近年來IT市場最熱門的話題,除了雲端虛擬化之外就是行動辦公了,隨著智慧型手機、平板電腦、3G及無線網路的普及,人們無論走到何處都能透過手中的行動裝置收發Email、處理公事,而企業資安風險也因此蔓延到辦公環境之外,如何降低BYOD(Bring You Own Device)的安全風險,成為企業最想知道的課題。
目前市場上有很多解決方案,功能與定位皆不盡相同,有些以管控設備為主,有些則管控設備上所能使用的APP,還有一些是做設備連網管控。在《從應用規劃安全 BYOD提昇生產力》一文中,曾經提到幾個解決方案,像是MDM、桌面虛擬化、設備識別與網路存取控制、SSL-VPN、Email with DRM…等,都可以用來管控BYOD。
由於BYOD管控是個新興市場,相關解決方案也在不斷發展中,因此我們看到在2013年初又出現新的發展趨勢—行動應用管理(MAM, Mobile Application Management),也就是以行動裝置上的應用程式為主要管控標的,許多原本就在經營BYOD解決方案的廠商,都在既有產品上添加MAM模組,像是F5、Aruba、MobileIron、Citrix...等。
其中,Citrix和精誠都認為,MAM概念出現後,市場上詢問BYOD解決方案的企業變多了,主要原因在於MAM可以在行動裝置上獨立一塊加密空間,以此區隔企業與個人用的APP及資料,同時兼顧企業資料安全性與員工個人隱私。且許多企業之所以導入行動化並開放BYOD的主要需求,就是要能在外使用特定應用程式,因此管控應用程式為概念的MAM獲得不少青睞。
Citrix資深技術顧問周伯彥指出,員工通常不願意在辦公環境以外還要被公司管理,尤其MDM多數都有GPS定位功能,更不希望公司隨時掌握自身行蹤,且BYOD強調讓員工使用自己的設備,而MDM會蒐集手機裡的資料,這不僅容易有侵犯個人隱私的爭議,倘若員工離職時,IT人員在抹除裝置內的公司資料時,不小心連員工私人資料也一併刪除,對企業來說反而是種困擾。而精誠資訊企業產品應用部產品經理鄭宗賢則表示,傳統MDM管控行動裝置的功能,如:關閉相機、強制設定開機密碼...等,雖然能降低資料外洩風險,但不能確保資料下載至行動裝置後的安全性。
MAM七大功能剖析 從APP進行管控
究竟,MAM解決方案應該具備哪些功能?從各家解決方案來看,不外乎以下7點:
1. 企業專屬應用程式發佈平台(即APP Store):
負責派送企業用APP至員工手機中,只有被授權的人才能看到這些應用程式,換句話說,非企業員工無法下載APP,而且即便同一家企業的員工,也會因為自身權限不同,所能下載的APP項目也不一樣,一來避免任何人都能下載企業用APP,二來則可省略繁雜的上架程序,這點對使用iOS平台的裝置來說尤為重要。
2. 可以針對每一支企業用APP設定專屬管控原則:
舉例來說,當員工在使用某支企業APP時,禁用手機的剪下、複製、貼上、螢幕擷圖...等功能,或是開放使用這些功能但限制只能將文字複製到某些特定應用程式,又或者是限制在某些特殊狀況下才能(或不能)開啟企業用APP,各家業者所提供policy設定的項目其實差異頗大,通常企業會視APP機密性、使用者職務內容與位階來定義policy。
3. 自動VPN設定:
當企業後台伺服器與手機用APP傳輸資料時,行動裝置會自動開啟VPN加密傳輸。傳統作法是要叫出VPN應用程式,登入之後連上線,後台伺服器與APP之間的傳輸才會轉成VPN模式,但是IT人員如果沒有作些特殊設定,員工登入VPN應用程式這段期間,若同時使用個人APP(如:FB、Dropbox...等),這些資料都會經由公司VPN網路傳送出去,相關資料也可能會留存在企業系統中。而MAM自動VPN設定功能則是,讓企業用APP自動走VPN通道連回企業後台伺服器,不必再另外登入VPN應用程式或做設定,至於個人用APP則走一般網路出去,其好處是確保員工個人隱私、避免員工使用不安全的WiFi連線存取企業用APP、降低塞爆企業網路頻寬的風險。
4. 在行動裝置中建立加密區域:
這是用來存放企業APP、相關設定與資料,讓APP本身及其所使用到的資料都可以受到加密保護,倘若未來員工遺失手機、離職或調職時,IT人員可從管理後台移除在此加密區域內的資料(甚至直接移除整個加密區域),避免發生誤刪員工私人資料的窘境。
5. 電子郵件與檔案的安全管理:
