《byod大潮下移动管理策略的变化》由会员分享,可在线阅读,更多相关《byod大潮下移动管理策略的变化(4页珍藏版)》请在金锄头文库上搜索。
1、BYOD 大潮下移动管理策略的变化:MDM转向 MAM随着 IT 部门的关注重点从设备本身转移到应用程序,基于 BYOD 移动管理策略的管理产品也由此应运而生.IT 部门的关注重点正迅速由移动设备管理(简称 MDM)转向移动应用程序管理(MAM),观念也从过去 IT 部门的关注重点正迅速由移动设备管理(简称 MDM)转向移动应用程序管理(MAM),观念也从过去的犹豫是否应该引入移动设备转变到如今的如何最大程度利用移动技术优势。我曾经亲身参加过许多 IT 讨论会议,发现大家开始围绕应用程序的管理提出一个又一个实际问题。对于使用 IBM Tivoli 以及微软SMS 等用户 PC 软件管理工具的企
2、业,iPhone、iPad 以及 Android 系统平台已经成为新时代的“西部拓荒”。这是一片充满风险与机遇的环境,谁能占得先机、谁就能在未来一段时间中笑傲同侪。移动设备的多样性确实令人望而却步大多数台式机应用程序管理工具连顺畅管理 Mac OS X 应用都做不到,我们当然不可能指望它们能在移动设备上一展身手。尽管心理准备已经做完,但移动操作系统相对桌面系统采用了太多颠覆式设计,就连 IT 部门也无法通过传统方案对新应用进行管理。此外,应用程序商店的出现令企业 IT 团队无法继续扮演移动领域的应用提供者角色,而 HTML 与本地应用相混杂的状况也进一步加剧了移动管理的复杂性。没错,IT 部门
3、确实可以收集自己的移动应用搭建“企业应用商店”,但这实在有名不副实之嫌一个内部站点、几条允许使用或建议使用的应用下载链接,这根本不可能引起员工的兴趣。在 IT 部门逐渐对全面管理移动设备表示绝望的同时,另一种观点开始占据上风既然这些设备的所有权属于用户,那么 IT 团队应该有权对其中面向业务的各类应用加以控制。这样一来,如果员工离开企业或者设备丢失,应用程序及其保存数据都能够被及时清除、进而保护敏感信息安全。IT 团队还应当有权管理更新及授权许可,同时追踪用户的使用状态尤其是在员工、分包商及企业合作伙伴选择各自业务应用的复杂前提下从这个角度来看,即使是以控制为主要服务对象的专业企业也无法利用传
4、统方案对各类设备进行全面覆盖。第一波浪潮:通过政策管理 HTML 应用容器目前设备管理领域中的主流方案仍然以面向政策模式居首。在这种情况下,诸如黑莓 Enterprise Server(BES)、微软 Exchange(以 Exchange ActiveSync 协议为代表)等强势体系,加上 Good Technology、MobileIron 以及 Trellia 等第三方 MDM 工具,都能够为邮件、联系人等业务信息提供恰当的数据保护服务。此外,它们还以强制手段贯彻密码保护、远程锁定等管理政策。某些工具甚至可以管理应用程序本身,实现例如允许或禁止访问及更新推送等功能。而同样的状况在移动应用
5、管理领域也开始出现。其中一大选择是采用 Antenna 软件公司提供的方案,这款名为 Volt MAM 的产品为 iPhone 及 Android 环境打造了一套专门存放 HTMl 5 应用的虚拟环境。由于苹果、谷歌等巨头厂商在系统中提供 JavaScript API以及支持 W3C 的 BONDI APi,因此上述产品能够借此调用设备本机功能。(举例来说,它们能够以这种方式捕捉标签或者栏位代码。)我们可以根据自己选择的 IDE 进行 HTML 5 应用开发(甚至可以使用文档编辑器进行开发),但开发成品必须与 Antenna 的 API 相对接,否则将无法同 Volt 客户端协作、更不用提接受
