- N +

群雄逐鹿MDM市场MobileIron、Zenprise、Good横纵评比

导读 : 谈起企业移动化,可以说自从3G移动上网服务开始,在传输带宽、联机质量皆较为成熟后,就一直是相当受到关注的议题。从早期以黑莓机为代表的应用模式,锁定商务人士提供推送式电子邮件(P... [...]


群雄逐鹿MDM市场MobileIron、Zenprise、Good横纵评比


谈起企业移动化,可以说自从3G移动上网服务开始,在传输带宽、联机质量皆较为成熟后,就一直是相当受到关注的议题。从早期以黑莓机为代表的应用模式,锁定商务人士提供推送式电子邮件(Push Mail)机制,来加速响应速度,提高作业效率;到现在智能型手机、平板计算机随处可见,促使员工自带设备(Bring Your Own Device,BYOD)的浪潮逐渐形成,移动化应用亦变得越来越多元。

而这些移动设备上的操作系统,皆是以Android、iOS等非PC平台为主流,不仅IT管理者较不熟悉如何控管,同时也超出传统IT控管软件所擅长的技术领域,因此专注于提供移动设备控管软件的MDM(Mobile Device Management)解决方案因应而生,且日渐受到企业关注。

MDM市场新秀并起

事实上,MDM在市场上已发展一段时间,目前仍属外商居多,Gartner在2012年5月发布MDM软件市场调查报告中,就已包含二十家厂商,不少被归类到领导象限中的产品,自2011年开始陆续由代理商引进和并购的方式进入国内,包括MobileIron、Zenprise等。

曾经有业内人士提到,相较于既有网络管理领域的厂商而言,MDM软件厂商多属于小型公司,但在移动市场展现的潜力与爆发力却是最大,因为这些软件商都是专攻MDM的方案,技术发展的方向皆以移动应用为核心。而得以在Gartner报告中拥有高评价的厂商,首先需要成交案例,营收不能在单一区域市场中超过70%,也就是不管在哪一个区域、采用哪一种设备平台皆可使用,移动设备操作系统的支持度亦必须至少为三家以上。

另外,市场上不乏厂商提供的是更广泛的解决方案,但MDM仅是其中不太重要的一项,因此调查报告中也规范该项方案营收至少要超过1.5亿美元。这也就是在Gartner选为领导象限中的厂商,皆不是国际大厂的重要因素。

就一般功能面来看MDM,基本可提供的不外乎资产管理、数据保护、IT服务、程序管控、遗失定位、密码强化、远程清除等管理机制。只是各家厂商实作与偏重的安全性不尽相同,因此各自有其擅长可发挥的技术,像是包含整合数据外泄防护(DLP)、数据加密、应用程序控管等安全机制,因此市场上也出现直接把MDM定位为移动安全解决方案的现象。

从高层主管开始解禁

从MobileIron近两年来的变化,以往会关心移动设备控管方案的对象皆为一般IT人员,如今已逐渐成为IT部门主管关注的议题。主要是近两年需要移动设备应用的高层主管越来越多,因此IT部门开始思考,如何提高移动化、增加移动力,甚至在内部的签核流程中加入移动设备,这也是以往谈Push Mail的其中一项重点。只是有了这些需求后,紧接着则是会面临员工或主管的移动设备,到底是要公司统一配发,还是让用户携带自己的设备。

过去员工自带笔记本电脑这件事通常会被否决,企业宁愿统一采购或补助购买方式,也不允许员工把家里用的笔电带来公司,但智能型手机跟平板计算机的状况则大不同,企业已明显在转变,朝向有限度地开放发展。因为毕竟需求是从高阶主管而来,而且是从生产力、效率来切入,较容易被组织所接受。

 

Zenprise运作架构示意图。

只是若由员工携带自己的设备,也就是开放BYOD,介接到企业内部网络,高敏感性的数据也可能存放在这些设备上,恐怕衍生出信息安全风险,因此才会有MDM的需求产生。这个现象比较容易出现在对信息安全方面比较重视,甚至是要求严谨的组织,例如银行业等,但对于像是邮件系统本来就不限制只能在企业内部传送与接收,这类的企业反而对MDM兴趣缺缺,原因是本来就开放员工在任何地点皆可收信,表示对安全规范较没那么严格,就不会需要MDM来管控。

