3.1mdm向emm的演变势在必行
3.2移动设备管理策略
1.把公司与家划清界线
移动技术的发展,使我们很难区分哪里是办公室,哪里是家。it团队应该划分或隔离公司的数据,以为员工提供流畅的移动体验。员工可能会使用同一个移动设备访问个人和公司数据,但在后端必须将两者明确区分。如果员工离职,it团队应该能够删除公司的数据。如果员工丢失设备,it团队删除设备上的所有数据。
2.保证可穿戴设备的安全
在不久的将来,员工可能会广泛使用可穿戴设备。例如一个销售人员在客户现场,使用智能手表联系公司领导,与了解产品最低的价格折扣,从而尽快签下订单。这种情况下,就要求it团队保证可穿戴设备的安全,确保数据不被他人获取。未来的移动设备管理凯发k8国际首页登录的解决方案将能够为it管理员提供可穿戴设备使用的准确地点、时间以及使用者。
3.集中管理所有资产
智能手机、平板电脑、笔记本电脑以及桌面pc之间需要无缝连接,最大化提高工作效率。it团队可以从中央控制台连接到任何设备,跟踪分配人员的资产、管理数据访问和密码、创建用户或部门。
4.部署和扫描app
若一位员工通过家庭网络下载一个公司禁止安装的app,当他进入公司网络时应立即休眠应用。it团队应该了解所有设备安装的应用,阻止某些应用,例如内置摄像功能的app。还可以向公司所有移动设备或指定设置统一部署所需的应用。
5.从云端进行管理
与公司数据存储在云端一样,移动设备管理操作也应该可以从云端进行。云端管理允许it团队从远程位置记录、锁定和管理设备。
6.防止病毒攻击
移动终端很容易成为病毒攻击的目标。企业it团队应该实时监控设备、记录所有用户的行为。当发现异常威胁行为时,第一时间产生告警通知。自动更新病毒库,修复安全漏洞。
3.3 企业移动化策略
随着技术的不断发展,和移动办公相关的术语也在不断增加。从之前的mdm、mad、mim到现在的emm:企业移动办公管理。
这些术语可能产生混淆的部分在于它们的目标都是构建一个更加安全的企业移动办公环境,但实现方式不同。移动设备管理(mdm)、移动应用管理(mam)和移动信息管理(mim)针对从物理设备到应用和数据等移动办公的不同层面来加强安全性。除了这些之外,还有一种方式就是企业移动办公管理(emm)。尽管mdm、mam和mim的使用情况不尽相同,但是它们仍然有着重合和协作的部分,它们都应该成为移动安全策略的一部分。
palador移动咨询公司的联合创始人benjamin robbins尝试理清了mdm、mam和mim之间的差异,解释了它们如何协同工作来改善企业移动办公管理。
通常使用mdm的目的?
benjamin robbins:将设备管理作为第一线。你想要擦除设备中的数据、锁定设备,想要在设备层面追踪设备的运行情况。但是实现移动安全的最佳实践在不断发展的过程中,mdm只能作为大策略中的一部分,不能依靠它来解决所有问题。
mdm中最有用的特性是什么?
robbins: 如果设备不在我手中了,并且没有机会再将它找回来了,你想要通过一切方式保证设备上的数据不会丢失。除了邮件、日历和联系人,存储在设备的文档也含有私有信息。所以我认为短时间内,设备仍会具备锁定和擦除数据的功能。
mdm不能做什么?
robbins:这依赖于你对mdm的定义。有很多mdm供应商现在可以提供应用程序管理特性,甚至可能包含信息管理特性。mdm不能在应用程序层做任何事情。通常情况下它是一个底层的凯发k8国际首页登录的解决方案,只关注于设备管理和操作系统层面的特性。所以mdm不能在信息管理层做任何事情。
管理员需要使用mdm来处理携带私人设备(byod)吗?
robbins:相比于企业拥有的设备,byod在安全方面还需要实际拥有者进行更多的配置。不论你使用的是企业的设备还是私人设备,你都会希望安全策略可以同时涵盖这两方面。
对于简化byod方面,mdm平台可以帮助进行设备登记、在这些设备上设定安全策略、将这些安全策略和所有其他的基础特性通知给用户。mdm并不是必需的,但是如果你需要更加全面的移动安全策略来满足需要,那么它会是其中的一个组成部分。
mdm和mam的区别是什么?它们和mim又有哪些不同?
