談起企業行動化,可說自國內電信開始提供3G/3.5G行動上網服務,在傳輸頻寬、連線品質皆較為成熟後,就一直是相當受到關注的議題。從早期以黑莓機為代表的應用模式,鎖定商務人士提供推送式電子郵件(Push Mail)機制,來加速回應速度,提高作業效率;到現在智慧型手機、平板電腦隨處可見,促使員工自帶設備(Bring Your Own Device,BYOD)的浪潮逐漸形成,行動化應用亦變得越來越多元。
而這些行動裝置上的作業系統,皆是以Android、iOS等非PC平台為主流,不僅IT管理者較不熟悉如何控管,同時也超出傳統IT控管軟體所擅長的技術領域,因此專注於提供行動裝置控管軟體的MDM(Mobile Device Management)解決方案因應而生,且日漸受到企業關注。
MDM市場新秀並起
事實上,MDM在市場上已發展一段時間,目前仍屬外商居多,Gartner在2012年5月發佈MDM軟體市場調查報告中,就已包含二十家廠商,不少被歸類到領導象限中的產品,自2011年開始陸續由代理商引進台灣,包括精誠資訊代理MobileIron、達友科技代理Good Technology、安創資訊代理Zenprise等。
 |
| ▲Mobile Device Management軟體市場調查報告。(資料來源:Gartner) |
精誠資訊企業產品應用部處長李文謙提到,相較於既有網路管理領域的廠商而言,MDM軟體廠商多屬於小型公司,但在行動市場展現的潛力與爆發力卻是最大,因為這些軟體商都是專攻MDM的方案,技術發展的方向皆以行動應用為核心。而得以在Gartner報告中擁有高評價的廠商,首先需要成交案例,營收不能在單一區域市場中超過70%,也就是不管在哪一個區域、採用哪一種設備平台皆可使用,行動裝置作業系統的支援度亦必須至少為三家以上。
另外,市場上不乏廠商提供的是更廣泛的解決方案,但MDM僅是其中不太重要的一項,因此調查報告中也規範該項方案營收至少要超過1.5億美元。這也就是在Gartner選為領導象限中的廠商,皆不是國際大廠的重要因素。
就一般功能面來看MDM,精誠資訊企業產品應用部產品經理鄭宗賢解釋,基本可提供的不外乎資產管理、資料保護、IT服務、程式管控、遺失定位、密碼強化、遠端清除等管理機制。只是各家廠商實作與偏重的安全性不盡相同,因此各自有其擅長可發揮的技術,像是包含整合資料外洩防護(DLP)、資料加密、應用程式控管等安全機制,因此市場上也出現直接把MDM定位為資安解決方案的現象。
從高階主管開始解禁
從代理MobileIron近兩年來的變化,鄭宗賢發現,以往會關心行動裝置控管方案的對象皆為一般IT人員,如今已逐漸成為IT部門主管關注的議題。達友科技副總經理林皇興也觀察到,主要是來自近兩年需要行動裝置應用的高階主管越來越多,因此IT部門開始思考,如何提高行動化、增加行動力,甚至在內部的簽核流程中加入行動裝置,這也是以往談Push Mail的其中一項重點。只是有了這些需求後,緊接著則是會面臨員工或主管的行動裝置,到底是要公司統一配發,還是讓使用者攜帶自己的裝置。
過去員工自帶筆記型電腦這件事通常會被否決,企業寧願統一採購或補助購買方式,也不允許員工把家裡用的筆電帶來公司,但智慧型手機跟平板電腦的狀況則大不同,企業已明顯在轉變,朝向有限度地開放發展。因為畢竟需求是從高階主管而來,而且是從生產力、效率來切入,較容易被組織所接受。
 |
| ▲Zenprise運作架構示意圖。(資料來源:安創資訊) |
只是若由員工攜帶自己的設備,也就是開放BYOD,介接到企業內部網路,高敏感性的資料也可能存放在這些裝置上,恐怕衍生出資安風險,因此才會有MDM的需求產生。林皇興指出,這個現象比較容易出現在對資安方面比較重視,甚至是要求嚴謹的組織,例如銀行業等,但對於像是郵件系統本來就不限制只能在企業內部傳送與接收,這類的企業反而對MDM興趣缺缺,原因是本來就開放員工在任何地點皆可收信,表示對安全規範較沒那麼嚴格,就不會需要MDM來管控。
