https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

從應用規劃安全 BYOD提昇生產力

2012 / 11 / 16
廖珮君
從應用規劃安全  BYOD提昇生產力

隨著智慧型手機、平板電腦盛行,企業M化的討論又再度熱烈起來,只不過,在這波行動化應用浪潮中,大多數企業員工已經擁有自己的智慧型行動裝置,企業不必像過去那樣統一採購、配發硬體設備,而是必須開放變成BYOD(Bring You Own Device),讓員工使用自己的設備處理公事。

關於BYOD與M化的趨勢,趨勢科技與Gartner調查報告中有一些數字可以參考。根據Gartner在2012年6月發佈的調查報告,有86%的受訪企業計畫在今年採購像蘋果iPad這類的平板電腦,為M化應用提供支援;另外,大多數受訪企業都表示會針對BYOD方案提供特定的技術支援,其中32%受訪企業會為智慧型手機提供技術支援, 37%選擇平板電腦,44%為NB。至於趨勢科技調查報告則指出: 
- 56%的全球企業(75%的美國企業)允許員工使用個人裝置處理工作相關的事務。 
- 63%的受訪企業表示,已在員工持有的個人裝置上安裝資訊安全軟體。 
- 在BYOD應用中,員工用來連線至公司內部網路的行動裝置,33%為智慧型手機、17%為平板電腦、49%為筆記型電腦。 
- 對於員工在工作上使用個人裝置的疑慮,比例最高的是資訊安全(64%)、其次則為資料外洩(59%)。

Gartner研究總監Chae-Gi Lee更指出,智慧手機和平板電腦的出貨量在未來5年中將會持續成長,企業應該做好IT基礎建設,為行動裝置提供更好的支援,滿足其在企業IT環境中不斷成長的應用需求。由此看來,BYOD顯然是未來必然的走向,然而,這些不是企業統一配發、沒有管理權限的行動裝置,安全防護能力本來就比較薄弱,一旦用來處理公事或進入內網,難保不會將資安風險也跟著帶進來,企業究竟該怎麼做才能有效管理?

 

BYOD中的Y與D 決定企業M化應用模式

首先,企業必須思考BYOD中的Y究竟是誰?高階主管、一般業務人員、還是其他部門員工?當這些人在外面辦公時需要使用哪些企業資料?這是企業在開放BYOD前必須決定的事,畢竟企業M化有各種應用模式,如收發E-mail、管理行事曆、連上企業內網、存取內部IT系統/資料庫、存取內部檔案…等,端看企業需要的是哪一種。

手機APP or 網頁應用程式?
員工經由行動裝置連至企業內部系統的作法有2種,一是Web-Based應用程式,一是設計專屬APP,前者開發時間短,可支援多種手機作業系統,但網路不流暢時,連線容易受影響,後者開發時間較長,且不同手機作業系統須獨立開發,但比較不容易受網路頻寬影響,且可以使用行動裝置的功能(如:相機),也可以設計較多的使用者互動功能,且操作介面較友善。以永慶房屋來說,當初就是考量到網路頻寬、使用介面、管理等因素,才決定開發行動裝置版APP(也就是行動服務平台),而不是Web-Based應用程式的形式。

 

永慶房屋資訊開發部協理陳澤維認為,企業M化除了思考不在辦公室也能辦公事的同時,也應該思考不在辦公室時,是否也要等同於在辦公室中處理所有的公事?像永慶房屋認為房仲經紀人在外比較沒有收發E-mail的需求,因此只開放予高階主管使用,房仲經紀人不能用手機或平板電腦收發公司mail。

再以信義房屋為例,該公司所開發的行動應用程式便分成客戶與房仲經紀人兩種。房仲經紀人所使用的APP,便是站在行動辦公時可能會用到的資訊來設計(其功能如表1所列),信義房屋資訊長蔡祈岩指出,房仲業管理核心在於業務人員的行程管理,因此房仲經紀人APP有個特殊功能,就是將業績目標轉成管理數字,例如由當月業績目標推估平均一天要帶看幾個物件,或是拜訪幾位客戶,讓經紀人能夠專注在客戶經營上,達成業績目標,至於外部客戶使用的APP,其功能就比較單純像是查詢物件、聯絡經紀人…等。

