機、平板電腦應用型態,近年來正逐漸被帶入日常工作中,尤其來自高階管理層的需求強勁,才得以打破以往的限制,加速推動員工自帶設備(Bring Your Own Device,BYOD)應用趨勢。然而,目前行動載具主流平台以Android與iOS為首,而既有IT基礎架構的端點系統則是Windows、Mac OS與Linux為主,該如何確保新興應用模式的可管理性與存取安全性,成為BYOD時代下備受關注的議題。
就應用的角度來看,Citrix台灣區總經理潘先國觀察,若公司開放員工攜帶私人裝置,日常工作得以採用順手的系統介面與操作模式,方便性自然提高,只是如此一來,即代表允許私人裝置存取內部資訊系統,資料也可能存放在裝置中,即使離開公司也可以處理工作事項。但設備一旦離開公司內網就無法運用安全控管政策把關,可能因此違反公司資安政策或法規遵循。在IT控管與員工方便性互斥下,企業對於BYOD的應用難免有所顧忌。

防範資料外洩 為行動化核心需求

Sophos技術顧問詹鴻基近年在客戶端觀察,關注BYOD相關議題的企業確實不少,實際因應的作為卻不多見。儘管市場上已陸續出現從不同技術領域提出可協助控管的解決方案,像是因應iOS、Android系統平台而生、或由防毒軟體廠商增添的MDM(Mobile Device Management)機制,只是許多企業實測後仍舊認為解決方案不符合預期。達友科技副總經理林皇興亦發現,BYOD方案的詢問度高,甚至主動要求測試建置,但真正編列預算執行計畫的客戶確實不多。

對此精誠資訊企業產品應用部產品經理鄭宗賢指出,尤其中南部的本土企業,思維較趨保守,希望在生產力提升的同時,又能夠全面掌握應用安全,例如類似桌面端控管,掌握員工在LINE、Facebook等手機通訊App上聊天的內容,即使技術上可達成,合法與否卻仍待商榷。詹鴻基也認為,現階段BYOD或行動化應用的阻力並非在IT技術面,而是整體資安思維導致控管政策沒有跟上科技應用的腳步,才導致出現保守觀望的態度。

除非類似保險業,本來就有補助員工自行採購筆記型電腦的政策,讓業務人員方便向客戶解說保單內容,並且開放行動設備透過VPN介接至公司內部網路,如今若要進一步開放不同行動載具應用,門檻自然較低。然而,「公司對於員工私人裝置應該控管到多細微的程度」仍是無可避免的爭議,最後評估的結果往往是決定暫時先開放裝置使用,至於安全性則由控管資料端存取權限來把關,畢竟無論終端應用如何變化,企業端最核心的思維皆是以防止機敏資料外洩為主。

安全容器隔離 限制機敏資料存取

近年來因應行動化應用需求,為iOS、Android等新興作業系統專屬研發的MDM解決方案,實作方式大致分為安全容器(Container)與輕量化(Lite-way)機制。詹鴻基說明,安全容器的作法是在手機上切割一塊獨立的區域,要瀏覽網頁、收發郵件等行為,皆要登入至此區域才能執行,同時也具備更細部控管政策的能力;另一種輕量化的方式,主要是呼叫手機內建功能,以進行強制啟動或關閉,好處是耗電較低、部署方便,價格也可被接受,只是資安較嚴謹的企業會認為資料保護機制不夠完善。

「現階段較務實的控管手段,則是在手機為私人設備狀況下,僅開放連接公司郵件系統,至少藉此確認郵件不致被改用私人信箱轉發,且附件檔案只能被特定App存取,不得被附加到LINE等私人用的即時通訊App,來達到區隔的目的。」詹鴻基說。

潘先國亦指出,一般談到行動裝置安全控管,往往會提出MDM解決方案,但並非所有IT應用環境皆適合導入,常見像是BYOD多屬私人裝置,公司要全權控管可能會引起反彈。而公司欲控管的目的在於員工會利用行動裝置存取內部IT資訊系統,例如最常見的網頁登入存取與收發電子郵件,僅透過行動載具本身內建功能連接難以管控,因此首先即可利用Sandbox機制,如同安全容器概念,將私人用的App與公司的App分離,讓兩者資料彼此間無法溝通。

為了避免IT建置控管機制後讓行動化應用喪失便利性,要建立可連結郵件系統與Web登入資訊系統的App,往往還需要單一登入(Single sign-on)機制來協助,才不致個別App都必須輸入帳號與密碼,還可藉此搭配身分驗證管控,不論在公司內部或外部皆可存取,才能達到安全控管與方便性兼顧。

內部資訊系統 朝向App化發展

在獨立的安全容器中建置內部連網行為所需的App,可說是目前行動管理應用主要發展方向。林皇興觀察,如同早期從Client-Server架構逐漸轉向以網頁瀏覽為基礎的Web化,未來可預期將進一步推動IT資訊系統朝向M化發展。在行動應用環境下,即使Web操控介面設計得再友善,對於輸入資料、瀏覽圖表等操作行為而言,仍會受到螢幕尺寸大小限制。因此資訊系統的M化,也就是同時提供App存取操控,以及建立Enterprise Store,讓企業端自行發布內部軟體,將逐漸成為行動化應用下不可或缺的一環。

像是基於Android與iOS平台技術發展的Good Technology以及MobileIron,皆結合借助企業端應用系統廠商之力,協助App化應用落實。MobileIron資深地區銷售經理陳威綸說明,近來提供AppConnect Program,主要即偕同第三方App建立生態鏈,例如IBM Notes、Novell Filr、Box等,協助iOS與Android系統中運行的App,可在不影響使用者操作體驗下達到安全與管控。

Good Technology則是提供一個平台,讓企業得以基於此平台開發App,不需額外開發身分認證、單一登入、加密等基本機制。林皇興說明,企業內部自行撰寫開發App程式時,大多沒有建立資料加密保存機制,一旦員工離職或裝置遺失,都可能導致資料外洩。此時即可藉由平台提供的App Wrapping封裝工具進行隔離,讓資料只能在此容器中運行,不需再學習API整合開發,撰寫好的App經封裝後就可直接派送。

「然而若企業內部重要的核心系統,無法任意變更也難以轉化為App方式存取,加上行動化應用控管範疇也涵蓋筆記型電腦時,解決方案就必須進一步提供支援傳統Windows運行環境。」潘先國舉例,像是最常見以Word檔案主要流通格式,在行動載具上沒有針對開啟Word格式而開發出專屬的App應用下,即可利用「應用程式虛擬化」機制,讓行動載具擁有執行傳統Windows版本應用程式的能力,藉此利用遠端資源來運算執行,不僅不致消耗過多載具實體資源,操作介面亦不需額外學習,以協助既有IT基礎架構立即可發揮行動化之便,提高工作生產力。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!