大家都知道,移動端尤其是像現在員工的BYOD事件日益增多,移動信息安全也是大家日益關注的主題。下面請北京泰一奇點科技有限公司副總裁劉勇先生分享:移動虛擬化技術與企業移動安全管理。有請。
劉勇:各位來賓下午好。下面由我和大家分享一下我們在移動虛擬化技術方面的研究,以及在企業移動安全這方面的一些觀點。主要從這幾個方面來講一下我們分享的內容:企業移動信息化的挑戰,移動虛擬化技術介紹,如何利用移動虛擬化技術解決我們所面臨的這些問題,最后介紹一下泰一奇點公司。
剛才熊總也提到了,現在這個時代已經是翻天覆地的變化,我們每個人都有自己的設備,智能終端設備,它已經成為了你身體的一部分和生活的一部分。這個智能終端會有更多的和商務、辦公、企業組織相關的活動在你的移動終端上進行開展,我們又不能像保密機構一樣發一個專用的智能終端設備來解決這些問題,我們會更多的利用自己的設備,員工自己的手機和筆記本電腦來完成工作,這個趨勢也是非常的明顯,已經會有越來越多的公司是允許員工自己的設備來接入到企業的內網進行相關的移動應用。
前期我們做了一些安全的分析,有很多公司非常擔心企業的數據在員工手機上,在使用過出現一些遺失的風險,有很多的公司也發生過這樣的一些事情,手機丟了之后,企業的數據怎么辦?有很多時候會帶來更多的損失,我們做過一些這樣的統計,每年的損失還是比較大的。有一些組織就會采取一些措施,要對整個設備進行安全管理,將所有的設備管控起來。只要所有使用了安全管控的設備要進行一些密鑰保護,設備丟失的時候要進行遠程管理,更多的還要采取一些加密的技術來保證數據在移動端的安全。很多員工也會擔心自己的手機的一些個人健康數據和個人信息,會不會隨著安全管控造成個人隱私泄露,這也是很多方面需要考慮的。
整個移動安全市場呈現爆發式增長,全球市場從2014到2018年增長比例是非常高的,相對國內來講,也是在這塊有比較大的增長。泰一奇點一直專注于移動領域研究安全的問題,以及找到一個適合目前階段的,兼顧了安全和易用的解決方案。
移動化的過程中有很多的挑戰,首先是移動的開發。前期在開發的過程中,像OA、ERP和CM系統不是一開始就考慮了我們在移動端怎樣來使用和訪問的,我們必定要帶來一個問題,就是怎樣把這些應用交付到移動端去,是做一個APP、做一個開發,還是怎樣的過程。我們的CIO都能體會到,我要開發一個移動應用,開發周期很長,開發的成本也比較高。是什么造成了這個問題呢?是因為它的開發模塊比較多,它要開發自己的業務模塊和認證模塊,還要開發和安全相關的模塊,還要開發數據存儲的模塊等等。而且每個應用廠商在考慮自己業務實現的時候,它會很少關注安全的問題。我們整個企業又會在整個安全上有一些統一的標準,怎么來執行,這也會造成不同的開發廠商水平不一樣的情況下,執行的力度也會不一樣,效果也會不完全一致。
要解決移動應用的分發問題。今天上午我們看到了有很多的應用,包括銀行類的應用都有N多種版本,被不同的打包到不同的應用市場上去,我們怎么解決企業員工拿到的應用就是企業想要給它的應用呢,怎么解決這個應用安全的交付到我們自己員工的手機上呢,這個問題是一個比較重要的問題。
還有相互之間的認證問題,一個應用開發好了,另一個應用也開發好了,每個應用進去的時候我要做相應的登錄,怎樣完成比較好的體驗,一個應用開發進去,所有的應用都能自動的使用。還有安全的問題,惡意軟件爆發式的增長,如果你的移動應用沒有在手機上加以保護的話,我的一些病毒和木馬獲取你的相關信息是很簡單的,我們曾經做過一些攻防的測試,在一些安卓手機上,我很輕易的就能拿到你存儲的文檔、短信信息和通訊錄等等。那么像釣魚和很多攻擊手段,都會從以前的PC端轉移到移動端,有更多的安全困擾會阻礙著我們在移動信息的發展。
隱私數據外泄。可以從兩個角度看,一是員工自己單身自己的隱私數據外泄,個人的健康數據、個人照片等和企業沒有關系的數據是不是會被泄露出去,二是企業擔心的是和企業相關的數據會不會被泄露出去,隨著手機的丟失或者是手機上木馬病毒的存在,把企業的數據給外泄了,這是不同的對數據保護的看法。還有設備管理,我們知道BYOD的模式,拿自己的設備來進行管理的模式,設備的類型非常多,華為、三星、小米、中興、蘋果等等的類型非常多,執行統一的管理難度是非常大的。還有你要讓所有人都要執行相同的安全策略也是比較困難的一件事情。所以,我們看到了移動化的過程中,我們期待要解決的問題,從應用管理到設備管理,還有到隱私的管理和一些安全的管理,內容的一些管理,它是方方面面的很多的層面。我們可以看到,在移動端來解決這些問題,我們又可以看到借助了很多技術,我們先看一下虛擬化的技術。
