负责保护企业信息资产的IT安全专业人士都知道,移动设备给企业带来了新的挑战。随着移动设备的作用、多样性和相关要求在企业内变得越来越重要,企业应该部署必要的控制来保护这些设备访问的数据的安全性。
安全管理人员想要确保企业数据的安全性,他们需要一个准确且全面的视图来迅速适应员工的工作和设备偏好。随着BYOD、应用为中心的内容使用、平板电脑普及和无线员工等趋势的发展,这些偏好正在将传统IT资产转移到公共域。IT企业必须依赖于信息安全专业人员来确保移动员工使用的数据的安全性,而这在很大程度上是通过支持身份使用政策的各种技术来实现的。
基于软件的移动设备管理(SMDM)是保护企业内不断增加的消费类移动设备的首选技术。根据Nemertes研究公司调查显示,46%的企业部署了移动设备管理(MDM),而84%计划在2014年年底之前部署。另外,从移动设备覆盖趋势来看,到2014年年底,四分之一(25%)的员工将使用平板电脑作为工作的补充设备,少数员工(10%,但数量正在不断增加)已经用平板电脑取代了其笔记本电脑。
根据这些趋势,供应商们正在努力加强其产品中的MDM功能。很多供应商现在利用本地、基于容器或者甚至虚拟桌面基础设施(VDI)设备管理,而大多数供应商有以下技术:
1 移动应用管理(MAM)或企业应用商店
2 针对文件、应用和个人信息管理数据的安全容器或工作区
3 设备安全文档共享(SDS)、云服务/合作伙伴或与流行平台整合的应用编程接口(API),例如微软SharePoint、Dropbox或Google Drive。
4 WLAN集成或基于网络的MDM(NMDM)功能
5 高级功能,例如地理围栏、应用包装、证书认证整合和电子邮件数据丢失/泄露防护
在这些MDM功能中,移动应用管理是目前最广泛部署且非常重要的功能,29%的企业在使用该功能。消费类和应用为中心的设备正在推动企业部署移动设备管理技术,同样地,企业不断增加的应用开发工作也需要通过MAM和企业应用商店来管理。MAM为员工提供熟悉的应用商店界面来获取企业应用,许可证、分发和更新政策则由IT通过目录服务来控制,例如Active Directory或者Apple Open Directory。
安全文档共享(SDS)是以目录服务为导向的方法,与文档共享和控制类似。针对移动设备的SDS与更受控制的端点(例如笔记本)不同的原因在于,移动操作系统并没有太多本地、企业友好型管理选项。为了让移动设备与更传统的端点看齐,MDM供应商提供了API来与流行的企业文档共享系统和电子邮件/应用附件控制集成。大多数MDM也结合了一些设备上的功能,例如安全文档储物柜、云SDS整合和对文档的VDI远程访问。
根据Nemertes研究公司表示,MDM正越来越受欢迎,虽然现在只有11%的企业在使用这项技术,但企业部署率正在不断增加。基于网络的MDM吸引公司的原因在于它能够通过使用标准网络协议的网络管理软件来识别关键设备指标以及部署政策。由于大多数NMDM功能并不是专有,它并不需要投资于新的网络硬件或者功能,它可以与基于软件的MDM整合或作为独立的产品。这让安全专业人员不需要首先在端点上安装,就能利用这些功能:设备指纹识别、安全态势报告、移动应用QoS和应用级别虚拟私有网络。从本质上讲,NMDM为安全专业人员提供了工具来阻止、重定向或优化设备及其应用生成的网络流量,这特别适合BYOD环境。
MDM的演变如何影响移动安全策略
即使是最勤奋的IT安全从业人员,从千变万化的MDM功能中进行筛选都是非常困难的事情。从上述的功能的可用性来看,企业在计划或更新移动安全策略时,应该注意以下事项:
1 检查你正在支持的移动配置政策,以及BYOD的使用程度。上面提到的功能可能允许使用多种类的移动应用,或者更灵活的使用案例来提高员工生产力。
2 同样地,评估现有和未来的移动设备(手机和平板电脑)使用人数以及这些设备的默认和安全状态,并对未来使用情况作出预测。
3 追踪企业内员工拥有的移动设备的数量,哪些是IT知道且管理的,哪些是IT不知道的,然后:
在大量使用BYOD的地方部署NMDM;例如,需要对电子邮件、日历和更敏感企业数据的不同级别访问的设备。确保政策适应并能合理平衡安全性和可用性。
政策应该要求用户了解企业安全和合规政策,要不就不携带BYOD设备到工作场所,要不确保使用MDM系统的联网程序来配置这些设备(通常通过特定的URL或者端口)。
最后,MDM(SMDM或者NMDM)、MAM和SDS应该是保护移动设备的主要工具。如果现在还没有部署这三个技术,企业应使用信息请求(RFI)、请求建议书(RFP)和试点项目来评估产品。以下是你应该询问的关键问题:
1 你正在部署自定义、企业内部或外部开发的应用吗?如果是这样,评估MAM来阻止、优先排序和提高公共应用安全性。
2 评估已经部署的SDS功能:它们对于移动设备够了吗?它们落后于针对桌面的SDS吗?为了支持可应用于所有端点的持续策略,评估适用的云计算、设备、集成和企业移动设备管理产品。