个资法带动MDM需求

移动设备的兴起,对IT部门主管而言其实是项挑战,再加上个资法实施后,除了管理面以外,安全性如今也是企业采用MDM的重要一环。尤其是拥有个资的企业特别关注,毕竟如今移动设备的应用就如同一般桌面计算机,可以存取公司内部档案、邮件,因此同样要有防范政策。

目前企业用户主要会要求员工,若在公司内要使用自己的移动设备,就必须受到公司的安全控管,例如登入邮件服务器时,若被MDM系统侦测到该移动设备可能已经过破解(JailBreak或Root),如此一来恐怕会提高信息安全的风险性,因此可进行禁止登入邮件服务器、仅开放只读模式、禁止下载附加档案等措施。甚至也遇到过客户要求针对较开放平台,如Android,设为禁止连结内部资源,仅开放较封闭,如iPhone、BlackBerry等系统,相对较安全的系统平台连入。

“其实当初在评估代理MDM解决方案时,就是从个资法的角度出发,而记录则是法规遵循中不可或缺的要项,在当时,发现Zenprise不只具备DLP机制,也有提供纪录报表,且还可汇整到像是Splunk、ArcSight等信息安全事件管理(SIEM)平台,像Splunk官网就可下载Zenprise Mobile Security Intelligence的App,简单方式就可整合完成。”石汉成解释,若没有透过App的呈现,即使可以介接到SIEM平台,但仍是许多文字纪录档案的集合,经过App进行统计与筛选,即可以图形化呈现,提升可读性。

“而这类的需求出现的时间,其实是近三个月才发生。2011年较常见企业规划导入iPad的应用时,会想要了解如何控管,但后续就没消息了。2012年开始就明显不同,许多企业开始真正编列预算,进行测试,准备2013年执行,有的甚至是年底就立即导入。

加入数据外泄防护

为了让移动设备也能类似桌面计算机具有防护功能,MDM厂商在产品功能上陆续增加了DLP机制,如今Zenprise、MobileIron、Good可说皆已提供。如果要评估哪一家MDM产品时,就是要看他是否具备DLP机制,除了可做到邮件防护外,还可进一步跟微软SharePoint等系统整合。而MobileIron日前亦针对DLP的部分提供Docs@Work,除了同样支持SharePoint系统存取,另外增加文件可加密机制。

但MobileIron提供的DLP,跟传统熟知的有些差异。传统DLP较偏向Content-based,而MobileIron则是File-based为主,例如Content-based可辨识档案的内容是否具有个资,得仰赖桌面端代理程序来执行;MobileIron的File-based,较偏重的是邮件附加档案是否可以转寄、是否具备权限、内文是否允许复制、剪下、贴上,诸如此类针对档案的操作行为控管,因此跟既有的DLP作法不大一样。

另外,不管是防病毒软件或DLP,主要都是透过特征码比对,但手机硬件毕竟不是一般x86的技术架构,运算方式、耗电量、效能等皆不同,所以对既有的信息安全厂商解决方案而言,等于需要再重新开发一个移动化的版本,即使可仰赖云端提供服务,那也得连上网络才能运行,因此这也就是既有厂商较不容易发挥的因素。”

 

Good Technology透过云端作业中心介接,确保安全传输示意图。

至于Good MDM系统中的DLP机制,其实跟一般所熟知、甚至是其他MDM厂商提供的DLP皆不同,其防护的重点,在于Good特有安全容器(Container)机制内的档案访问控制,而这种利用安全容器的概念来保护档案的概念,可说是Good较特殊之处。

