企業(yè)移動三大支柱
有效的企業(yè)移動需要三大支柱:安全、隱私及自由。該白皮書探討了支撐這些支柱所遇到的挑戰(zhàn),以及OK Labs的新產品,SecureIT Mobile企業(yè)版如何能夠滿足以下實際需求:
- 安全部署企業(yè)應用和安全接入企業(yè)數(shù)據(jù)服務
- 保護用戶隱私以及隔離員工與企業(yè)資產
- 使用所有設備功能的自由,包括安裝應用和自由瀏覽網頁
該白皮書提出了一種重塑現(xiàn)有企業(yè)移動實踐的方案,該方案鞏固并加強了這三大支柱,且基于移動虛擬化而構造。
誰應該閱讀這份白皮書
該白皮書旨在幫助以下企業(yè)和個人理解企業(yè)移動的定義及推出將會遇到的挑戰(zhàn):
- 企業(yè): 首席信息官(CIO),首席安全官和IT主管
- 移動運營商: 方案設計師和企業(yè)細分市場專家
- 設備OEM廠商: 產品經理和系統(tǒng)軟件設計師
- 芯片方案提供商: 產品經理和系統(tǒng)軟件設計師
企業(yè)移動
“企業(yè)移動”這個詞逐漸占據(jù)了商業(yè)和技術報道的頭條,究其原因主要是移動/無線生態(tài)系統(tǒng)正努力為以下兩個交叉的現(xiàn)象營造有利環(huán)境:
- 與日俱增的移動勞動力
- 無處不在的移動設備和運行在這些設備上的應用
企業(yè)移動的條件究竟是什么?讓我們來看看Forrester Research給出的定義:
企業(yè)在任意地點保持聯(lián)絡和控制資產的能力。支持企業(yè)移動的技術包括無線網絡、移動應用、中間件、設備、安全和管理軟件。
這個定義不僅準確,還留有豐富的想象空間——包括聯(lián)系什么人、聯(lián)系這些人的原因以及因為什么原因而控制哪方面的資產?此外,這個定義還提出了更深層面的問題——企業(yè)移動與傳統(tǒng)企業(yè)連接有什么不同?對于這些問題,我們可以從以下趨勢中找到一些答案:
移動趨勢—2011年
移動勞動力:當今許多員工都在公司總部以外的區(qū)域辦公——這一移動員工的群體數(shù)量超過了十億,相當于全球勞動力人口的三分之一(Forrester數(shù)據(jù))。這些人員同樣需要訪問公司數(shù)據(jù)、建立文檔、通過公司郵件進行交流,以及利用智能手機和平板電腦遠程訪問公司應用,這些都是他們在辦公桌前所要進行的日常工作。
企業(yè)IT的消費化趨勢: 在十年間或者更長的時間內,企業(yè)員工享受到了在辦公環(huán)境和工作往返途中公司提供辦公設備的便利,包括移動電話、筆記本電腦和其他設備。現(xiàn)在,公司和員工都愿意利用員工自己的設備——40%的公司已經實現(xiàn)了這一目標(Juniper Networks數(shù)據(jù))。用自己的設備工作(BYOD)不僅節(jié)省了購買和維護成本,還可以讓員工選擇和使用符合自己生活方式和工作習慣的智能手機和平板電腦。
開放移動操作系統(tǒng)(OSes): 當今越來越多的智能手機和平板電腦開始部署開放及開源操作系統(tǒng)(OSes)——包括Android、Linux等。在加速開發(fā)和鼓勵創(chuàng)新的同時,當今構建于社區(qū)的平臺逐漸主宰了移動領域。
應用市場: 2010年是移動應用年,開發(fā)商們?yōu)閕Phone、Android和其它平臺打造了成千上萬的應用,智能手機和平板電腦所有者們也相應地進行了數(shù)十億次的下載。然而不幸的是,這些市場提供的應用在質量和安全性能方面參差不齊。因此,首席信息官(CIO)難免會擔心員工喜愛的游戲、應用和社交媒體客戶端會直接導入病毒、間諜軟件和其它威脅。
