伴隨著企業(yè)移動管理的發(fā)展以及技術(shù)的演進(jìn),MDM的反正大致經(jīng)歷了3個(gè)階段:
1、2007-2012設(shè)備驅(qū)動管理階段。MDM可交付庫存管理,設(shè)備狀態(tài)監(jiān)測,和桌面幫助支持。在設(shè)備層有豐富的安全策略例如預(yù)防為認(rèn)證者訪問設(shè)備和數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)傳輸控制,特別是公網(wǎng)與企業(yè)網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸;基礎(chǔ)的安全功能例如強(qiáng)制密碼認(rèn)證,遠(yuǎn)程鎖定,遠(yuǎn)程擦除等。這個(gè)時(shí)期移動設(shè)備管理及移動安全管理廠商在該領(lǐng)域內(nèi)占主導(dǎo)地位。該時(shí)期的管理重點(diǎn)是設(shè)備,不是應(yīng)用,也不是數(shù)據(jù)。在某些情況下,安全廠商和設(shè)備管理廠商會合作提供更全面的解決方案。
2、2011-2012應(yīng)用管理和沙箱機(jī)制出現(xiàn)。MDM廠商提供針對大批量已部署的應(yīng)用的集中管理、空中升級技術(shù)、以及證書支持。MAM廠商也進(jìn)入了移動管理領(lǐng)域,專注于企業(yè)應(yīng)用超市機(jī)器對應(yīng)用的管理、添加、配置、升級、刪除等操作。MAM廠商沒有提供更多的設(shè)備管理相關(guān)的功能,但是MDM廠商則嘗試提供應(yīng)用管理類的產(chǎn)品。該時(shí)期移動管理行業(yè)的重點(diǎn)轉(zhuǎn)向了如何保證企業(yè)員工安全地使用企業(yè)數(shù)據(jù)和企業(yè)應(yīng)用。虛擬化廠商和MAM廠商提供的安全解決方案是建立在沙箱、容器的模式上,隔離管理企業(yè)的數(shù)據(jù),不用關(guān)心員工使用的是否是個(gè)人設(shè)備。隨著移動應(yīng)用管理提供商對EMM管理重要性的理解,市場上的合作或收購動作也在加速,以便向企業(yè)提供完整的EMM解決方案。
3、2013年起,企業(yè)從MDM的管理需求轉(zhuǎn)向整個(gè)移動全生命周期的管理,而EMM作為整體解決方案備受企業(yè)的關(guān)注,也成為了供應(yīng)商們下一個(gè)發(fā)展的方向。EMM專注于提供與內(nèi)容相關(guān)的管理屬性,例如位置、角色、時(shí)間、以及內(nèi)容的類型等。安全策略將覆蓋應(yīng)用程序的每一個(gè)環(huán)節(jié)。企業(yè)會根據(jù)管理現(xiàn)有移動業(yè)務(wù)的需求,根據(jù)功能來選擇EMM,有些企業(yè)是因?yàn)榭缙脚_的應(yīng)用而選擇,而一些企業(yè)則是為了監(jiān)控各種應(yīng)用而選擇。無線局域網(wǎng)提供商也進(jìn)入這個(gè)市場,將網(wǎng)絡(luò)內(nèi)容鏈接到應(yīng)用管理中。MDM/MAM產(chǎn)品提供商與無線技術(shù)廠商之間產(chǎn)生了合作關(guān)系。市場將進(jìn)一步統(tǒng)一,系統(tǒng)管理也進(jìn)一步簡化。EMM市場將轉(zhuǎn)向員工相互交流和跨平臺應(yīng)用管理。
2014年,作為移動信息化更加深入發(fā)展的重要時(shí)刻,移動終端接入企業(yè)應(yīng)用會越來越多,對企業(yè)安全造成的隱患也越來越嚴(yán)重,因此,企業(yè)對于移動管理的需求越來越突出。
2.1 移動化之路:MDM之后,是數(shù)據(jù)、應(yīng)用管理和協(xié)作
在數(shù)周前于紐約召開的高德納研討與展示會上,一件備受矚目的事情就是:移動如何成為企業(yè)中的主流?從黑莓開始,智能電話多年來就作為商業(yè)工具被人們使用。但是,現(xiàn)在人們關(guān)注的重點(diǎn)已經(jīng)從如何管理這些設(shè)備,比如發(fā)送郵件、管理聯(lián)系人以及建立日程計(jì)劃表,逐漸轉(zhuǎn)移到了在這些設(shè)備上開發(fā)企業(yè)應(yīng)用方面。
