大多数企业首先会通过明确的政策来决定BYOD计划的实施程度,有的选择限制访问某些数据或应用程序,有的会选择要求员工在自己的设备上安装特定的软件。企业将决定允许哪些终端可以和网络连接、相关策略和可以接受的用户行为。企业还必须决定实施哪些技术控制手段以执行企业的政策。至少,企业必须回答某些问题,例如支持什么样的设备和移动操作系统?如何分配和管理员工设备上的应用程序等等。技术控制可以以网络为中心,或以设备为中心,并没有放之四海皆准的单一手段。可供选择的技术控制手段有如下几种:
●移动设备管理(MDM)。对个人设备匹配相应的安全策略管理能力是采纳MDM的驱动力之一。MDM能使策略执行针对移动设备本身并提供远程位置锁定和数据擦除的能力,防止设备丢失或被盗。
●网络访问控制(NAC)。这种技术的一个主要优点是,建立对网络本身的控制,使企业在网络发生任何损坏之前,能够阻止来自于移动设备的恶意软件的攻击。NAC依赖于网络执行安全策略并控制终端、数据和用户访问行为,它需要相当的智能设计以在网络上提供足够的访问控制粒度。
●安全Web网关(SWG)。面向移动的Web安全网关也许是MDM的完美补充。它可以基于设备或云,通过恶意软件过滤、信誉过滤、数据防泄漏(DLP)、应用可视化控制等手段,结合可行的策略控制,解决BYOD带来的网络安全风险。
●移动安全客户端(ESC)。它是传统防恶意软件客户端的移动性延伸,是终端上反恶意软件、身份认证(如802.1X)、VPN和远程擦除功能的组合。
●身份和访问管理(IAM)。它是使企业能够执行合规和加强基础设施安全的策略平台,同时可简化企业的业务操作。通常情况下,它包含了一个完整的配置和认证系统,用来对网络中形形色色的移动访问角色提供永久或临时的认证。它会收集实时的来自网络和用户的上下文信息,强制执行安全策略,并根据预设的条件触发,预先自动生成管控决策。
●虚拟桌面基础设施(VDI)。它创建了一个可以托管应用程序和数据的安全虚拟机(VM),为进入企业网络的移动设备访问VDI提供了一个安全窗口,确保数据的安全和业务连续性,因为VDI不允许数据在用户的个人设备之间以及与企业基础设施之间流动。
没有灵丹妙药可以独自解决移动设备所带来的挑战。完善的安全解决方案将会是广泛的产品组合,可以实时抵挡来自于移动设备的新的安全威胁,对远程用户执行安全合规,并保护网络、数据和客户端的安全。如果制定政策和审视技术控制手段是获取BYOD安全的第一步,第二步则是创建一个战略架构远景。
首先,让我们从MDM开始。一方面,市场驱动厂商追求广泛的、跨平台的MDM覆盖策略,使得原来因为缺乏MDM安全策略定义和实现标准所造成的适应性的广度和差异化欠佳的情况有所改善。另一方面,由于针对移动平台的恶意软件层出不穷,提高移动设备安全性的呼声也越来越高,企业需要MDM结合恶意软件防护来确保业务的连续性。许多企业这样做了,却失于偏颇,因为他们没有采取相应的网络可视化监控手段。此外,基于设备的恶意软件防护,会受到设备和移动操作系统的限制。想象一下,如果员工用合法的智能手机或平板电脑访问互联网上的恶意信息怎么办?在那一刻企业该怎样去及时阻止移动终端接入可疑的网站或应用程序?
业界一些厂商正在试图将MDM和移动安全客户端、DLP、SWG和其它基于云的服务结合起来,建立强健的、高可用的架构。由于以终端为中心的安全控制方法会受到极大制约,这种架构在今后可能会成为主流。传统的网络解决方案厂商都已经意识到,解决移动安全仅靠终端一隅是不可能的,它们已经开始推出集成的移动安全解决方案,这些方案可以回答几个以终端为中心的安全控制手段无法回答的关键问题:
●你是谁?
●你从何处接入?
●你要访问什么数据?
●哪些数据会流出网络?