云計算的應用: 就企業(yè)和SMB而言,IT部門越來越傾向于將數(shù)據(jù)中心虛擬化,因為這些數(shù)據(jù)中心往往會占據(jù)整個地下室甚至是整座建筑。將企業(yè)應用和數(shù)據(jù)過渡到云的過程與企業(yè)移動緊密相連——訪問分散的財產同樣也可以分散進行。
挑戰(zhàn)
以上趨勢反應了一個令人振奮、日益凸顯的現(xiàn)實。然而,這些趨勢——主要是企業(yè)移動的趨勢——也為企業(yè)IT帶來了新的挑戰(zhàn)和顧慮。
移動設備配置和管理
從企業(yè)IT的角度來說,智能手機、平板電腦以及其它移動/無線設備對配置和管理所帶來的挑戰(zhàn)是我們熟悉的筆記本電腦和臺式電腦不會有的:
- 部署路徑——許多移動設備必須通過運營商渠道來配置——而不是直接通過企業(yè)IT人員進行編程。
- 部署機制——在移動設備上安裝軟件和實現(xiàn)服務通常涉及“空中”交易,而不是磁盤安裝或本地配置——許多移動設備甚至沒有用戶能夠看到的文件系統(tǒng)。
- 設備管理——移動設備管理(MDM)通常屬于要么全有要么全無的狀態(tài):IT人員或管理整個設備,或退一步完全讓運營商或用戶全權負責。MDM軟件在不斷變革,以為IT人員提供更為精細的控制。然而,因為他們很難或者無法控制工廠安裝(預裝)的軟件,移動和桌面管理功能之間還是存在一大片空白。
安全
在過去十年中,企業(yè)IT已經解決了桌面系統(tǒng)的安全性?,F(xiàn)在,移動設備是公認的企業(yè)安全鏈中最薄弱的環(huán)節(jié)
手機、平板電腦和其它無線設備是公認的企業(yè)安全鏈中最薄弱的環(huán)節(jié)。盡管桌面系統(tǒng)的安全性也還存有諸多變數(shù),但是企業(yè)IT已經能夠應對這個環(huán)境,而且擁有優(yōu)越的工具和程序來保護運行Windows和其它桌面操作系統(tǒng)(OSes)的PC、工作站和筆記本電腦。
然而,保障移動設備的安全性使IT專家們想起了十年前應對桌面系統(tǒng)的情景。現(xiàn)存的威脅已經不容忽視——在過去12個月中,移動軟件遭受的威脅上升了250% (Juniper Networks數(shù)據(jù))。
惡意軟件和其它攻擊
隨著移動設備變得更為強大和復雜,這些設備也成為世界黑暗勢力更大、更具誘惑的“攻擊界面”。
危險的內容和從應用商店下載的程序、基于網絡的攻擊和無線網絡的破壞等更增加了移動設備的復雜性。因此針對移動設備軟件的威脅包括:
- 下載應用中的病毒和間諜軟件
- 系統(tǒng)和用戶軟件中的零時差攻擊
- Android等開放平臺的操作系統(tǒng)(OS)級別攻擊
- 防病毒軟件和MDM軟件自身面臨的威脅
安全訪問
企業(yè)移動的價值體現(xiàn)在提供訪問業(yè)務數(shù)據(jù)和程序的通道,提高員工的工作效率。利用移動設備危險渠道打開關鍵業(yè)務數(shù)據(jù)庫和應用的可能性,是抑制企業(yè)移動發(fā)展的關鍵因素之一。這個渠道的威脅來源于設備自身,并禍及本地數(shù)據(jù)、應用和瀏覽程序。此外,這些威脅還會殃及數(shù)據(jù)中心和云上的企業(yè)資產。
隔離資產
內部主要安全威脅之一是個人和企業(yè)資產摻雜在一起。這些資產包括各種類型的應用和數(shù)據(jù),比如
