針對BYOD帶來(lái)的安全隱患,企業(yè)必須實(shí)施有效的控制手段和策略。企業(yè)需要考慮的問(wèn)題涵蓋了技術(shù)方案、技術(shù)支持、業(yè)務(wù)流程、HR管理、財務(wù)規章和法律責任等多個(gè)方面。那么首先,有哪些技術(shù)方案和安全策略可供選擇?
BYOD 6大安全控制手段
大多數企業(yè)首先會(huì )通過(guò)明確的政策來(lái)決定BYOD計劃的實(shí)施程度,有的選擇限制訪(fǎng)問(wèn)某些數據或應用程序,有的會(huì )選擇要求員工在自己的設備上安裝特定的軟件。企業(yè)將決定允許哪些終端可以和網(wǎng)絡(luò )連接、相關(guān)策略和可以接受的用戶(hù)行為。企業(yè)還必須決定實(shí)施哪些技術(shù)控制手段以執行企業(yè)的政策。至少,企業(yè)必須回答某些問(wèn)題,例如支持什么樣的設備和移動(dòng)操作系統?如何分配和管理員工設備上的應用程序等等。技術(shù)控制可以以網(wǎng)絡(luò )為中心,或以設備為中心,并沒(méi)有放之四海皆準的單一手段。可供選擇的技術(shù)控制手段有如下幾種:
移動(dòng)設備管理(MDM)。對個(gè)人設備匹配相應的安全策略管理能力是采納MDM的驅動(dòng)力之一。 MDM能使策略執行針對移動(dòng)設備本身并提供遠程位置鎖定和數據擦除的能力,防止設備丟失或被盜。
網(wǎng)絡(luò )訪(fǎng)問(wèn)控制(NAC)。這種技術(shù)的一個(gè)主要優(yōu)點(diǎn)是,建立對網(wǎng)絡(luò )本身的控制,使企業(yè)在網(wǎng)絡(luò )發(fā)生任何損壞之前,能夠阻止來(lái)自于移動(dòng)設備的惡意軟件的攻擊。NAC依賴(lài)于網(wǎng)絡(luò )執行安全策略并控制終端、數據和用戶(hù)訪(fǎng)問(wèn)行為,它需要相當的智能設計以在網(wǎng)絡(luò )上提供足夠的訪(fǎng)問(wèn)控制粒度。
安全Web網(wǎng)關(guān)(SWG)。面向移動(dòng)的Web安全網(wǎng)關(guān)也許是MDM的完美補充。它可以基于設備或云,通過(guò)惡意軟件過(guò)濾、信譽(yù)過(guò)濾、數據防泄漏(DLP)、應用可視化控制等手段,結合可行的策略控制,解決BYOD帶來(lái)的網(wǎng)絡(luò )安全風(fēng)險。
移動(dòng)安全客戶(hù)端(ESC)。它是傳統防惡意軟件客戶(hù)端的移動(dòng)性延伸,是終端上反惡意軟件、身份認證(如802.1X)、VPN和遠程擦除功能的組合。
身份和訪(fǎng)問(wèn)管理(IAM)。它是使企業(yè)能夠執行合規和加強基礎設施安全的策略平臺,同時(shí)可簡(jiǎn)化企業(yè)的業(yè)務(wù)操作。通常情況下,它包含了一個(gè)完整的配置和認證系統,用來(lái)對網(wǎng)絡(luò )中形形色色的移動(dòng)訪(fǎng)問(wèn)角色提供永久或臨時(shí)的認證。它會(huì )收集實(shí)時(shí)的來(lái)自網(wǎng)絡(luò )和用戶(hù)的上下文信息,強制執行安全策略,并根據預設的條件觸發(fā),預先自動(dòng)生成管控決策。
虛擬桌面基礎設施(VDI)。它創(chuàng )建了一個(gè)可以托管應用程序和數據的安全虛擬機(VM),為進(jìn)入企業(yè)網(wǎng)絡(luò )的移動(dòng)設備訪(fǎng)問(wèn)VDI提供了一個(gè)安全窗口,確保數據的安全和業(yè)務(wù)連續性,因為VDI不允許數據在用戶(hù)的個(gè)人設備之間以及與企業(yè)基礎設施之間流動(dòng)。
沒(méi)有靈丹妙藥可以獨自解決移動(dòng)設備所帶來(lái)的挑戰。完善的安全解決方案將會(huì )是廣泛的產(chǎn)品組合,可以實(shí)時(shí)抵擋來(lái)自于移動(dòng)設備的新的安全威脅,對遠程用戶(hù)執行安全合規,并保護網(wǎng)絡(luò )、數據和客戶(hù)端的安全。如果制定政策和審視技術(shù)控制手段是獲取BYOD安全的第一步,第二步則是創(chuàng )建一個(gè)戰略架構遠景。
首先, 讓我們從MDM開(kāi)始。一方面,市場(chǎng)驅動(dòng)廠(chǎng)商追求廣泛的、跨平臺的MDM覆蓋策略,使得原來(lái)因為缺乏MDM安全策略定義和實(shí)現標準所造成的適應性的廣度和差異化欠佳的情況有所改善。另一方面,由于針對移動(dòng)平臺的惡意軟件層出不窮,提高移動(dòng)設備安全性的呼聲也越來(lái)越高,企業(yè)需要MDM結合惡意軟件防護來(lái)確保業(yè)務(wù)的連續性。許多企業(yè)這樣做了,卻失于偏頗,因為他們沒(méi)有采取相應的網(wǎng)絡(luò )可視化監控手段。此外,基于設備的惡意軟件防護,會(huì )受到設備和移動(dòng)操作系統的限制。想象一下,如果員工用合法的智能手機或平板電腦訪(fǎng)問(wèn)互聯(lián)網(wǎng)上的惡意信息怎么辦?在那一刻企業(yè)該怎樣去及時(shí)阻止移動(dòng)終端接入可疑的網(wǎng)站或應用程序?