安全容器 公私隔离

Good安全容器的机制,有点类似在移动设备上建立一个虚拟工作环境,只要App被开启就可自动运作,企业邮件服务器上的数据会被同步于此环境中,私人的联络人、文件等,则不会在此出现,可达到真正隔离工作与个人的信息。同时,系统中所安装的其他App,亦无法读取容器的档案。如此一来,IT管理者即可针对此工作用的环境制定控管政策,例如在安全容器中的数据要复制时的条件。

Good这种以App为核心的作法,可跟移动设备上的操作系统完全隔离,因此其他的App也无法读取该容器中的数据,以确保数据的安全性。同时还包括当使用者用iPhone透过USB连接上桌机或笔电时,iTunes会自动同步备份,但由于如此机制下所备份的数据,是把Good的App整个备份,里面的资料是以AES 192-bit加密保存,根本无法在桌机或笔电上开启,这即可满足移动设备的备份安全需求。

对于这种安全容器的作法, Zenprise在2013年1月将会发布新版本8.0,也会出现一个Zenprise Suite的机制,提供一个文件储存区域,即类似安全容器的概念,来进行文件的储存、邮件控管、网络链接方面的控制等。例如可以上网,但不能有下载行为;或是可联机到公司内系统资源,但不能下载文件。

此外,针对移动设备上的App也开始会有安全容器概念,若有些App需要经过加密保护,即可在此区域中运行。但为什么App需要加密?例如银行业发展出内部系统的App版,即可在Zenprise提供的安全容器中运行,让该App同样可以存取文件服务器中的公司文件,并且下载到App中即自动以加密方式保存,且无法透过第三方的方式复制文件。

至于MobileIron则是透过DLP解决方案中所设计的AppConnect与AppTunnel的技术来实现。AppConnect中具备Data-at-Rest防护机制,以加密方式保存静态数据,并依据访问权限加以保护,主要是为了解决移动操作系统中App与App之间基于安全考虑无法做到数据分享,但企业应用环境有时却需要软件之间可互通,进一步做数据介接,即可藉此机制以控管政策来达成。再搭配AppTunnel,让传统必须透过VPN来传输的工作,利用AppTunnel机制即可。

云端NOC安全传输

至于移动设备网络传输安全方面,多数是采取必须透过VPN传输才能连回公司内网存取内部资源的方式,但Good从产品一开始设计就不需仰赖VPN。运作方式较类似黑莓机架构,也就是企业内部只要建置Good服务器,移动设备不论身在何处,皆可透过连接到电信商(或Good建置的机房)所布建的云端作业中心(Network Operations Center)来介接,建立通道传输跟企业内的Good系统沟通,即可介接到Exchange、SharePoint、ERP等系统。经此加密信道下传输的数据,就连电信商也无法得知。

由云端作业中心提供服务的解决方案型态,让IT人员面对移动设备应用兴起时,永远不需再伤脑筋联机控管、设备区隔、内网带宽等新产生的问题,因为即使是在公司内部联机,该移动设备仍然是透过电信网络来存取。虽然会有客户质疑,还要从电信网络连回公司,会不会变得比较慢,可是这是在安全与方便性之下的权衡之计。并且藉此架构,可让BYOD的应用在一般企业较容易实现。

其中唯一遇过的问题是,像似军方这类严谨的单位,会希望连Good的云端作业中心也可以自建,因为他们会担心,即使透过信道传输,但毕竟网络封包会绕到外部电信业者,可能会违反安全规范,不像金融业,只要原厂能证明这是端到端的加密即可接受。

从功能组合来看,虽然这些MDM厂商各自有其不同擅长技术,但随着这两年产品发展逐年进化与增强,其实功能上已相当接近。而2013年是MDM厂商皆预期企业需求会大幅增加的一年,各家也表示最新产品将从第一季起陆续亮相,接下来可望会有更多崭新的安全机制,来协助企业因应移动化时代。

 

移动信息化交流QQ群:一号群:211029692 二号群:344692795 CIO交流群:316076815(需认证)



返回列表
上一篇:Particle:推出Electron 移动物联网的Arduino开发板
下一篇:待机状态下哪种电器最耗电?实测告诉你答案