虛擬化大家并不陌生,大家使用的很多,服務器虛擬化、存儲虛擬化和網絡虛擬化,包括我們在PC上也會用PC方面的虛擬機等等。怎么在移動端使用虛擬化技術呢?我們看到有兩種方式,一種虛擬機的模式,另外一種叫做APP? Wrapper的封裝打包的虛擬化技術。 Hypervisor是獨立的虛擬化模式,而應用打包則是對應用集成封裝的技術,讓你在邏輯上感覺到有一臺虛擬的空間來運行相關的移動應用,但這是兩種不同的虛擬化技術。
在虛擬化這一環,我們可以看到Hypervisor,它的更多層面是基于硬件來做準虛擬化的系統,它的優點很明顯,它整個的獨立性非常強手機應用框架、庫等等相互之間都不會造成任何影響,它的性能和體驗也還是非常好的,因為多個虛擬機之間的隔離會有更加高強度的隔離,但它的一個缺點是整個開發的量會比較大,我們可以看到,一個這樣的手機下面是內核,它要輸出不同的這種操作系統的內核和硬件抽象的空間,所有的應用又是在不同的獨立空間里進行運行,它是和硬件的相關性非常大,每一款硬件設備都要去進行相關的開發工作。整個硬件的移植工作量也比較大。另外多個虛擬機之間的數據分享會比較困難,還有它對整個虛擬機硬件資源也比較高。我們用PC機下的虛擬機的同時會更多一些,當你運行了一個虛擬機,再使用另外一個虛擬機的時候會明顯發現在資源的占用和使用上,速度上會受到影響。
APPWrapper技術是針對一種應用的安全的封裝,它能夠自動替換一些應用的API進行安全隔離,它是這么一種做法。它整個對操作系統要求比較低,對硬件的要求也非常低,它可以說是一種非常輕量的虛擬化的技術,但它同樣也會存在一些缺點,每個應用都共同使用相同的服務和資源,另外對應用有一個封裝的過程,有些應用可能在兼容性方面做得不夠好,有可能在封裝的過程中出現一些失敗,當然這種失敗的概率會比較低,這是我們看到的兩種技術。
我們可以分析一下,目前每一個都有一定的缺點和優點,從目前階段來看,應用封裝技術,就是APP? Wrapper更加適合現在的移動端,它比起Hypervisor來說整個成本以及安全性的性價比考慮來講更加優秀一些,我們可以通過后續的手段來保證在安全虛擬的空間里APP運行的安全。
總結起來,可以形象的看,一個手機通過移動虛擬化之后,我們可以分成兩個手機,一個手機可以運行個人的APP,例如我的微信、視頻、聊天、娛樂類的APP。跟企業相關的一些APP完全在另外一個空間來運行,這兩個空間是獨立的,工作系統是由企業來進行管理和全加密的一套系統,所有的落地數據以及數據庫的信息都是透明和進行加密的。個人終端不受影響,該是原來的使用還是原來的使用。在工作系統中,當然它也會提供一些基礎應用,例如打電話的功能和短信功能,在工作區間內打的電話和發的短信,你在個人區間內是看不見的,它會進行相關的隔離。通過這種移動虛擬化的技術,它能夠有效解決個人和企業之間這種數據共享和隔離使用的問題。
如何利用移動虛擬化技術。
我們看到一個移動虛擬化平臺通常由幾大部分組成。第一,它有整個的一套安全結構,我們利用移動虛擬化技術來構建一個統一安全的結構來解決企業移動化的問題。第二,它肯定會有一個應用管理,我怎么把企業開發好的應用下發到我的目標用戶手機上,怎樣進行應用的管理和更新。第三,設備的管理,所有的設備是怎么按照統一的安全策略來進行統一的管理。第四,內容的管理,所有訪問的數據、郵件和短信、企業的文檔在我的虛擬化空間內是怎樣一個機制,怎么來進行相關的管理。
這四個必備的功能中,第一應用管理這一環,不管是你開發好的這種基礎應用,還是企業自己開發好的OA,都需要解決怎么在這個平臺上進行快速發布和更新的問題。這就給這個企業建立了一個自己的應用商店,以后企業的應用不需要再到外部的應用商店下載了。第二,我們可以利用移動虛擬化技術來進行相關的自動的應用程序保護、自動更新和安裝,因為所有應用程序的管理都已經在我的虛擬化空間內完成,內容管理這塊,我所提供的環境是完全隔離的,所有的內容是隔離的。在這里我們可以擴展的有安全郵件,瀏覽器、文檔等等。? 第三,設備的管理。想象一下我們的設備丟了之后,你最關心的是個人的數據和企業的數據,我們怎樣把設備進行遠程管理,設備丟了我可以去定位擦除數據,統一的都會應該由整個這塊模塊工程來完成。網絡設置,每個設備,比如到了一個會議室,我讓它自動連上這個會議室的Wi-Fi。我的設備如果被Root越獄了就不可以再使用我們企業的某些應用,我們可以在這上面進行管控。第四,整個安全管理,我們有VPN通信,文件存儲、統一認證、授權,還有在這方面做一些基于這種U盾和數字證書的管理。有了移動虛擬化技術之后,這些方面的內容做起來就比較簡單,因為它所有的入口,所有的運行的空間都在我們掌控的虛擬化空間里。所以,這里它體現的一些關鍵技術,一是虛擬化的技術,二是針對各類數據的隔離和加密,高強度的隔離和加密,包括對國產加密算法的一些使用,在這個虛擬化的空間里都會變成是一個可操作的事情。
