听说有种BYOD和移动安全的方法,它涉及围绕各种应用(消费类和企业类)使用应用封装来部署加密、安全协议和其他措施。应用封装能否提供足够的安全性,这种方法比移动设备管理软件更好吗?
Michael Cobb:现在有广泛的移动设备管理(MDM)和移动应用管理(MAM)产品可供企业选择,以帮助他们管理其BYOD环境。MDM的问题是,它采用全设备的方法来保护和控制智能手机及平板电脑,而智能手机和平板电脑都是员工自己持有的设备。在另一方面,MAM提供更细粒度的控制,但它受限于移动设备底层操作系统的安全功能。虽然微软、谷歌和苹果等供应商不断提高自己操作系统的安全性,他们永远不可能做到100%的安全,并且,糟糕编写的应用可让攻击者利用潜在的漏洞。
大多数MAM产品基于这样的假设,即BYOD设备使用的移动应用可安全运作以及保护其处理的数据。根据BlueBox Security最新报告显示,这是一个错误的假设,因为在接受调查的开发人员中,超过50%承认使用快捷键或临时解决方案来更快构建应用,而96%使用可能不安全的第三方软件框架。这种“仓促开发”的方法让很多应用没有基本的安全控制或隐私政策,有时候导致它们包含编码错误,而导致设备容易受到攻击。
应用封装是修改移动应用二进制来提高增加其安全和管理功能的做法,它在MAM中发挥有用的作用。通过在新的容器化程序(内置所需的应用级MAM功能)中“封装”应用,应用封装对移动应用构建了管理层。这个过程不需要对底层应用有任何改变--它需要访问应用二进制,但它让管理员仍然能够设置特定政策元素,例如是否需要用户身份验证、是否在默认情况下启用数据加密以及与应用有关的数据是否存在在设备或共享。当设备缺乏足够的设备级MAM功能(例如不同的Android手机和平板电脑)时,这是很有用的方法。并且,在无法使用MDM产品管理设备时,应用封装也是有效的工具,这种情况BYOD环境很常见,因为其中涉及很多承包商和其他第三方用户。
然而,由于应用封装可以改变应用的行为,并可重新设计以及重新发布应用,这带来了各种许可证问题,而整个行业对这个问题仍然没有定论。普遍的共识是,使用应用封装与公共应用商店的规则相冲突,否则任何人都可以封装现有的应用并重新发布它。随iOS 9同时发布的苹果开发者企业许可协议中有新的规定,禁止应用封装公共应用的做法。此前未公共应用提供应用封装的Bluebox Security不再为Google Play或Apple App Store的应用提供应用封装。另外,微软认为管理微软应用的唯一方法是通过微软Intune或者使用设备级MAM。
随着移动设备操作系统供应商为工作和个人数据及应用推出内置分离功能,使用应用封装的做法可能会逐渐减少。另外,针对企业市场的软件供应商正让其应用更易于通过MAM进行管理。但是,应用封装仍然可在操作系统提供的安全之上增加安全层,或者在内部构建应用的情况下,从一般开发过程抽象化MAM的部署以及安全功能。现在有各种供应商提供应用封装产品,例如Mocana Atlas Appliance、Citrix和AppSense、Nukona(现在属于赛门铁克)以及OpenPeak,但企业应该确保在开发应用封装战略之前,他们完全了解所有许可问题。