業(yè)界一些廠(chǎng)商正在試圖將MDM和移動(dòng)安全客戶(hù)端、DLP、SWG和其它基于云的服務(wù)結合起來(lái),建立強健的、高可用的架構。由于以終端為中心的安全控制方法會(huì )受到極大制約,這種架構在今后可能會(huì )成為主流。傳統的網(wǎng)絡(luò )解決方案廠(chǎng)商都已經(jīng)意識到,解決移動(dòng)安全僅靠終端一隅是不可能的,它們已經(jīng)開(kāi)始推出集成的移動(dòng)安全解決方案,這些方案可以回答幾個(gè)以終端為中心的安全控制手段無(wú)法回答的關(guān)鍵問(wèn)題:
你是誰(shuí)?
你從何處接入?
你要訪(fǎng)問(wèn)什么數據?
哪些數據會(huì )流出網(wǎng)絡(luò )?
因此,網(wǎng)絡(luò )需要有批準和拒絕用戶(hù)試圖獲得特定數據的最終決定權,網(wǎng)絡(luò )安全一定要被集成進(jìn)入整體移動(dòng)安全架構。
制定宏觀(guān)安全策略
誠然,企業(yè)還需要細致考慮如何有機地結合并實(shí)施上述技術(shù)控制手段。當面向移動(dòng)平臺的安全技術(shù),如MDM和近來(lái)興起的“集裝箱”技術(shù)(Containerization)還不成熟的時(shí)候,對移動(dòng)訪(fǎng)問(wèn)不管采取什么樣的安全控制手段,NAC都是最重要最直接的安全能力,企業(yè)必須在工作場(chǎng)所檢測非管理的但作為商業(yè)用途的員工設備。原因就在于這樣一個(gè)事實(shí):許多企業(yè)仍然籌劃著(zhù)對BYOD趨勢做出反應,但還沒(méi)有制定正式的政策,而且他們可能還無(wú)法在個(gè)人移動(dòng)設備上安裝終端防護程序,也無(wú)法配置任務(wù)策略,無(wú)法像控制公司所有的設備一樣執行生命周期管理。有如下4種宏觀(guān)安全策略可以借鑒,相應的安全策略也同時(shí)依賴(lài)于企業(yè)不斷變化的安全預期和IT預算。
忽略(Disregard):相當于忽略了個(gè)人設備在企業(yè)環(huán)境中的存在。這是一個(gè)糟糕的選擇,企業(yè)采取忽略策略將不對當前基礎設施做任何政策或技術(shù)的變化。注意這里安全壓力不等同于安全風(fēng)險,企業(yè)感受到的安全壓力處在最小區域,但安全風(fēng)險可能極大。
封鎖(Block):使用自有設備將受到嚴格監管。企業(yè)將優(yōu)先考慮其網(wǎng)絡(luò )和數據的絕對安全,而輕視用戶(hù)體驗和滿(mǎn)意度,員工將限定使用企業(yè)擁有的設備和SIM卡。由于NAC能夠探測到連接設備的類(lèi)型和合規狀態(tài),所以阻止使用BYOD不是多么困難的事情。
- 遏制(Contain):要實(shí)現這一策略,NAC需要聯(lián)合廣泛的產(chǎn)品然后粉墨登場(chǎng)。一種可能的組合方式是:NAC實(shí)現LAN/WLAN環(huán)境的身份驗證、接入授權、計費和安全審計;IAM負責為設備下發(fā)配置文件,感知用戶(hù)上下文,如發(fā)現設備的位置和服務(wù)狀態(tài);移動(dòng)安全客戶(hù)端自動(dòng)執行下發(fā)的設備配置文件,如動(dòng)態(tài)地開(kāi)啟一個(gè)VPN安全隧道,實(shí)現端到端的加密;至于DLP,可能集成在安全客戶(hù)端做自我防衛,也可能在網(wǎng)絡(luò )側作為應用程序沙箱集成進(jìn)入移動(dòng)安全網(wǎng)關(guān);輕量級的MDM可以跨多個(gè)手機平臺和應用程序提供移動(dòng)管理功能。通常,遏制策略可以靈活地將網(wǎng)絡(luò )安全維持在可接受的水平。