表1、信義房屋房仲經紀人APP的功能

主要功能 詳細說明
房屋物件查詢、展示 - 可依所在地、地址、社區、地圖範圍、捷運、編號等方式查詢。 
- 可暫時儲存在本機對客戶展示之用。
客戶資料管理 - 可查詢買/賣方客戶的聯絡方式,甚至將客戶資料整合手機通訊錄,可直接撥打或發簡訊。 
- 客戶經營提醒。 
- 客戶經營。
日行程管理 - 整合手機行事曆功能。 
- 可預排計畫、記錄目標達成記錄、作業目標管理。
其他 - 分店、同仁查詢,電話直接撥打。 
- 成交行情查詢,貸款試算。 
- 不動產說明書電子檔、線上信義大學。

資料來源:《資安人》雜誌整理,2012/9。

企業除了決定M化應用模式、開放哪些資料可以放上行動辦公的環境外,還要思考BYOD中的D指的是哪些設備?智慧手機、平板電腦、NB通通都可以由員工自行攜帶,還是NB由公司統一配發,平板電腦/手機開放讓員工使用自己的設備,當這些都決定好之後,才能據此規劃BYOD的管理政策與控制措施。舉個簡單的例子,行動裝置管理(MDM, Mobile Device Management)是目前很熱門的BYOD解決方案,但是如果企業將NB納入BYOD範圍內,就不適合採用MDM,因為MDM的Agent目前只安裝在智慧手機與平板電腦上,某金控IT人員便表示,因為MDM不能裝在NB上,因此正在評估導入桌面虛擬化解決方案(VDI)來管理BYOD。 

安全控制措施該如何評估?

Gartner IT風險與安全副總裁Christian Byrnes認為,企業在規劃BYOD控制措施時,資料存取方式(線上存取、離線閱覽)決定了安全管控強度(如圖1所示)。假設所有資料只能線上存取,採用基本安全控制措施即可,如:資訊過濾、入口網站等,如果希望安全強度再高一點的話,可以採用桌面虛擬化、高強度身份認證機制等解決方案,但若開放資料可以離線閱覽,就需要導入MDM、加密等控制措施。 

 
圖片來源:Gartner提供,2012/9。

在前述Gartner調查報告中,其建議企業將BYOD管控重點放在行動資料保護、網路存取控制和行動設備管理三個面向上,相關的解決方案除了MDM、桌面虛擬化之外,還包括設備識別與網路存取控制、SSL-VPN、Email with DRM、RSA Token…等,都可以用來管控BYOD,其中又以前3項討論聲浪比較熱烈。關於MDM的導入與評估,請見《資安人》雜誌81期〈難以拒絕BYOD 應業應先祭出政策〉一文,在此不多作贅述,以下將討論重點放在VDI與身分認證與網路存取控制。

桌面虛擬化 資料通通上雲端

Citrix大中華區總裁曹衡康指出,桌面虛擬化將資料與使用者設定、應用程式及作業系統三者虛擬化,IT管理員可根據使用者的角色與權限,派送不同的應用程式到終端裝置上,也可以直接在後端進行管理作業,如:系統設定與安裝、故障排除…等,使用者在連網裝置上輸入帳號密碼,就能看到自己的Windows作業環境。

VMware亞太暨日本區EUC產品行銷總監涂奕樂則以自家客戶為例,說明VDI管理BYOD的效益,該企業因為高階管理者購買平板電腦後,希望能用來處理公事,促使IT人員尋找相關解決方案,最後決定選擇桌面虛擬化來管理BYOD,其好處是(1)不同的網路應用程式可能使用不同帳號密碼,桌面虛擬化後採單一登入機制,使用者不必擔心忘記密碼;(2)可以直接存取公司現有的應用程式。

在BYOD管理上,Citrix與VMware同樣認為企業要管的是資料而非設備,曹衡康認為,所謂行動辦公就是,讓資料與應用程式跟著使用者而移動,至於使用哪種設備相對其實不太重要,像Citrix的做法是提供3000元美金補助,由使用者自行採購喜歡的設備,公司不會有所限制,只是在買設備的同時必須採購3年硬體保固,如此一來,IT人員可以專注在後端主機與系統的維運,而涂奕樂也表示,企業最大的顧慮是資料不要外洩,所以不需要去管使用者選擇哪一種類形或廠牌的行動裝置,只要提供一個安全方便的管道,讓員工可以存取資料就好。

由於VDI將所有的資料、AP都在遠端伺服器,本機不儲存任何資料,就安全防護層面來看,似乎是目前最佳的解決方案,只不過礙於成本高昂,目前有在使用的企業並不多。

Citrix大中華區總裁曹衡康表示,所謂行動辦公就是,讓資料與應用程式跟著使用者而移動,至於使用哪種設備相對其實不太重要。

VMware亞太暨日本區EUC產品行銷總監涂奕樂指出,企業最大的顧慮是資料不要外洩,所以不需要去管使用者選擇哪一種類形或廠牌的行動裝置,只要提供一個安全方便的管道,讓員工可以存取資料就好。 