6、 Antenna 移动平台(简称 AMP)服务器的管理。有鉴于此,大家不妨以用户政策(例如角色分类)为基础编写安装配置文件。这样用户在登录服务器(大多处于托管状态下)时,应用程序会将与角色相对应的配置文件一同下载至设备当中。服务器同时还会推送软件更新并为 IT 部门提供用于监控使用状况、变更应用许可、锁定下行数据以及清除应用所必要的功能组件,这样用户在离开企业或是调任其它岗位时,管理者就能够快速将其角色剔除或是做出相应更改。虚拟环境的出现终于为业务与个人应用及数据的划分指出了一道康庄大道,但具体实施起来还是有点问题毕竟强迫用户打开容器应用(Antenna 的 Volt 就是最典型的例子)才能访
7、问业务 HTML 应用的做法不够人性、容易引发员工的反感。但从另一个角度看,既然是 HTML 应用,咱们也不必要求太多。毕竟用户在使用任何一款 Web 应用时都需要先打开浏览器,这与打开容器倒也没啥本质区别。另外,由于所有业务资源都运行于 IT 部门的服务器中,因此管理者能够直接对应用进行控制,这跟传统的台式机 Web 应用非常类似。企业自主开发的 HTML 5 应用借助 Volt 的强大功能,得以拥有一片独立的运行空间,因此相关数据的加密与隔离效果也要比设备上的其它信息好很多。苹果的 iOS 平台本身就支持加密及隔离服务,但谷歌的Android 2.x 系列却一项也不支持。虽然在 Andro
8、id 3.x 和 4.x 系统中纳入了加密机制,但隔离仍然是谷歌产品的最大软肋。由于业务 HTML 5 应用的运行完全依托于 Volt,所以 AMP 服务器能够直接对其进行管理,而且绝不会对设备中的其它应用产生干扰。而在 iOS 这边,Amp 服务器同样能够利用 AMP 及其内部集成的 MDM 工具实现本机应用管理。与此类似,AMP 中集成的 MDM 工具还可以管理由自身提供(HTML 5 及本机)或工具提供(本机)的应用程序。值得一提的是,Volt 在离线工作时 HTML 5 应用仍然能正常运行,并在网络连接恢复后第一时间进行数据同步。理论上讲,Volt 控制下的 HTML 5 应用能够以独
9、立应用的状态保存在 iOS 设备的主屏幕中随时等待调用,这就省去了先开容器、再开应用的弊端。其实应用本身仍然处于 AMP 所绑定的安全及管理之下,但用户使用时的感受与普通应用无疑,并不会感觉到 AMP 的存在。某些用户可能喜欢按个人偏好对应用程序进行分组,但 Volt 会强制要求使用者把业务应用统统归在同一个组中。(Android 系统不支持应用与容器绑定,因此 Volt 控制下的 HTML 5 应用必须在打开 Volt 平台的情况下才能运行。)Antenna 公司 CTO Dan Zeck 指出,他们更乐于通过 iOS 的方式运行应用而非强行通过容器,因为 IT 消费者更希望从直观层面上了解
10、业务应用与个人应用间的划分这样既能让 IT 部门轻松实现数据隔离,又能帮助用户在意识上搞清个人活动与业务操作的差异。他同时表示,让业务应用以普通应用的面貌出现在iOS 主屏幕中、同时又确保它们始终处于严格监控之下其实并没有什么技术难度。(黑莓 OS 6 和 7 同样支持这种隐性隔离方案,不过仅有数款最新黑莓 Enter Server 版本支持该功能,并只限 BES 控制下的应用。)随着 MDM 工具开始广泛为应用程序提供支持,AMP 服务器也开始接管起 iOS 应用的安装与管理工作但前提是企业用户必须采用苹果公司推出的企业级 SDK 协议。AMP 能够在许可证书的支持下实现应用的直接安装,这就
11、回避了公共 App Store 中蕴含的潜在风险。这是苹果公司的强制要求,目的在于为业务应用带来与其它 iOS 应用同等级别的高端控制标准。而包括 AppCentral 在内的其它工具也提供相似的功能。不过现在看来,Volt 客户端与 AMP 托管服务器的组合似乎更适用于企业环境,因为这套方案将 LDAP、MDM 工具以及高度加密与验证技术以打包方式集于一身,这极大丰富了管理政策的功能性。(AT&T 公司在其 Workbench 产品中使用的就是 AMP,但 Volt/AMP这套组合可不只局限于使用 AT&T 服务的设备。)Volt 客户端能够作用于使用 iOS 4、5 的 iPhone 以及