個資法帶動MDM需求
行動裝置的興起,對IT部門主管而言其實是項挑戰,再加上國內個資法實施後,除了管理面以外,安全性如今也是企業採用MDM的重要一環。安創資訊資安顧問石漢成發現,尤其是擁有個資的企業特別關注,畢竟如今行動裝置的應用就如同一般桌上型電腦,可以存取公司內部檔案、郵件,因此同樣要有防範政策。
他表示,目前企業用戶主要會要求員工,若在公司內要使用自己的行動裝置,就必須受到公司的安全控管,例如登入郵件伺服器時,若被MDM系統偵測到該行動裝置可能已經過破解(JailBreak或Root),如此一來恐怕會提高資安的風險性,因此可進行禁止登入郵件伺服器、僅開放唯讀模式、禁止下載附加檔案等措施。甚至也遇到過客戶要求針對較開放平台,如Android,設為禁止連結內部資源,僅開放較封閉,如iPhone、BlackBerry等系統,相對較安全的系統平台連入。
「其實當初在評估代理MDM解決方案時,就是從個資法的角度出發,而記錄則是法規遵循中不可或缺的要項,在當時,發現Zenprise不只具備DLP機制,也有提供紀錄報表,且還可彙整到像是Splunk、ArcSight等資安事件管理(SIEM)平台,像Splunk官網就可下載Zenprise Mobile Security Intelligence的App,簡單方式就可整合完成。」石漢成解釋,若沒有透過App的呈現,即使可以介接到SIEM平台,但仍是許多文字紀錄檔案的集合,經過App進行統計與篩選,即可以圖形化呈現,提升可讀性。
「而這類的需求出現的時間,其實是近三個月才發生。2011年較常見企業規劃導入iPad的應用時,會想要了解如何控管,但後續就沒消息了。2012年開始就明顯不同,許多企業開始真正編列預算,進行測試,準備2013年執行,有的甚至是年底就立即導入。」石漢成說。
加入資料外洩防護
為了讓行動裝置也能類似桌上型電腦具有防護功能,MDM廠商在產品功能上陸續增加了DLP機制,如今Zenprise、MobileIron、Good可說皆已提供。石漢成即表示,其實當初在評估要代理哪一家MDM產品時,就是看上Zenprise已具備DLP機制,除了可做到郵件防護外,還可進一步跟微軟SharePoint等系統整合。而MobileIron日前亦針對DLP的部分提供Docs@Work,除了同樣支援SharePoint系統存取,另外增加文件可加密機制。
鄭宗賢說明,其實MobileIron提供的DLP,跟傳統熟知的有些差異。傳統DLP較偏向Content-based,而MobileIron則是File-based為主,例如Content-based可辨識檔案的內容是否具有個資,得仰賴桌面端代理程式來執行;MobileIron的File-based,較偏重的是郵件附加檔案是否可以轉寄、是否具備權限、內文是否允許複製、剪下、貼上,諸如此類針對檔案的操作行為控管,因此跟既有的DLP作法不大一樣。
他進一步提到,「其實不管是防毒軟體或DLP,主要都是透過特徵碼比對,但手機硬體畢竟不是一般x86的技術架構,運算方式、耗電量、效能等皆不同,所以對既有的資安廠商解決方案而言,等於需要再重新開發一個行動化的版本,即使可仰賴雲端提供服務,那也得連上網路才能運行,因此這也就是既有廠商較不容易發揮的因素。」
 |
| ▲Good Technology透過雲端作業中心介接,確保安全傳輸示意圖。(資料來源:達友科技) |
至於Good MDM系統中的DLP機制,林皇興表示,其實跟一般所熟知、甚至是其他MDM廠商提供的DLP皆不同,其防護的重點,在於Good特有安全容器(Container)機制內的檔案存取控制,而這種利用安全容器的概念來保護檔案的概念,可說是Good較特殊之處。