行動安全管理
BYOD的潮流
隨著iPhone/iPad/Android的熱賣,走在路上,幾乎就是人手一隻智慧型手機或是平板。不僅僅在生活上,連在工作上,行動裝置也被帶進企業中,BYOD(Bring Your Own Device)的潮流已經形成,勢不可擋。以往在會議室開會,滿桌的筆記型電腦以及變壓器佔據了整張會議桌,還得找插座接電;現在已經有不少人改帶智慧型手機或是平板來開會了,同樣可以當場查E-Mail、行事曆,或是作簡報、及修改報價等文書處理,而不用大陣仗帶著筆電。對於行動辦公人員,或是常常需要在外出勤的人員,行動裝置的輕便與續航力,更是讓人無法不去使用它。
企業既有的資安設備能解決行動裝置嗎?
行動裝置的盛行,對於IT人員的影響,首當其衝是在辦公室內無線網路存取。但在接上辦公室網路後,資安問題隨之接踵而來。特別是行動裝置通常兼具3G上網功能,以往再嚴謹的資安保護都隨著這個新的上網管道而讓公司的資安政策破功。筆者就曾經在客戶處實機測試時,聽到他們的同事抱怨:剛剛才辦了3G上網吃到飽方案,好不容意可以讓公司電腦自由上網,IT就來封鎖,他不就白花錢了!
除了行動裝置在公司內部的資安考量之外,更大一部份的行動裝置運用是在公司外。行動裝置在公司外會須要資安嗎?如果行動裝置有公司的E-Mail、行事曆,會VPN進公司,有公司的機密檔案,當然需要資安防護,而且還必需考量離線狀態的資安防護。這恐怕比原本企業架構在網路連線上的資安措施更讓IT人員頭痛。另外一個問題是,假如行動裝置在外遺失,或被有心人士竊取,那存在裡面的公司機密文件及個資就汲汲可危。
對於行動裝置如果控管的太嚴謹,例如不允許任何非公務的運用,也有可能會造成員工的反彈。因為行動裝置是員工自己掏腰包買的,原意只是要讓自己工作更加即時,結果若是被公司的資安政策綁成行動裝置好像不是自己的,那誰要用行動裝置。所以行動裝置的資安政策也必需考量到私人的應用不該被管制。
行動安全管理方案
- 無線網路安全的管控
將有3G的行動裝置設定開啟個人熱點,讓筆記型電腦可以經由個人熱點上網,這幾乎是在辦公室外工作時的必備工具了。但是把這個功能帶進辦公室內部之後,也讓辦公室電腦可以改走這條路上網,原本在Internet出口端重兵部署的資安設備全部破功,什麼防毒牆、IM/P2P管制、IDP/IDS、網頁過濾全部都管不到了。在這方面,必須針對無線安全方案來提升強化:
無線端點安控(End-Point Protection,簡稱EPP):透過EPP資安工具來禁止使用者利用自有的行動裝置以USB、藍芽與個人電腦連接,規避企業的資安防護系統。尤其是越來越多的行動裝置及迷你型的無線分享器都具有無線熱點分享能力,更容易造成企業資安防護網的破壞與風險。
無線入侵偵測防禦(Wireless IPS,簡稱WIPS):WIPS資安設備,在空中直接利用偵測AP/干擾AP來干擾及阻斷無線網路的連線。WIPS可以設定政策來達到允許某些無線連線,阻擋某些無線連線。簡單來說,防止不允許的無線裝置(Unauthorized AP/Client)接觸與存取企業合法的無線網路環境(Authorized AP/Client),並掌握企業工作空間裡的無線使用環境。
- 行動裝置在公司上使用的資安策略
當行動裝置在辦公室中,是使用公司的無線網路來上網時,就該將其視為公司的端點設備來加以管理與保護。此時Internet出口端的資安措施都還可以防範,不是大問題。要注意的是:
安全的無線網路存取(Secure WiFi):由於無線網路是一種開放環境下的資料傳遞通訊方式,因此企業必須更注重安全性。具備Secure WiFi的無線基地台對於企業而言是兼具安全與管理能力的選擇,能夠強化使用者無線網路連線使用上的安全規範。
無線行動裝置IP的管理(IPAM):員工自行帶來的行動裝置幾乎都是透過無線網路接入企業IT環境,因此網路IP的配發問題便產生管理上的問題。具備IPAM管理能力的DHCP系統可能自動辨別行動裝置類型/型態,依據政策規則配給IP位址並記錄。
- 行動裝置在外使用的資安策略
行動裝置在帶離公司之後,對資安的控管上不會比在公司內部簡單。先撇開個人行動裝置走自己的3G或家用/公眾無線網路該不該管理,行動裝置在公司外存取公司內的資源就是一定得管理的事。舉例來說,行動裝置收發公司的email或同步通訊錄,如果手機遺失或被有心人士盜取,就可能造成公司機密資料或個資的外洩。防止資料外洩的方法有:
行動裝置的DLP方案:對於BYOD的使用上,企業很難避免使用者行動裝置都一定存在公司保護網下,因此讓行動裝置DLP方案是將端點資料外洩防護機制佈置在行動裝置上,對於使用者存取公司機密資料、敏感Email、個資資料時,能夠受到DLP政策的管制與監控。
MDM/MAM行動裝置管理方案:將行動裝置中屬於企業資料加密儲存,並與屬於私人的資料隔離開來。一但有遺失或其它疑似攻擊行為,則可以遠端對企業資料進行徹底抹除。大部份的行動裝置的密碼安全性,比起個人電腦而言實在太弱,但若員工使用於自己私人用途上,也不見得願意將密碼複雜度搞的很麻煩,甚至考慮到員工回到家,小孩子把行動裝置拿來玩,若不小心觸犯公司政策而將行動裝置鎖住甚至抹除,反而會引起民怨。將企業資料與私人資料在行動裝置中隔離起來,只對企業資料進行管制保護,而私人的資料則保持個人自己的喜好管理方式,這才能達到BOYD的精髓,與員工互蒙其利。
解決方案1:BlackBerry