針對BYOD帶來的安全隱患,企業(yè)必須實施有效的控制手段和策略�����。企業(yè)需要考慮的問題涵蓋了技術(shù)方案�����、技術(shù)支持����、業(yè)務(wù)流程����、HR管理��、財務(wù)規(guī)章和法律責(zé)任等多個方面���。那么首先�,有哪些技術(shù)方案和安全策略可供選擇�?
BYOD 6大安全控制手段
大多數(shù)企業(yè)首先會通過明確的政策來決定BYOD計劃的實施程度�,有的選擇限制訪問某些數(shù)據(jù)或應(yīng)用程序,有的會選擇要求員工在自己的設(shè)備上安裝特定的軟件�。企業(yè)將決定允許哪些終端可以和網(wǎng)絡(luò)連接���、相關(guān)策略和可以接受的用戶行為��。企業(yè)還必須決定實施哪些技術(shù)控制手段以執(zhí)行企業(yè)的政策�。至少��,企業(yè)必須回答某些問題����,例如支持什么樣的設(shè)備和移動操作系統(tǒng)���?如何分配和管理員工設(shè)備上的應(yīng)用程序等等�。技術(shù)控制可以以網(wǎng)絡(luò)為中心,或以設(shè)備為中心�����,并沒有放之四海皆準的單一手段��?���?晒┻x擇的技術(shù)控制手段有如下幾種:
移動設(shè)備管理(MDM)�����。對個人設(shè)備匹配相應(yīng)的安全策略管理能力是采納MDM的驅(qū)動力之一。 MDM能使策略執(zhí)行針對移動設(shè)備本身并提供遠程位置鎖定和數(shù)據(jù)擦除的能力�,防止設(shè)備丟失或被盜。
網(wǎng)絡(luò)訪問控制(NAC)��。這種技術(shù)的一個主要優(yōu)點是��,建立對網(wǎng)絡(luò)本身的控制�,使企業(yè)在網(wǎng)絡(luò)發(fā)生任何損壞之前,能夠阻止來自于移動設(shè)備的惡意軟件的攻擊��。NAC依賴于網(wǎng)絡(luò)執(zhí)行安全策略并控制終端���、數(shù)據(jù)和用戶訪問行為�����,它需要相當?shù)闹悄茉O(shè)計以在網(wǎng)絡(luò)上提供足夠的訪問控制粒度����。
安全Web網(wǎng)關(guān)(SWG)�。面向移動的Web安全網(wǎng)關(guān)也許是MDM的完美補充。它可以基于設(shè)備或云���,通過惡意軟件過濾�����、信譽過濾���、數(shù)據(jù)防泄漏(DLP)�、應(yīng)用可視化控制等手段��,結(jié)合可行的策略控制�,解決BYOD帶來的網(wǎng)絡(luò)安全風(fēng)險。
移動安全客戶端(ESC)�。它是傳統(tǒng)防惡意軟件客戶端的移動性延伸,是終端上反惡意軟件�、身份認證(如802.1X)、VPN和遠程擦除功能的組合���。
身份和訪問管理(IAM)����。它是使企業(yè)能夠執(zhí)行合規(guī)和加強基礎(chǔ)設(shè)施安全的策略平臺��,同時可簡化企業(yè)的業(yè)務(wù)操作�。通常情況下,它包含了一個完整的配置和認證系統(tǒng)�����,用來對網(wǎng)絡(luò)中形形色色的移動訪問角色提供永久或臨時的認證�����。它會收集實時的來自網(wǎng)絡(luò)和用戶的上下文信息����,強制執(zhí)行安全策略,并根據(jù)預(yù)設(shè)的條件觸發(fā)���,預(yù)先自動生成管控決策��。
虛擬桌面基礎(chǔ)設(shè)施(VDI)�。它創(chuàng)建了一個可以托管應(yīng)用程序和數(shù)據(jù)的安全虛擬機(VM)��,為進入企業(yè)網(wǎng)絡(luò)的移動設(shè)備訪問VDI提供了一個安全窗口�,確保數(shù)據(jù)的安全和業(yè)務(wù)連續(xù)性,因為VDI不允許數(shù)據(jù)在用戶的個人設(shè)備之間以及與企業(yè)基礎(chǔ)設(shè)施之間流動�。
沒有靈丹妙藥可以獨自解決移動設(shè)備所帶來的挑戰(zhàn)。完善的安全解決方案將會是廣泛的產(chǎn)品組合�,可以實時抵擋來自于移動設(shè)備的新的安全威脅�����,對遠程用戶執(zhí)行安全合規(guī)�,并保護網(wǎng)絡(luò)�����、數(shù)據(jù)和客戶端的安全�。如果制定政策和審視技術(shù)控制手段是獲取BYOD安全的第一步,第二步則是創(chuàng)建一個戰(zhàn)略架構(gòu)遠景�����。
首先���, 讓我們從MDM開始�。一方面���,市場驅(qū)動廠商追求廣泛的�、跨平臺的MDM覆蓋策略��,使得原來因為缺乏MDM安全策略定義和實現(xiàn)標準所造成的適應(yīng)性的廣度和差異化欠佳的情況有所改善�����。另一方面����,由于針對移動平臺的惡意軟件層出不窮,提高移動設(shè)備安全性的呼聲也越來越高���,企業(yè)需要MDM結(jié)合惡意軟件防護來確保業(yè)務(wù)的連續(xù)性���。許多企業(yè)這樣做了,卻失于偏頗���,因為他們沒有采取相應(yīng)的網(wǎng)絡(luò)可視化監(jiān)控手段��。此外�����,基于設(shè)備的惡意軟件防護���,會受到設(shè)備和移動操作系統(tǒng)的限制。想象一下�,如果員工用合法的智能手機或平板電腦訪問互聯(lián)網(wǎng)上的惡意信息怎么辦�����?在那一刻企業(yè)該怎樣去及時阻止移動終端接入可疑的網(wǎng)站或應(yīng)用程序����?
