工業技術研究院 資訊與通訊研究所 紀秉賢
前言
全球智慧手機市場持續成長,手機從個人通訊用途已逐漸演化成為個人生活、娛樂甚至工作核心。虛擬化技術在資料中心應用已取得相當大的成功,但在行動市場的應用近幾年來才開始逐漸有成熟產品技術推出,其中虛擬行動桌面服務技術為協助企業因應BYOD(Bring Your Own Device,BYOD)新型態工作模式所導致的資安威脅,最直接有效地將所有企業行動服務應用與資料集中在企業資料中心管理,以達到兼顧使用行動裝置之便利性,同時又確保企業重要資料之安全管理。
精彩內容
1.資安風險即時管控與友善的使用者體驗
2. 以邊緣運算降低終端運算負載
3. 應用程式版本開發管理輕量化及具有高度彈性的配置方式 |
企業行動辦公環境當前面臨的困境
在行動辦公實際使用中,根據業務需求、安全和成本等多方面考慮,企業通常採取了公發設備、公私混用和自帶設備辦公三種方式。自帶設備辦公給企業帶來更高效率的同時,也帶來更多的資料安全風險;但倘若企業出於安全考慮管控和監控員工的行動裝置,又會涉及員工隱私問題;因此,出於安全考慮,對安全要求不高的中小企業採取BYOD的方式。而在一些資訊敏感性的行業,則採用了公發設備和公私混用相結合的方式,但這兩種方式成本又相對昂貴。
但無論是哪種方式,都要面對解決安全、隱私、成本、所有權及效率……等等的矛盾和挑戰,採用的方式都是對不同應用場景做出的平衡和妥協,雖然其確實較有效解決了政府、企業行動辦公和作業的迫切需求,提升了執行效率,但仍存在諸多安全風險和效率及限制性問題,尤其是任何一種企業行動辦公環境,都無法根本解決資料的安全不外洩的問題,以下為在行動辦公場景下普遍存在的行動裝置問題:
- 相容性問題
對硬體系統強依賴,不同廠商間的能力不統一,部分功能不生效且存在相容問題。
- 安全性問題
愈來愈多的駭客在研究如何攻擊系統與行動應用程式漏洞,在安全性上存在很大風險。
- 侵犯個人隱私
行動裝置管理(Mobile Devices Management,MDM)可以在管理端遠端操控使用者手機,且可以對手機下達諸多指令來獲取相關資料,侵犯個人隱私,使用者抵觸無法有效推廣。
- 資料洩漏問題
目前行動裝置中安裝的應用及應用產生的資料均儲存在裝置,因此行動裝置一旦丟失,可能會造成涉密資料洩露,導致不可預估的嚴重後果。員工自帶的行動裝置,因管控策略的不同,允許其在行動裝置上對文件進行編輯、儲存與發送等操作,在提升行動性、便利性的同時,也帶來了更大的安全風險,如:連接惡意WiFi、拍照、截圖、錄影、病毒感染、root與越獄等均可能會造成涉密資料的洩漏。
- 維運問題
面對諸多軟、硬體版本,維運人員管控與維護的工作複雜,最終導致安全管控流於形式。
以上的安全問題,加上現有企業專有裝置採購、丟失與損耗等昂貴的硬體維運成本和繁重的IT管理,非常需要一種創新的技術解決方案,更經濟有效和安全地做到行動辦公或作業。
新的行動安全辦公技術
工研院安全行動辦公雲系統致力於解決行動裝置在日常使用傳輸資料過程中面臨的安全、管理以及部署等各種挑戰;幫助客戶在享受行動辦公帶來成本下降、效率提升的同時,加強對行動裝置的管理控制以及安全防範。使它更安全地推行行動數位化,不用再擔心行動裝置受到木馬病毒的威脅從而洩露敏感資料、丟失或者被竊而導致的資料外洩、成為入侵網路的通道。
工研院安全行動辦公雲系統(如圖1)具備以下四大技術優點:
- 所有資料都存放在資料中心,行動裝置內將不再存放企業機密文件或應用程式。
- 系統建構於資料中心Android之上,節省大量的系統資源,解決用行動裝置執行所帶來的運算能力不足、使用者介面不友善等問題。
- 為使用者分配一部虛擬Android行動裝置,部署在資料中心內,通過這部虛擬Android行動裝置,使用者可以輕易的透過任何行動裝置來存取企業內部應用程式,無需受限於硬體廠商或作業系統的限制。
- 通過制定靈活可控的安全策略,提升行動裝置的安全指數,提供多樣化的圖表以及日誌記錄,更直觀的查看全局狀態以及追踪可能的問題細節。
圖1 安全行動辦公雲系統應用
基於上述現狀,為了實現針對行動裝置的統一安全管控,保障行動裝置的合理、安全的應用,在提高工作效率,為業務發展提供靈活高效和安全的支撐,並達到如下目標:
- 跨平台相容
- IT維運安全高效
- 隱私與體驗並重
- 資料不落地
技術背景
行動安全辦公技術演進:從MDM到VMI架構