個人財務與企業(yè)的財務信息,私人郵件與公司郵件,家電與企業(yè)工廠運營與自動化。
隱私和功能性
如果必須攜帶功能受限的設備,且個人生活受到影響,用戶將只能繼續(xù)攜帶兩部設備:一部用于工作,另一部用于個人生活。
|
對企業(yè)移動的大部分討論都以公司管理優(yōu)勢為起點和終點,涉及的話題包括如何提高員工工作效率和降低主要設備和操作成本。如果公司真的希望最大化自己的移動投資回報(ROI),就必須考慮移動工作者的需求和習慣。公司如果忽視員工的愛好,企業(yè)自身發(fā)展也會受到威脅。如果必須攜帶功能受限的設備,且個人生活受到影響,用戶將只能繼續(xù)攜帶兩部設備:一部用于工作,另一部用于個人生活。
鎖定設備
企業(yè)移動安全的一個捷徑是采用完全鎖定的設備,即該設備只能用于訪問企業(yè)數(shù)據(jù)。在過去,這意味著公司提供一部電話;在今天,在攜帶個人設備(BYOD)這個概念出現(xiàn)以后,完全鎖定的設備就意味著限制員工使用自己的設備,以減少以上提到的安全威脅。
員工隱私
在企業(yè)移動應用中一個經常被忽視的因素是企業(yè)安全的反面——員工隱私。如果為了在一部設備上保護企業(yè)數(shù)據(jù),而向企業(yè)審查系統(tǒng)暴露私人用戶信息和應用,那么用戶也不會使用這一設備。
應用選擇
用戶在智能手機和數(shù)據(jù)計劃方面投入的主要動力是可以訪問有趣的應用和服務,這些應用和服務包括游戲、生活方面應用及視頻。如果將這些用戶喜愛的應用和服務列入黑名單并阻止使用,打擊了用戶投入的積極性,那么企業(yè)的移動制度也不會獲得成功。
現(xiàn)有方案的缺陷
當今的企業(yè)移動涉及終端安全、防病毒(AV)軟件和移動設備管理(MDM)軟件套件,它們存放在設備中,以及數(shù)據(jù)中心和云的網關服務器中。這些技術很有必要且很強大,但卻滿足不了關鍵需求。尤其是MDM和安全性有賴于智能手機底層OS和軟件棧的完整性,而這恰恰是最易受攻擊的部分。
防病毒軟件
與網頁相關聯(lián)的桌面計算是惡意軟件的攻擊目標。在過去十年中,全球每年因為惡意軟件造成的損失高達150億美元(Computer Economics數(shù)據(jù))。隨著智能手機和平板電腦的興起,移動惡意軟件也開始蠢蠢欲動,妄圖步其后塵。同時,智能手機遭受攻擊的比例可能是Windows PC的兩倍(SANS Institute數(shù)據(jù))。
在桌面系統(tǒng)中,因為出現(xiàn)新的惡意軟件和攻擊界面,防病毒軟件銷售商和平臺及應用供應商也在不斷提供更新和補丁。對于IT團隊來說,最好的實踐經驗就是及時評估和應用這些補救措施。另一方面,對于移動設備軟件來說,要跟上惡意軟件不斷演進的步伐則更加困難?,F(xiàn)在的移動平臺更多(Android有多個部署版本,iPhone, Linux, RIM OS, Symbian, WindowsMobile/Phone等),并且應用也日益增加(截至2011年1月末統(tǒng)計的數(shù)據(jù),針對Android平臺的應用就有20萬種)。
對補救措施的支持問題同樣重要——移動軟件更新速度有待改進。雖然對于設備OEM廠商和運營商來說,移動軟件現(xiàn)在能夠達到供給平衡,但就其更新速度而言,還遠遠落后于桌面系統(tǒng)。這一頻率上的差距是由最初的預裝部署、推出和安裝固件無線(FOTA)更新以及終端用戶忽視軟件維護造成的。此外,防病毒(和移動設備管理)方案自身也容易遭受侵襲和攻擊,并成為被感染目標。
