隨著眾多服務供應商加入競爭,除了共通的檔案共享、同步以及對檔案進行存取之外,不同的EFSS方案,在行動化、資料安全性、權限管理、協同合作、介面操作的簡易性以及儲存機制等層面,都有不同的設計與支援程度,而這也是各家解決方案的差異所在。
自行動裝置普及後,帶動企業端興起BYOD(Bring Your Own Device)應用模式,以提升工作生產力。對IT部門而言,也隨之必須擬定管理政策,在既有IT基礎架構中增加控管措施,以降低行動化後帶來的資安風險。近年來,IT市場順勢興起的MDM(Mobile Device Management)、MAM(Mobile Application Management)、EMM(Enterprise Mobility Management),皆是專為控管行動端系統而設計發展的解決方案。
然而,因應BYOD模式而建置的控管機制不應只針對行動裝置本身,現有IT基礎架構調整配置更是不可忽視的一環。思科台灣技術銷售事業群副總經理暨技術長鈕因任指出,每個設備擁有者所屬的部門、職務都不同,大多是當連線回到資料中心時,再依據不同權限導向不同網段提供資源存取。但實際上,從無線網路接取開始就應有所區隔,而非回到資料中心後再進行分流,畢竟攻擊入侵行為多數從邊界網路而來,不僅有線網路須切割VLAN並配置ACL(Access Control List),無線網路同樣需要,控制器、基地台皆須配置控管政策。
如今隨著企業擴大發展行動化與BYOD應用後,需控管的私人行動裝置不只有員工,還包含協力伙伴與外來訪客,於是很快便會發現,在基礎架構的有線與無線網路各自獨立運行下,IT控管政策的部署程序變得繁雜,亦增加了維運管理工作難度。而近來網路設備商發展的Unified Access,採以統一有線與無線網路架構、安全政策、管理機制,即是為了因應BYOD對既有IT基礎架構所造成的衝擊。
On-boarding機制 員工自行登錄新設備
對於公司允許員工自行攜帶的行動裝置,該如何給予識別認證?目前網路設備商所提供的認證機制,大多可在統一控管介面中,透過API整合MDM解決方案執行;至於未建置MDM的企業應用環境,亦可經由On-boarding機制,讓員工自行管理設備。
Extreme Networks首席技術顧問陳瑞建說明,若為公司合法使用者,勢必擁有帳號與密碼,因此只要在BYOD解決方案的控管平台上登入,新增設備的MAC位址後即可納入管理,不須額外安裝代理程式。畢竟現代行動裝置的汰換率高,由員工自行登記、變更攜帶的設備,再經由網路層決定內部資源存取的權限,才能有效降低IT管理的負擔。
他舉例,若公司政策規定每位員工最多允許攜帶三台設備,只要設備經過註冊,系統隨即自動監控:員工帳號、設備類型、權限狀態。對於機敏性較高的資訊系統,甚至可設定政策禁止漏洞過多的Android系統存取,以避免可能夾帶惡意程式而使用者不自知,降低資訊系統遭駭客滲入的風險。
應用層解析技術 兼顧精準辨識與安全
Fortinet台灣區技術總監劉乙認為,以IT基礎架構協助BYOD應用落實,建立分辨員工或訪客的機制,可說是發展BYOD應用的第一步。訪客管理系統的功能主要是結合Active Directory網域服務進行身分驗證,並提供瀏覽器介面讓訪客自行登入共用的帳號與密碼,接取無線網路資源。
Fortinet的作法是透過FortiGate整合一次性動態密碼(OTP)的Token機制,包含硬體式的FortiToken與軟體式的FortiToken Mobile。當行動裝置成功登入內網後,FortiGate會先行監看是否存在威脅軟體、病毒、惡意程式,進而檢測Layer 7的存取活動。緊接著依據政策控管觸發相關權限,例如發現是iPad、iPhone、Android等行動裝置的流量,隨即套用只能連接網際網路,但不得存取內網任何資源的控管政策。「由政策觸發存取權限的機制即稱為Policy Enforcement,不需要整合MDM等第三方機制,透過政策執行設備的監測。」劉乙強調。
由於FortiGate的技術本來就具備應用層解析,可藉此取得行動裝置的MAC位址,依據前三組數字的廠商編碼,即可辨識裝置機種。
擁有應用層解析能力的FortiGate閘道設備,不須事先安裝代理程式,只要經FortiAP連線上網,解析封包後取得特徵值,即可識別裝置上運行的作業系統,之後再按照作業系統類型群組化,並指派可存取內部資源的權限,以及配置UTM(Unified Threat Management)的保護機制。
當FortiGate完成上述的學習過程後,即可採以MAC位址與作業系統的組合為比對基礎,若不符合,則無法接取網路。會有此機制是因為MAC位址容易被竄改,避免被有心人士仿造而取得合法權限。
掌握終端設備的細部資訊後,除了便於配置權限與安全機制,亦同時記錄連線行為的Log,包含用戶連線位址、採用的協定、該設備名稱等。網路設備商大多會在分析平台中內建資料庫,記錄解析後的封包內容,而Fortinet則是透過FortiAnalyzer提供的Log分析與關連性,不管傳送封包大小、來源的IP位址、用戶名稱、作業平台等,或是已結合的Token登入機制,當有心人士嘗試登入時,系統亦可即時發現。
服務系統辨識能力 強化存取可視化
「首先是由閘道端進行身分辨識、政策派送。其次是經由交換器傳遞至資料中心的網路流量,必須能夠建立端點設備與應用程式之間的關聯性。」陳瑞建說明,企業投資興建BYOD控管方案後,往往需要績效指標,掌握究竟有哪些員工、用了什麼行動裝置、存取內部哪些應用程式。
但長期以來企業內部資訊系統較為封閉,且多為Client-Server架構,欲發展BYOD,勢必會逐漸被轉換為Web-based,方便行動裝置的存取。以往應用層辨識方式大多採用系統服務連接埠來判定,轉換至Web-based後,每個應用系統都是走Port 80,根本無法精準辨別,因此應用系統識別程序,必須隨之強化,具備可視化(Visibility)能力,意即存取者、行動裝置、應用系統等環節所產生的資訊,彼此之間須建立關聯性,進而提供商業決策所需的分析資訊。藉由系統存取的統計數據,判斷耗費資金與人力成本建立的BYOD方案成效,或是作為優化改善的評估依據。
陳瑞建指出,過去企業用戶提及BYOD應用,大多偏向無線網路的建置與控管,近來則開始關注無線與有線的統一控管機制,因此現在談論的BYOD解決方案,也必須包含有無線與有線的基礎架構整合,包括可透過單一介面控管全數終端、派送政策,並且加強應用系統存取的可視化能力。