管理數(shù)據(jù)與應(yīng)用
約翰·馬歇爾是AirWatch(現(xiàn)在是VMware的業(yè)務(wù)部門)的總經(jīng)理以及聯(lián)合創(chuàng)始人,他表示自己去年看到地一個(gè)比較大的變化就是:企業(yè)對部署到這些移動設(shè)備上的內(nèi)容更為關(guān)心,而不僅僅是應(yīng)用方面。他說那些與他交談過的IT部門都表示更加關(guān)注內(nèi)容管理與協(xié)作。他同時(shí)說道,AirWatch與其他競爭對手相比所具有的顯著差異之一就是:AirWatch的方案不關(guān)心內(nèi)容存放的具體位置,無論這些內(nèi)容是被存放在傳統(tǒng)的文件服務(wù)之上,還是在云端。“我們通過最好的通訊手段,將正確的內(nèi)容交付到正確的人手里,”馬歇爾進(jìn)一步強(qiáng)調(diào)道
“重點(diǎn)在于數(shù)據(jù)”,Good公司CEO克里斯蒂·懷亞特也說道。她主張將數(shù)據(jù)放在一個(gè)安全的容器中,然后通過更多的應(yīng)用對該容器進(jìn)行擴(kuò)展,或者在“混合云”(hybrid cloud)上完成部署。她稱自己觀察到IT部門存在的一種趨勢,即從單純的移動設(shè)備管理(MDM)過渡到企業(yè)移動管理(EMM)。在許多情況下,這都要求IT部門跨多重平臺安全地部署應(yīng)用和數(shù)據(jù)。
菲爾·里德曼是Citrix移動方案和戰(zhàn)略副總裁,他提及自己的公司能夠提供多種方案,比如新的WorxMail應(yīng)用,該應(yīng)用提供了快速尋找重要消息以及協(xié)作的功能。而對于文件共享,他說道,相比較其他通常的服務(wù),如Box、微軟 OneDrive或者谷歌Drive,Citrix的ShareFile能夠提供更加細(xì)粒度的政策來管理數(shù)據(jù)。
MobileIron的戰(zhàn)略副總裁奧加斯?雷奇對此表示贊同。他認(rèn)為,應(yīng)用和數(shù)據(jù)的安全正在變得日益重要,許多大型企業(yè)現(xiàn)在不僅僅關(guān)注電子郵件的收發(fā),同時(shí)也在關(guān)心應(yīng)用和數(shù)據(jù)的容器。從這個(gè)角度來考慮,MobileIron現(xiàn)在開始單獨(dú)“為每個(gè)應(yīng)用提供VPN”(per-app VPN),以此向用戶提供更多的安全性能。
黑莓重新定位了自己在企業(yè)市場上的角色,該公司目前提供支持全移動平臺(目前支持黑莓、iOS以及安卓,很快就會支持Windows Phone)的內(nèi)容控制和應(yīng)用,并且將關(guān)注重點(diǎn)放在受控端點(diǎn)上。黑莓的企業(yè)產(chǎn)品戰(zhàn)略高級主管杰夫·霍勒倫表示,公司長期關(guān)注企業(yè)數(shù)據(jù)的安全性,他談到了黑莓企業(yè)服務(wù)器(BlackBerry Enterprise Server,BES)網(wǎng)絡(luò)操作中心(Network Operations Center,NOC),他表示該方案相比DMZ內(nèi)的“呼入代理”(in-bound proxy)能夠提供更多的安全性能,而后者是目前大多數(shù)方案所采用的策略。
但是霍勒倫同時(shí)也談到了容器的重要性。他特別指出在安卓系統(tǒng)上,BES現(xiàn)在提供了一個(gè)完整的容器,具有背景同步的功能,如DocsToGo,同時(shí)也提供了一個(gè)簡單但是安全的方式來包裝第三方應(yīng)用。他更進(jìn)一步說道,黑莓逐漸獲得了來自那些具有安全意識和受管制的行業(yè)的支持,同時(shí)也提到受BBM保護(hù)的即時(shí)通訊應(yīng)用也吸引了眾多關(guān)注。
合并管理與文件管理協(xié)作