移動設備管理(MDM)
集成移動設備管理軟件填補了許多企業(yè)移動方面的空白,涉及應用配置、安全策略執(zhí)行、設備定位、支援、清掃和其他管理功能。由于MDM趨向于橫向的綜合方案,因此同一家廠商的方案是最好的選擇。然而,這一趨勢在簡化購買支持過程的同時,也會導致集成的方案泛泛膚淺,忽略針對所有功能的頂尖性能集成。
MDM軟件通常涉及底層固件、系統(tǒng)軟件和應用中間件組件。就MDM自身而言,該系統(tǒng)至少在部分程度上是依賴移動操作系統(tǒng)(OS)集成和移動網絡的完整性。因此,如果其中一個遭受攻擊,也會嚴重影響到MDM軟件。
SecureIT Mobile企業(yè)版介紹
SecureIT Mobile企業(yè)版利用移動虛擬化重塑企業(yè)移動性。 |
為了迎接企業(yè)移動的挑戰(zhàn)和填補現(xiàn)有方案的空白,OK Labs公司推出了SecureIT Mobile企業(yè)版。通過基于OK Labs公司內核移動虛擬平臺OKL4 Microvisor,SecureIT Mobile企業(yè)版重塑企業(yè)移動性。此外,該產品完善和鞏固了MDM、防病毒和其他移動技術,并且實現(xiàn)了安全、隱私和功能的完美組合。
作為一款軟件和服務方案,SecureIT Mobile企業(yè)版可以幫助企業(yè)與個人應用平行部署和管理企業(yè)應用及服務。利用OKL4安全HyperCells(虛擬機),SecureIT Mobile企業(yè)版將關鍵業(yè)務應用與個人應用、服務和數(shù)據(jù)隔離開來。
通過在一部物理設備上同時支持開放個人域和可靠企業(yè)域,SecureIT Mobile企業(yè)版滿足了個人和企業(yè)的雙向需求。
背景
SecureIT Mobile企業(yè)版源自安全和認證的系統(tǒng)。2010年,OK Labs公司針對國家防御、緊急救援和公共安全發(fā)布了SecureIT Mobile 政府版。利用SecureIT Mobile政府版,OK Labs公司幫助OEM廠商、集成商、政府承包商和政府部門使用COTS移動硬件,構建了類似奧巴馬黑莓[1]的設備,并且價格只相當于傳統(tǒng)定制系統(tǒng)成本的幾分之一。
基于SecureIT Mobile企業(yè)版,OK Labs公司為企業(yè)移動帶來了軍用級安全性。
方案架構
移動虛擬化
SecureIT Mobile企業(yè)版基于成熟且廣泛部署[2]的OKL4移動虛擬化平臺架構。此外,該產品采用了片上存貯管理和ARM等現(xiàn)代微處理器的特殊執(zhí)行功能,其核心和數(shù)據(jù)中心虛擬化一樣,都是純硬件管理程序。
堅固的隔離系統(tǒng)
該產品是一款虛擬化企業(yè)移動方案,實現(xiàn)了可信(企業(yè))及非可信(個人)操作域之間的堅固隔離。
公司信息和個人數(shù)據(jù)應用被安排在了不同的OKL4安全
HyperCells里,這些區(qū)域之間相互隔離,并且在獨有的
一個或更多移動操作系統(tǒng)(OSes)環(huán)境中運行。
安全基礎
開發(fā)商在開發(fā)移動設備和移動軟件時,需要最大的靈活性設計原型、開發(fā)和測試平臺及應用程序。在可以“松綁”和實地部署設備和應用時,設備OEM廠商、集成商和運營商必須退后一步,再次確保整個軟件棧的安全,包括操作系統(tǒng)(OS)、設備驅動、網絡、中間件和應用程序——這就意味著數(shù)千萬條源代碼。鑒于安全挑戰(zhàn)如此龐大,移動設備遭受日增攻擊威脅的原因也就顯而易見了。
