BYOD大潮下移动管理策略的变化

BYODBYOD 大潮下移动管理策略的变化 大潮下移动管理策略的变化 MDMMDM 转向转向 MAMMAM 随着 IT 部门的关注重点从设备本身转移到应用程序 基于 BYOD 移动管理策略的管理产品也由此应运而生 IT 部门的关注重点正迅速由移动设备管理 简称 MDM 转向移动应用程序管理 MAM 观念也从过去 IT 部门的关注重点正迅速由移动设备管理 简称 MDM 转向移动应用程序管理 MAM 观念也从过去的 犹豫是否应该引入移动设备转变到如今的如何最大程度利用移动技术优势 我曾经亲身参加过许多 IT 讨 论会议 发现大家开始围绕应用程序的管理提出一个又一个实际问题 对于使用 IBM Tivoli 以及微软 SMS 等用户 PC 软件管理工具的企业 iPhone iPad 以及 Android 系统平台已经成为新时代的 西部拓荒 这是一片充满风险与机遇的环境 谁能占得先机 谁就能在未来一段时间中笑傲同侪 移动设备的多样性确实令人望而却步 大多数台式机应用程序管理工具连顺畅管理 Mac OS X 应用都做 不到 我们当然不可能指望它们能在移动设备上一展身手 尽管心理准备已经做完 但移动操作系统相对 桌面系统采用了太多颠覆式设计 就连 IT 部门也无法通过传统方案对新应用进行管理 此外 应用程序 商店的出现令企业 IT 团队无法继续扮演移动领域的应用提供者角色 而 HTML 与本地应用相混杂的状况也 进一步加剧了移动管理的复杂性 没错 IT 部门确实可以收集自己的移动应用搭建 企业应用商店 但这实在有名不副实之嫌 一个内部站点 几条允许使用或建议使用的应用下载链接 这根本不可能引 起员工的兴趣 在 IT 部门逐渐对全面管理移动设备表示绝望的同时 另一种观点开始占据上风 既然这些设备的所有 权属于用户 那么 IT 团队应该有权对其中面向业务的各类应用加以控制 这样一来 如果员工离开企业 或者设备丢失 应用程序及其保存数据都能够被及时清除 进而保护敏感信息安全 IT 团队还应当有权 管理更新及授权许可 同时追踪用户的使用状态 尤其是在员工 分包商及企业合作伙伴选择各自业务 应用的复杂前提下 从这个角度来看 即使是以控制为主要服务对象的专业企业也无法利用传统方案对 各类设备进行全面覆盖 第一波浪潮 通过政策管理第一波浪潮 通过政策管理 HTMLHTML 应用容器应用容器 目前设备管理领域中的主流方案仍然以面向政策模式居首 在这种情况下 诸如黑莓 Enterprise Server BES 微软 Exchange 以 Exchange ActiveSync 协议为代表 等强势体系 加上 Good Technology MobileIron 以及 Trellia 等第三方 MDM 工具 都能够为邮件 联系人等业务信息提供恰当 的数据保护服务 此外 它们还以强制手段贯彻密码保护 远程锁定等管理政策 某些工具甚至可以管理 应用程序本身 实现例如允许或禁止访问及更新推送等功能 而同样的状况在移动应用管理领域也开始出现 其中一大选择是采用 Antenna 软件公司提供的方案 这款名为 Volt MAM 的产品为 iPhone 及 Android 环境 打造了一套专门存放 HTMl 5 应用的虚拟环境 由于苹果 谷歌等巨头厂商在系统中提供 JavaScript API 以及支持 W3C 的 BONDI APi 因此上述产品能够借此调用设备本机功能 举例来说 它们能够以这种方 式捕捉标签或者栏位代码 我们可以根据自己选择的 IDE 进行 HTML 5 应用开发 甚至可以使用文档编 辑器进行开发 但开发成品必须与 Antenna 的 API 相对接 否则将无法同 Volt 客户端协作 更不用提 接受 Antenna 移动平台 简称 AMP 服务器的管理 有鉴于此 大家不妨以用户政策 例如角色分类 为基础编写安装配置文件 这样用户在登录服务器 大 多处于托管状态下 时 应用程序会将与角色相对应的配置文件一同下载至设备当中 服务器同时还会推 送软件更新并为 IT 部门提供用于监控使用状况 变更应用许可 锁定下行数据以及清除应用所必要的功 能组件 这样用户在离开企业或是调任其它岗位时 管理者就能够快速将其角色剔除或是做出相应更改 