新的集装箱化技术可以通过在工作和个人使用的智能手机上创建单独的空间来帮助BYOD项目取得成功。
安东尼·珀金斯希望员工在纽约梅隆银行把他们的个人智能手机,并使用这些替代公司发行的黑莓访问企业电子邮件,应用程序和数据。
但这里有一个问题:不是所有的员工都对自己的个人手机被锁上并受到严格控制的前景感到满意,就像珀金斯希望逐步淘汰的黑莓手机一样。这就是集装箱化概念的由来。
一个把你自己的设备(BYOD)策略是好生意,说帕金斯,CIO对纽约梅隆银行的财富管理业务。它减少了参与维护和管理公司拥有的黑莓的时间和费用。“我们希望在管理软件的业务,而不是硬件。在RIM的世界里,你管理的硬件,”他说,指的是黑莓手机制造商Research In Motion公司。
不利的一面,当今流行的移动设备是为消费市场的发展,而RIM系统有超过黑莓的第三方管理工具不提供对用户设备的相同程度的控制。RIM设计并控制黑莓客户端架构,并一直特别响应企业客户的需求。
因为企业应用程序和数据经常与用户的个人内容混合在一起,所以在管理用户手机上的企业资源时,移动设备管理工具往往非常严格。使用策略通常适用于整个设备,包括个人和专业应用程序和数据。用户可能不愿意放弃对他们的个人手机的控制,以换取使用它们做生意的特权。
为了避免用户的这种抗拒,珀金斯转向了“容器化”,这是一种新兴的管理技术,它在用户的智能手机上开辟了一个单独的加密区域,一些企业应用程序和数据可以驻留在其中。在这种安排下,策略控制只适用于容器中的内容,而不是整个设备。
容器化工具通常是MDM软件的补充,越来越多的MDM供应商加入了容器化功能。
但是,尽管围堵是为了保护公司数据,但如果手机丢失或被盗,它不一定能防止个人数据在it部门的清除中丢失。一些IT公司认识到,一些用户可能不知道如何正确地备份他们的个人数据和应用程序,因此正在帮助他们建立备份系统。
Ryan Terry是位于俄亥俄州Shaker Heights的University Hospitals Health System的部门CIO和首席安全官,他转向了集装箱化,因为他认为使用传统的MDM工具来控制整个设备是一个责任问题。医院需要将应用程序或数据安全地交付给临床医生,而不影响用户访问其个人应用程序和数据的能力。他表示:“我们负担不起删除个人性质的东西或妨碍他们使用个人资产的能力。”
西弗吉尼亚大学(West Virginia University)科技部助理主任亚历克斯•约恩(Alex Yohn)也持谨慎态度。他说,“我不希望我的员工在个人方面进行设置,这可能会给我们带来麻烦”,比如不小心删除数据或更改配置,从而影响用户的个人应用程序的运行。
IT行业的领导者们说,对于那些处于高度管制行业的公司来说,它们需要强有力的安全政策,并面临严格的合规要求,集装箱化尤其有助于用户更好地接受BYOD体验。
选择你的容器
供应商提供,在本质上,三种不同的方法,以集装箱:创建加密的空间,或文件夹,在其中的应用程序和数据可以被倾倒;创建一个保护性“的应用程序包装器”创建围绕每个企业应用程序及其相关联的数据的安全气泡;并使用移动虚拟机管理程序,它创建用户的设备上的整个虚拟的手机那是严格用于商业用途。
所有这些方法都能对企业应用程序和用户设备上的数据提供更细粒度的控制,而目前智能手机的安全性还达不到任何标准。有了“集装箱化”,用户不仅可以使用经过认证和测试的智能手机上的设备,因为企业应用程序和数据都存在一个安全加密的外壳里。
然而,Gartner的分析师菲利普•瑞德曼(Phillip Redman)表示,在业务环境和个人环境之间来回切换的需求可能会被视为不方便,并影响总体用户满意度。