相比較而言,SecureIT Mobile企業(yè)版基于底層安全性,以及專為OKL4 Microvisor開發(fā)的小巧、可信的計算基礎。
基于微核的架構
OKL4 Microvisor以成熟高性能的微核技術為基礎。微核確保了為小巧可信計算基礎而設計的特權模式下運行的編碼數(shù)量最少。簡單一流的架構涵蓋了精細的訪問控制機制,這一機制在設計過程中(而不是事后)就確保了OKL4的安全,并為開發(fā)商和集成商提供了簡易安全的機制,實現(xiàn)跨域共享資源,包括設備驅動和CODEC。
安全企業(yè)移動
通過隔離和保護,SecureIT Mobile企業(yè)版為企業(yè)安全策略提供了“堅固的”支持:
- 敏感文件和數(shù)據(jù)庫
- 本地及遠程應用及服務器
- 語音和文本通信(例如SMS)
- 防病毒和防惡意軟件的軟件
- MDM和其他用于遠程控制和管理的代理
讓我們來了解一下提供這種保護的意義:
保護本地和上游數(shù)據(jù)
通過隔離用戶和企業(yè)域,SecureIT Mobile企業(yè)版使本地和遠程企業(yè)數(shù)據(jù)免遭攻擊。就設備層面而言,SecureIT Mobile企業(yè)版為業(yè)務著急數(shù)據(jù)提供安全保障。
SecureIT Mobile企業(yè)版還保護了上游數(shù)據(jù)和基礎設施。“Golden Master”軟件涵蓋了與公司數(shù)據(jù)實現(xiàn)交互的所有組件和服務,并且部署于企業(yè)域之中。該軟件不會遭受來自用戶域的惡意軟件和攻擊的威脅(圖2)。即使移動用戶下載和安裝了包含病毒、間諜軟件和其他危險的應用,惡意軟件還是無法進入企業(yè)域,上行到存放企業(yè)數(shù)據(jù)、服務和MDM方案的服務器和網關。
為保護者提供保護
之前在這份白皮書里,我們注意到在幫助保護移動設備、防病毒、MDM及其他安全的同時,管理和遠程控制軟件自身也容易遭受攻擊(圖1)。通過在可信企業(yè)域里部署“保護器”,我們可以將其與用戶下載軟件中的威脅隔離。基于這一安全定位,防病毒軟件可以掃描企業(yè)域和用戶域。同樣,MDM也可以選擇性的管理一個或兩個空間內的應用和內容。
為了實現(xiàn)更高的安全性,SecureIT Mobile企業(yè)版支持在專用虛擬機上部署防病毒、MDM及其他重要軟件。基于微核的OKL4提供了應用程序接口,開發(fā)商利用OKL4輕量級執(zhí)行環(huán)境,為安置現(xiàn)在的獨立軟件和推動與未來其他個人和企業(yè)軟件的重新部署,包括不同的操作系統(tǒng)和應用。
完善移動設備管理
SecureIT Mobile企業(yè)版為MDM軟件提供了增強的基礎,完善——有時甚至是超越了——MDM功能。讓我們來看看MDM的主要功能,以及SecureIT Mobile如何使這些功能更加安全和完善:
數(shù)據(jù)跟蹤:SecureIT Mobile為資產跟蹤軟件和設備標識數(shù)據(jù)提供了一個安全的執(zhí)行環(huán)境。定位軟件運行可以遠離下載間諜軟件和其他攻擊的探測系統(tǒng)。移動用戶需要的定位信息(GPS數(shù)據(jù)、定位服務等)也可以在企業(yè)域和用戶域上實現(xiàn)安全有選擇性的共享。
備份:在企業(yè)域里,關鍵業(yè)務數(shù)據(jù)、應用和配置數(shù)據(jù)可以安全地備份到數(shù)據(jù)中心或云存貯空間,并且完全不受用戶域操作的影響。
