針對BYOD帶來的安全隱患��,企業(yè)必須實施有效的控制手段和策略����。企業(yè)需要考慮的問題涵蓋了技術方案、技術支持��、業(yè)務流程���、HR管理��、財務規(guī)章和法律責任等多個方面��。那么首先��,有哪些技術方案和安全策略可供選擇��?
BYOD 6大安全控制手段
大多數企業(yè)首先會通過明確的政策來決定BYOD計劃的實施程度�,有的選擇限制訪問某些數據或應用程序,有的會選擇要求員工在自己的設備上安裝特定的軟件��。企業(yè)將決定允許哪些終端可以和網絡連接�、相關策略和可以接受的用戶行為。企業(yè)還必須決定實施哪些技術控制手段以執(zhí)行企業(yè)的政策�。至少,企業(yè)必須回答某些問題��,例如支持什么樣的設備和移動操作系統(tǒng)��?如何分配和管理員工設備上的應用程序等等���。技術控制可以以網絡為中心���,或以設備為中心���,并沒有放之四海皆準的單一手段??晒┻x擇的技術控制手段有如下幾種:
移動設備管理(MDM)。對個人設備匹配相應的安全策略管理能力是采納MDM的驅動力之一����。 MDM能使策略執(zhí)行針對移動設備本身并提供遠程位置鎖定和數據擦除的能力,防止設備丟失或被盜����。
網絡訪問控制(NAC)�。這種技術的一個主要優(yōu)點是,建立對網絡本身的控制���,使企業(yè)在網絡發(fā)生任何損壞之前�,能夠阻止來自于移動設備的惡意軟件的攻擊�����。NAC依賴于網絡執(zhí)行安全策略并控制終端���、數據和用戶訪問行為�����,它需要相當的智能設計以在網絡上提供足夠的訪問控制粒度����。
安全Web網關(SWG)。面向移動的Web安全網關也許是MDM的完美補充��。它可以基于設備或云��,通過惡意軟件過濾���、信譽過濾���、數據防泄漏(DLP)、應用可視化控制等手段��,結合可行的策略控制��,解決BYOD帶來的網絡安全風險����。
移動安全客戶端(ESC)。它是傳統(tǒng)防惡意軟件客戶端的移動性延伸,是終端上反惡意軟件�、身份認證(如802.1X)、VPN和遠程擦除功能的組合����。
身份和訪問管理(IAM)。它是使企業(yè)能夠執(zhí)行合規(guī)和加強基礎設施安全的策略平臺����,同時可簡化企業(yè)的業(yè)務操作。通常情況下���,它包含了一個完整的配置和認證系統(tǒng)�,用來對網絡中形形色色的移動訪問角色提供永久或臨時的認證��。它會收集實時的來自網絡和用戶的上下文信息���,強制執(zhí)行安全策略,并根據預設的條件觸發(fā)�����,預先自動生成管控決策�����。
虛擬桌面基礎設施(VDI)。它創(chuàng)建了一個可以托管應用程序和數據的安全虛擬機(VM)���,為進入企業(yè)網絡的移動設備訪問VDI提供了一個安全窗口��,確保數據的安全和業(yè)務連續(xù)性���,因為VDI不允許數據在用戶的個人設備之間以及與企業(yè)基礎設施之間流動。
沒有靈丹妙藥可以獨自解決移動設備所帶來的挑戰(zhàn)�����。完善的安全解決方案將會是廣泛的產品組合�,可以實時抵擋來自于移動設備的新的安全威脅,對遠程用戶執(zhí)行安全合規(guī)���,并保護網絡����、數據和客戶端的安全��。如果制定政策和審視技術控制手段是獲取BYOD安全的第一步�,第二步則是創(chuàng)建一個戰(zhàn)略架構遠景����。
首先��, 讓我們從MDM開始�。一方面,市場驅動廠商追求廣泛的��、跨平臺的MDM覆蓋策略��,使得原來因為缺乏MDM安全策略定義和實現標準所造成的適應性的廣度和差異化欠佳的情況有所改善�����。另一方面�,由于針對移動平臺的惡意軟件層出不窮,提高移動設備安全性的呼聲也越來越高���,企業(yè)需要MDM結合惡意軟件防護來確保業(yè)務的連續(xù)性。許多企業(yè)這樣做了��,卻失于偏頗�����,因為他們沒有采取相應的網絡可視化監(jiān)控手段。此外�,基于設備的惡意軟件防護,會受到設備和移動操作系統(tǒng)的限制���。想象一下����,如果員工用合法的智能手機或平板電腦訪問互聯網上的惡意信息怎么辦��?在那一刻企業(yè)該怎樣去及時阻止移動終端接入可疑的網站或應用程序�?
業(yè)界一些廠商正在試圖將MDM和移動安全客戶端、DLP�、SWG和其它基于云的服務結合起來,建立強健的�����、高可用的架構����。由于以終端為中心的安全控制方法會受到極大制約,這種架構在今后可能會成為主流�����。傳統(tǒng)的網絡解決方案廠商都已經意識到�,解決移動安全僅靠終端一隅是不可能的,它們已經開始推出集成的移動安全解決方案����,這些方案可以回答幾個以終端為中心的安全控制手段無法回答的關鍵問題:
你是誰?
你從何處接入��?
你要訪問什么數據��?
哪些數據會流出網絡�?
