2014年5月1日 星期四

因應BYOD風潮 行動裝置管理系統崛起

因應BYOD風潮 行動裝置管理系統崛起

員工在工作過程中運用智慧型手機與平板電腦已是常態,行動裝置管理系統也開始崛起,但過去這類產品的運用較缺乏彈性,隨著技術的改良,現在功能已趨於成熟


在MDM管控上,除了可設定規範限定行動裝置的功能之外,管理人員還可以透過特定作業系統及裝置廠商提供的API,蒐集裝置上的各種資訊,包括地理位置、IP位址、甚至通話記錄等,可掌控的資訊非常多。圖為SOTI MobiControl的網頁管理介面。

針對智慧型手機或平板電腦等行動裝置的管理系統,發展至今已經有一段時間,而且從最初的行動裝置功能管理(Mobile Device Management,MDM),例如照相、Wi-Fi、藍牙傳輸,甚之記憶卡的讀取等功能控管,現在已經演進成App安裝控管(Mobile Application Management,MAM),包括強制安裝或禁止使用特定應用程式,以及針對行動裝置的電子郵件、可存取的各類文件內容控管(Mobile Content Management,MCM)。

以這樣的發展過程來看,不難發現行動裝置的控管,目的都是為了資訊安全,因此作法上,無非是希望限定裝置特定區域不能使用某些功能、不能使用特定應用程式,或是不讓這些裝置變成機敏資料外流的漏洞。

管理原則與管控方法已趨於一致

本次測試的5套行動裝置管理系統中,絕大多數都同時包含了MDM與MAM,例如Citrix XenMobile、SOTI MobiControl、Sophos Mobile Control,以及Kaspersky Security for Mobile等,另外也有針對MCM控管的LetMobile。我們在實際測試與使用這些管理系統之後發現,可管控的程度已經相當成熟,差異在於操作介面、管理邏輯,或是管理原則的指派與配對等。

目前所有行動裝置管理系統,在發布與派送管理原則與內容的時候,方法大致可分為3種,分別是透過Exchange ActiveSync、App Store與iOS描述檔等。

舉例來說,多數MDM系統對iOS平臺行動裝置的管控方法,都是安裝描述檔,而App的管控,則是採用專屬的App,並在這些行動裝置上開啟特定的App。例如Citrix XenMobile搭配的Worx Home,SOTI的MobiControl及Sophos Mobile Control,都是搭配同名的App,且可以設定被控的員工行動裝置強迫安裝或建議安裝的App,並可直接開啟。

使用Exchange ActiveSync派送

在微軟的Exchange ActiveSync協定中,其實就內建行動裝置管理的功能,只要企業採用支援ActiveSync的電子郵件伺服器,在行動裝置收發電子郵件的時候,都可將行動裝置管理系統的管理原則,同時派送至裝置上。

以Kaspersky Security for Mobile(KSM)為例,管理人員可以在Exchange ActiveSync行動裝置伺服器的設定中,直接指派設定檔案給使用者的電子郵件,只要使用者從行動裝置收發這個帳號的電子郵件,就會一併將管理政策下載並部署與套用到裝置上。

安裝應用程式

在行動裝置上透過安裝專屬應用程式App來管控的這種作法,最主要的功能與目的,就是將公事與私人使用隔離。

在專屬App內,管理人員可以派送建議使用者應該裝的應用程式或文件,而在App以外的任何操作,都是採用沙盒(SandBox)的設計,讓該App內的所有操作都是獨立的,並不影響行動裝置本身與其他App的使用。另一方面,該App以外的任何操作,也都不會影響到這個App的內容(除了移除安裝)。

安裝系統描述檔

iOS裝置在發布與接收管控原則時,一般都是使用描述檔的方式,管理者在透過行動裝置管理系統設定好控管內容,並建立好描述檔之後,就會產生描述檔的下載連結,接著,不論是透過訊息、電子郵件傳送或是產生QR Code,讓使用者從行動裝置開啟該連結,之後就會自動引導到系統設定的描述檔安裝畫面中,此時,只要點選安裝,就會將管理原則部署到裝置上。

