近年來以雲端與行動化為發展主軸的微軟,旗下的企業行動化管理方案(EMS),整合了Intune提供的MDM與MAM控管能力、Azure AD身分識別與權限管理、Azure RMS檔案加密功能、進階威脅分析技術(ATA),並且搭配Azure RemoteApp桌面與應用程式虛擬化,基於資安的思維,協助企業建立行動化應用環境。
就市場上因應行動化趨勢發展的方案來看,台灣微軟資深雲平台行銷經理馮立偉觀察,過去討論的重點較偏重資料保護、裝置與App控管,但身分驗證機制卻較少被提及,其實在雲端化、行動化之後,反而需要更嚴謹地確認登入者是否為本人,並且留下記錄,萬一發生資料外洩事件,才有能力追查。
 |
| ▲台灣微軟資深雲平台行銷經理馮立偉(左)與台灣微軟雲端與企業平台事業部產品經理邱彥彰(右)強調,欲降低行動化之後帶來的資安風險,必須從使用者行為分析著手,才得以掌握完整資訊,進而判斷正常或異常。 |
身分驗證機制可說是微軟的優勢之一,畢竟Windows系統已累積大量用戶,本就是透過AD(Active Directory)統一配置員工的帳號與密碼、登入權限。從外部連線進入公司的存取行為,以往是運用VPN連線,如今則可轉換為透過Azure AD服務,進行身分辨識。進而運用ATA的深度封包檢測技術分析使用者行為,以辨識使用者發起驗證的情境與存取目標是否出現異常。
台灣微軟專案技術副理林敬沂認為,Intune針對App控管機制亦可說是行動化應用的重點,不論是既有的舊系統、新研發的App、訂閱採用的SaaS,必須保障使用者不論透過任何裝置設備、任何系統平台皆可方便運行,同時還必須兼顧資料外洩風險。
「Intune雖如同多數的MAM方案,採用的是沙箱容器技術,但作法邏輯不同。」林敬沂強調。「常見的方式是透過一個App容納其他被允許使用的App,以便於統一控管,但缺點是效能不佳。Intune作法是以App為控管單位,每個App皆為獨立沙箱,可基於政策規範受信任的應用程式彼此能否互傳資料,若允許,沙箱才會結合。」
也就是說,IT管理者可針對每一個App制定控管政策,指定允許或禁止App之間的溝通模式,選擇單向或雙向傳遞資料,如此即可彈性規劃App沙箱的範圍。對使用者而言,應用程式的使用方式並無差異,只有在違反控管政策時才會出現警告訊息。
上述控管機制主要是針對原生App,例如微軟的Office、Skype for business、Lync、Dynamic CRM等,當然也包含第三方廠商支援的App,例如Adobe、SAP、Box等。至於企業自行開發的App則可經由SDK的寫入,或是經過微軟提供的工具重新編譯,轉變成可接受Intune控管的App。今年年中將發布的Windows 10 EDP(Enterprise Data Protection),亦將納入支援。