企業無法僅靠MDM或MAM因應BYOD 智慧應用 影音
Microchip
ADI

企業無法僅靠MDM或MAM因應BYOD

  • DIGITIMES企劃

MAM與MDM各有缺點
MAM與MDM各有缺點

捍衛企業資訊資產的安全,乃是IT部門無可迴避的天職,因此面對山雨欲來的「員工攜帶自有裝置(Bring Your Own Device;BYOD)」浪潮,多數MIS可說又愛又恨,如何在滿足同仁方便性之餘,亦能顧及資安防禦的初衷?

為何BYOD會成為備受討論的議題?看看以下數據,理應不難獲得解答。根據資安廠商研究,在2010年,全球企業PC總台數為1.77億、整體智慧型手機總台數為3億、整體平板電腦總台數為0.15億,預估到了2015年,上述三個數字將分別成為2.46億、10.17億、3.26億。

也就是,前後達五年的期間內,企業個人電腦數量不過才增加39%,但在此同時,散居全球各個角落的智慧型手機與平板電腦,其數量竟分別大增340%、2,170%,伴隨著行動裝置的爆炸性成長,員工人人都可望持有一台以上的可攜式設備,將之帶入企業辦公場域,同時滿足公私等不同面向的應用需求,勢將成為稀鬆平常之事。

但問題來了,縱使智慧型手機、平板電腦規格不斷演進,再怎麼說,不論在運算速度、儲存容量等方面,都有一定的限度,還不太可能在短短幾年之內,就發展到等同於個人電腦的水準,所以員工倘若拿這些行動裝置存取企業的應用程式或資料,並經過一番編輯(含新增或刪除)之後,所產生的新檔案或新數據,將不可能悉數留存在裝置內部,最方便的去向即是雲端,包含私有雲或公有雲都有可能。

倘若是私有雲,由於尚且座落在公司高度管制的轄區內,倒沒有什麼大問題,但如果是私有雲,可就後患無窮。舉一個簡單的例子,假使企業為了遵循新版個人資料保護法,已經卯足全勁部署資料外洩防護(DLP)等相關防禦系統,其終極目標,就是避免員工有心或無意將個資機敏洩露出去,然而萬一員工個個都以行動裝置存取公司的應用程式或資料,並將之轉存於Dropbox,那麼先前大費周章所做的努力,恐將輕易破功,因為駭客根本不必絞盡腦汁突破企業設下的防線,只需要針對公有雲動手,便能搜括到大批個資。

由此看來,BYOD的後遺症並不算小,難免會讓MIS心生厭惡,為了阻止公司機敏資料或個人資料,IT團隊已經疲於奔命,費了九牛二虎之力,好不容易把防禦機制弄得有模有樣,如今不過是同仁的便宜行事,隨隨便便就將這些成果摧毀殆盡,到頭來,一旦發生資料外洩,倒楣的不會是別人,一定就是MIS,既然如此,倒不如把BYOD的路封死,凡是有人帶自己的裝置到辦公室,要想連結無線網路、收發電子郵件、連結Intranet、讀取任何資料…,很抱歉,通通都不准!

但MIS力阻BYOD風潮蔓延,或許能撐得了一時,但絕非永久,先不說別的,公司高階主管如果表明想以行動裝置連結無線網路、收發電子郵件、連結Intranet、讀取任何資料,身為下屬的MIS,還能豪氣干雲地說不?此門一開,其他同仁豈能不比照辦理?到了那時,先前的禁令便將無疾而終!

難道MIS可以雙手一攤,昭告天下說「都是你們自己要BYOD,一切後果自負」,然後索性採取完全放任的態度?當然不行!此時,MIS少不得需要針對BYOD議題做足功課,思考如何導入相對應的防護系統,以免真的出了亂子。

何謂相對應的防護系統?由於BYOD熱潮方興未艾,各路資安廠商打鐵趁熱,一定將十八般武藝傾巢而出,但說是英雄所見略也好、大家了無新意也罷,這些十八般武藝,到頭來通常只剩下兩招,一是「行動裝置管理(Mobile Device Management;MDM)」,另一就是「行動應用程式管理(Mobile Application Management;MAM)」,影響所及,不少MIS就自然而然地認定,只要手持MDM與MAM兩道令牌,即可練就金剛不壞之身,進而在險惡的BYOD叢林裡悠然自得。