在展示會上還有一個(gè)新的概念,那就是與目前的移動設(shè)備一樣,Mac和PC最終會以同樣的方式被管理。許多傳統(tǒng)的MDM廠商現(xiàn)在也開始對Mac以及運(yùn)行Windows 8.1的PC提供管理方面的支持,而那些PC管理方面的老牌廠商則引入了他們自己的企業(yè)移動方案。例如,微軟的InTune,以及LANDesk軟件,后者很快就會提供類似的功能,比如應(yīng)用包裝(app wrapping)。微軟也聲稱他們會在商業(yè)版Office 365中提供MDM的功能。
但是上述領(lǐng)域也沒有完全合并。AirWatch的馬歇爾覺得從長遠(yuǎn)來看,桌面設(shè)備和移動設(shè)備最終會以同樣的方式被管理,而且指出他的公司的產(chǎn)品支持Mac以及Windows設(shè)備的管理。他說道,IT經(jīng)理人仍然需要舊的工具,比如微軟 System Center來完成更加復(fù)雜的管理以及完成大多數(shù)PC上的更新工作。MobileIron的雷奇則指出,他們公司的產(chǎn)品已經(jīng)整合進(jìn)了System Center。目前看來,在企業(yè)IT部門能夠使用單一管理工具對所有設(shè)備進(jìn)行管理的那一天到來之前,還有很長的路要走,但是從目前看來,人們在這方面已經(jīng)取得了一定的進(jìn)展。
今年,不管是以云端為中心的產(chǎn)品,比如Box和微軟OneDrive,還是那些將部分?jǐn)?shù)據(jù)存放在企業(yè)數(shù)據(jù)中心的為混合環(huán)境設(shè)計(jì)的產(chǎn)品,比如Accellion Kiteworks、Citrix ShareFile、EMC Syncplicity以及WatchDox,它們都將關(guān)注重點(diǎn)放在了共享文檔的安全性方面。
如今,越來越多的程序致力于幫助用戶將他們的應(yīng)用遷移到云端,以便能夠真正的利用這些應(yīng)用。Kony公司推出了一個(gè)有趣的建模工具,該工具可以讓典型用戶通過一個(gè)可視化開發(fā)工具來設(shè)計(jì)能夠滿足自己需要的應(yīng)用程序,而這些應(yīng)用程序也可以運(yùn)行在iOS和安卓系統(tǒng)上。Kony也有為iOS、安卓、黑莓以及Windows設(shè)計(jì)的MDM產(chǎn)品,但是該產(chǎn)品將重點(diǎn)放在了利用單一代碼基礎(chǔ)創(chuàng)建HTML5以及混合應(yīng)用程序方面。K2的Blackpearl似乎采用了類似的步驟,該產(chǎn)品將重點(diǎn)放在了基于窗體的應(yīng)用上。另外,還有SharePoint應(yīng)用以及很多其他的中間件產(chǎn)品都提供了各自的功能來幫助用戶完成類似的事情。
移動設(shè)備已經(jīng)從傳統(tǒng)IT環(huán)境下的一個(gè)小角色,逐漸成為了取代PC地位的主角。這是一次具有深遠(yuǎn)意義的行業(yè)變革,每個(gè)廠商都不想落下自己的腳步。
2.2 MDM是否不足,還是一塊拼版,EMM是未來,還是下一個(gè)功能
MDM不足之處
十多年前,MDM出現(xiàn)在管理Windows CE及黑莓手機(jī)的產(chǎn)品中。當(dāng)iPhone啟動BYOD的采用時(shí),MDM產(chǎn)品對蘋果和安卓手機(jī)進(jìn)行了支持,但仍然主要側(cè)重于以設(shè)備為中心的目標(biāo):硬件資產(chǎn)管理、OS配置以及遠(yuǎn)程發(fā)現(xiàn)和擦除功能??傊?,MDM提供針對整體設(shè)備的管理功能,協(xié)助IT部門控制員工自帶的個(gè)人設(shè)備。
這種傳統(tǒng)的桌面管理方法可能適用于公司配發(fā)的手機(jī),但對公私混用的設(shè)備就捉襟見肘了;員工們顧慮個(gè)人隱私,而這種方法也將IT部門置于因處理個(gè)人應(yīng)用和數(shù)據(jù)而不受歡迎的處境。此外,MobileIron的戰(zhàn)略副總裁Ojas Rege認(rèn)為,設(shè)備管理關(guān)注錯(cuò)了攻擊向量。
Rege說,“架構(gòu)驅(qū)動攻擊向量。”
