MDM 已成過去:為什麼 vdi 才是流動裝置管理關鍵
BYOD(Bring Your Own Devices)已成為企業不可不關注的範疇,而根據我們過往替企業部署 BYOD 方案的經驗所知,員工在採用自己熟悉的裝置進行工作對提升工作效率帶來了幫助。但問題來了,究竟 BYOD 的管理工作上,企業應採取那一種策略才可同時確保企業網絡以及資料的保密性/但同時亦不會侵犯員工私隱,令員工出反感?
MDM 是甚麼?
提到這方點,可能你會說 MDM 方案加上適當的公司政策已能解決。但反思一下後,你便會發現 MDM(Mobile Devices Management)與 BYOD 其實並不可混為一談。MDM 的作用在於能統一管控所有網內的流動裝置,包括能限制員工於公司範圍之內瀏覽特定網頁、限制開啟 App Store、限制打機、通過定位技術得知員工所在位置、通過定位技術限制了流動裝置進入指定範圍時的操作權限(例如進入數據中心不能拍照)等等。(先聲明一下:MDM 在某些地方,例如針對學校的電子學習計劃,禁止學生在上課期間使用某些功能等的確十分合適)。
手機屬於自己、我可以不讓公司監控嗎?
儘管 MDM 能讓管理員監控一切,但問題來了:作為員工,自己付費購買的裝置,又為什麼要讓企業監控?根據過往經驗,很多企業都會制定內部的政策及監控指引,並列明採用 MDM 作流動裝置管理時將會如何處理員工個人資料以及對負責管理的 IT 主管的相關限制、法規等等,希望早早說清楚令員工「放心地讓公司監控自己的流動裝置」;不過話又說回來,假如員工堅拒讓公司監控自己的流動裝置呢?那要如何處理?
1. 有些公司(如果有充足資金)便會考慮免費為員工購買屬於公司的流動裝置,由於該設備是由公司提供的,那即使要進行監控亦無可口非;
2. 另外,有些公司會直接解雇不願意接受 MDM 監控的員工,這可是真人真事呢!我們其一些讀者的公司便是這樣做的。
3. 不讓自攜裝置連接公司網絡。
部署 MDM:製造白色恐怖同時麻煩自己
而對於管理工作上,MDM 亦絕對不容易處理。1. 首先 MDM 方案往往需要先於員工的手機之中安裝指定應用,雖然這類型方案已可做到批次安裝,但對於較為封閉的 iOS 在支援上仍見不足;2. 例如部份支援 Android 系統的功能,在 iOS 由於其本身系統的限權問題,因而令 MDM 方案失去應有效用;3. 作為 CIO 亦要時常留意各家廠商所推出的最新流動裝置,事關 MDM 方案並非萬能,部份太新、太舊或太過獨一無二的系統,自然並不能提供支援;4. 隨著流動裝置愈來愈多,管理工作亦隨之遞增,對於 IT 管理工作上帶來了一定壓力;5. 由於不同型號的流動裝置在 MDM 管理上所能做到的功能及可接受管理能力都不一樣,所以 MDM 方案並不能確保作為管理者可擁有絕對圴監控能力。
結論就是 MDM 方案不但增加了管理者的工作量,同時針對不同型號的流動裝置的監控效果不一,令 MDM 方案的監控能力並不能達到統一,所以採用 MDM 方案管理流動裝置絕對不是未來的趨勢。… 當然採用 MDM 仍有其他問題,不過要逐一解釋的話,恐怕要多來數篇文章才可,因此請恕筆者省去此部份:)
觀念需改變:確保企業資料安全已足夠
很多人總是有一種控制欲,總是認為能監控一切才是王道,不論政府或企業主管都一樣,但監控所換來的,很多時都會適得其反;其實要令企業真正向前一大步,IT 主管便要嘗試改變這種觀念了;例如從教育員工著手,提升其對資料安全、網絡風險的概念及警覺性,往往對比採取強硬的監控更為正面,而且亦更令員工所歡迎;當然企業亦需採取一定的政策及方法去完善整個 BYOD 上的管理流程。
提到企業監控員工的流動裝置,主要原因不外乎以下的幾個原因;其一是害怕因外來的裝置缺乏應有的管理所導致的種種問題,例如是本身裝置之中的病毒/惡意軟件因裝置連接公司網絡而引起的安全風險;其二便是害怕員工將公司的機密資料外洩等等;前者我們可以通過於網絡層面解決,例如交給企業的防火牆進行防護又或者可完全禁止員工自攜裝置存取企業網絡;至於後者則可採用虛擬化加上雲端協助下達到防止企業資料外洩之效。
.vdi(Virtual Desktop Infrastructure)解決企業資料外洩隱憂
其實解決了企業資料外洩風險,某程度上便等於解決了一大自攜裝置(BYOD)上的管理問題;現時的 .vdi 方案很多時主要以虛擬桌面的形式向用戶提供服務;例如用戶要存取公司的資料,便需要先通過進入指定的應用之中並完成登入才可,而這指定的應用本身會連到公司的伺服器,加上這些 vdi 的手機應用大部份都是一個 container base 的設計,就好像大家於 iOS 之中使用的 Google Drive 一樣,所有檔案的製作、檢視、瀏覽等只可於應用之中遙控遠端伺服器進行,而用戶進行的所有動作均不會直接存取到用戶的流動裝置之中,這樣一來便可做到避免資料外洩之效。
禁止採用公司網絡存取 vdi
而上述提到的網絡風險問題,在舊一代的 vdi 方案之中仍然存在;事關當年礙於技術又或者公司政策等種種限制,員工假如需要存取 vdi 服務,很多時必先連接公司網絡,然後才可採用 vdi 方案。但員工自攜裝置連到公司網絡後,又帶來了另一個問題,那就是裝置本身假如存有病毒的話,對於企業網絡必定帶來了較高的安全風險;幸好技術進步,現時 vdi 方案已可直接部署於雲端之上,而員工亦可通過採用自家網絡服務(由不同手機網絡服務供應商提供的 3G/4G/4G LTE 等)直接連接到 vdi 服務的登入頁面,最後通過手機應用登入後直接於公司伺服器端進行工作。
提到 vdi 方案,現時市場上有多個品牌都有提供,例如 Citrix、VMware、咪記等,接下來我們將會於下一為大家介紹其中一套方案……..有興趣的話請按此繼續瀏覽。