 

設備識別與網路存取控制

近年來,網路設備廠商也推出無線管理解決方案,用來管控各類無線連網裝置,台灣岱凱安全解決方案經理田習庸表示,此類解決方案主要目的是連網裝置身份辨識、賦予權限、及檢查該裝置的安全設定是否與公司政策相符。

Aruba亞太區技術顧問吳章銘表示,好處是企業可以根據連網裝置身份給予不同權限,舉例來說,假設連網裝置是由公司統一配發,則開放可以存取內部系統,但若是員工自有設備,則僅開放可以收發E-mail,又或者透過手機連至企業內網,僅能存取部份系統,但若使用者從NB連上網路則沒有此限制。田習庸認為,如果企業無法辨識連網裝置的身份,就不能掌握各個帳號使用哪一台設備登入企業內網,很可能發生A員工使用B員工的設備存取公司資料,相對增加資安風險。

由此來看,如何正確地辨識連網裝置的身份就顯得非常重要,Cisco業務開發經理郭旭傑表示,通常會使用網路封包監聽(Sniffer)、封包分析等方式,此外Cisco還會主動發出封包,並根據連網裝置的回應方式來判斷其身份,提升辨識結果精確度,吳章銘則指出,Aruba辨識機制分為5層,如跟DHCP要IP、設備的序號/MAC address/安裝軟體類別、連網事件記錄等。

除了賦予相對應的權限外,此類解決方案還能檢查設備狀態、確認是否與公司安全政策相符合,如:有沒有開啟防火牆、有沒有安裝防毒軟體、有沒有更新病毒碼、如果不連企業VPN就封鎖3G網路…等,若不符合公司政策就禁止連網,此時通常會有二個選擇,一是主動跳出告警視窗,告知無法連網的原因,甚至還可以提供修正連結,由使用者自行修復,減輕網管人員的工作負擔,二則是請使用者直接尋求IT部門協助。

最後,此類解決方案通常都會在手機內安裝憑證,一旦手機遺失,IT人員可以遠端註銷該隻手機,避免連進企業內網。 

 
Aruba亞太區技術顧問吳章銘表示,設備識別與網路存取控制可以讓企業根據連網裝置身份給予不同權限,及檢查該裝置的安全設定是否與公司政策相符。

互補應用 提昇安全防護效益

上述這些解決方案雖然各自獨立,彼此也能相互整合,讓安全防護效益更大。田習庸舉例,像桌面虛擬化與MDM其實是互補的解決方案,因為桌面虛擬化會耗掉較多的運算資源,在實務運用上,企業不會讓所有系統都透過桌面虛擬化來存取,只有一些機密性較高的應用程式,至於其他不屬於高機密性的應用程式,如:收發電子郵件、存取企業入口網站,就不一定要透過VDI來存取,此時可搭配MDM管理防止資料外洩。

郭旭傑則指出,設備識別與網路存取控制解決方案也能整合MDM,深化行動裝置的管理。MDM無法管控網路設定值,當手機註銷(即員工遺失手機或離職)時,只能遠端抹除資料,卻不能禁止手機連上公司網路,即便鎖住Mac Address,該隻手機還是有連進內網的可能,倘若兩個解決方案相互整合,MDM在遠端抺除資料的同時,就能順便清除所有網路設定值,讓被註銷的手機不能存取公司網路。又或者企業可以將MDM資訊滙至身分認證與網路存取控制解決方案,讓網路政策可以設得更細,如限制手機作業系統的版本,一定要升級到特定版本否則不能連網。

Cisco業務開發經理郭旭傑表示,設備識別與網路存取控制解決方案也能整合MDM,MDM在遠端抺除資料的同時,也能順便清除所有網路設定值,讓被註銷的手機不能存取公司網路。 

用簡單的安控機制取代解決方案

就目前已經開放BYOD或M化的企業來看,真的有導入上述解決方案的並不多,主因在於這些解決方案都有各自的盲點。蔡祈岩認為,VDI問題在於使用介面不夠友善、且一定要保持連線才能看到資料,但目前3G或無線連網的品質比較不穩定,遇到收訊不好的地方就不能存取資料,至於身分認證與網路存取控制解決方案的問題則是,企業有沒有這麼多不同種類的無線連網需求,倘若沒有則效益不大。

對此,陳澤維也有相同看法,他指出VDI連到電腦桌面,電腦是鼠控,而手機或平板電腦是手指觸控,介面不同會影響操作友善性及使用意願,而MDM的問題則是有效性,必須在網路有通的情況下,才能遠端控制,倘若使用者(或撿到手機的人)關閉網路,此時該如何延續管控,甚至能否遠端抹除資料,都是一個問題。