設備清掃/還原:萬一設備丟失、被盜或用戶部署狀態(tài)變更,MDM軟件可以完全清除(和還原)企業(yè)域中的數(shù)據(jù)和應用。同時,還可以保證用戶的個人軟件和數(shù)據(jù)不受影響,設備基本可以還原到他們投入業(yè)務應用之前的狀態(tài)和操作。
FOTA:無線下載固件是眾多移動設備中的功能,然而,很多時候這一功能都沒有得到充分利用。在通常情況下,配置和管理軟件運行于移動操作系統(tǒng)“下層”,通過限制FOTA的可見性和訪問駐留在操作系統(tǒng)上軟件的精度,這些軟件可以幫助升級和操作系統(tǒng)自身運行。有了SecureIT Mobile企業(yè)版,F(xiàn)OTA代理軟件可以駐留在特定虛擬機上,可以更容易管理和更新其他虛擬機內容,無需要消耗資源的補丁和補充。
的確,移動虛擬化還實現(xiàn)了新版本的無線虛擬化(VOTA)。其不僅將虛擬化引入了移動設備,還利用這一關鍵技術升級固件、系統(tǒng)軟件和應用程序。
故障修復與診斷:基于在多虛擬機上的實踐能力,基于OKL4的SecureIT Mobile企業(yè)版成為了診斷軟件的最佳環(huán)境。軟件探測可以與企業(yè)應用平行部署或占用特定虛擬機。
針對操作系統(tǒng)和應用程序的升級:SecureIT Mobile企業(yè)版可以幫助執(zhí)行和協(xié)調軟件升級機制。系統(tǒng)軟件和關鍵業(yè)務應用的升級可以在企業(yè)域中進行,不會影響用戶域中應用的運行,反之亦然。既然每個域都由獨一無二的虛擬機負責,那么每個域都可以在不互相影響的前提下重新啟動。
結論
本白皮書闡述了OK Labs公司的SecureIT Mobile企業(yè)版如何支持企業(yè)移動三大支柱——安全、隱私和自由——在移動虛擬化的幫助下。此外,該白皮書還從企業(yè)管理、企業(yè)IT和移動辦公等多個方面分析了企業(yè)移動面臨的挑戰(zhàn),也為這一寶貴的體系進行新的可行性研究。
采用SecureIT Mobile 企業(yè)版之前:
|
采用SecureIT Mobile 企業(yè)版之后: |
|
|
如果您的組織正在考慮實施企業(yè)移動,SecureIT Mobile企業(yè)版可以通過以下方式,為您提供方便開展和提升投資回報(ROI)的突出優(yōu)勢:
- 確保用戶隱私及充分使用設備功能的自由,提高了企業(yè)移動的使用率和投資回報(ROI)
- 防止惡意軟件和其他攻擊通過手機,或上游的云和數(shù)據(jù)中心到達企業(yè)應用和數(shù)據(jù)
- “為保護者提供保護”,防止惡意軟件影響防病毒系統(tǒng)和MDM軟件
- 確保高價值設備和軟件功能可用,幫助員工提高工作效率
- 為安全策略框架提供OKL4功能,針對域間資源共享和應用程序接口(APIs)提供精細控制
即將在手機和平板電腦上實現(xiàn)
OK Labs公司正與移動設備OEM廠商、集成商、移動/無線運營商和其他生態(tài)系統(tǒng)成員緊密配合,加速實現(xiàn)SecureIT Mobile企業(yè)版的獨特價值和功能。讓OK Labs公司攜手您和您的供應鏈伙伴,尋找貴企業(yè)通向企業(yè)移動的捷徑。
詳情請登錄http://www.ok-labs.com/,或通過電話+1-312-924-1445和郵箱info@ok-labs.com聯(lián)系我們。