業(yè)界一些廠商正在試圖將MDM和移動安全客戶端��、DLP���、SWG和其它基于云的服務(wù)結(jié)合起來����,建立強健的�、高可用的架構(gòu)。由于以終端為中心的安全控制方法會受到極大制約�,這種架構(gòu)在今后可能會成為主流。傳統(tǒng)的網(wǎng)絡(luò)解決方案廠商都已經(jīng)意識到�,解決移動安全僅靠終端一隅是不可能的,它們已經(jīng)開始推出集成的移動安全解決方案��,這些方案可以回答幾個以終端為中心的安全控制手段無法回答的關(guān)鍵問題:
你是誰���?
你從何處接入����?
你要訪問什么數(shù)據(jù)�����?
哪些數(shù)據(jù)會流出網(wǎng)絡(luò)���?
因此����,網(wǎng)絡(luò)需要有批準和拒絕用戶試圖獲得特定數(shù)據(jù)的最終決定權(quán)����,網(wǎng)絡(luò)安全一定要被集成進入整體移動安全架構(gòu)。
制定宏觀安全策略
誠然��,企業(yè)還需要細致考慮如何有機地結(jié)合并實施上述技術(shù)控制手段����。當面向移動平臺的安全技術(shù),如MDM和近來興起的“集裝箱”技術(shù)(Containerization)還不成熟的時候����,對移動訪問不管采取什么樣的安全控制手段�,NAC都是最重要最直接的安全能力�����,企業(yè)必須在工作場所檢測非管理的但作為商業(yè)用途的員工設(shè)備����。原因就在于這樣一個事實:許多企業(yè)仍然籌劃著對BYOD趨勢做出反應(yīng),但還沒有制定正式的政策��,而且他們可能還無法在個人移動設(shè)備上安裝終端防護程序�,也無法配置任務(wù)策略,無法像控制公司所有的設(shè)備一樣執(zhí)行生命周期管理�。有如下4種宏觀安全策略可以借鑒,相應(yīng)的安全策略也同時依賴于企業(yè)不斷變化的安全預(yù)期和IT預(yù)算����。
忽略(Disregard):相當于忽略了個人設(shè)備在企業(yè)環(huán)境中的存在。這是一個糟糕的選擇��,企業(yè)采取忽略策略將不對當前基礎(chǔ)設(shè)施做任何政策或技術(shù)的變化��。注意這里安全壓力不等同于安全風(fēng)險����,企業(yè)感受到的安全壓力處在最小區(qū)域���,但安全風(fēng)險可能極大。
封鎖(Block):使用自有設(shè)備將受到嚴格監(jiān)管�����。企業(yè)將優(yōu)先考慮其網(wǎng)絡(luò)和數(shù)據(jù)的絕對安全�����,而輕視用戶體驗和滿意度�����,員工將限定使用企業(yè)擁有的設(shè)備和SIM卡���。由于NAC能夠探測到連接設(shè)備的類型和合規(guī)狀態(tài),所以阻止使用BYOD不是多么困難的事情��。
遏制(Contain):要實現(xiàn)這一策略����,NAC需要聯(lián)合廣泛的產(chǎn)品然后粉墨登場。一種可能的組合方式是:NAC實現(xiàn)LAN/WLAN環(huán)境的身份驗證���、接入授權(quán)�����、計費和安全審計�;IAM負責(zé)為設(shè)備下發(fā)配置文件,感知用戶上下文���,如發(fā)現(xiàn)設(shè)備的位置和服務(wù)狀態(tài)�����;移動安全客戶端自動執(zhí)行下發(fā)的設(shè)備配置文件���,如動態(tài)地開啟一個VPN安全隧道,實現(xiàn)端到端的加密����;至于DLP,可能集成在安全客戶端做自我防衛(wèi)����,也可能在網(wǎng)絡(luò)側(cè)作為應(yīng)用程序沙箱集成進入移動安全網(wǎng)關(guān);輕量級的MDM可以跨多個手機平臺和應(yīng)用程序提供移動管理功能。通常�,遏制策略可以靈活地將網(wǎng)絡(luò)安全維持在可接受的水平。