就目前BYOD應用來看,員工使用行動裝置最常處理的公事就是收發電子郵件,有時免不了得開啟附件檔案,此外,員工有時也會在行動裝置上瀏覽公司內部的文件資料,此時檔案的管控就很重要,其管控政策像是限制能夠使用與開啟檔案的應用程式(如:不能上傳至Dropbox)、強制檔案加密、只能讀取不能編輯、限制文書處理功能(即複製/剪下/貼上)、不能下載至本機端(即行動裝置)、禁止轉寄郵件...等。
6. 安全瀏覽器:
一般行動裝置的網頁瀏覽器多為內建,像是iOS裝置的Safari等,IT人員不具備管控權限,而安全瀏覽器可以提供MIS設定一些管理政策避免資料外洩,例如:限制只能用此瀏覽器開啟公司內部網站,限制在此瀏覽器所能開啟的網站,網頁上的資料不能下載至手機中,在使用此瀏覽器瀏覽網頁時,封鎖螢幕擷圖、相機、定位、分享網址...等功能。由於將現有應用程式轉成手機APP,除.net或HTML5可跨平台外,必須使用程式語言重新撰寫,企業一來沒有此類人才,二來得投注許多時間與精神,因此目前企業在開發手機APP時,大多採取Web-Based作法,也就是外觀看起來像是手機APP,點進去後其實是網頁,對這種網頁手機應用程式而言,這個功能就非常重要。
7. 支援APP離線使用:
最後一次上網所收下來的資訊,即便在離線時也能看到,而離線時的操作行為,在上線後也要能自動更新,如:離線時所寫的E-mail,在恢復網路連線時會自動寄出。
以上所述乃是綜合各家MAM解決方案所匯整出來的重點,並非每一個MAM解決方案都具備這些功能,且各家廠商在提供MAM解決方案的作法都不一樣,Citrix與精誠提供的是模組化產品,F5與Aruba則是整併至自家解決方案中。
F5是在無線連網設備中整合MAM功能,並將MAM管理軟體放上雲端,提供設定管理政策、產出報表功能,由於雲端MAM不會直接接觸到企業資料,可以降低企業對資料傳輸至雲端的安全疑慮。Aruba則是將MAM整併至既有網路存取解決方案中,其強調企業可以根據使用者身份、裝置類型、所在位置、執行的APP類別,制定不同管理政策,如:裝置位在風險高的區域就取消相機功能,或是在公司以外的場所不能使用某些特定APP。
而Citrix雖然是模組化產品,但強調可與應用程式虛擬化整合,將企業目前在PC作業所使用的應用程式虛擬化,行動裝置就能直接使用,省去自行開發手機APP的時間與成本。此外,周伯彥表示,Citrix MAM另一個特點是管理政策多元化,如:偵測行動裝置有沒有被破解、倘若被越獄(JB)或Root過就不能下載企業用APP、連續N次密碼輸入錯誤就自動清除手機內的企業資料、只有在Wifi連線狀態下才能使用企業APP...等,目前共有約20-30條管理政策,企業可視自身使用狀況彈性設定。
MobileIron的MAM模組則專注在企業用APP管理,並將電子郵件安全管理另外獨立成MCM(Mobile Content Management)模組,針對電子郵件的本文與附件進行管控,避免使用者透過下載附件、轉寄電子郵件...等方式外洩企業機密資料。鄭宗賢指出,無論是MAM或MCM,MobileIron特色都是管控完整性及對行動裝置的支援度,部份MAM雖然具備此功能卻不夠完整,例如:有些Email附件可以自動加密有些則不行、有些行動裝置可以遠端?除資料有些卻?除不掉...等,造成此現象的可能原因有2個,一是軟體設計時有Bug,二是行動裝置種類太過多元化,尤其Android平台的裝置還可區分不同製造商、手機型號或作業系統版本,複雜度更高,從而影響了MAM的運作。
也因此,在導入MAM解決方案時,POC測試非常重要(這個道理亦適用於其他BYOD解決方案),鄭宗賢建議企業可以先參考廠商所提供的測試項目,再搭配自身管理政策,列出所需要的測試項目,進行至少為期2周的測試,用來進行測試的設備應涵蓋iOS、Android...等支援各種不同作業系統的行動裝置(不過就實務上來看,企業在POC測試時仍以目前最熱門的設備為主,也就是iOS裝置、HTC及三星所出的Android裝置),最忌諱直接請廠商提供測試報告,因為廠商的測試人員通常已經操作了無數次,操作方式都一樣,不容易發現問題,但使用者自行測試的話,其操作方式勢必會與廠商有所差異,如此才能找出解決方案中是否藏有軟體Bug,避免白白花了冤枉錢。
MAM雖然是BYOD市場上的新趨勢,但不是企業在行動裝置管控上的唯一選擇,在下篇文章中,我們將進一步探討企業該如何評估BYOD解決方案。