除了協助企業打造以用戶體驗為中心的工作環境,達到轉型的目標,Citrix本身也持續隨著需求端的變化而調整,去年即宣布Workspace旗下的XenDesktop、XenMobile、XenApp、ShareFile等本土企業熟知的產品線全數更新命名,其中的XenMobile屬於統一端點管理(UEM)解決方案,已正式更名為Citrix Endpoint Management(CEM)。
Citrix台灣暨香港技術總監何浩祥指出,目前解決方案歸類為Workspace、Networking、Analytics三大類別,前兩者所產生的資料皆可蒐集並集中到歸類為Analytics的ADM(Application Delivery Management,前稱為MAS)分析平台,以解析使用者行為。現階段全產品線皆已提供訂閱模式,至於雲端服務存取,則是單獨推出身份辨識控管服務稱為Citrix Access Control,屬於Citrix Cloud的一環。
事實上,現階段Citrix全產品線都可透過雲端服務訂閱取用,主要因素即在於國際市調組織紛紛預估,在2020年之後,位於雲端的工作負載與地端將各佔一半,IT廠商也必須得緊跟企業應用的轉變,才足以發展設計符合需求的解決方案。
建立零信任模式依角色配置適當權限
針對工作空間的數位化轉型,過去探討的應用模式大多為BYOD,主要偏重於控管行動裝置,可惜效果不如預期,畢竟裝置為員工私人所有,難以要求強制納管。何浩祥認為,其實最簡單的方式是建立零信任(Zero Trust)模式,也就是管理工具的設計應該預設為不信任所有裝置,再依據使用者角色配置合適的權限,毋須另行檢查連網裝置的擁有者、遭受入侵風險。可惜的是得以實作此觀念的企業不多見,主要因素是多數控管政策受到法規牽制,包袱過重難以突破,例如明文指出必須要有防火牆等資安建置,因此行動化應用需求較明顯的是零售、保險等等產業。
「CEM就是Citrix所設計的UEM解決方案,包含行動設備管理、行動應用管理、內容管理、身分管理等多項技術。不僅只限定於手機、平板電腦,包含筆電、桌上型電腦等,異質作業系統皆可支援。至於應用於物聯網環境的裝置,像是網路攝影機、感測器等,則未包含在UEM範疇,現階段仍著重於工作場域的端點。」
欲成功實施公司控管政策,首要必須讓員工認為工具實用,否則恐難以推動,因此首要須考量可解決日常工作無效率的環節,以提高生產力。例如對於營運銷售範圍遍及全球的企業,員工經常必須出差到不同國家,有時必須透過個人虛擬桌面環境處理公務,以往必須透過VPN連線回到總部存取,無法避免遇到網路原生的延遲、遺失封包等狀況,使得用戶體驗不佳。如今則可基於不同公有雲服務供應商提供的平台,讓員工就近存取服務,這也正是近年來多雲應用盛行的重要因素。
從發展自建方案轉型為雲端服務優先
CEM可說是Citrix Workspace旗下重要的組成元件,為雲端服務方式提供,透過訂閱即可使用。CEM可在各式終端蒐集取得資料,進而統整與分析,以監看高風險的操作行為。例如存取權限以外的檔案、大量外發郵件等狀況,或者是在不該存取時間卻上線存取,此類異於常態的活動行為皆可透過UEM來發現。還可把解析後的數據透過REST API協同第三方廠商系統進行資料交換。
過去專注於發展企業內部自建解決方案的Citrix,近兩年隨著客戶逐步朝向數位化轉型,開始全面擁抱雲端應用,只要是新推出的方案皆建構在雲端平台之上,授權改以訂閱方式,對Citrix而言可說是相當大的轉變。
Citrix台灣暨香港技術總監何浩祥建議,與其不斷地疊加行動化應用安全機制,不如跳脫防護的思維,從根本控管上來處理潛在的風險威脅。
「從去年的營收來看,客戶對於Citrix的轉型相當認同,尤其是去年第四季,營收創下有史以來新高,由此可發現,多數國際企業已普遍接受訂閱模式。只是去年尚未在台灣推廣,主要是為了累積更多採用的案例,待應用模式成熟之後再著手更具說服力。當然,銷售體系方面也會有所調整,以往是以經銷商為主要通路,如今亦開始增添服務供應商,尤其是代理微軟雲端服務的夥伴,可善用CEM本身具備Office 365、Windows 10等整合能力。」何浩祥說。
應用服務轉為虛擬化 消除資安風險疑慮
專注於確保使用者體驗為研發設計CEM的重要理念,不論在任何終端裝置上皆可擁有一致性的操作介面,並且以使用者為核心配置控管措施。何浩祥以近期常見的實作案例,即是Windows 7開始被微軟要求升級到Windows 10,以往必須得逐台電腦重新安裝,透過CEM打包封裝的映像檔案技術正可降低IT人員系統升級負擔,再透過統一控管平台配置應用程式權限,毋須各別設定。
作業系統升級經常會遇到企業內部自主開發的App也必須隨之跟進,推出更新版。其實企業內部自行開發的App,不見得成本比較低,因此已有許多客戶採以應用程式和桌面虛擬化技術發布提供,不僅毋須留意作業系統改版,同時可避免出現相容性問題。 「這也是我之所以強調終端設備預設必須視為非信任的原因。透過虛擬應用技術,不管設備屬於信任或非信任皆可確保安全性。若不具備虛擬化技術,則難以把所有設備視為非信任,儘管還可採用各式不同防護功能來輔助降低風險,問題是防不勝防,仍舊可能被繞過。」何浩祥說。
長期以來大眾接收的資安觀念是無法達到百分之百,實際上,儘管技術有極限,卻可透過應用部署方式來補強,建立完整資料外洩防護。
「近年來資安領域出現以網頁隔離技術來防範攻擊,宣稱可以達到百分之百,我認為大約僅可達到99%,實際上網頁隔離概念與Citrix提出的雙網隔離皆是透過中介來執行,只是技術層次的差別。」
他進一步指出,相較於瀏覽器實作,直接轉換為虛擬化才得以真正達到百分之百,即便惡意人士利用拍照竊取機敏資料,CEM解決方案中設計增添自動標示浮水印,存取文件、SaaS等操作行為的使用者相關資料,會顯示在機敏內容的上方,即使拍照也無法被抹除。此外,過去用於跨裝置存取桌面、檔案、應用服務的Citrix Receiver,現已改名為Workspace App,桌機與手機的操作介面設計邏輯也更為接近。較特別的是,曾存取過的檔案會自動產生捷徑,以便於常態性地操作存取。