苹果和谷歌都没有提供容器化技术,也都不愿对此发表评论,但每家公司都指出了一些可能有用的资源(参见下面的侧栏)。
加密的文件夹
最成熟的集装箱化的方法是使用一个加密的,基于文件夹的容器,雷德曼解释。在iTunes上有这样的产品,和Good Technology是销售到采用集装箱企业范围内,特别是在受管制的行业组织的早期市场。
对于基本的移动访问,BNY Mellon使用Good For Enterprise在智能手机上创建一个加密空间,用户可以在这个空间内运行Good的电子邮件和日历客户端,并使用一个安全的浏览器。“这是一个安全的容器,装有一个应用程序,可以发送和接收加密的公司邮件,”珀金斯说。所有通信都通过古德的网络运营中心进行路由,该中心对移动用户进行身份验证。
数年来,Good一直在提供基本的电子邮件和日历工具。去年年底,它增加了其他应用程序使用Good Dynamics平台在其受保护空间内运行的功能,但每个应用程序都必须经过修改才能在Good的专有环境中运行。到目前为止,大约有十几个商业应用程序可用,包括QuickOffice,它通常用于读取和编辑下载的Microsoft Office文件附件。
珀金斯表示,Good只用于电子邮件和日历——这是大多数员工的“杀手级应用”——以及使用Good的浏览器访问基于浏览器的内部应用。
对于谁需要到企业网络,SharePoint和其他服务的完全访问权限的用户,纽约梅隆银行使用的Fiberlink的MaaS360,基于云的MDM系统,该系统可以利用用户的设备的完全控制权。什么获取写入和操作系统MaaS360监控,并阻止访问某些个人的应用程序,如雅虎邮箱和Gmail,当设备访问企业资源。
“当它在我们的网络,我们拥有它,控制它,”帕金斯说。当在个人模式下使用,个人可以控制哪些应用程式可以使用。
供应商的角度
苹果和谷歌在移动设备管理上的立场是什么
对于苹果和谷歌发言人也不会在这个故事的归属发表评论,但都尖锐计算机世界来,可能是通过电子邮件乐于助人,提供澄清资源。
谷歌
谷歌Apps for Business的,政府和教育管理员可以使用谷歌Apps控制面板在系统级管理终端用户的Android,iOS和Windows Mobile设备。面板允许设备同步与谷歌应用服务,对数据进行加密并配置密码设置。
另一种工具,称为谷歌Apps设备策略,强制执行安全策略,如设备加密和强密码,也可以定位,锁定和擦除设备。它也可以阻止使用相机和实施电子邮件保留策略。然而,不只是支持企业数据的部分湿巾。
MDM供应商可以使用谷歌的Android设备管理API在谷歌应用程序之外提供类似的控制。
至于谷歌的使用需要访问二进制文件创建一个围绕企业具体应用一个策略包装集装箱/应用包装技术的位置,谷歌并没有提供这样的工具本身并拒绝进一步置评。
苹果
苹果表示,它支持第三方MDM工具。它允许MDM server管理内部应用程序和来自应用程序商店的第三方应用程序,支持删除MDM server管理的任何或所有应用程序和数据。
但是,在实践中,MDM服务器是有限的。虽然大多数工具允许选择性地删除或阻塞特定的企业应用程序,但没有自动识别和删除所有相关数据的方法。高德纳(Gartner)分析师菲利普•雷德曼(Phillip Redman)表示:“没有哪个IT经理会坐在那里,浏览每个用户手机上可能存在的数千个文件。”
至于苹果对应用需要访问应用程序的二进制文件创建一个围绕是企业特定应用程序的策略包装集装箱/应用包装技术的位置上,苹果并没有提供这样的工具本身并拒绝发表评论。
此外,纽约梅隆银行(BNY Mellon)可能会擦除所有丢失或被盗的设备,包括所有的个人应用程序和数据,不过MaaS360和大多数其他主要MDM工具都允许选择性擦除。出于安全方面的考虑,珀金斯拒绝透露该公司不得不擦拭手机的次数。