虚拟环境的出现终于为业务与个人应用及数据的划分指出了一道康庄大道 但具体实施起来还是有点问题 毕竟强迫用户打开容器应用 Antenna 的 Volt 就是最典型的例子 才能访问业务 HTML 应用的做法不 够人性 容易引发员工的反感 但从另一个角度看 既然是 HTML 应用 咱们也不必要求太多 毕竟用户 在使用任何一款 Web 应用时都需要先打开浏览器 这与打开容器倒也没啥本质区别 另外 由于所有业务 资源都运行于 IT 部门的服务器中 因此管理者能够直接对应用进行控制 这跟传统的台式机 Web 应用非 常类似 企业自主开发的 HTML 5 应用借助 Volt 的强大功能 得以拥有一片独立的运行空间 因此相关数据的加密 与隔离效果也要比设备上的其它信息好很多 苹果的 iOS 平台本身就支持加密及隔离服务 但谷歌的 Android 2 x 系列却一项也不支持 虽然在 Android 3 x 和 4 x 系统中纳入了加密机制 但隔离仍然是谷 歌产品的最大软肋 由于业务 HTML 5 应用的运行完全依托于 Volt 所以 AMP 服务器能够直接对其进行管 理 而且绝不会对设备中的其它应用产生干扰 而在 iOS 这边 Amp 服务器同样能够利用 AMP 及其内部集成的 MDM 工具实现本机应用管理 与此类似 AMP 中集成的 MDM 工具还可以管理由自身提供 HTML 5 及本机 或工具提供 本机 的应用程序 值得一 提的是 Volt 在离线工作时 HTML 5 应用仍然能正常运行 并在网络连接恢复后第一时间进行数据同步 理论上讲 Volt 控制下的 HTML 5 应用能够以独立应用的状态保存在 iOS 设备的主屏幕中随时等待调用 这就省去了先开容器 再开应用的弊端 其实应用本身仍然处于 AMP 所绑定的安全及管理之下 但用户使 用时的感受与普通应用无疑 并不会感觉到 AMP 的存在 某些用户可能喜欢按个人偏好对应用程序进行分 组 但 Volt 会强制要求使用者把业务应用统统归在同一个组中 Android 系统不支持应用与容器绑定 因此 Volt 控制下的 HTML 5 应用必须在打开 Volt 平台的情况下才能运行 Antenna 公司 CTO Dan Zeck 指出 他们更乐于通过 iOS 的方式运行应用而非强行通过容器 因为 IT 消费 者更希望从直观层面上了解业务应用与个人应用间的划分 这样既能让 IT 部门轻松实现数据隔离 又 能帮助用户在意识上搞清个人活动与业务操作的差异 他同时表示 让业务应用以普通应用的面貌出现在 iOS 主屏幕中 同时又确保它们始终处于严格监控之下其实并没有什么技术难度 黑莓 OS 6 和 7 同样 支持这种隐性隔离方案 不过仅有数款最新黑莓 Enter Server 版本支持该功能 并只限 BES 控制下的应 用 随着 MDM 工具开始广泛为应用程序提供支持 AMP 服务器也开始接管起 iOS 应用的安装与管理工作 但 前提是企业用户必须采用苹果公司推出的企业级 SDK 协议 AMP 能够在许可证书的支持下实现应用的直接 安装 这就回避了公共 App Store 中蕴含的潜在风险 这是苹果公司的强制要求 目的在于为业务应用带 来与其它 iOS 应用同等级别的高端控制标准 而包括 AppCentral 在内的其它工具也提供相似的功能 不过现在看来 Volt 客户端与 AMP 托管服务器的 组合似乎更适用于企业环境 因为这套方案将 LDAP MDM 工具以及高度加密与验证技术以打包方式集于一 身 这极大丰富了管理政策的功能性 AT T 公司在其 Workbench 产品中使用的就是 AMP 但 Volt AMP 这套组合可不只局限于使用 AT T 服务的设备 Volt 客户端能够作用于使用 iOS 4 5 的 iPhone 以及使 用 2 1 到 2 3 版本的 Android 设备 目前其它版本支持对象正在开发之中 第二波浪潮 通过政策直接管理本机应用第二波浪潮 通过政策直接管理本机应用 尽管功能强大 但 Antenna 方案仍然无法作用于本机应用 因为本机应用无法在其它应用内部或 IT 服 务器上运行 这时就要轮到 AppCentral 和 AppGuard 服务出场了 AppCentral 公司 起初名为 Ondeego 公司 