robbins:我们称这些为“字母汤”。所有这些都只是企业移动管理中的特性集。mam可以管理设备允许运行哪些应用、不允许运行哪些,哪些应用需要让用户使用或者限制用户使用。
mim看起来只能加强信息的安全性。所以忽略了设备,忽略了应用。如果真的将信息锁定,那么将不得不担心一切事情:是否可以控制谁可以进行访问、什么时间进行访问、从哪些地方进行访问。使用mim最大的挑战在于其还处于起步阶段,所以它听起来像一颗银色子弹,现在还并不是必须的。
看起来mdm、mam和mim的管理有重合部分。你觉得他们中的重合部分在哪里?
robbins:这依赖于你的定义有多大的灵活性。在一些平台中,mam可以完成mim的功能,或者mdm可以完成mam的功能。但是只要你看见组织中的真实使用情况,我认为这和定义的关系并不大,因为这只能给你带来困惑。
这些管理的最终目标是确保信息安全,确保设备是安全的。实现这个目标的最佳方法是什么?你想要寻找一些可以满足需求的方法,在组织不断发展的特殊平台上实现安全性。设备将会不断发展,以后的设备将会和现在有所不同,你需要确保不局限于目前的情况来加强安全性,那将会是mdm的一种倒退。
3.4mdm的是针对byod安全威胁的有效手段
通过mdm解决byod风险
部署异构mdm产品允许企业保护和控制移动访问。在aberdeen group对移动性的研究中,受访者列出这些具体优势:
对移动性举措的控制整合
对设备正确配置后才向员工授予访问权限
跨各种不同设备人群创造规模经济
降低每个用户的支持成本
降低丢失或被盗设备的风险
执行移动安全政策
持续验证政策合规性
移动设备对it安全影响的具体例子发生在苹果iphone最早进入市场随后进入工作环境的时候。最初,it部门缺乏工具来在其整个生命周期内对其进行管理。 通常情况下,it安全部门对通过这些ios设备提供有限的移动访问。然后,他们开发了专门的设备管理流程来填补这个空白。当谷歌android设备在消费者间流行时也出现了类似的现象。随着业务部门要求灵活性和支持,it部门开始失去对移动性举措的控制。
而mdm产品能够管理所有设备,不受所有权的限制,并横跨所有移动操作系统,这打破了这些壁垒,让it再次获得掌控权。现在it不再是一味地选择每个支持的设备,同时,异构mdm产品帮助it确保所有这些设备的安全性。
此外,现在的mdm产品并没有止步于经典的设备管理—即操纵设备设置和追踪其情况。相反地,这些产品提供广泛的基本和高级功能,包括从安全政策执行到移动应 用管理。虽然每个mdm产品提供的功能各不相同,大多数产品提供工具来帮助it满足业务需求以及减少移动性带来的风险。
例如,在2013 年linkedin对信息安全社区成员的调查中,72%的受访者表示他们在去年体验了byod带来的不利影响,包括恶意软件清理成本、维修时间、业务中断、生产效率降低、额外付费服务和监管罚款。或许这解释了为什么70%的受访者提出安全是成功byod部署的首要标准。
使用mdm执行企业和合规要求
mdm技术可以帮助it配置安全设置符合企业政策要求,以及防止这些设置被修改—无论是有意、无意还是作为恶意软件感染的副产品。此外,mdm产品可以帮助it自动应用不同安全政策到各种类型或各组设备,以同时支持企业和byod用例。
当设备不符合要求时,mdm产品可以为it提供可视性,并提供接近实时的路径以便采取手动或自动操作。例如,mdm产品可用于隔离受感染的设备以防止对企业资产的进一步移动访问,或者擦除设备以防止未来企业数据渗出或溢价服务费用。
mdm产品是功能强大的工具,it可以用来开发和自动化新的移动管理流程。然而,实现这些优势需要编排流程来满足业务。在aberdeen的调查中,73%的最佳受访者使用移动管理来为停用丢失、被盗或报废的设备制定正式流程。三分之二的受访者已经制定了流程来管理byod的企业使用,或者使用全面的生命周期管 理来确保安全政策合规性。