對整個的應用進行分發,我們會有效的能夠對應用來進行相關的保護,來確保你的應用不會被其他的一些病毒或木馬來進行注入。我們可以根據不同的策略來進行相關應用使用環境的管理,有些應用可能在某個時間段,某個地點和某個區域才能在這個空間里使用,還有對設備進行的這種管理。另外就是說所有的應用可以通過統一的平臺來進行統一的管控。
這里的創新點,剛才一直提到這是一種輕量級的,而不是很重和需要很高的硬件支持、特定的設備支持,我只需要你是安卓系統,各種手機都可以在上面做輕量級應用的虛擬化技術。所有受加密技術或者說虛擬化技術影響的只是在安全沙盒內運行的應用,其他的應用完全不受影響。通過這個構建了一個安全的企業應用發布途徑,我有了自己的商店,來進行移動應用的管理。另外是針對自動的虛擬應用打包技術會有更好的應用,更多的應用的開發商和廠商關注于自己的業務實現,更多應用的管理、安全的管理,交由這種移動虛擬化的產品或者是這種技術來解決。
在這里面它可以發揮出這樣一些技術的特點,所有的應用在上傳到這個平臺的時候,可以自動的把一些相關的能力加入到這個應用里來,這個東西是可擴展的。我們可以看到一些自己的應用或者是Web應用、混合開發的應用,各種類型的APP應用,我們都可以加入相關的保護。因為整個應用管理是我們做的,整個應用管理是應用這個平臺來做的,它在加入這個平臺的時候,我們可以刪除它的惡意代碼,可以對它應用的使用時間和位置進行限制,甚至應用里面所有數據的復制粘貼都可以進行相關的限制,來進行整體的數據管控。
第二個特點,我們很容易把一臺設備變成兩臺。我們經常在PC下講一機兩用,我們的終端同樣可以體現出這樣的概念,智能終端的一機兩用,個人的APP和企業的APP完全在兩個不同的虛擬化空間里進行。
第三個特點我們進行了相關4A的管理。所有企業的移動應用由于有了這個虛擬化技術存在以后,我們所有應用的入口都是一個,從一個入口進入到這個虛擬化環境的時候,我容易實現整個帳號的管理,應用訪問的審計,統一應用的授權,還有統一的認證。整個實現了移動應用從審計、訪問、應用、授權的閉環管理。
第四個特點,在設備管理這塊,我們可以進行強大方便的設備丟失后的處理和設備的相關管理。我們可以看到自己的設備在哪里,我們曾經遇到有一些用戶說找不到設備了,可能設備沒有丟,但就拉在自己辦公室的什么位置了,我們可以通過這樣一些自主管理來進行設備的追蹤和察看,以及察看我們新的設備下目前應用的一些狀況,真正實現了設備的安全管理。
剛才我們講的這些技術和挑戰。泰一奇點公司其實是一家成立比較晚的公司,2013年成立的,我們主要關注在企業移動安全方面,我們公司是一家產品和技術型的公司,泰一奇點,奇點代表了我們團隊對技術探索的精神,奇點是物理學里能量無窮大和質量無窮大的爆發奇點,在這里我們聚集的是一些和互聯網安全和內核、移動互聯開發經驗比較多的這樣一些人員。
基本上我們所有的產品都關注在隱私的保護,工作數據安全以及虛擬化技術的研究,沙盒技術研究方面。
我們剛才提到了,像我們能夠利用這個虛擬化技術來完成一些什么樣的任務,我們會有一些引進的產品,如果大家感興趣可以去google? play和蘋果市場去下載使用。
我們把積累的經驗免費開放出來,給廣大的APP開發者使用,利用我們的雙因素的認證,安全認證等接口,SDK開放給大家用。MDM管控,移動設備管控的接口,還有一些數據的存儲,所有的數據怎么加密存儲,還有一些加密算法,對我的數據進行更高強度的數據保密。還有安全通訊,從3G、4G和外面的互聯網怎么接入到企業的內網,我們都有相應的一些SDK來提供給大家免費使用,我們也運營了一個網站,我們叫做影子俠開發社區,我們可以在這個社區里面進行企業移動應用的安全的這種開發以及相關的一些技術方面的交流。整個這塊是我們介紹的內容,大家可以利用我們的渠道來下載我們利用移動虛擬化技術所研發出來的產品。謝謝大家。