科罗拉多州博尔德的Enterprise Management Associates Inc.的安全老将,也是研究主管Scott Crawford解释了CIO们如何防止用户回避远程访问安全策略,并勾画出了CIO们可以采取的技术路径以安全地管理移动设备。
SearchCIO.com:为了开发远程访问安全策略,CIO们应该如何开始确定他们的要求?
Crawford:您不仅需要知道数据位于哪里,而且要知道如何访问它以及它在您的整个IT组织范围内是如何流转的。这将帮助您确定您需要关注的重点。看一看从哪里以及通过什么类型的终端访问数据,您将有更好的主意。它会给您用例场景,这些用例将有助于您确定合适的策略应该是什么。然后您就可以开始评估将帮助您解决这些问题的技术。
您需要了解在您的组织中,数据是如何流转的。人们注意到这一点了吗?
Crawford:嗯,这是几年前采用DLP[数据丢失防护]技术的一部分原因——事实上,有如此多的内容围绕组织在流转,在组织内部,流向员工、商业伙伴、与企业没有关系的组织。我们如何控制它?DLP可以让您看到这些活动,但它也有局限性。确定高度结构化的类似帐户号码的数据,的确是很好的;当谈到非结构化的数据时,它面临着一些非常严重的挑战。
IT部门怎样才能阻止用户避开远程访问安全策略?
Crawford:您可以从您遇到的最常见用例开始。电子邮件可能会是***个。这并不是说,DLP[工具]是良方;这意味着您需要洞察,在您的组织中,内容是如何流转的。也需要考虑出口路径,数据如何离开并落入坏人之手。移动化的确加剧了这一点。问题是,您必须首先考虑,这些设备的真实数量以及人们想要从它们访问的内容。并且,顺便说一下,如果只处理在您的组织中大量出现的消费者设备,您很可能不会获得额外的人头数。
另一个典型的出口路径是对应用程序本身的访问,这就是您可以施加一些更多控制的地方。作为访问其他资源的一种手段的对网络的访问,显然会给您相当广泛的访问权,以访问在环境中的大范围的内容,但不是所有的访问都和从移动设备上的访问等价。当然,大多数[移动设备]有一个浏览器,但问题是,您如何保证先访问Web应用程序呢。所以,手机更多的是催化剂的作用,而不是***可以考虑的事情。
对于BYOD[员工携自带设备]方案,您看到什么样的方法?
Crawford:有一些厂商能够真正使BYOD策略成为可能,并就员工允许带入或访问什么,给组织很多自主权。对于VDI[虚拟桌面基础设施]供应商,这是他们的谈话要点之一。如果您使用VDI技术,数据不会发现到端点的路径。
当人们开始着手选择用于远程访问安全的技术时,您有什么建议?
Crawford:对于这一点,人们就是否介入移动设备管理左右为难,如果确定要介入,对于企业应用或者将成为一个敏感点的应用,可以采取容器化的方法。换句话说,您能隔离这些应用并给移动用户访问业务内容的权限,而且您也能保护他们免受和其他应用或者移动设备本身之间的未想到的或恶意的交互。虚拟化技术是对付它的一种办法,但在今天的市场上,也有一些容器方法。还有一些NAC[网络接入控制]厂商,他们深刻了解网络环境的真正的细粒度的、也了解对包含移动因素的网络环境的访问上基于策略的控制。