生命周期的详细信息在不同公司可能有所不同,或者在给定公司的不同用户、角色和设备也不同。然而,部署完全生命 周期管理的业务和技术优势非常明显。通过最小化it人员参与,移动性可以以更低成本扩展到更大的劳动力。通过支持自主注册和全自动化配置byod,员工可 以更快速度提高生产力。当自动注册的byod设备丢失或被盗,mdm控制可以快速安全地停用该设备,而员工已经同意可接受使用政策,授权it权限来采取行动。
事实上,在选择正确的mdm技术时,评估员工的移动需求和设计生命周期管理流程来满足员工需求是关键。在之后的文章中,我们将陆续探讨你应该知道的mdm技术,以及你应该准备好要提出的问题,以最大限度地挖掘你采购的异构mdm产品的优势。
3.5mdm的同构和异构技术
十年前,mdm产品管理着整齐划一的企业采购的黑莓手机或windows手持设备。但每个这些产品都处理单一的移动操作系统,这种同构产品无法扩大到包含苹果和谷歌推出的新的消费级手机。
因此,mdm行业进行调整而创造了下一代技术,提供“单窗格”控制来应对现在日益广泛和多样化的智能手机、平板电脑、超极本和其他移动设备。
这些异构mdm技术运行作为通用翻译器,传输it查询和命令到各种移动设备,使用每个移动操作系统的生态系统提供的通知服务。通过异构技术,it得到了单个统一的系统,能够快速扩展来拥抱新的移动设备类型和os版本。
3.6mdm软件/应用是最便捷(容易部署和使用)的移动设备安全控制手段
mdm软件已经成为移动设备的首选基本安全控制,在部署你的mdm战略时必须要考虑它。
它为移动设备安全提供了集中管理,可以保护存储在移动设备上的和由移动设备访问的敏感数据。它可以“照顾”所有基本操作系统安全控制,例如安全地安装补丁和配置操作系统。
它还添加了不同的数据安全控制,包括存储加密、设备控制和数据丢失防护(dlp)技术。对于企业控制的移动设备(包括笔记本)而言,mdm软件是最容易部署和使用的软件,但mdm也可以为有限数量的byod设备部署和使用。
3.7三个mdm可以采用的安全策略
1)专注于数据 而不是操作系统
尽管移动操作系统带来了很大的安全挑战,企业已经能够相对较好地保护它们,当然,这主要归功于mdm软件的崛起。同时,数据已变得更有价值,特别是财务数据和个人身份信息。毫不奇怪,攻击者已经将其重点从利用操作系统漏洞转变为获取数据。单个数据泄露事故可能让企业损失数百万美元,而单个移动设备的丢失或被盗就可能导致这种事故。
企业需要考虑其数据可能的位置,并保护这些数据,抵御多种威胁。dlp技术和介质加密(包括内置和可移动介质)已成为关键。幸运的是,移动操作系统已经开始提供介质加密,而dlp技术和介质加密都可通过mdm技术提供。
2)让敏感数据远离移动设备
这个规则可能看起来很简单,但企业通常会因为没有坚持这个规则而遭受重大泄露事故:确保企业敏感数据远离用户的移动设备。如果敏感数据从来没有驻留在移动设备上,这些设备的丢失或被盗对企业的影响要小得多。企业不应该将敏感数据存储在移动设备上,而应该集中存储敏感数据,并仅为移动设备用户提供必要的数据,最好是该数据的图像。这最大限度地减少了数据暴露风险。
3)阻止基于web的恶意软件
恶意软件的威胁逐渐成为移动设备的噩梦,特别是对于基于web的恶意软件。企业通常会依赖web安全网关来检测和阻止这种恶意软件。不幸的是,随着移动性的增加,这些网关并没有什么用,因为移动设备通常在外部网络,并且通常不使用这些网关。我们有两个办法来解决这个问题:为移动设备部署web安全控制(可能通过mdm策略)或者强迫企业的移动设备通过中央代理服务器“路由”流量,这可能包括网络安全控制,例如web安全网关。虽然后面这种方法可以提供很高的安全性,通过对所有移动设备流量部署企业级网络安全控制,但这也会带来显著的成本和性能问题,因此,企业在部署这种凯发k8国际首页登录的解决方案之前需要进行仔细评估。