協(xié)調(diào)(Embrace):近似于完美的策略�����,它讓每個人的BYOD夢想成為現(xiàn)實����。這一策略代表了一個巨大的文化轉(zhuǎn)變,但也意味著巨大的技術(shù)操作的復(fù)雜度和顯著增加的IT投資�。調(diào)查顯示,對一個企業(yè)���,如果使用BYOD的基層員工超過雇員總數(shù)的30%,就可以被認為達到了協(xié)調(diào)的水平����。另一方面,從技術(shù)上講����,在這種環(huán)境下,采用重量級的MDM技術(shù)可持續(xù)地跨多種移動平臺執(zhí)行設(shè)備管理策略將必不可少�;部署VDI集中管理和保護敏感數(shù)據(jù),將BYOD終端和業(yè)務(wù)基礎(chǔ)設(shè)施隔離開來也是一個典型的例子。同時���,在遏制策略中用到的技術(shù)控制手段需要精心策劃并加強����,以實現(xiàn)到協(xié)調(diào)層面的過渡�����,這包括增強安全政策的縮放性�,既可擴展到企業(yè)全局,也可為不同部門或地域量身定制�����;整網(wǎng)的可視性��、用戶行為的細粒度控制�����、基于網(wǎng)絡(luò)的內(nèi)置DLP引擎的內(nèi)容過濾和能夠解密VPN連接���,發(fā)現(xiàn)已經(jīng)被攻擊者攻破的合法用戶在傳播惡意軟件等高級功能都是必須的����。
重要的是,BYOD僅僅是揭開移動應(yīng)用大趨勢序幕的“冰山一角”�。來自研究機構(gòu)的調(diào)查顯示,到2014年�����,移動設(shè)備將通過本機的硬件和OS功能“集裝箱化”應(yīng)用程序和數(shù)據(jù)�����。集裝箱化技術(shù)將在設(shè)備堆棧中執(zhí)行應(yīng)用層防數(shù)據(jù)丟失�����,這種功能是需要高度遵守法規(guī)的企業(yè)成功實施合規(guī)審計的必要前提����。預(yù)計未來會有越來越多的企業(yè)選擇集裝箱化技術(shù)結(jié)合MDM強制實施更強壯的安全控制能力����。
此外,員工已經(jīng)逐漸習(xí)慣了應(yīng)用程序和IT支持服務(wù)的自助式環(huán)境�、軟件即服務(wù)(SaaS)���、云計算等技術(shù)創(chuàng)新,其本質(zhì)是呈現(xiàn)以客戶為導(dǎo)向�����、使人們工作生活更舒適的IT價值觀����,BYOD概念就是這種精神的體現(xiàn)。事實上�����,業(yè)界公認使用移動設(shè)備的主要業(yè)務(wù)風(fēng)險是數(shù)據(jù)丟失����,而對客戶透明的基于云的SWG技術(shù),能夠通過黑白名單和內(nèi)容過濾技術(shù)顯著減少惡意軟件滲透的影響����,在已經(jīng)談到過的安全控制手段里,可能是最有前途的�、可平衡智能手機和平板電腦安全性需求的長遠方法。
最后��,作為補充,BYOD不只是一個技術(shù)問題���,它也是一個要求IT部門和人力資源����、財務(wù)�、法律團隊協(xié)作來有效整合業(yè)務(wù)戰(zhàn)略、安全政策和IT系統(tǒng)的商業(yè)問題���。企業(yè)必須充分預(yù)測到安全違規(guī)的后果���,并提供相應(yīng)的IT手段以迅速平息不利影響。此外��,責(zé)任的定義是必要的����,不單對企業(yè),以避免任何BYOD實施后可能的法律糾紛����。其目的是讓大多數(shù)員工明白��,如果發(fā)生設(shè)備濫用或危及安全的事件,導(dǎo)致他們個人設(shè)備上的數(shù)據(jù)被擦除��,遵守公司的政策將是他們應(yīng)盡的職責(zé)�;同樣,如果員工沒有及時報告任何設(shè)備/數(shù)據(jù)損失或者可疑的破壞行為����,可能會導(dǎo)致企業(yè)的處罰,包括從擦除程序到終止BYOD權(quán)限��。對于大多數(shù)希望裝備更先進安全控制手段把風(fēng)險降