Rege認(rèn)為,在Windows桌面世界,攻擊主要利用開放文件系統(tǒng)以及內(nèi)核態(tài)的應(yīng)用程序。但iOS、Windows Phone以及(在較小程度上)安卓通過嚴(yán)格的用戶空間分離以及應(yīng)用沙箱技術(shù)消除了這些向量。而事實(shí)上移動設(shè)備面臨的威脅包括越獄、間諜軟件、無線輻射以及用戶行為—需要不同方法的架構(gòu)差異。
因此EMM轉(zhuǎn)移了IT的關(guān)注重點(diǎn),從保護(hù)設(shè)備轉(zhuǎn)移到保護(hù)數(shù)據(jù)以及控制企業(yè)數(shù)據(jù)如何在應(yīng)用間流動,從而保障數(shù)據(jù)處于靜止和移動狀態(tài)的安全。這種EMM方法不僅能更好處理移動威脅,也使得IT部門可以只管理每部智能手機(jī)或平板電腦的“業(yè)務(wù)部分”。
應(yīng)用EMM來加強(qiáng)安全策略
根據(jù)Gartner評估標(biāo)準(zhǔn),EMM產(chǎn)品必須包括如下功能:硬件和應(yīng)用清單,OS配置管理,移動應(yīng)用部署、更新、移除以及配置和策略管理,遠(yuǎn)程故障診斷和行動,還有移動內(nèi)容管理。許多這些功能由MDM產(chǎn)品開創(chuàng),并繼續(xù)作為EMM的競爭籌碼。MDM產(chǎn)品發(fā)展成為EMM套件的EMM引爆點(diǎn)附帶有內(nèi)容和應(yīng)用管理功能,使得IT部門有能力提供、監(jiān)測和加強(qiáng)更細(xì)粒度的安全策略。
EMM轉(zhuǎn)移了IT的關(guān)注重點(diǎn),由保護(hù)設(shè)備到保護(hù)數(shù)據(jù)以及控制企業(yè)數(shù)據(jù)如何在應(yīng)用間流動,以保障數(shù)據(jù)處于靜止和移動狀態(tài)的安全。
AirWatch by VMware(VMware于2014年1月收購了MDM提供商AirWatch)的首席方案工程師Blake Brannon認(rèn)為,圍繞移動安全的需求通常會引發(fā)客戶采用EMM。他說:“采用BYOD的廠商、承包商以及員工—所有這些用例分享圍繞容器化的更多控制需求,特別是應(yīng)用和數(shù)據(jù)。例如,許多設(shè)備都支持加密,但某些設(shè)備處理得比其他的更妥善。在某些情況下,你不想強(qiáng)制所有BYOD設(shè)備加密。而其他情況下,也許會要求FIPS級別的加密,或者僅僅是比原生更強(qiáng)壯的加密。容器這種方案允許更細(xì)粒度的加密策略,勝過任何給定設(shè)備在硬件級別進(jìn)行支持的方案。”
Fiberlink(IBM的一個(gè)公司)的高級產(chǎn)品經(jīng)理John Nielsen,描述了應(yīng)用上的類似趨勢。“在BYOD設(shè)備上,不僅僅要確保靜止內(nèi)容的安全性,還需要具備擦除(僅企業(yè))內(nèi)容以及控制容器間內(nèi)容流的能力。
EMM能設(shè)置應(yīng)用白名單,確定數(shù)據(jù)被允許流向何處,包括第三方應(yīng)用、存儲以及云。EMM提供的策略控制可以簡單如阻斷拷貝/粘貼或截屏或打印敏感內(nèi)容,也可以更高級,如一個(gè)文件只被允許在企業(yè)版Box.net中打開而不能在iCloud或者Google Drive中打開。”
Rege認(rèn)為,善意的用戶持續(xù)唾手可得。“用戶收到一封郵件,并打開DropBox中的一份附件—那么現(xiàn)在你有公司數(shù)據(jù)置于不受控制的公有云中了。該威脅存在于傳統(tǒng)設(shè)備中,但對于移動設(shè)備更為嚴(yán)重,這是因?yàn)樵剖侨绱司o密地集成于移動設(shè)備中。由于數(shù)據(jù)在設(shè)備間移動,[EMM]必須確保數(shù)據(jù)始終是加密的。”這就是為什么移動應(yīng)用管理(MAM)在EMM中扮演如此重要的角色。
