探索中国CIO人才现状 | 第四季调研报告
企业实现移动安全的10大要素
2015-02-26  来源:ZDnet

移动性和携带自己设备到工作场所(BYOD)正在改变人们工作的方式以及企业员工工作的方式。移动性不只是简单的远程访问,移动设备也多种多样。智能手机和平板电脑可以用于几乎任何业务任务,也能像传统计算机一样访问、存储和传输应用程序和数据。为了发挥移动的全部潜力,IT需要让人们自由地从任何设备无缝和方便地访问他们所有的应用程序以及数据。

由于移动设备被用在更多位置,通常使用不受信任的网络,它们更有可能丢失或被盗,因此企业应该对移动设备部署正确的方法来保护企业信息。IT必须保持合规性和保护敏感信息,无论这些信息在什么地方以及如何被存储和使用,甚至是当业务和个人应用位于同一台设备中。另外,可穿戴设备到物联网等新兴移动趋势也 带来新的考虑因素。现在,制定真正全面和安全意识的移动战略成为所有企业的头等大事。

本文中介绍的10个关键要素可以帮助你制定企业移动战略,包括安全性、用户体验、IT运营和BYOD。总之,这些指导意见、最佳做法和技术可以帮助你的企业意识到移动性的全部优势。

1.管理和保护重要性

随着人们访问多台设备(包括个人拥有的智能手机和平板电脑)的数据和应用程序,IT不太可能控制和管理环境的各个方面。企业应该专注于最重要的方面,并选择最适合你的业务和移动用例的移动管理方式。下面有四种管理方式可以选择:

移动设备管理(MDM) – MDM让你可以管理和控制用来访问企业资源的移动设备。在设备(无论是企业所有还是个人拥有的设备)进入企业网络之前,你应该确保它没有被越狱或者受到感 染。加密、远程锁定和擦除、移动VPN、应用黑名单以及选择性禁用本地设备功能都可以实现高水平的安全性。

移动虚拟机管理程序和容器 – 这种方式可以让你管理设备中容器内的应用、数据、政策和设置,而不需要与任何个人内容交互,这很适合支持BYOD。实际上,单个移动设备变成两个独立的虚拟设备:一个用于工作,一个用于个人生活。

移动应用程序 (MAM) – 基于容器方法,MAM让你可以集中化任何移动应用及其数据和设置的管理、安全性和控制,作为容器的一部分。应用级政策可以包括身份验证、网络、位置、通行 码和加密。应用程序和桌面虚拟化,虚拟化的固有安全性也适用于移动应用。企业应用可以为移动设备而优化,并按需交付,而数据仍然保存在数据中心内。

2.优先考虑“用户体验”

移动设备是企业消费化的主要驱动力,它们为人们提供了强大的新方式来使用应用以及信息。而这也给IT带来挑战,IT现在必须确保用户使用的自由和便利性。IT有必要与用户坐下来谈谈,以了解其需求和喜好,来确保你的移动战略给他们真正想要的东西。

在你试图提供卓越的用户体验时,你应该寻求为用户提供他们可能还没有想到的有用功能,例如:

·允许用户在他们使用的任何设备来访问其应用程序和数据,保持他们的个性化设置,这样他们就可以立即开始工作

·让人们可以通过单点登录企业应用程序商店来对他们需要的应用进行自助式配置

·提供共享的瘦客户端或者其他企业级设备,让人们在发现某些应用程序因为安全需求而不可用时可以简单地切换

·自动化对数据共享和管理的控制,例如在应用程序之间复制数据的能力,这样人们就不必记住具体政策

·在应用程序的基础上定义允许的设备功能,这样人们仍然可以使用某些应用程序的打印、拍照和本地数据存储功能,如果IT需要为其他应用程序关闭这些功能的话

· 让人们可以通过发送链接从任何设备共享和同步文件,以及与外部人员共享文件

通过与用户合作来制定移动战略,你可以更好地满足他们的需求,同时有很好的机会来设置期望,并确保人们了解IT自己的需求来确保合规性,例如保护应用和数据、控制网络访问和适当地管理设备的需要。

3. 避免用户使用不受企业管理的应用而泄露敏感数据

这是企业移动用例中最糟糕的情况:使用消费类设备的BYOD用户将敏感数据转移到云计算中。这种做法完全绕过了IT的控制和可视性,这在现在的企业中很常见。当然,这样做的理由很充分。云计算应用程序可以帮助人们节省时间以及更容易地完成工作,他们还可以为企业创造价值。但如果错误地使用了云计算应用程序,这可能带来安全和合规性问题。

IT政策和用户教育并不能完全避免这种问题,IT会发现,如果云计算应用是满足用户需求的最佳解决方案,他们还是会选择使用它们。因此,IT有必要吸引用户使用其基础设施,特别是涉及敏感数据和应用程序时,最好的激励是出色的用户体验、比云计算替代品更好地满足人们的需求。

