移动管理:过去式和现在进行时
2014-04-15高俊峰
移动管理:过去式和现在进行时
移动应用正在深刻地改变着企业管理移动设备的方式。如今,企业的重点不再是如何保障设备自身的安全,而是保障设备上的应用程序的安全。
在这方面,有两种主要的方法:应用容器和应用封装。这两种模式提供了移动应用安全的不同方法,以及不同的雇员体验和结果。本文将阐述这两种模式、可能的使用情形以及在选择方法时应当考虑的问题。
不同点
应用容器,又称为应用程序沙箱,是一种软件开发和移动应用的管理方法,它可以限制某些代码的执行环境。其目标是通过隔离某个应用程序,防止外部的恶意软件、入侵者、系统资源或其它应用与受保护的应用进行交互。“沙箱”原指儿童玩的沙箱,其中的沙子和玩具被保存在一个小的容器或封闭的区域。容器化是一种在应用程序的设计或重新装配过程中所采用的前摄性的主动方法。
而应用程序封装是将管理应用到移动应用的过程,它并不要求对底层的应用进行任何变更。应用封装方法允许移动应用管理员设置可应用到一个或一组应用的策略要素。策略要素可以包括如下类似的内容:某个特定的应用程序是否要求用户身份验证,与应用程序相关的数据是否可以存储到设备上,或者是否允许特定的API(如复制和粘贴或文件共享),等等。
我们可以这样认为,容器方法将应用程序、服务、身份验证、数据等连接在一个被称为包的容器中。这个容器可能仅仅是一个可以将几种功能聚集起来的应用程序,或是一个可以聚集不同应用类型(本地的、Web或虚拟的)的更复杂和全面的空间类型,它可以控制信息共享的方式。容器的一个明确特性是,它可以控制哪些可以进出容器。一般来说,IT实施这种控制,即意味着增加安全层。
应用程序的封装是指给一个独立的应用程序增加一个安全层和管理功能。从移动设备管理(MDM)或企业移动管理(EMM)厂商的观点来看,应用程序的封装可以确保企业内部开发的应用程序与EMM方案正确地交互。这就要求对应用程序原始代码的访问,而应用程序的封装过程要自动地增加需要提升管理和安全性的代码。
应用容器也可以连接到应用封装,因而这并不是一个二选一的问题。例如,EMM的应用封装特性,可以包含在同一家厂商的容器特性中。
使用情形
我们可以将容器分为两种类型:安全和开发。那些试图保护设备上的数据以及定义数据如何与其它应用交互的企业,可能喜欢安全容器,它是一种标准安全的面向存储的本地应用,或是一种预配置的有特定任务的应用,如设备上的个人信息管理器(PIM)客户端。
开发容器可以是一种将连续管理应用到应用程序的标准方法,因为这种应用是为特定的移动平台开发的。企业要依靠实施连续管理的预配置工具。而封装方法则更具体,并能够在封装之后使移动应用的执行更有特色。
应用封装主要用于那些为内部使用而开发其自己的应用程序的企业,这些企业需要以一种半自动化的方式对应用程序实施额外的控制。
容器可以有许多种使用情况。由于容器一般可以建立多种设备标准,所以此方法可使那些拥有大量的不同设备类型的公司获得好处。高度安全的公司还可以明确地区分容器中的高风险数据,以及容器外部的低风险数据,从而获得更多好处。
上乘之选
封装方法可以将更广泛的策略应用到正在部署的应用程序中。将策略控制和数据保护应用到应用程序而不是在设备上将成为未来移动管理的方向。
从理论上说,如果使用了适当的工具,任何应用程序都能够与策略封装在一起,而容器意味着要从一组以前构建的应用程序或数据仓库中选择。虽然封装往往用于应用程序的管理,要求改变内部开发的程序代码,但这会违反面向公众的应用程序的许可协议和用户管理,并可能导致应用程序的性能降低。
目前,专家们一般不会偏爱某种方法。由于封装主要适用于定制的应用程序,许多中小型企业甚至并不考虑这种方法。此外,许多移动操作系统的内置特性使得某些封装功能成为多余的东西。
考虑哪些问题
企业在选择某种方法之前,不妨考虑一下是否真正需要它。如果检查电子邮件是企业唯一的用途,那么上述两种方法可能都不适用。如果多种设备上的各种应用正在共享和操作电子邮件附件,那么封装和容器这两种方法都可以保证有效。
应用封装使企业的应用程序与封装应用程序的厂商产生密切的关系。容器化还使交换机厂商难以应对,尤其是用户们在适应了容器方法时。
一个关键问题是,是否部署了特定的技能和工具。通过应用管理,企业移动管理(EMM)厂商可能有一个可以实施的方案,因而就能够用适当的成本维护应用程序和设备的管理控制台。
对于在人员和工具方面有很大投资的企业来说,将已经部署的过程和工具结合起来开发应用程序,可以确保移动管理更加平滑地与构建、更新应用程序进行集成。虽然有些工具可能既适应以企业移动管理(EMM)为中心的使用,又适应以开发为中心的使用,但厂商的特长一般可以确定它更适合哪种情况。
(高俊峰)