12、使用 2.1、到 2.3 版本的 Android 设备;目前其它版本支持对象正在开发之中。第二波浪潮:通过政策直接管理本机应用尽管功能强大,但 Antenna 方案仍然无法作用于本机应用因为本机应用无法在其它应用内部或 IT 服务器上运行。这时就要轮到 AppCentral 和 AppGuard 服务出场了。AppCentral 公司(起初名为 Ondeego公司)已经分别为自家 MAM 技术发布了 iOS 及 Android 版本,以迥异的思路为移动应用程序管理及分布指明了新方向。令人欣慰的是,实践证明了这款产品在本机应用领域的巨大贡献与完美协调能力。在由 AppGuard 服务所构建起的小
13、型独立环境中,我们可以利用 AppCentral 管理政策 API 将“监听器”功能代码添加到 iOS 及 Android 应用中。在 API 的帮助下,应用程序将与 AppCentral 服务器进行交互,使管理者得以将各种政策及用户划分方案加入其中例如限制特定 Wi-Fi 访问请求(此类情况在医疗保健行业比较常见)或者在员工权限发生变更时及时清除应用及数据(比如分包商工作完成、需要向总包交接项目资料)。“监听器”功能会对应用程序启动、前台运行等活动(主要针对应用激活操作)加以监控,并实时检测当前设备与应用状态是否有悖于管理政策。“监听器”功能还能将应用程序(而非设备整体)的状态与活动单独反馈
14、给服务器端,这就降低了管理工作中的人为因素,大大缓和员工、分包商及企业合作伙伴对于监控流程的防备心理。关键在于管理机制已经嵌入到应用程序当中,因此大家无需再为设备本身操心。既然消除了后顾之忧,我们就应当开始考虑将应用程序管理以规范形式普及向更大规模的用户群体,而不再仅仅把眼光放在与企业内部与敏感信息相关的移动设备身上。苹果公司对于 AppCentral 开发的技术赞赏有加,因此 iOS 开发人员也就不必担心自己的应用产品会受到非苹果 API 的侵扰。而在 Android 领域则缺乏此类官方引导这毫不令人意外,Android 在安全性上的疲软已经不算新闻了。不过 AppGuard 技术则为 An
15、droid 指了一条明路,IT 部门能够在它的帮助下将应用集中起来,进而实现企业级别的管理与监控。AppCentral 工具为应用程序提供多项管理服务,其中包括授权许可管理、第三方产品发布等等这在以往的移动领域、尤其是苹果强制要求企业将专有业务应用以第三方产品的形式通过 App Store 发布这一背景下,更加显得难能可贵。而且在 iOS 与 Android 平台的授权许可管理方面,由于苹果 App Store 与谷歌 Play 软件市场都在以用户为单位进行计费管理,AppCentral 的授权许可机制可谓意义非凡。IT 管理者可以批量采购使用许可,并以注册码的形式发放给普通用户,这样员工就不
16、必再经历自掏腰包、申请报销等一系列麻烦的过程而且在大型企业方面,批量发放也让应用程序的实际推广不再困难。尽管AppCentral 提供了较为全面的解决方案,但其中所涉及的问题仍然相当复杂,这就导致 IT 部门与移动操作系统供应商之间的矛盾尚未得到实质性缓和。新型 MAM 正在针对“消费化”趋势做出调整我们目前还处于移动管理发展的初级阶段。在过去两年中,MDM 领域出现了一股不大不小的淘金热,十几家供应商的涌入颇有股群雄逐鹿的味道。而就在去年,MDM 的概念终于在企业用户中扎根,自此即使是对安全性要求最高的公司,也开始尝试将 iPhone、iPad 及 Android 设备引入业务环境并为其提供支持这在 2009 年看来简直不可想象。MAM 则可以看作下一个 MDM,IT 部门的敏感分子们已经把高风险的帽子从设备上取下,转而扣给了应用程序某些是出于合法性考虑、某些则源于新问题的涌现。我个人则满怀热情,期待着像Antenna、AppCentral、Mocana 以及赛门铁克这样的一流安全技术企业能够认