因此,网络需要有批准和拒绝用户试图获得特定数据的最终决定权,网络安全一定要被集成进入整体移动安全架构。
制定宏观安全策略
诚然,企业还需要细致考虑如何有机地结合并实施上述技术控制手段。当面向移动平台的安全技术,如MDM和近来兴起的“集装箱”技术(Containerization)还不成熟的时候,对移动访问不管采取什么样的安全控制手段,NAC都是最重要最直接的安全能力,企业必须在工作场所检测非管理的但作为商业用途的员工设备。原因就在于这样一个事实:许多企业仍然筹划着对BYOD趋势做出反应,但还没有制定正式的政策,而且他们可能还无法在个人移动设备上安装终端防护程序,也无法配置任务策略,无法像控制公司所有的设备一样执行生命周期管理。有如下4种宏观安全策略可以借鉴,相应的安全策略也同时依赖于企业不断变化的安全预期和IT预算。
●忽略(Disregard):相当于忽略了个人设备在企业环境中的存在。这是一个糟糕的选择,企业采取忽略策略将不对当前基础设施做任何政策或技术的变化。注意这里安全压力不等同于安全风险,企业感受到的安全压力处在最小区域,但安全风险可能极大。
●封锁(Block):使用自有设备将受到严格监管。企业将优先考虑其网络和数据的绝对安全,而轻视用户体验和满意度,员工将限定使用企业拥有的设备和SIM卡。由于NAC能够探测到连接设备的类型和合规状态,所以阻止使用BYOD不是多么困难的事情。
●遏制(Contain):要实现这一策略,NAC需要联合广泛的产品然后粉墨登场。一种可能的组合方式是:NAC实现LAN/WLAN环境的身份验证、接入授权、计费和安全审计;IAM负责为设备下发配置文件,感知用户上下文,如发现设备的位置和服务状态;移动安全客户端自动执行下发的设备配置文件,如动态地开启一个VPN安全隧道,实现端到端的加密;至于DLP,可能集成在安全客户端做自我防卫,也可能在网络侧作为应用程序沙箱集成进入移动安全网关;轻量级的MDM可以跨多个手机平台和应用程序提供移动管理功能。通常,遏制策略可以灵活地将网络安全维持在可接受的水平。
●协调(Embrace):近似于完美的策略,它让每个人的BYOD梦想成为现实。这一策略代表了一个巨大的文化转变,但也意味着巨大的技术操作的复杂度和显著增加的IT投资。调查显示,对一个企业,如果使用BYOD的基层员工超过雇员总数的30%,就可以被认为达到了协调的水平。另一方面,从技术上讲,在这种环境下,采用重量级的MDM技术可持续地跨多种移动平台执行设备管理策略将必不可少;部署VDI集中管理和保护敏感数据,将BYOD终端和业务基础设施隔离开来也是一个典型的例子。同时,在遏制策略中用到的技术控制手段需要精心策划并加强,以实现到协调层面的过渡,这包括增强安全政策的缩放性,既可扩展到企业全局,也可为不同部门或地域量身定制;整网的可视性、用户行为的细粒度控制、基于网络的内置DLP引擎的内容过滤和能够解密VPN连接,发现已经被攻击者攻破的合法用户在传播恶意软件等高级功能都是必须的。
重要的是,BYOD仅仅是揭开移动应用大趋势序幕的“冰山一角”。来自研究机构的调查显示,到2014年,移动设备将通过本机的硬件和OS功能“集装箱化”应用程序和数据。集装箱化技术将在设备堆栈中执行应用层防数据丢失,这种功能是需要高度遵守法规的企业成功实施合规审计的必要前提。预计未来会有越来越多的企业选择集装箱化技术结合MDM强制实施更强壮的安全控制能力。
此外,员工已经逐渐习惯了应用程序和IT支持服务的自助式环境、软件即服务(SaaS)、云计算等技术创新,其本质是呈现以客户为导向、使人们工作生活更舒适的IT价值观,BYOD概念就是这种精神的体现。事实上,业界公认使用移动设备的主要业务风险是数据丢失,而对客户透明的基于云的SWG技术,能够通过黑白名单和内容过滤技术显著减少恶意软件渗透的影响,在已经谈到过的安全控制手段里,可能是最有前途的、可平衡智能手机和平板电脑安全性需求的长远方法。
最后,作为补充,BYOD不只是一个技术问题,它也是一个要求IT部门和人力资源、财务、法律团队协作来有效整合业务战略、安全政策和IT系统的商业问题。企业必须充分预测到安全违规的后果,并提供相应的IT手段以迅速平息不利影响。此外,责任的定义是必要的,不单对企业,以避免任何BYOD实施后可能的法律纠纷。其目的是让大多数员工明白,如果发生设备滥用或危及安全的事件,导致他们个人设备上的数据被擦除,遵守公司的政策将是他们应尽的职责;同样,如果员工没有及时报告任何设备/数据损失或者可疑的破坏行为,可能会导致企业的处罚,包括从擦除程序到终止BYOD权限。对于大多数希望装备更先进安全控制手段把风险降到最低的企业来说,这些做法是确保技术手段能够生效的根本。
编辑:Andly