因此,網絡需要有批準和拒絕用戶試圖獲得特定數據的最終決定權�����,網絡安全一定要被集成進入整體移動安全架構��。
制定宏觀安全策略
誠然��,企業(yè)還需要細致考慮如何有機地結合并實施上述技術控制手段��。當面向移動平臺的安全技術�����,如MDM和近來興起的“集裝箱”技術(Containerization)還不成熟的時候����,對移動訪問不管采取什么樣的安全控制手段,NAC都是最重要最直接的安全能力���,企業(yè)必須在工作場所檢測非管理的但作為商業(yè)用途的員工設備����。原因就在于這樣一個事實:許多企業(yè)仍然籌劃著對BYOD趨勢做出反應��,但還沒有制定正式的政策����,而且他們可能還無法在個人移動設備上安裝終端防護程序�,也無法配置任務策略,無法像控制公司所有的設備一樣執(zhí)行生命周期管理���。有如下4種宏觀安全策略可以借鑒�����,相應的安全策略也同時依賴于企業(yè)不斷變化的安全預期和IT預算�。
忽略(Disregard):相當于忽略了個人設備在企業(yè)環(huán)境中的存在���。這是一個糟糕的選擇�����,企業(yè)采取忽略策略將不對當前基礎設施做任何政策或技術的變化���。注意這里安全壓力不等同于安全風險,企業(yè)感受到的安全壓力處在最小區(qū)域��,但安全風險可能極大���。
封鎖(Block):使用自有設備將受到嚴格監(jiān)管�。企業(yè)將優(yōu)先考慮其網絡和數據的絕對安全����,而輕視用戶體驗和滿意度��,員工將限定使用企業(yè)擁有的設備和SIM卡���。由于NAC能夠探測到連接設備的類型和合規(guī)狀態(tài)���,所以阻止使用BYOD不是多么困難的事情。
遏制(Contain):要實現這一策略����,NAC需要聯合廣泛的產品然后粉墨登場。一種可能的組合方式是:NAC實現LAN/WLAN環(huán)境的身份驗證��、接入授權��、計費和安全審計����;IAM負責為設備下發(fā)配置文件,感知用戶上下文���,如發(fā)現設備的位置和服務狀態(tài)����;移動安全客戶端自動執(zhí)行下發(fā)的設備配置文件���,如動態(tài)地開啟一個VPN安全隧道�����,實現端到端的加密����;至于DLP,可能集成在安全客戶端做自我防衛(wèi)��,也可能在網絡側作為應用程序沙箱集成進入移動安全網關�;輕量級的MDM可以跨多個手機平臺和應用程序提供移動管理功能。通常��,遏制策略可以靈活地將網絡安全維持在可接受的水平����。
協(xié)調(Embrace):近似于完美的策略��,它讓每個人的BYOD夢想成為現實��。這一策略代表了一個巨大的文化轉變����,但也意味著巨大的技術操作的復雜度和顯著增加的IT投資。調查顯示�,對一個企業(yè),如果使用BYOD的基層員工超過雇員總數的30%�����,就可以被認為達到了協(xié)調的水平���。另一方面,從技術上講��,在這種環(huán)境下��,采用重量級的MDM技術可持續(xù)地跨多種移動平臺執(zhí)行設備管理策略將必不可少�����;部署VDI集中管理和保護敏感數據��,將BYOD終端和業(yè)務基礎設施隔離開來也是一個典型的例子����。同時,在遏制策略中用到的技術控制手段需要精心策劃并加強�,以實現到協(xié)調層面的過渡,這包括增強安全政策的縮放性�,既可擴展到企業(yè)全局,也可為不同部門或地域量身定制���;整網的可視性��、用戶行為的細粒度控制���、基于網絡的內置DLP引擎的內容過濾和能夠解密VPN連接,發(fā)現已經被攻擊者攻破的合法用戶在傳播惡意軟件等高級功能都是必須的��。
重要的是��,BYOD僅僅是揭開移動應用大趨勢序幕的“冰山一角”�����。來自研究機構的調查顯示���,到2014年��,移動設備將通過本機的硬件和OS功能“集裝箱化”應用程序和數據���。集裝箱化技術將在設備堆棧中執(zhí)行應用層防數據丟失,這種功能是需要高度遵守法規(guī)的企業(yè)成功實施合規(guī)審計的必要前提����。預計未來會有越來越多的企業(yè)選擇集裝箱化技術結合MDM強制實施更強壯的安全控制能力����。
此外����,員工已經逐漸習慣了應用程序和IT支持服務的自助式環(huán)境、軟件即服務(SaaS)�����、云計算等技術創(chuàng)新�,其本質是呈現以客戶為導向�、使人們工作生活更舒適的IT價值觀,BYOD概念就是這種精神的體現��。事實上�����,業(yè)界公認使用移動設備的主要業(yè)務風險是數據丟失�,而對客戶透明的基于云的SWG技術,能夠通過黑白名單和內容過濾技術顯著減少惡意軟件滲透的影響��,在已經談到過的安全控制手段里,可能是最有前途的�����、可平衡智能手機和平板電腦安全性需求的長遠方法�����。
最后���,作為補充�����,BYOD不只是一個技術問題���,它也是一個要求IT部門和人力資源、財務����、法律團隊協(xié)作來有效整合業(yè)務戰(zhàn)略、安全政策和IT系統(tǒng)的商業(yè)問題�����。企業(yè)必須充分預測到安全違規(guī)的后果,并提供相應的IT手段以迅速平息不利影響�����。此外�,責任的定義是必要的,不單對企業(yè)�,以避免任何BYOD實施后可能的法律糾紛。其目的是讓大多數員工明白���,如果發(fā)生設備濫用或危及安全的事件���,導致他們個人設備上的數據被擦除,遵守公司的政策將是他們應盡的職責�;同樣���,如果員工沒有及時報告任何設備/數據損失或者可疑的破壞行為,可能會導致企業(yè)的處罰�,包括從擦除程序到終止BYOD權限。對于大多數希望裝備更先進安全控制手段把風險降
