摘要: 移动领域的安全问题倒是跟黑客关系不大——除了Google Play软件市场中那些以合法产品自居的恶意软件之外,移动设备的安全性其实比普通PC要好一些。真正的挑战在于,使用者往往在不自觉的情况下把业务敏感信息泄露给联系人、陌生对象、违反隐私管理规定或是把合规性义...
移动领域的安全问题倒是跟黑客关系不大——除了Google Play软件市场中那些以合法产品自居的恶意软件之外,移动设备的安全性其实比普通PC要好一些。真正的挑战在于,使用者往往在不自觉的情况下把业务敏感信息泄露给联系人、陌生对象、违反隐私管理规定或是把合规性义务抛诸脑后。大多数过错属于无心之失,但也有一些员工会故意破坏制度——无论如何,事情一旦发生,造成的后果都是严重甚至是致命的。
这就把企业逼到了相当尴尬的境地。一份又一份调查报告不断提醒我们,能够将自有技术带入日常工作的员工不仅心理更愉悦、生产力也会切实得到提高,因此企业也的确希望移动趋势能给业务带来改善。然而管理者同时也需要充分利用规定保护商业机密。好消息是,尽管管理方案与工具还很年轻,但目前我们已经拥有不少能够降低风险、最大程度发挥消费化收益的成熟模式可供借鉴。
对于移动设备而言,这些工具可以分为以下几大类:数据丢失预防、移动数据管理以及移动应用管理。通过分类,我们明确理解了方案的管理对象与核心机制。
数据丢失预防
已经有许多企业斥资数百万美元用于采购数据丢失预防(简称DLP)工具。这类工具利用文本分析及元标记来修改数据访问权限,进而监控信息流(例如邮件中的具体内容),寻找可能存在异常的数据类型——举例来说,社保号码或者被标记为机密的业务文件。DLP工具通常会把潜在问题以警告方式提醒IT部门或用户,但也可以通过编程方式直接阻断信息传输、然后再询问管理意见。
要让DLP工具顺利起效,我们必须首先创建信息管理政策(通常的做法是将用户划分成不同角色),然后对企业中的各类信息进行标注。另外,我们还需要确保全部信息流经由DLP服务器,这样才能保证信息内容获得分析整理。
DLP工具不算什么新鲜事物,但它在移动信息流方面的应用却绝对属于刚刚起步。移动DLP一般分为以下几种方案:
- 将所有移动流量送往DLP服务器,并在分析完成后再分发到目标位置——赛门铁克的产品采用这种方式。
- 提供一款移动应用,专门用于访问SharePoint等企业信息存储体系;应用本身严格遵循存储体系中文件的管理许可。Zenprise公司就为SharePoint推出过这类产品,当然很多云存储供应商(例如Accellion、Box、Dropbox以及YouSendIT)也有针对性地开发出能够为IT部门所管理的云存储服务。
- 通过来自Good Technology、MobileIron以及SAP Sybase等公司的API将内容管理机制嵌入到业务应用程序当中。移动应用管理在概念上与这种方案比较相近,也能够深入到内容管理的层面展开工作。
移动设备管理:MDM
如果2010年是自带设备(BYOD)模式获得合法化身份的元年,那么2011年则是移动设备管理(MDM)工具正式成为BYOD安全标准化解决方案的又一里程碑。而且不出意外,目前已经有十几家供应商开始研发并推出MDM工具。
时至今日,MDM工具已经被广泛应用于金融服务、安全保障、政府机关以及医药产业——而这些恰恰是对信息安全性要求最高的商务领域。不过MDM已经不是什么新鲜事物,多年来许多企业早已利用BlackBerry Enterprise Server(BES)来管理BlackBerry移动设备的访问权限及使用许可等工作。目前普及面最广的邮件服务器微软Exchange所内置的Exchange ActiveSync(EAS)协议则成为支持面最广、也最具次世代气质的管理政策。
EAS政策能够以强制方式要求设备进行数据加密、设定高强度密码或是禁用摄像头,IT部门则能够在Exchange服务器或者Google App企业版本中进行政策设定,所说微软SYsten Center 2012也将加入上述功能。邮件服务器与企业验证服务器紧密相关(通常使用微软的Active Directory),用于检测特定政策是否正确作用于特定用户群体。如果某台设备无法实现政策中对使用者做出的要求,该设备将的访问将被全部或部分拦截。这些服务器还允许 IT部门以远程方式对丢失或被盗的设备进行锁定或者数据清除。
苹果的iOS、已经过气的Windows Mobile、某些谷歌Android版本以及同样日渐消亡的诺基亚塞班移动平台都支持一定数量的EAS管理政策,这与Windows PC、Mac机对微软Outlook邮件客户端以及Mac OS X对苹果Mail客户端的支持非常类似。根据官方说明,微软Windows Phone 7以及某些谷歌Android版本只支持有限的几项EAS政策。(RIM公司的BlackBerry设备一般都与其BES产品共同使用,不过在连接工具的帮助下倒也能跟微软Exchange与谷歌Apps协作——不过后面这二位在安全功能方面与BES差距巨大,这么做实在毫无意义。)
大多数MDM供应商的产品都需要在功能方面超越Exchange或其它邮件服务器,因为只有为移动操作系统提供EAS所不具备的EAS政策,这些第三方工具才有存在的价值。举例来说,苹果公司的iOS 5就内置了一项新政策,允许IT部门禁用其iCloud文件同步服务。
某些MDM供应商则走得更远,他们不满足于为移动平台广泛提供额外政策,更希望能够在检测操作系统版本异常(例如揪出已经‘越狱’的苹果产品)方面有所建树。为了实现这类高级功能,用户必须在这类MDM提供的环境内部运行移动应用及其它软件。任何运行于这套“容器”环境下的应用都会同时获得MDM供应商所提供的全部特殊政策,这相当于让IT部门在用户的个人设备中拥有了一块安全区域。(通过设置,应用所涉及的信息能够不与任何安全区域之外的环境交互,这就从根本上将业务数据与设备的其它组件隔离开来。)有些MDM供应商还为移动用户提供服务台支持功能甚至控制通话费用——也就是在用户出国时提醒其注意国际漫游状态。
