終端用戶喜歡概念簡單、容易上手、自由存取App與檔案,討厭安裝公司提供的管理程式;而IT管理的角色,需要的卻是提升管理效率與降低安全風險。Workspace ONE的設計則是為了同時滿足兩個不同族群相互矛盾的需求。
著眼於企業終端環境轉向行動化應用,VMware整合了旗下Horizon及AirWatch產品技術,期望為現代工作者打造安全與便利兼具的數位化工作空間(Digital Workspace)。
VMware亞太區終端用戶運算產品與研發總經理寇育新說明,過去VMware是以Workstation終端虛擬化技術著稱,之後進一步擴展至伺服器虛擬化,顛覆了原有IT基礎架構,成功地掀起資料中心朝向軟體定義的方向發展(SDDC);然而該公司對於終端方面的技術投入,也始終未曾停歇,除了發展推出桌面平台(VDI)與應用程式虛擬化部署模式的Horizon,解決傳統Windows應用程式遠端派送的問題,同時也觀察到,IT消費化應用趨勢為企業IT帶來不小壓力,於是在2014年收購當時相當知名的行動裝置管理與安全解決方案技術提供商AirWatch,經整合後,於今年年初正式發佈Workspace ONE,協助企業建構更貼近現代工作者需求的數位化工作環境。
行動化應用興起 帶動控管需求提升
 |
| ▲VMware亞太區終端用戶運算產品與研發總經理寇育新強調,在行動化的應用環境下,安全機制必須無處不在,不僅是端點的管控,應用系統的存取行為也需要有所隔離,以藉此降低資安風險。 |
「其實VMware近年來推動的變革,大多是在企業用戶的驅動下不斷地向前發展。」寇育新強調。根據市場研究機構調查統計,大約有六成的工作者已經用行動裝置在處理日常工作,寇育新則認為,實際比重應該比統計數據多更多。
企業行動化發展由來已久,初期可說是為了解決行動工作者收發電子郵件應用需求。她舉例,過去在智慧型手機較具代表性的BlackBerry、Nokia Symbian等系統,當時推動的概念,即是以遠端存取郵件的安全性為主要切入點。只是後來市場被Android、iOS超越後,才出現MDM等專門針對行動裝置控管的解決方案。AirWatch即是基於MDM起家,包括針對郵件、瀏覽器、資料內容控管等功能。
當時在終端用戶運算領域中,企業所面臨的問題,不僅是如何把Windows應用程式與桌面環境派送到用戶端,VMware也觀察到,在IT消費化影響下,愈來愈多的終端用戶開始藉由各式行動設備、運行原為消費端性質的App,來提升生產力。儘管企業樂見員工生產力因此提升,並未嚴格禁止,但接下來管理政策與措施勢必須要跟上,因此VMware才決定併購在EMM(Enterprise Mobility Management)市場中知名的AirWatch。
Workspace ONE平衡IT控管與生產力的矛盾
為了符合客戶需要的一致性用戶體驗,降低整合控管的複雜度,VMware開始著手把行動與桌面端各自獨立的產品技術相互整合,建構成為Workspace ONE。寇育新說明,Workspace ONE可協助的對象,包括IT人員與終端用戶。然而,終端用戶的喜好通常是概念簡單、容易上手、自由存取App與檔案,討厭安裝公司提供的管理程式;而IT管理的角色,需要的卻是提升管理效率、降低安全風險,兩個族群的需求實際上為相互矛盾。
近年來的終端環境複雜度變高,IT管理經常處於失控邊緣的狀態,例如員工把公司郵件收發、辦公室軟體、部門單位所使用的App等安裝在行動裝置上處理公務,其實IT人員通常無法掌握App安裝的設備與應用資訊,成為機敏資料外流最大的漏洞。
EMM產品研發思維即是用來解決行動化管控的問題。但是企業在導入建置時,部署過程中卻經常發生牴觸,例如使用者對於私人手機不願意接受公司控管的抗拒心理。「其實AirWatch EMM解決方案,有控管等級區分,最嚴格的是MDM,若是公司發放的設備,即要求需接受完整的控管;也有以App為核心的隔離控管,運用容器技術來集中保護公司配發的App,不至於出現公與私混用的狀況,可說是平衡IT與用戶需求的控管模式,但使用者仍舊無法理解。而Workspace ONE的平台設計則是完全符合兩個不同族群的思維。」
「如同個人、App、Workspace ONE,三方建立信任關係,藉此存取資料庫、ERP等自建系統資源;或是外部的SaaS,例如Salesforce;或是來自公司採購或自行研發的Native(原生)App。另一方面,企業內部難免有Windows應用程式尚未轉換為App模式,仍舊需要傳統桌面環境,透過Workspace ONE亦可發佈到任何設備,讓終端用戶在任何時間、地點、設備,皆可應用一致性的App。」寇育新說。
AirWatch整合以微切分機制保護遠端存取
多數公司的行動裝置應用控管政策,會要求終端用戶執行遠端連線存取內部資源時,需透過VPN連線才得以越過防火牆的屏障,但問題是,終端用戶的環境資安威脅相當多,往往是已被入侵而不自知,如此一來,即可能由於VPN連線擴大滲透到內部系統;若IT不願意承擔此風險,需要多一層防禦,VMware亦有提供Per-App VPN機制,讓每個應用程式皆可建立一個VPN通道。
從使用者帳號與密碼登入連線的VPN機制,改以App的角度授權為主,即可保障安全無虞嗎?寇育新指出,若以進階式攻擊手法來看,既然App連線得以進入公司內網,有心人士也可能利用合法的App夾帶惡意程式,攻擊其他應用系統。因此VMware協助處理的方式,即是透過AirWatch與NSX軟體定義網路技術整合架構,利用NSX內建的微切分(Micro-Segmentation)機制,定義App與內部系統的安全區域,並依據控管政策來運行,此機制可說是VMware較具獨特性之處。
至於企業評估選擇建置方案時,可考量對於風險容忍度的等級不同,選擇落實控管措施。若選擇的是NSX模組,即可建立App連線到伺服器的安全通道,把兩地端所有的溝通都限制在該通道中。即便是內網中任何一種應用服務遭受入侵,也不致橫向擴散。