BYOD管控是企業的重要議題,然而傳統MDM、MAM、MCM或VDI解決方案,在BYOD管控上存在著不一樣的盲點,使得企業很難同時兼顧員工隱私與降低資安風險的目的,而VMI透過雲端執行運算與存取,讓資料與App不落地,已成企業BYOD管控的全新思維。
智慧型手機、平板電腦越來越普及,人手1台甚至2台以上的智慧型行動裝置,已經是日常生活隨處可見的景象,加上3G、4G行動網路成熟發展,促使越來越多人透過行動裝置處理公事、提昇工作效率。
根據IDC於2014年所做的調查,全球37%工作人口將在2015年底邁入行動化,換算下來約莫有13億行動工作者,若進一步針對亞太區來看,2014年使用中的行動裝置包括1.55億支智慧型電話和超過400萬台平板電腦,且年成長率分別為40.4%和62.7%,如此龐大的使用人口,形成支撐BYOD發展的基礎。
BYOD管控的兩難
然而,BYOD對企業來說就像是一把雙面刃,在提昇效率的同時也增加了風險,倘若使用者遺失設備或手機中毒被駭客入侵,企業機密資料很可能就此外洩,造成商譽和金錢上的損失,如何管理BYOD成為企業資安人員的首要課題。
數位資安總經理蘇隄認為,BYOD管理的兩難在於,管的太多容易引起員工反彈聲浪、效果不彰,但若管的太少無法達到資料保護目的,日後若真的發生資料外洩事件又該由誰負起責任?
過去3~4年,企業傾向導入行動裝置管理(Mobile Device Management; MDM)解決方案來管控BYOD安全,最終卻都宣告失敗,主要原因在於:
1. 員工反彈抗議不斷
2. Apple不開放iOS系統,使得MDM在iPhone或iPad裝置上所能發揮的功效有限
3. Android版本太多,也有太多廠牌與型號,MDM版本管控不易,導入困難
4. 企業無法區分行動裝置內的資料擁有者,究竟是企業或個人
繼MDM之後,市場上有些人推出MAM(Mobile Application Management)或MCM(Mobile Content Management)管理解決方案,針對手機內的應用程式或內容做管理。
這兩種解決方案的管理對象雖然不一樣,但原理是相似的,兩者都是在手機內設置一個加密的Container,將應用程式或資料放在裡面,企業若有自行開發的App,必須根據MAM或MCM廠商所提供的API或SDK做加工,才能放進Container裡面,這對企業IT人員來說是一項額外的工作負擔,而且不容易做到,當然,有些MAM或MCM廠商為了降低企業負擔,也會提供某些常用App如:收信、即時通訊…等,但這些App多半功能陽春未必符合企業的使用需求。
在雲端進行存取和運算 VMI有效防堵資料外洩風險
由此來看,BYOD管理需要全新的技術與思維模式,也就是VMI(Virtual Mobile Infrastructure)。
VMI的運作架構如同虛擬桌面(VDI)解決方案,所有資料都放在雲端,手機內不存放企業機密資料或App,自然不必擔心資料外洩風險,另一方面,VMI架構在手機Android作業系統上,不像傳統VDI的Windows介面在手機上操作不便,且需要大量的系統資源。VMI一舉解決用手機執行VDI所帶來運算能力不夠、操作介面不友善的問題。
目前,市場上提供VMI解決方案的業者並不多,美國軟體業者Sierraware是其中之一。SierraVMI使用智慧型手機或平板電腦上的Thin Client App,在雲端資料中心內的虛擬移動作業系統(Virtual Mobile OS)上執行運算,在SierraVMI架構下,一切資料與運算皆在雲端進行,企業資料永遠不會落地在手機裡,而使用者也能經由任何設備使用企業Android App,不會受到硬體廠牌或作業系統的限制。蘇隄指出:Sierraware是唯一具備Mobile App Virtulization架構的業者,與其他僅提供Mobile OS Virtulization的VMI友廠相比,SierraVMI的效能至少高出十倍,可使用同樣的硬體規格,容納數倍以上的使用者。
以前員工如果要存取企業資料,必須先下載企業App至手機裡,而SierraVMI則讓使用者好像有一隻裝在雲端的虛擬Android手機,所有存取動作都聯到資料中心,好處有三點:
第一、管理方便,企業App只要寫一個版本,不必隨著使用者手機版本而更新,也不必煩惱手機版本與相容性問題;
第二、資料與App不落地,沒有App安裝與派送問題;
第三、Thin client App可以在Android、iOS、Windows Mobile不同手機作業系統上運作,執行速度和裝在本機的App差不多。
對企業來說,BYOD己經是現在進行式,如何在維護員工隱私與防堵資安風險間取得平衡,將是企業在進行BYOD管控時最重要的工作。
管控Open Source 避開版權爭議與資安風險
除了BYOD管控外,企業目前資安工作上還有另外一個挑戰,就是開放原始碼(Open Source)的管理。
蘇隄表示,網路上的開放原始碼越來越多,由於Open source可以提高程式撰寫的效率,使得現今企業應用程式有很高的比例是組裝開放原始碼而來,不過,使用開放原始碼雖然不必付費,卻有版權與漏洞問題,如果沒有做好管控,很可能為企業帶來侵權訴訟、駭客入侵等風險。
因此美國資安廠商Black Duck推出Open Source管理工具,幫助企業辨識開放原始碼軟體中的版權與弱點,再交由法務與資安人員評估審核,確認沒有問題後,再開放給程式開發人員使用,協助企業提高使用開放原始碼軟體的成熟度與投資報酬率。