例如,當(dāng)有人在智能手機(jī)或平板電腦上運(yùn)行商業(yè)應(yīng)用程序時(shí),企業(yè)必須識別該應(yīng)用的用戶(也許使用企業(yè)認(rèn)證或者單點(diǎn)登錄),也必須對應(yīng)用執(zhí)行進(jìn)行授權(quán)(基于設(shè)備完整性甚至還有地理位置)。必須正確安裝與配置應(yīng)用自身,必須將應(yīng)用相關(guān)的數(shù)據(jù)加密到要求級別,而且還必須應(yīng)用數(shù)據(jù)防泄漏機(jī)制。后者也許包括限制應(yīng)用至應(yīng)用的數(shù)據(jù)流,調(diào)用受信任的應(yīng)用程序(“開放”策略)或者強(qiáng)制數(shù)據(jù)通過安全的會話與網(wǎng)關(guān)。如果設(shè)備丟失或者員工出國,就破壞了應(yīng)用完整性,必須隔離或被擦除這個(gè)應(yīng)用以緩解業(yè)務(wù)風(fēng)險(xiǎn),且不影響設(shè)備的其他應(yīng)用或工作人員的個(gè)人數(shù)據(jù)與應(yīng)用。
企業(yè)如何使用EMM應(yīng)對BYOD業(yè)務(wù)風(fēng)險(xiǎn)
EMM具備所有這些能力,針對個(gè)人設(shè)備中的安全容器提供全生命周期管理。然而,EMM套件趨于包含相當(dāng)廣泛的能力,其中很多是單獨(dú)定價(jià)模塊。安全團(tuán)隊(duì)必須調(diào)整他們的需求與MIS部門一致,確保任何EMM產(chǎn)品采購都將成本最優(yōu)地滿足這兩個(gè)群體的目標(biāo)。為此,讓我們考慮EMM采用的當(dāng)前狀態(tài)。
在過去一年,根據(jù)Nielsen的看法,有更多Fiberlink的客戶已在尋求容器化的解決方案。“但對于容器化的主要需求還是圍繞電子郵件,這仍然是移動設(shè)備上最重要的效率工具。”Nielsen說,“安全的郵件比以往任何時(shí)候都更受歡迎,但更多客戶正朝著應(yīng)用的容器化遷移,確保第三方應(yīng)用可以分享我們?nèi)萜骰沫h(huán)境并啟用帶有SDK的私有應(yīng)用。”
換句話說,高效、易用的容器不能是孤島;它們必須允許安全的、且基于策略的數(shù)據(jù)在可信應(yīng)用間流動,由這些可信應(yīng)用共同在設(shè)備上創(chuàng)建安全移動的工作環(huán)境。
Brannon注意到,除了安全郵件和安全內(nèi)容外, 一些AirWatch的客戶還需要安全瀏覽器應(yīng)用。“每個(gè)企業(yè)都有某種形式的企業(yè)內(nèi)網(wǎng)—也許是一個(gè)SharePoint站點(diǎn)或者幫助中心。我們的安全瀏覽器使得員工無需連接VPN即能安全訪問內(nèi)網(wǎng);也使得IT部門能確保數(shù)據(jù)安全地移動以及數(shù)據(jù)防泄露。”他這樣說。
Rege說,更多的MobileIron客戶正基于用戶身份以及設(shè)備狀態(tài)來決定應(yīng)提供給每個(gè)用戶和設(shè)備的訪問級別。“有一些技術(shù)在移動世界變得重要得多—PKI和NAC是其中兩項(xiàng)這樣的技術(shù)。”這就是為什么在選擇一個(gè)EMM套件時(shí),EMM與企業(yè)身份管理與網(wǎng)絡(luò)基礎(chǔ)設(shè)施集成的能力會如此重要,從而匯集分別管理的安全策略并提供更為健壯的移動威脅防護(hù)方案與更為無縫的用戶體驗(yàn)。
例如,一個(gè)企業(yè)的無線局域網(wǎng)(WLAN)可以自動檢測一部新的個(gè)人設(shè)備,將它重定向到EMM系統(tǒng)進(jìn)行注冊、證書安裝以及容器部署。此后,WLAN 在授權(quán)這部設(shè)備網(wǎng)絡(luò)訪問前,會咨詢 EMM以確認(rèn)其完整性;EMM還扮演隔離不合規(guī)設(shè)備的角色。
在選擇EMM時(shí)思考這些場景并考慮自動化,會有助于企業(yè)不僅僅是容忍而是很大程度完全接受個(gè)人設(shè)備,這通過使用更細(xì)粒度的安全策略、功能更豐富的管理套件以及更佳的一體化來實(shí)現(xiàn)安全移動。