可管控的功能更進階,應用情境更廣

在行動裝置管理系統管控的功能方面,多數MDM系統實際上可控管的項目與細節,其實都相當接近。例如基本的照相控管、強制密碼強度、強制開啟GPS定位、遠端抹除設備、限制特定網頁,或是預先派送Wi-Fi設定檔等。

以這些功能來說,其實在前幾年就已經相當成熟,但是本次採購特輯中,我們另外還發現,Android與iOS平臺的裝置管理開始有了一些不一樣的變化。

Android與iOS平臺之間最大的差別,就在於軟、硬體的開放。iOS裝置,不論是手機或平板,作業系統與硬體都是由Apple自行開發,而Android平臺則提供各家廠商自行開發硬體,並可修改與自定使用者介面及功能。

而行動裝置管理系統要對Android裝置進一步的管控,就必須取得由這些手機與平板開發商提供的API,以取得這些裝置的特定功能。

例如,本次除了LetMobile之外,其他MDM廠商都可針對Samsung的行動裝置進行進階的管控。而且管控內容相當詳盡,包括電池電量、手機的電信商,甚至信號強度等,都可以當做是管理原則的條件。另一方面,Samsung也研發加強行動裝置安全的Knox,而上述這些廠商也都提供對Knox的支援。

而Apple的行動裝置從iOS 7開始,也開始加入商務與企業應用的功能,例如能為App設定獨立的VPN、單一登入、以及專屬的MDM設定選項等

你會好奇,能夠取得這些詳細的設定條件,對管理上有什麼幫助。舉例來說,行動裝置的GPS定位功能,以往最常使用的情境,就是在裝置遺失的時候使用,但現在的行動裝置管理系統,可以運用定位的功能,達到在特定區域的時候,就開啟或鎖定某項功能。

以SOTI MobiControl為例,它可以畫定某個區域(必須圍起來),並設定行動裝置抵達或離開該區域的時候,啟動或關閉某功能。例如,可以將公司辦公室的區域,以地理資訊定義起來,並設定裝置抵達公司的時候,就把照相功能關閉。這樣的功能對科技園區的企業或軍方單位等,需要嚴格控管的環境來說,相當實用。

而連線的方式上,許多MDM系統為了加強行動裝置與企業內部連線的安全性,都會建立專屬且全程採加密的連線通道,避免這些裝置成為資安的漏洞。

系統建置與裝置授權價格落差大

在系統建置的需求方面,有不少MDM產品都提供自行建置管理伺服器的選擇,並可與企業既有的IT環境整合,例如AD、Exchange Server等,同時它們也都提供SaaS雲端代管的服務。

唯一例外的,就是Kaspersky的KSM,因為它是卡巴斯基企業端點安全解決方案的一部分模組,因此不像其他MDM系統,可直接與既有環境整合。如果企業環境選用其他防毒系統,且沒有打算更換,在導入與整合這套系統就會比較麻煩。同時,KSM也是唯一無法使用網頁登入管理介面的系統,它必須在特定的電腦上安裝管理應用程式,管理的靈活度比較受限制。

而價格的部份,這5套MDM系統都提供訂閱的授權方式,可用每臺裝置或每位使用者為計價單位,以第一年的費用為例,像Citrix XenMobile(同時包含MDM與MAM功能)的8,000多元,到Kaspersky KSM(KESB標準版)的1,840元,落差相當大,而,後續每年則要支付系統升級維護費用。因為採取這樣的計價方式,長久來看並不划算,因此多數企業都選擇買斷授權,代價是後續將無法更新與升級,但長遠來看比較划算。

圖為Citrix Worx Home App。

採用沙盒設計,可獨立運作不影響使用者App

許多MDM廠商在應用程式與文件的控管上,都使用專屬App,並採用沙盒的架構,讓工作相關的應用程式,如電子郵件,可在這個App內開啟,而關閉之後資料並不會遺留在裝置上。且對使用者來說,這樣的設計,可以將個人與公事區隔開,且不會影響到個人隱私。

轉載自《iThome》