這樣的想法,並不能說大錯特錯,因為一來有做總比沒做好,二來既然那麼多資安業者都力挺MDM及MAM,它們肯定不是空包彈,必然具有相當程度的功效;只不過,若說MIS只此一步,其餘再無任何努力空間,聽來似乎又有些不對勁。

細數MDM的罩門
深究MDM解決方案的設計理念,其實並不乏「人性本善」的意味,也就是說,公司堅信員工個個都不會蓄意洩露機密資料,只是對於行動裝置的使用行為,難免百密一疏,意外淪為資料外洩的幫兇,所以才運用MDM,竭盡所能幫助員工好好地控制行動裝置。

於是乎,假使公司只部署了MDM系統,暫未在其他BYOD管控措施上,有太多著墨,在此情況下,員工若欲以自己的行動裝置存取公司網路,少不得需要通過帳密輸入等層層關卡,某種程度上,可能造成使用上的不便,此即為MDM的罩門之一。

但為了呵護公司數位資產,人人責無旁貸,犧牲一己的不便換得企業營運的永續運轉,忍一忍也就過去了,所以當然有人不會將上述罩門看得太過嚴重;只不過,MDM的缺陷當然並不僅止於此。

MDM還存在哪些弱點?事實上,倘若MIS有心,把市面多達近80餘個不同廠牌系統,全都一字排開,看完後一定會有一種感覺,這些MDM都是大同小異,彼此功能項目的差距並不大,大抵不脫設定裝置、管理資產、派送程式、套用政策等格局,為何如此?只因MDM功能範圍受到先天限制,唯有蘋果(Apple)、谷歌(Google)允許這些廠商能做什麼,他們才能做,在此界線之外,如果想發展任何獨門秘技,只能走上JB或Root等裝置破解之路,然而冒然破解的代價相當之大,因為不管是JB或Root,都可能破壞系統安全性,未蒙其利反先招惹禍害,此為第二道缺憾所在。

至於第三道缺憾,則更加令人堪慮。萬一員工遺失裝置,裡頭又存在一些公司的應用程式或資料的話,此時MIS不假思索,一定想動用MDM解決方案之中的遠端抹除功能,先將此命令上傳至Apple或Google,接著再下達到該行動裝置,這般運作方式看似嚴謹,但其實存在致命弱點,萬一拾獲裝置的有心人士,刻意移駕至沒有連網的環境,那麼企業所欲傳送的抹除命令便宣告失效,此人就可好整以暇,慢慢地向這台裝置挖寶。

MAM情況稍好 但亦非無懈可擊
由於MDM尚不足以確保BYOD安全,而且又抑制了使用彈性,導致MAM逐步抬頭,成為企業評估導入的第二個標的。MAM的主要精神是,將要求輸入帳密的時間點,後推到意欲執行企業App之際,所以較MDM多了幾分彈性。

MAM顧名思義是行動應用程式管理,所以使用者在存取企業App時,當然受到一些限制,也隱含若干不便。比方說,萬一企業未建立單一簽入(SSO)機制,員工每開啟一種App,就得輸入一次密碼,但一旦執行SSO則無此疑慮;再者,員工在執行App之餘,若想將箇中內容複製或分享到其他App、上傳到Dropbox等雲端硬碟,或者外傳到白名單之外的IP位址,都可能受到限制,端視企業行動安全政策的嚴謹度而定。

萬一企業管制得過嚴,就會出現一個後遺症。舉例來說,假使員工意欲讀取附加於郵件的圖檔,或想要編輯附加檔案的文字,除非公司費心開發看圖或編輯工具,否則都將變得滯礙難行,但企業欲自行發展具備這些功能的App,可行性其實也不大,所以終將對員工生產力造成不小衝擊。

有鑑於此,若干MAM供應商開始鋪陳應用程式生態系統概念,亦即在一定框限內,置入一些已確定安全無虞的功能型App,使得企業無須變更程式碼,即可將檔案加以分享並後製,一旦處理完畢,也絕無外流之虞,藉此填補上述缺憾。

總括而論,MDM及MAM之於企業行動管理方案,不過是其中一環、而非全部,更重要的,企業的行動安全管理政策(例如憑證、密碼控制原則)、及相關基礎架構,也必須都要到位,才能確保BYOD安全性。