MDM供应商所面临的技术挑战与IT部门比较类似,主要在于为不同移动平台提供有针对性的差异化功能——事实上我们根本无法为所有设备创建一套统一的管理方案。MDM供应商的办法是频繁更新,保证各设备平台在出现系统升级或硬件变更后能快速获得与之相适应的新工具。然而IT部门则非常无力,企业规模的限制让少数技术人员不可能以灵活的方式为大部分主流企业级设备提供必要政策。有鉴于此,iOS设备就成了很多管理者的救命稻草:苹果公司强制要求企业采用Apple Push Notification Service(苹果推送通知服务,简称APNS)证书,这就让苹果的MDM管理工具能够真正贯彻到业务环境当中。在这套证书的支持下,管理者能够根据自身需求为MDM工具设置权限,进而通过苹果的通知服务器访问iOS设备。
另一套与此相近的方案是利用网络访问控制器来检测移动访问活动,同时将用户管理政策添加到访问当中。举例来说,F5网络公司就与多家MDM企业建立了合作伙伴关系(其中包括AirWatch、MobileIron、SilverbackMDM以及Zenprise),并以此为基础实现多种工具的顺利协作。Aruba网络公司则计划通过一套移动设备网络控制体系打造出访问管理工具,用于监控设备访问并实施管理政策。
移动应用管理:MAM
移动信息访问控制领域中年纪最小的成员就是移动应用管理(MAM)工具,它目前主要分为以下几大类:
- 应用发布——与我们常见的企业应用商店颇为相近。它的主要作用是管理由企业自主开发的Web及本机应用并进行发布,但它同时也能向用户提供核准应用在公共应用商店中的下载链接。某些工具甚至可以管理由企业开发的、只在内部环境中使用的本机iOS应用。
- 应用开发安全——为企业自主开发的应用内容及网络资源访问活动提供额外的安全与审核机制。它通过以控制台形式出现,允许IT部门以此为平台进行各类内置控制。
- 应用内容管理——主要用于约束应用与其它软件共享验证内容的权限。这方面所针对的仍然以企业自家的应用为主,不过某些情况下也能充当商业应用开发者的管理工具。此领域的两大供应商分别是Mocana与赛门铁克(后者通过收购Nukona才正式上位),他们在应用程序权限许可方案上没有采取传统的DLP路线(即通过应用内部代码实现管理政策),而另辟蹊径、找到了更灵活的解决办法。除了这两家领头羊之外,其它供应商仍然在修改应用代码的层面上苦苦挣扎。
- 安全应用容器——它所创建的隔离区域、应用容器或者虚拟环境能够将大多数业务应用及数据与用户的个人信息彼此隔绝。这套方案的跳出了原先虚拟桌面基础设施(VDI)的思维桎梏,直接实现了一个窗口搞定远程应用管理功能的目标。这类应用程序(例如Citrix的Receiver以及VMware的View)几乎不必访问任何移动设备中的信息或本机功能,也让管理者摆脱了没有键盘鼠标就无法进行操作的窘境。除此之外,还有一类方案专门负责在设备上创建隔离环境——一套专门承载个人应用与数据、另一则容纳IT管理下的业务应用与数据。
目前MAM方案所面临的最大难题在于,大多数产品都只能作用于特定应用。这对于有能力开发自有业务应用的企业而言倒是没什么大碍,但在商业开发人士看来,缺乏广泛支持能力的管理工具距离完美仍然有很长的路要走。随着时间的推移,我们应该会看到更多允许用户自己安装、自己操控的应用及内容管理功能。这些功能只要能与企业现有MDM或其它工具顺利对接,那么移动安全的整体布局也就初具规模了。不过商业开发者或供应商仍然需要为自己的应用产品选择一款或多款API,并承担由此带来的局限性或复杂性。
当然,目前大家最需要的是一款通用内容管理API“大补丸”,这套能够让所有应用与任何管理工具受益的整合方案可以说是功德无量——一旦出现,这款产品将很快获得微软EAS协议在设备管理领域相对等的崇高地位,并立即成为行业标准。在EAS这边,供应商需要做的是针对特定应用需求推出核心向政策强化服务,而商业开发者则可以自由选择支持或放弃这些额外功能。通过这种方式,应用程序开发将真正进入安全、开放的新时代。
主流供应商与关键性移动管理需求
数据丢失预防 | 移动设备管理 | 移动应用管理 | ||||
流量监控 | 在线存储管理 | 应用程序发布 | 安全应用开发及管理 | 应用内容管理 | 安全应用容器 | |
InterGuard软件 赛门铁克 | Accellion Box.net Dropbox YouSendIt Zenprise | AirWatch BoxTone Centrify Fiberlink Good Technology Intel McAfee Microsoft MobileIron Research in Motion SAP Sybase 赛门铁克 Tangoe Wyse Trellia Zenprise | Apperian App47 苹果 Good Technology MobileIron Odyssey软件(属于赛门铁克) SAP Sybase Partnerpedia Zenprise | AppCentral Good Technology MobileIron SAP Sybase Veracode Verivo | AppCentral Good Technology MobileIron Mocana Symantec Nukona | Antenna软件 Cellrox Enterproid Fixmo NitroDesk Open Kernel 实验室 |
Galen Gruman 著 核子可乐 译