- 協(xié)調(Embrace):近似于完美的策略,它讓每個(gè)人的BYOD夢(mèng)想成為現實(shí)。這一策略代表了一個(gè)巨大的文化轉變,但也意味著(zhù)巨大的技術(shù)操作的復雜度和顯著(zhù)增加的IT投資。調查顯示,對一個(gè)企業(yè),如果使用BYOD的基層員工超過(guò)雇員總數的30%,就可以被認為達到了協(xié)調的水平。另一方面,從技術(shù)上講,在這種環(huán)境下,采用重量級的MDM技術(shù)可持續地跨多種移動(dòng)平臺執行設備管理策略將必不可少;部署VDI集中管理和保護敏感數據,將BYOD終端和業(yè)務(wù)基礎設施隔離開(kāi)來(lái)也是一個(gè)典型的例子。同時(shí),在遏制策略中用到的技術(shù)控制手段需要精心策劃并加強,以實(shí)現到協(xié)調層面的過(guò)渡,這包括增強安全政策的縮放性,既可擴展到企業(yè)全局,也可為不同部門(mén)或地域量身定制;整網(wǎng)的可視性、用戶(hù)行為的細粒度控制、基于網(wǎng)絡(luò )的內置DLP引擎的內容過(guò)濾和能夠解密VPN連接,發(fā)現已經(jīng)被攻擊者攻破的合法用戶(hù)在傳播惡意軟件等高級功能都是必須的。
重要的是,BYOD僅僅是揭開(kāi)移動(dòng)應用大趨勢序幕的“冰山一角”。來(lái)自研究機構的調查顯示,到2014年,移動(dòng)設備將通過(guò)本機的硬件和OS功能“集裝箱化”應用程序和數據。集裝箱化技術(shù)將在設備堆棧中執行應用層防數據丟失,這種功能是需要高度遵守法規的企業(yè)成功實(shí)施合規審計的必要前提。預計未來(lái)會(huì )有越來(lái)越多的企業(yè)選擇集裝箱化技術(shù)結合MDM強制實(shí)施更強壯的安全控制能力。
此外,員工已經(jīng)逐漸習慣了應用程序和IT支持服務(wù)的自助式環(huán)境、軟件即服務(wù)(SaaS)、云計算等技術(shù)創(chuàng )新,其本質(zhì)是呈現以客戶(hù)為導向、使人們工作生活更舒適的IT價(jià)值觀(guān),BYOD概念就是這種精神的體現。事實(shí)上,業(yè)界公認使用移動(dòng)設備的主要業(yè)務(wù)風(fēng)險是數據丟失,而對客戶(hù)透明的基于云的SWG技術(shù),能夠通過(guò)黑白名單和內容過(guò)濾技術(shù)顯著(zhù)減少惡意軟件滲透的影響,在已經(jīng)談到過(guò)的安全控制手段里,可能是最有前途的、可平衡智能手機和平板電腦安全性需求的長(cháng)遠方法。
最后,作為補充,BYOD不只是一個(gè)技術(shù)問(wèn)題,它也是一個(gè)要求IT部門(mén)和人力資源、財務(wù)、法律團隊協(xié)作來(lái)有效整合業(yè)務(wù)戰略、安全政策和IT系統的商業(yè)問(wèn)題。企業(yè)必須充分預測到安全違規的后果,并提供相應的IT手段以迅速平息不利影響。此外,責任的定義是必要的,不單對企業(yè),以避免任何BYOD實(shí)施后可能的法律糾紛。其目的是讓大多數員工明白,如果發(fā)生設備濫用或危及安全的事件,導致他們個(gè)人設備上的數據被擦除,遵守公司的政策將是他們應盡的職責;同樣,如果員工沒(méi)有及時(shí)報告任何設備/數據損失或者可疑的破壞行為,可能會(huì )導致企業(yè)的處罰,包括從擦除程序到終止BYOD權限。對于大多數希望裝備更先進(jìn)安全控制手段把風(fēng)險降到最低的企業(yè)來(lái)說(shuō),這些做法是確保技術(shù)手段能夠生效的根本。