4.注重服务交付方法

移动用户依赖于多种应用程序类型,不只是定制的移动应用程序,还有第三方本地移动应用程序、移动化Windows应用程序和SaaS解决方案。在开发你的移动应用战略时,你应该考虑用户使用的混合应用程序,以及它们应该如何在移动设备被访问。

下面是人们访问移动设备中应用程序的四种方法:

本地设备体验 –在这种情况下,用户的设备完全不受管理。人们购买自己的应用程序,可以同时交融企业和个人数据,并可以使用任何网络。与上述问题一样,这是具有风险的不安全的方法,应该禁止敏感数据。

虚拟化访问体验– 虚拟应用程序和数据,以及虚拟桌面都托管在数据中心,并通过远程显示协议来呈现。IT可以管理访问并确保安全性,同时让人们可以在移动平台运行Windows应用程序。没有数据会离开数据中心,这消除了设备本身对数据保护的需要。这种方法依赖于连接性,而这限制了离线使用场景。

容器化体验 – .企业在设备创建一个容器,其中所有企业移动应用程序(包括定制和第三方本地移动应用程序)将会与其他内容分离。IT可以管理容器内的应用程序和数据,同时允许用户从配置自己的应用程序。应用程序可以基于IT政策来进行升级、配置和修改。SSL、加密和应用程序特定的VPN也可以包含在容器中,以让人们在任何设置中简单地进行连接。在设备丢失、被盗、设备升级或员工离职的情况下,容器还可以被远程擦除。

完全托管企业体验 – 这种方法可以对移动设备进行完全的控制,并具有嵌入式政策来进行远程擦除、地域限制、数据失效等安全措施。所有移动应用程序都由IT选择和配置,而没有个性化。虽然这种方法对于某些企业和用例是非常安全和适用的方法,但这会限制用户体验,并不兼容BYOD。

对于大多数企业来说,虚拟化访问和容器化经验的结合将会支持人们使用的各种应用程序和用例。这还可以让IT来维持可视性和控制,同时提供卓越的用户体验。人们可以通过统一的企业单点登录来访问托管应用程序和本地移动应用程序,例如SaaS应用程序。当员工离开企业时,IT可以立即禁用该员工的账户来删除其对所有移动、托管和SaaS应用程序的访问权限。

5. 自动化设置

自动化不仅简化了IT的工作,还可以提供更好的体验,让我们看看自动化给解决常见移动性需求带来的差异:

·员工更换丢失的设备或者升级到新的设备。通过点击一个URL,用户的所有业务应用程序和工作信息都可以转移到新设备,完全配置和个性化,并随时可以使用。新员工或者承包商同样可以容易地联网,所有企业移动应用程序被配置到个人拥有或企业设备中的容器内。单点登录(SSO)可以实现对托管和SaaS应用程序的无缝访问。

·当员工转移位置或者网络时,情境和自适应访问控制可以自动重新配置应用程序来确保安全性,并对用户完全透明。

·董事会成员带着平板电脑来开会。所有本次会议的文件都会被自动加载到该设备,由IT进行只读访问的配置,并限制在容器化应用程序。特别机密的文件可以设置为在董事会成员离开房间后自动从设备消失。

·当员工在企业中的角色发生变化,当前职位的相关应用程序会自动提供,同时不需要的应用程序会自动消失。第三方SaaS许可也会立即回收用于再分配。

执行这种自动化的一种方法是通过Active Directory。首先,连接特定职位到相应的容器。这个职位定义的任何人都可以自动使用该容器以及相关的应用、数据和设置等。在设备本身,你可以使用MDM来集中设置Wi-Fi密码、用户证书、双因素身份验证等来支持这种自动化流程。

6.明确定义网络

不同的应用程序和用例有着不同的网络要求,从内联网或微软SharePoint站点,到外部合作伙伴的门户网站,到要求相互SSL身份验证的敏感应用程序。在设备级执行最高的安全设置会降低用户体验;在另一方面,要求人们为每个应用程序采用不同的设置会让他们厌烦。

通过锁定网络到特定容器或应用程序,为每个定义不同设置,你可以让网络针对每个应用程序,而不需要给用户增加麻烦。人们只需要点击应用就可以使用,而登录、接受证书或打开应用程序特定的VPN会自动在后台执行。

7. 保护敏感数据高于一切

在很多企业,IT并不知道最敏感的数据所在,并对所有数据采取相同的保护水平,效率低下的昂贵的方法。移动为你提供了一个机会让你可以更具选择性地基于分类模式保护数据,来满足你独特的业务和安全需求。

