定位服务想要实现安全的移动办公,需要的不仅是一个单点安全能力,而是一套完整的安全框架。
移动化办公是移动互联网发展的必然趋势。企业有多种选择,重视员工体验和隐私,规模不大,可以是BYOD(自带设备办公);办公场景大量涉及有高敏感的内容,甚至是高密级,那自然,设备强管控的COPE(企业所有,配发个人使用)在领导心中更为可靠。其它常见的移动办公形式,还有CYOD(自选办公设备)已经COBO(针对特定企业或行业)。
企业想在BYOD这个场景下对移动端进行较为完善、成熟的安全管理是比较困难的,特别是在中国。这个难度是综合作用的结果。这包括是来自移动端自身的复杂性,例如繁多设备类型、碎片化的操作系统,以及混乱的应用市场。其次,是对移动端应用快速迭代的支持与保障。安全能力要内嵌,无论是对性能还是体验均不能造成负面影响,更不要提阻碍,这是开展安全工作的前提。三是对员工隐私的重视,以及手段自身的安全性与能力。
这也就意味着,想要实现安全的移动办公,需要的不仅是一个单点安全能力,而是一套完整的安全框架。紧密与办公需求整合的同时,还要适应企业IT环境的变化与发展,以及安全能力在网络端和移动端的协同。
目前较为成熟的移动设备管理(MDM)主要是针对COPE进行设备级的通用安全管控,属于强管控。MDM的特点是针对设备,而不是应用和数据,安全能力不够完善和深入。同时,MDM选择在一定程度牺牲用户的隐私和体验,这意味相较于更自由的BYOD,员工对COPE会有更多的负面情绪,这也不利于管理的推行。
不对MDM的利弊做过多的讨论,本文将聚焦BYOD场景,介绍两种目前较为典型实现安全移动办公的思路。
先说点题外话。《黑豹》和《雷神》系列都是漫威宇宙中令人印象深刻的电影。《黑豹》的国度“瓦坎达”,不只是坐拥全球最为丰富的振金资源,同时其黑科技——防护罩也在《复仇者联盟3》中拖延了不少灭霸夺取幻视的宝石的时间。而《雷神》中提及的“仙宫”阿斯加德,是神的住所,在安全方面,也拥有如海姆达尔一样日夜不用休息,拥有最好的眼睛的守卫。
从网络安全的角度理解,这是两种思路,一种是着重主动的威胁发现与响应能力,这对应着阿斯加德;一种是构建一个足够安全、可信的环境,就如同瓦坎达的防护罩,可以覆盖全域,除非是极端情况或者主动开启,否则任何人都难以通过。
BYOD下的移动办公安全,同时有这两种思路的实践。
1. 重威胁 “发现与防御” 的MTD
Gartner在相应市场指南中,对其提出的移动威胁防御(MTD)有详细的描述。
方案上,Gartner认为,MTD可以从设备、网络和应用三个不同级别提供安全防护能力。设备层面,主要监控OS版本、参数、配置、固件、漏洞、是否越狱或root等信息;网络层面,可以检查无效或虚假证书,针对中间人攻击做检测;应用层面,则主要是通过沙箱和代码分析来识别恶意软件。
可以说,MTD方案的特点在于收集(通常通过应用形式的设备代理、服务器组件等形式)和分析威胁的迹象,以识别异常行为并进行防御。单独部署MTD,特别是因为用户体验或其它原因无法管理设备,如BYOD这一典型非托管设备场景时,会是重要的安全解决方案。
MTD会是企业安全管理员在员工设备上隐形的眼睛,着眼于移动端的风险与威胁发现。
Gartner还认为,MTD可以提供比传统PC终端更强的安全性,以及弥补目前企业在移动端倾向于防泄漏而不是针对恶意威胁的安全布局。这也是Gartner认为到2020年,MTD方案将被30%组织采纳的重要原因。尽管目前,2018年,这个比例仍不到10%。
2. 打造可信环境的安全工作空间(TrustSpace)
奇安信提出的 “安全工作空间”,则犹如瓦坎达的防护罩,是个有极强安全性的屏障。除了囊括基础的检测与防御能力外,还强调了更多通过身份来实现安全的能力,以及“零信任”的理念。
奇安信认为,企业移动化办公的核心安全挑战,在于如何确保在正确的时间和地点,在正确的设备上,向正确的用户,提供正确的应用程序和数据。要实现这些,需要一个安全架构,从身份、系统环境、以及应用数据三个角度实现可信,在BYOD这样一个近乎零管控的场景下,为企业构建安全的移动工作空间。
方案上,首先,在终端系统环境这个角度,奇安信的能力构建思路和Gartner的MTD是类似的。分别在系统、网络和应用级构建威胁检测和风险感知能力。特别在网络层,还加入了对wifi的安全检查。
从身份的角度,是通过沙箱与身份认证技术的深度结合,来构建安全边界。这也是体现零信任的一点,即认证与授权不是一次性的,而是动态、多次。这里的安全边界有两个作用,一是将企业应用和个人应用隔离开,二是将含高敏感内容的应用与普通企业办公应用隔离开。沙箱技术可以通过免拆包以及系统级HooK方式提供高效稳定的应用隔离,高敏感应用则有更强的身份认证能力的加持(如加入时间、地理位置、行为等指标)。
最后,应用数据的可信,则是围绕数据生命周期的四个阶段(存储、传输、使用和共享),从加密、防泄密、权限控制等角度保证数据的安全。特别,在密钥和证书的管理上,也使用了沙箱来实现数据的安全存储。
除了实现身份、系统环境、以及应用数据三个角度的安全外,基于对移动安全的理解,奇安信还在这一解决方案中还融入了更多“白名单”的思路——提供安全办公应用套件,如浏览器、云盘、邮件系统、文档阅读等手机app,作为安全保障能力的补充。
当然,以上只是 “安全工作空间” 这个架构的核心能力与思路,不同的应用场景,这套方案可以附加更多的安全能力。这也是奇安信作为全线安全厂商的完整解决方案上的优势。例如上文提及,在高敏感内容场景下,通过智能身份平台实现的强身份认证、动态授权和统一的用户管理,以及在大中型企业中,可以通过TrustSpace应用网关(应用级SSL VPN)实现远程的安全内网接入,满足部分企业将移动办公的安全转变为内网安全的需求。