因此,現階段企業多半採用一些簡單的控制措施,管控BYOD裝置安全,如:手機憑證、強制經由SSL-VPN連回企業內網、帳號密碼、資料庫切割、設定資料存取權限、封閉式APP...等,以信義本身來說,目前採取的管控方式為:(1)封閉式APP;(2)在登入系統時,同時認證帳號密碼與設備機碼,限制該名員工只能使用該台設備才能登入APP;(3)房仲經紀人只能看到與自己相關的客戶資料。蔡祈岩認為,目前的安全管控機制已經將損失縮小到可以承受的範圍內,未來若要增加更多功能,如離線瀏覽可以看到更多資料,或是行動資安威脅增加時,可能就會評估導入其他的解決方案。

田習庸表示,企業應從4C1S(convenience, control, co-existence, security)的角度思考BYOD議題。Byrnes則提醒企業,在面對BYOD管理時,應回歸思考現有的IT管理政策是否合宜,以及相關該符合的法規,再推導至行動裝置上,例如若有個人資料會存放在行動裝置上,就需考慮遠端抹除的管理功能。 

 
信義房屋資訊長蔡祈岩認為,目前的安全管控機制已經將損失縮小到可以承受的範圍內,未來若要增加更多功能,或是行動資安威脅變大時,可能就會評估導入其他的解決方案。

表2、BYOD解決方案比較表

項目

MDM

VDI

設備識別與網路存取管控

適用對象

智慧型手機

 

 

 

平板電腦

 

 

 

NB

 

 

管控對象

設備

資料

網路

特色

遠端控制行動裝置,管控功能完整,如:辨識設備類型、防毒、APP配置管理、限制裝置不能使用某些功能、遠端鎖定、遠端抺除資料。

資料放在公司機房,不存在於Local,外洩風險低,且不必安裝Agent,連線即可使用。

主要用來辨識設備身份、賦予權限、及檢查設備狀態是否符合公司政策。

限制

 1. 必須在手機上安裝Agent,所以會有手機作業系統支援度的問題,且可能會增加IT人員工作負擔。
2. 不能管控NB。
3. 行動裝置必須保持連線才能管控。

1. 使用介面較不友善,傳統電腦是鼠控,手機或平板電腦為觸控,操作不易。
2. 價格較高。
3. 資料量大時,傳輸速度會變慢。
4. 必須保持連線才能存取資料,倘若訊號不好,就無法存取。

1. 行動裝置多元化程度,如果種類不多,則效益不大。
2. 無法遠端抹除資料。


資料來源:《資安人》雜誌整理,2012/9。

 

透過補助或使用便利性 推動BYOD管理政策

BYOD的管理除了上述解決方案,政策也是相當重要,因為設備所有權在使用者身上,企業很難像過去那樣把安全政策派送到每一個端點,舉例來說,MIS可以強制辦公室的電腦要設開機密碼,且每3個月更換一次,但是這樣的政策套用到手機或平板電腦上,員工可能立即反彈(畢竟設備是自己的),也可能只是口頭承諾卻不執行,也因此,有些企業會提供部份甚至全額補助員工購買行動裝置(或用補助每月通訊費的方式),換取比較多的控制與管理權限。

只是,當企業這麼做的同時,可能要去思考IT支援能量是否足夠,例如有些BYOD解決方案必須在手機裡裝Agent,如果員工在操作上遇到問題,直覺就會請IT人員協助,而資訊部門是否還有人力與時間來解決這些問題?蔡祈岩表示,當企業要去管理員工的設備時,就要考量能否承擔員工設備遺失、故障或中毒的風險,及員工的反彈如何克服。

除了用補助換取控制管理權,企業也可以提昇使用便利性的作法,吸引員工遵循公司政策。像富士全錄的新加坡公司開放員工可以用自己的手機收發E-mail及連至企業內網,但如果員工不願意在手機上安裝MDM的Agent,就只能收信不能連到內網。而Juniper的BYOD政策有很多,例如:設置6位數密碼…等,若使用者遵循公司政策,便可連線8小時,否則就只能連線20分鐘。IBM也有類似管理策略,例如能夠安裝防毒軟體手機,就可以在內部通行較多系統。

BYOD像是一把兩面刃,可以為企業降低採購成本、提昇工作效率,卻也因為資料經常在外移動而增加外洩風險,惟有透過良好的管理政策與工具,企業才能真正享受M化效益。