无边界IT与移动化安全

背景

在移动化和云化的大背景下，企业IT基础设施的内外边界逐步模糊，传统基于边界的安全模型，很难有效的解决企业的安全问题。Google就是一个例子，Google在2014年发布了“BeyondCorp”安全模型，此模型的核心，是基于员工和管控的设备进行访问的控制与授权，而不是基于员工所处的网络位置来进行管控，这种“零信任”的无边界IT的安全模型，已经得到业界的认可。

在Google这种模型下，没有了内外网的概念，所有的应用都可以通过Internet访问，因此非常适合企业IT公有云承载，也符合企业移动化趋势，业务在任何时间、任何地点、任何设备都可以访问。

挑战

在Google“BeyondCorp”模型中，虽然网络的物理和逻辑边界消失了，但是用户和设备的边界是依然存在的，要实施移动安全保护，直观的方案是基于移动设备和员工身份来进行管控，但是我们分析发现仍然存在严重的安全问题。

移动办公的BYOD模式下，设备属于个人，即使是企业部署了MDM策略，企业也很难控制个人的应用下载和使用，而就目前的统计数据来看，个人手机的木马病毒感染的安全问题存在增长趋势，基于设备的安全管控，存在非常大的风险。

黑客可以通过多种传播渠道传播木马病毒，据统计，2013年到2016年病毒年均增长达到72.3%。数据背后是已经成熟的手机病毒木马黑色产业链，从例如“刷广告流量”、“恶意勒索”，“隐私盗取”、“支付信息盗取”等，个人手机上的木马病毒是BYOD设备上的企业数据的巨大的威胁。

方案

深信服认为需要超越“设备”边界来进行移动安全保护，在“无边界IT”架构下，创新定义移动化业务的“数据边界”，基于“数据边界”和身份认证对移动业务进行全方位的保护。

在终端上，深信服创新实现了独立的“工作域”，与个人域的应用与数据严格隔离，形成终端上的数据边界；企业数据使用SSL加密传输，与个人数据隔离；企业App服务器隐藏在EMM接入平台之后，对外隐藏，与公网隔离。终端、网络和服务器三个维度的封闭边界，是移动应用和数据的安全的强有力保障。

特点

1.   内外网无差别的保护：在“零信任”网络安全架构下，深信服EMM安全方案使用统一的安全接入方案，即使终端在企业内网接入，也进行无差别的安全保护，避免内部网络安全问题形成的防护短板；

2.   严格的访问控制机制：基于用户角色和设备特征码的认证，支持与企业现有的认证数据库对接，控制不同角色员工的移动App下载和应用服务器网络的访问权限；

3.   全面的攻击入侵防护：终端工作域与个人域沙箱隔离，防止个人域病毒木马窃取企业数据；网络数据高强度加密保护，防止中间人攻击；服务器内网隐藏，降低黑客攻击和入侵的风险；

4.   移动终端防恶意泄密：工作域内数据对个人应用完全封闭，不允许员工通过复制粘贴、微信/QQ社交分享、文件网盘存储分享、截屏等恶意手段泄露企业敏感数据。

结语

无边界IT，源自企业云化和移动化大背景，深信服基于多年对企业客户的理解推出的EMM安全方案，创新提出“数据边界”移动安全防护，结合移动设备管理和移动应用安全自动封装，能够支持企业现有业务的移动化安全保护，并支持未来业务的移动化创新。