相比之下,只有企业的容器从丢失或被盗的设备,只是必须通过良好的技术,电子邮件和日历访问擦拭。
应用程序包装
一种更新的、更细粒度的方法是将各个应用程序封装在它们自己的加密策略包装器或容器中。这允许管理员为每个应用程序定制策略。支持应用程序包装的工具市场由拥有专有产品的小型供应商主导,包括Mocana、Bitzer Mobile、OpenPeak和Nukona(最近被赛门铁克收购)。
RIM正在努力将这一功能添加到其黑莓移动融合MDM软件中。(除了黑莓,Mobile Fusion还适用于Android和iPhone设备。)RIM的企业软件高级副总裁Peter Devenyi说,公司提供的将是“一个封装的解决方案,在这个方案中,你可以包装一个应用程序,而不需要修改源代码,这样你就可以把它作为企业应用程序来运行,并把它作为企业资产来管理。”
使用应用程序包装工具,“您可以将一个相当完整的、完全包装的、加密的、可控的生产力套件组合在一起,”移动集成商Vox mobile的营销副总裁Jeff Fugitt说。但是这项技术还没有被广泛采用。
Forrester分析师克里斯蒂安·凯恩描述应用程序包装为“应用级VPN”,可以让制定政策,以确定哪些应用程序可以与用户的设备上或在网络上交互的管理员,什么访问应用必须后端资源。它还允许该容器的远程擦拭,包括应用程序和任何相关联的数据。
Gartner的Redman说:“应用程序包装还不成熟”,在这个新兴市场中存在的相互竞争的架构阻碍了增长。但是,他补充说,当这项技术集成到更大、更成熟的MDM平台中时,应用程序包装最终会得到更广泛的应用。
的缺点应用包皮每个应用程序必须进行修改,这意味着管理员需要访问应用程序的二进制代码。这意味着,来吧Android或iOS手机预装一些应用程序可能不支持。此外,可实现比因为得到的二进制代码通过苹果的App Store销售的应用问题的iOS与Android设备的工作更加顺畅。出于这个原因,包装工具,往往不与iPhone应用程序的工作。例如,Mocana的移动应用保护产品不支持iPhone上的电子邮件客户端 - 或其他内置应用程序,对于这个问题。
用户可以访问免费的iOS应用程序的二进制代码,但必须购买应用程序商店的商品,它需要一个协议,购买直接从供应商和旁路苹果的商店。
苹果公司目前对那些使用应用程序包装或更换从苹果应用商店购买的应用程序的用户睁一只眼闭一只眼,“但根据他们的规定,你不应该这样做,”瑞德曼说。“他们可以施加压力,不允许这样做,尽管到目前为止他们还没有这么做。”苹果declined to comment.
未来观察
即将推出基于云的MDM服务
移动设备管理通常涉及在每个用户的设备上安装代理软件,并设置基于服务器的管理控制台。不想自己做?帮助IT管理移动设备和软件的服务提供商非常多。
例如,集成商Vox Mobile提供一种“管理移动”服务,包括全面的监控和报告,Fiberlink为企业电子邮件和文件提供MaaS360,移动运营商AT&T去年推出了基于云的Toggle移动管理服务。
通过Toggle, AT&T在每台智能手机上安装一个“工作容器”,用户用密码登录。然后,管理员可以通过一个名为Toggle Hub的基于云的门户和应用程序商店来管理容器策略。在第三季度,AT&T计划增加在所有托管设备上运行防病毒扫描的能力,以及锁定或清除容器的能力。
“越来越多的数据将进入云计算。但如今,这一比例仍然很小,”高德纳(Gartner)分析师菲利普•雷德曼(Phillip Redman)表示。