已经分别为自家 MAM 技术发布了 iOS 及 Android 版本 以迥异的思路为移动应用程序管理及分布指 明了新方向 令人欣慰的是 实践证明了这款产品在本机应用领域的巨大贡献与完美协调能力 在由 AppGuard 服务所构建起的小型独立环境中 我们可以利用 AppCentral 管理政策 API 将 监听器 功 能代码添加到 iOS 及 Android 应用中 在 API 的帮助下 应用程序将与 AppCentral 服务器进行交互 使 管理者得以将各种政策及用户划分方案加入其中 例如限制特定 Wi Fi 访问请求 此类情况在医疗保健 行业比较常见 或者在员工权限发生变更时及时清除应用及数据 比如分包商工作完成 需要向总包交接 项目资料 监听器 功能会对应用程序启动 前台运行等活动 主要针对应用激活操作 加以监控 并实时检测当 前设备与应用状态是否有悖于管理政策 监听器 功能还能将应用程序 而非设备整体 的状态与活动 单独反馈给服务器端 这就降低了管理工作中的人为因素 大大缓和员工 分包商及企业合作伙伴对于监 控流程的防备心理 关键在于管理机制已经嵌入到应用程序当中 因此大家无需再为设备本身操心 既然消除了后顾之忧 我 们就应当开始考虑将应用程序管理以规范形式普及向更大规模的用户群体 而不再仅仅把眼光放在与企业 内部与敏感信息相关的移动设备身上 苹果公司对于 AppCentral 开发的技术赞赏有加 因此 iOS 开发人员也就不必担心自己的应用产品会受到 非苹果 API 的侵扰 而在 Android 领域则缺乏此类官方引导 这毫不令人意外 Android 在安全性上的 疲软已经不算新闻了 不过 AppGuard 技术则为 Android 指了一条明路 IT 部门能够在它的帮助下将应用 集中起来 进而实现企业级别的管理与监控 AppCentral 工具为应用程序提供多项管理服务 其中包括授权许可管理 第三方产品发布等等 这在 以往的移动领域 尤其是苹果强制要求企业将专有业务应用以第三方产品的形式通过 App Store 发布这一 背景下 更加显得难能可贵 而且在 iOS 与 Android 平台的授权许可管理方面 由于苹果 App Store 与谷 歌 Play 软件市场都在以用户为单位进行计费管理 AppCentral 的授权许可机制可谓意义非凡 IT 管理者 可以批量采购使用许可 并以注册码的形式发放给普通用户 这样员工就不必再经历自掏腰包 申请报销 等一系列麻烦的过程 而且在大型企业方面 批量发放也让应用程序的实际推广不再困难 尽管 AppCentral 提供了较为全面的解决方案 但其中所涉及的问题仍然相当复杂 这就导致 IT 部门与移动操 作系统供应商之间的矛盾尚未得到实质性缓和 新型新型 MAMMAM 正在针对正在针对 消费化消费化 趋势做出调整趋势做出调整 我们目前还处于移动管理发展的初级阶段 在过去两年中 MDM 领域出现了一股不大不小的淘金热 十几 家供应商的涌入颇有股群雄逐鹿的味道 而就在去年 MDM 的概念终于在企业用户中扎根 自此即使是对 安全性要求最高的公司 也开始尝试将 iPhone iPad 及 Android 设备引入业务环境并为其提供支持 这在 2009 年看来简直不可想象 MAM 则可以看作下一个 MDM IT 部门的敏感分子们已经把高风险的帽子从设备上取下 转而扣给了应用程 序 某些是出于合法性考虑 某些则源于新问题的涌现 我个人则满怀热情 期待着像 Antenna AppCentral Mocana 以及赛门铁克这样的一流安全技术企业能够认识现实 制定规划 早日引 领应用程序合法性管理走向正途 正如 Good Technology MobileIron 与 Sybase 等公司当前所做的一 样 再乐观一点 像 AppCentral 这样的方案已经成功将全面管理的沉重包袱卸下 将 IT 部门的工作重心调整 为以 消费化趋势 为中心 业务技术共享模式为前导 用户 IT 部门及第三方供应商各司其职 各负 其责的良好管理体系 这套方案要求我们采取分块分类 以政策为基础的管理模式 并为大家带来足以应 对今后挑战的优秀工具 移动应用管理引发的焦虑已经消弭移动应用管理引发的焦虑已经消弭 一年前 CIO 们还普遍认为自己绝不可能为 i