自带设备时代，企业如何管控设备安全

自带设备（BYOD）就开始在企业场景中出现。当时以 智能手机开始流行，也明显改善了人们办公和生活方式，很多员工也开始用智能手机取代公司配备的黑莓作为办公设备，由此带来了自带设备的风潮。

而苹果在 iPhone 获得企业重点关注之后，又紧锣密鼓开始推动硬件的全面发展，首先推出 MacBook 作为 Windows 设备的替代产品，之后又陆续为更多用户提供专用办公设备、以及用于轻量化办公的 macOS 服务器等。

1. BYOD 面临的挑战
在 BYOD 刚开始流行的时候，企业禁止员工使用 BYOD 也是无可厚非的。其中一个很重要的原因在于管理员认为，管理多个不同设备会增加工作量，威胁内网安全性，还会导致设备和应用之间的兼容性问题。BYOD 问题的本质是将基于 Windows 系统的同质环境转变为异构环境，而这种环境会不断增加管理成本。

但是，终端用户依然坚持使用 BYOD。一方面自带设备在外形和功能上有了不少改进，既能提高工作效率，也满足了个人使用需求。另一方面，厂商也在设备的联网功能上下足了功夫，精通技术的员工最终还是会把手机和其他办公设备连接到企业内网。iPhone 用户甚至可以绕过黑莓的 Exchange Server 插件，直接访问公司的邮件服务器。因此，很多企业最终还是向 BYOD 妥协了，并且为了确保对 BYOD 的控制和设备安全，很多企业专门开发了程序来支持 iPhone、安卓、黑莓、Mac 和 Linux 等常见的设备类型。

在当时，大多数企业基本上都接受了 BYOD 低安全性和高运维成本的问题，部分企业也实施了移动设备管理解决方案来帮助管控这类设备。到今天，几乎所有企业都存在异构环境，尤其是初创企业，这类企业在云基础设施和 SaaS 应用上投入巨大，基于 Windows 系统的设备仅占50%。因此，企业需要一种新的模型来管理不同的设备类型，特别是 Mac 和 Linux 设备。

2. BYOD 问题的解决方案
云目录服务 可以有效助力企业管理 BYOD。该方案的优势在于对 Windows、Mac 和 Linux 设备一视同仁，统一管理。采用 DaaS 之后，企业只需要在希望管理的实体或虚拟设备上添加一个小型代理，就可以实现所有设备和用户统一认证授权、全局激活/停用，从根本上提高安全性。Mac 和 Linux 设备可以和 Windows 设备一样进行统一管控。

BYOD 在未来势必会继续沿用。也正是深知这一趋势，企业多年来一直在寻找方法将不同设备类型集成到基础架构中。对于移动设备，企业可以考虑 MDM （移动设备管理）解决方案。其他类型设备则可以借助 DaaS 统一管控 Windows、Mac 和 Linux 这三种主要的设备类型。

设备安全依然是主要的企业网络安全问题

自带设备（BYOD）环境在安全方面可以说是臭名昭著，在网络安全边界时代尤其如此。网络安全边界是指企业通过在中央网络建立基于防火墙的网络边界来保护资源，用户需要输入用户名密码等进行身份验证，还会根据 IP 地址对设备进行验证，通常通过一次验证后就不再重复。此外，网络边界外的身份验证通过后就会授予用户所有访问权限，换句话说只要黑客成功违规一次就能获取企业网络的全部访问权限。

此外，密码的安全性最低，IP 地址在验证单个移动设备时也不够可靠。面对如此复杂的网络威胁，大多数安全专家都建议企业未雨绸缪，在网络安全边界框架下，任何通过验证的用户都可以在企业网络内自由移动，很容易出现横向移动攻击等漏洞。

另一方面，随着远程办公的普及，网络边界安全问题成倍增加，原有的物理网络边界也难以保护远程办公场景下本地中央网络以外云资源的安全。

与此同时，用户在办公室以外的场所办公导致越来越多移动设备涌入去中心化的网络，其中很多安全性未知的非托管设备访问了企业资源，让安全问题雪上加霜。这类设备可能对企业网络造成以下方面的问题：

• 设备不可视：管理员看不到网络上的设备就无法监控设备活动，检测可疑行为，处理安全违规问题或从网络中删除未受保护的设备。一般来说，缺乏对网络设备的可视化会影响 IT 部门了解企业的网络状态和设备活动情况，可能在关键区域产生盲点。
• 安全合规和执行受阻：管理员无法对非托管设备强制执行密码验证、多因素认证 （MFA）、病毒查杀或软件更新等安全策略，结果是访问企业资源的设备中可能存在重大漏洞被黑客用于制造攻击。
• 个人数据和企业数据混杂：将企业数据暴露给未经批准和未受保护的设备可能存在敏感数据被篡改或破坏的风险，这和第三方应用和数据连接企业资源一样危险，还可能产生合规风险，尤其是涉及个人身份信息 （PII）的情况下。
• 缺乏遥测：自带设备（BYOD）不支持向企业 IT 部门提供遥测，可能会影响 IT 部门的故障调查。