业界是否正大势宣传“自备设备”(BYOD)为下一件大事?我不这么认为。对决定使用自备设备而推动这一问题的用户而言,这种反应十分勉强。重点在于,云技术才是其中的动因。这里指的不是关于云的企业IT理念(由云支持企业IT的作用来定义),而是以网络扩展形式通过因特网访问的真正云技术。用户普遍从使用智能手机向平板电脑转变,同时也在改变其工作方式,这种现象如今几乎随处可见。
情况堪忧。原因何在?因为从定义上看,这是一种不受控状况,而良好的IT管理和做法基于严格控制和治理。考虑这一问题的同时,再反思一下使用云技术会给IT环境带来的好处,就会创造出大量可能性,而同等程度的安全风险也会随之而来。还有一方面需要考虑的是与客户和供应商等进行外部交易,当然,交易以“内容驱动”形式在网站上进行,并且越来越多地采用云技术通过整合服务与应用程序完成。上述所有活动都同时开展,相关部署工作的交付或采纳面临巨大压力。
在应对自备设备之前妥善落实安全治理
当我读到凯捷同事撰写的标题为《云安全之旅 – 控制问题》的新白皮书时,我自然就产生了共鸣。我会让大家读一读全文,文章对云的各种使用方法进行了划分,并且确定了各自的正确使用方法。和平常面临棘手的复杂话题时一样,这篇文章也成功地对整个话题进行了有针对性的细分讨论。这一点非常重要,因为在应对自备设备之前,有必要确定一定水平的基本安全治理并妥善落实。
以“不允许”为由弃用自备设备并非解决之道
我要重点讨论一下自备设备,因为这一重大事实简直“失控”,几乎到处都需要对其报以极大关注。有人倾向于以“不允许”为由打算弃用自备设备。但这在目前和将来都完全行不通,一个很重要的原因就是很多担任领导职位的董事会高管都使用自备设备!我尤其听说iPad被称作“行政革命”,有充足的理由支持人们使用这一设备的愿望。有趣的是,某些大型IT供应商也对此表示支持。SAP最近发表了一篇引人关注的文章,标题为《iPad让公司某些销售人员业绩翻番》,声称自家公司和IBM均堪称商业领袖。在SAP极力主张使用自备设备的情况下,企业IT要以危及ERP系统为由而加以反对并非易事。
现在,很多网站都专门致力于支持使用iPad开展业务,其中列举了许多不同领域都获得了不少商业利益的典范,以及在技术本身及其管理方面的一些实用窍门。iPadCTO网站就是一个很好的例子,网站有些名不副实(至少在我看来是这样),从网站内容来看,我认为应该叫iPadExecutive。建议大家浏览一下这个网站,深入掌握iPad业务革命的基础知识。ipadtowork网站可以找到关于索引垂直行业部门的例子,坦白说,任何商业新闻对此话题都可以大肆谈论一番。在面对这些数不胜数的实例时,辩称“不允许”显然是站不住脚的。
如何应对云安全和自备设备
下面看一下实际操作步骤:显然,我们需要评估设备本身带来的风险。这方面的信息少得出奇,从eSecurity Planet网站就能找到答案。操作系统的简单性与设计特点限制了产生威胁的机会。同样,其通过苹果应用商店(这也是一种云服务,虽然是一个的有趣例子,因为其既可公开访问,又有严格的私人管理和访问权)的操作方式有助于进一步增强安全性。当然,iPad和其他自备设备理应由用户操作,而且应根据专门政策按“防火墙外”设备进行维护。将这一现象定义为“自外而内”的概念(参见凯捷白皮书对此的论述)在业界日渐流行,这意味着“防火墙内”或“自内而外”的企业IT已实现安全隔离。
较大的风险来自于用户本身及其行为,尤其是在涉及电子邮件和附件,或者联系人文件中存有密码的时候。总之,需要“保护”的头号问题是用户!在传统安全领域,这也是不争的事实,但对自备设备而言,IT部门的“控制”能力对于维护实际安全十分有限。我的看法可能是错的,但我认为,需要采取一些规则指南以外的措施让用户对个人风险产生清醒认识。大家可以参考pwnedlist网站,这是一种比较好的做法,该网站可以对任何电子邮件地址迅速进行匿名检查,了解其是否受到黑客攻击。此外,我还强烈建议每月登陆https://www.pwnedlist.com/检查您的电子邮件地址,测试一下您是否属于目前1200多万受到危害的用户之一。这是一种非常个人化的做法!
因此,我们应当双管齐下,一方面,采用结构化的方法和工具实现面向云的“企业走出去”策略,同时,选择围绕自备设备的“用户走进来”策略并应对新的个人风险。如果您能够驱散“迷雾”,云技术许多有益方面的安全实施就都能实现。