Enterprise Mobility Management Enterprise Mobility + Sec Citrix Workspace Suite Sophos Mobile Control VMware Workspace ONE Conditional Access Identity Provider Citrix XenMobile Microsoft Intune VMware AirWatch Workspace Container IdP EMS EMM

以身分識別為核心 行動管理兼顧安全便利

2017-05-16
自從行動裝置普及後,推動企業內部辦公環境採納自攜裝置(BYOD)模式,打破傳統桌機、筆電的固定型態,轉型為行動辦公,讓員工隨時、隨處皆可工作,提高效率與生產力。
為了確保在提高員工便利性的同時,企業亦能掌控資安風險性,市場上開始出現相關解決方案,初期主要針對設備本身實施控管。但是在BYOD模式下往往窒礙難行,畢竟既然是員工私人裝置,公司也不易強加約束,因此技術方案開始轉向,改從App、資料、存取者身分等不同方向切入,擴展EMM(Enterprise Mobility Management,企業行動管理)方案範疇,為數位工作空間(Digital Workspace)所需的行動化應用奠定基礎。

行動化應用控管市場規模將逐年攀升

現階段,通常只有對雲端服務接受度較高的企業,才會關注行動化應用控管議題。IDC企業應用資深市場分析師連顥尹觀察,目前台灣的現況仍然是小規模採用居多,且往往僅為高階主管、業務部門,少有全面性地部署控管機制。儘管腳步較為緩慢,EMM在台灣的市場規模仍持續增長中,連顥尹指出,2016年統計為470萬美元,預估到2020年將成長到1,210萬美元。

畢竟行動裝置帶來的便利性,可大幅提升工作效率,自然吸引業主開放員工自攜習慣的裝置;至於安全性方面,目前市面上常見的解決方案,大多已具備虛擬容器(Container)技術,不僅可區隔公司與私人的資料,亦可藉此遠端監控,即使裝置遺失或人員離職,從遠端控管平台上即可執行容器環境的資料抹除。連顥尹認為,以往所擔心的資安問題逐漸被解決之後,企業才更有信心大規模地開放行動化應用環境。

建立安全通訊環境避免機敏資料外流

過去已探討多年的BYOD模式,對於規模較大、握有機敏資料的企業而言,員工私人設備根本難以施行嚴格管控,唯有改由公司配發行動裝置,才得以確保行動化應用的安全性。台灣微軟營運暨行銷事業群產品行銷經理陳婷媛以自家公司為例,皆為公司所配發行動裝置,因為對於國際級的大型企業而言,內部控管流程的環節相當多,必須經過系統環境修補更新、App漏洞等安全性檢查,皆符合公司規範才予以放行,若直接由公司配發,正可合理地強制登入網域並接受納管。


▲ 根據IDC針對亞太區(包含日本)的EMM市場規模統計,儘管年營收成長率(YoY)在2018年開始趨緩,但實際上到2020年都維持不錯的成長;台灣在逐年發展下,預估到2020年亦將成長到1,210萬美元,顯示需求穩定。(資料來源:IDC)

至於以成本為主要考量的中小型企業,員工自攜行動裝置毋須投資採購,又能直接採用許多免費的App來提高生產力,業主對於BYOD的接受度自然較高,但不代表中小企業無視安全性問題。Sophos資深技術經理詹鴻基觀察,其中最受關切的資安風險,莫過於不必接取公司的無線網路,即可收發客戶往來的郵件,恐成為機敏資料外洩的管道。

Citrix台灣區總經理潘先國亦觀察到,員工隨身攜帶私人行動裝置收發公司郵件,如今已是最基本的應用場景。如此一來,即表示機敏資料可透過行動裝置帶離公司,僅仰賴郵件伺服器的Log資訊監看連線行為已不足夠,因此不少企業才開始留意到EMM方案,藉此避免機敏資料外流。

欲藉由行動化應用提升員工工作效率及生產力,便於存取的App可說是重要關鍵。但VMware資深技術顧問羅元佃觀察,企業端普遍存在的現象是對於行動化應用的發展腳步過慢,由於內部應用系統以穩定、安全為主要考量,存取操作邏輯仍維持桌機、筆電的習慣設計,未顧及各式行動裝置應用的便利性,才迫使終端用戶尋找外部新興的App工具。

如此情況下,公司內各個部門的生產力工具採用流程,便開始繞過IT單位,直接向雲服務供應商訂閱SaaS,於是內部資安風險開始出現失控狀態,造成「影子IT」的問題。尤其是台灣企業,只要員工能因此提升生產力,在尚未有明確規範之前,多數業主會先行放任使用。羅元佃以台中知名餐飲業集團客戶舉例,各個分店的廚師、外場服務等員工,彼此交流資訊是透過免費的即時通訊軟體,有時對話內容會提及最新研發的料理處方,曾經幾次發生被競爭對手抄襲事件,才找上VMware協助建立安全的行動通訊環境。

擴展IdP、條件式存取 依照身分套用政策

就目前市場上常見的EMM解決方案來看,Citrix XenMobile、VMware AirWatch、Sophos Mobile、Microsoft Intune等產品,主要是在BYOD浪潮初起時,提供MDM(行動裝置管理)的技術,以容器環境區隔公務與私人環境,如今已是基本的作法。隨著企業行動應用環境發展多元,解決方案的設計已不再以設備控管為核心,技術供應商逐漸從各自的利基點擴展防護範疇,協助企業建立行動工作空間。

例如Citrix Workspace Suite、VMware Workspace ONE、微軟EMS(Enterprise Mobility + Security),著眼點是桌機、筆電、智慧型手機、平板等各式終端設備的應用行為,用戶不論在任何時間與地點開啟工作環境,單一登入即可使用公司提供的App或傳統應用系統。解決方案普遍採用SAML規範建立身分提供者(Identity Provider,IdP)機制,介接外部不同SaaS平台,執行身分驗證與授權資訊的交換,同時也整合內部既有的Active Directory、LDAP服務,來實作單一登入。

整合複雜的系統平台帳號登入程序後,不僅讓員工更便於存取內部與外部雲端資源,控管權也才得以重新回到IT部門。此外,藉由解決方案提供的統一控管平台,事先定義條件式存取(Conditional Access),一旦觸發違反資安政策原則,可採以多因素驗證再次確認身分,才允許登入取用公司所有資源,以降低帳密被盜取時的資安風險。

台灣微軟首席技術與策略長丁維揚即指出,現階段市場上的行動化應用安全解決方案,經過逐年改版後,不僅功能性更貼近企業應用所需,產品面的整合亦趨於成熟、穩定。過往對於架設在境外資料中心的雲端服務,總會有資料安全方面的疑慮,但如今觀念已逐漸轉變,認可由國際大廠建置的資料中心管理流程反而較自建更為嚴謹,因此開始改變態度,接受雲端應用服務,如此一來,將帶動行動化安全管理的建置,成為企業IT必要的基礎措施。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!