很多企业使用相对简单的模式来将数据分为三类:公共数据、机密数据和受限制数据,并会考虑所使用的设备和平台,而其他企业则有更复杂的分类机制,也考虑了更多其他因素,例如用户角色和位置。部署简单模式的方法如下:

公开数据是指不包含机密、隐私或合规信息的数据,这些数据可以在任何地方使用任何设备支持无限制的数据移动性和无限制的使用。人们不需要通过企业基础设施,你可以配置应用程序特定的网络设置来允许人们以最方便的方式来访问这些数据。

机密数据是不能公开的数据,当泄露时会给企业带来风险,这些数据需要更高水平的保护。在这种情况下,你可以通过企业网络在BYOD或消费类设备提供虚拟化访问,而仅允许在具有MDM功能(例如加密和远程擦除)的企业级设备提供完整的数据移动性。

有些公司可能会认为基于容器的方法已经足以处理这种类型的数据。在这种情况下,只要数据存储在单独容器内,受到IT的保护和控制,就可以让数据在任何移动设备完全移动。

受限制数据可能会带来违反合规、声誉受损、业务损失和其他物质影响,这些数据应该引起企业的高度重视。完整的数据移动性应该限于任务级设备,企业级设备可进行虚拟访问。而BYOD和其他消费类设备不应该授予访问权限,或者在某些情况下可以考虑和审查虚拟化和基于容器的方法。

上述模式考虑了数据分类和设备类型。你可能还想要额外的考虑到你的安全政策中,例如设备平台、位置以及用户角色。有些公司和很多政府组织建立了更具体的数据分类,每个类别都有自己的规则。

通过你的企业基础设施为机密和受限制数据配置网络访问,你可以获取完整的信息,了解人们如何使用信息来评估你的数据敏感性模式和移动控制政策的有效性。

8.明确角色和所有权

在你的企业谁掌控企业移动性?在大多数公司,移动性仍然是通过专门的方式来解决,通常是由一个委员会来监督IT职能,从基础设施和网络到应用程序。鉴于移动性在企业的战略性作用,以及复杂的用户和IT需求,重要的是要明确围绕移动性的组织架构、角色和流程。人们应该了解谁负责移动性,以及如何跨不同IT职能来管理?

当涉及移动设备本身时,需要明确所有权。你的BYOD政策应该解决完全受管理、企业自有设备和用户自有设备之间的灰色地带,例如:

·谁负责对BYOD设备进行备份?谁为设备提供支持和维护,以及如何支付?

·当法院要求从个人设备获取数据或日志时,发现将如何被处理?

·当有人使用相同设备用于工作时,个人内容的隐私问题是什么?

用户和IT都应该明白自己的角色和责任以避免误解。明确定义你的BYOD计划,让用户开始使用个人设备用于工作之前签字。

9选择符合合规性的解决方案

在全球范围内,企业面对着超过300个安全和隐私相关的标准、法规和法律,还有超过3500个特定控制。企业不仅需要满足这些要求,还要能够记录合规性,并允许全面审核。更不用提企业自己的内部政策。你可能已经解决了你网络内的合规挑战。你想要做的最后一件事情是让企业移动性创造巨大的新问题来解决。请确保你的移动设备和平台支持无缝合规性,以及政府规定、行业标准和企业安全政策,从基于政策和分类的访问控制到保护数据存储。你的解决方案应该提供完整的日志记录和报告来帮助你快速有效且成功地响应审计。

10. 为物联网做好准备

在制定政策时,不要局限于现在,还要注意未来几年企业移动的发展。可穿戴设备(例如Google Glass和智能手表)将继续改变人们使用移动技术的方式,提供更加人性化的直观的体验,同时带来新的用例。联网车辆(包括无人驾驶汽车)将以新的方式使用数据和云服务来帮助人们更容易更有效地去他们想去的地方。工业控制系统(ICS)将使用和交换数据作为人力工作流的一部分。这样的发展还将继续扩展移动的潜力,但这也给安全、合规、管理和用户体验带来新的挑战。

企业应该关注业界关于这些新兴技术的讨论,并围绕适用于任何类型的移动设备和用例的核心原则来设计你的移动战略。这样,你就可以最大限度地减少频繁的政策变化和迭代。

总结

企业移动性已经不再是针对特定群体和用例,而已经成为企业IT的基本要素。在你制定企业移动战略时,请确保你考虑了用户和IT的要求。人们想要对其数据和应用程序的无缝方便的访问,以及比他们个人生活中更好的用户体验。IT则需要为美中类型的数据提供正确的控制、保护和合规性,而同时不限制人们工作的方式。通过有效利用可用的模式和技术来确保移动设备的应用和数据访问,你提供的全面的移动战略将可以满足现在企业和今后岁月里的要求。