傳統安全辦公廠商只針對桌面平台(如Windows、Linux)開發安全存取解決方案,隨著行動裝置普及化,安全辦公廠商也開始研發對行動平台的解決方案。近年來安全辦公廠商發展了很多不同的技術來保護行動平台,以確保企業行動辦公領域可以獲得保障。然而傳統行動裝置管理(MDM)、行動應用程式管理(Mobile Application Management,MAM)、行動內容管理(Mobile Content Management,MCM)甚至於虛擬桌面架構(Virtual Desktop Infrastructure,VDI)各種方案,在BYOD議題上,都存在著不一樣的管理盲點,從而導致企業很難同時兼顧使用者隱私及降低資產安全風險的目的。
直到2015年,我們開始了虛擬行動基礎架構(Virtual Mobile Infrastructure,VMI)方面的研究工作,它是將雲計算技術運用於網路終端服務,通過雲伺服器實現雲服務的手機,可以理解為在雲上運行一個虛擬Android,個人的行動裝置僅僅作為顯示和控制設備。雲手機通過建立虛擬手機為企業提供APP應用平台,確保員工能夠隨時隨地使用行動裝置存取企業的資料和應用程式,同時確保企業資料和應用程式不會洩露,如圖2所示。
圖2 基於VMI實現網路隔離示意圖
國際上已有Hypori、Nubo 、Raytheon、Remotium、Sierraware等廠商在跟進和推出該類產品,尤其是美國國防部和以色列國防部均認可了VMI雲手機架構的安全性(如圖3)可以應用於敏感領域後,在軍事、醫療、金融、政府、司法和能源領域正在得到逐步應用。美軍也把雲手機作為全球聯合作戰環境(JIE)的重要組成,可以在個人行動裝置上使用雲手機運行機密級任務。
圖3 國際上的VMI技術應用趨勢
(https://www.jfg-nc.com/virtual-mobile-infrastructure/)
安全行動辦公雲系統解決方案架構
解決方案簡介
安全行動辦公雲系統(如圖4)是針對企業推出的基於ARM架構的行動辦公方案,通過自主研發高性價比的ARM架構伺服器及對應的ARM雲手機系統與管理軟體,打造按需供給的企業級行動安全辦公服務,重新打造企業行動辦公模式,強化行動辦公資料安全,簡化IT管理難度,提高IT維運效率,改善行動辦公體驗,達到提升企業行動安全辦公效能的目的。
圖4 安全行動辦公雲手機介紹
解決方案技術核心
安全行動辦公雲系統解決方案由四個重點核心項目組成:
- ARM SoC Cluster伺服器
- ARM雲手機系統
- 安全行動辦公雲管理平台
- 安全行動辦公雲行動裝置應用
圖5 安全行動辦公雲系統產品核心架構
安全行動辦公雲解決方案技術特點
以自主研發的ARM SoC Cluster伺服器硬體為基礎,基於軟、硬體深度整合的設計理念,在ARM雲手機系統層面進行了大量的性能與穩定性優化、ARM應用生態相容性、容器安全與強化等工作,並結合私有雲領域的廣泛實踐和經驗積累,在企業級ARM雲使用場景下,提出基於ARM SoC微伺服器的容器虛擬化以及基於GPU的視訊串流硬體編、解碼等技術,致力於為客戶提供體驗優、性能好、安全合規的辦公雲手機應用情境。
技術特點
ARM SoC Cluster伺服器是專門針對企業級資料中心和邊緣場景面臨空間制約和節能要求而優化設計的高密度伺服器,以高節能、高性價比、高密度為設計原則,在一個機架式機箱內整合多達96個ARM架構SoC微伺服器,每個微伺服器都是一個可以獨立運行的系統,包含CPU、記憶體、儲存設備、網路等,同時利用微伺服器網路技術和良好的機箱空間設計,零售、金融、行政等行業客戶建構適合於企業資料中心機房和邊緣環境部署的高密度、高性能算力集群。
典型部署架構
智慧製造
目前,製造業在智慧升級的過程中已經逐漸實現IT化,並且通過一些智慧化的手段輔助整個生產製造的過程。在競爭激烈的環境中,智慧製造的工藝、先進的辦公作業流程,就是製造業的核心資產,保住了核心資產就能在同行業中脫穎而出。
但製造業也存在大量人員流程極其頻繁的現象,這為製造業的行動安全辦公和效率帶來了很大挑戰。傳統的方式透過員工個人行動裝置進行流水線的配件質量巡檢、故障報警等手段,會導致核心資料的外洩,一旦核心資料被竊取,將嚴重損害製造業公司的經濟利益。因此,製造業需要採用更為安全高效的行動安全辦公方案,來降低可能存在的安全風險。
安全行動辦公雲系統以ARM SoC Cluster伺服器為基礎,通過軟硬體深度整合以及各種創新技術設計,為製造業的客戶提供了一個成本更優、安全性更強、維運管理更便捷的高性價比行動辦公解決方案。
圖6 智慧製造行動安全辦公方案架構
軍用隔離
當今國際局勢風雲詭譎,軍隊毫不懈怠的進行備戰的同時,也透過數位化的手段來武裝軍事陣地,確保人民群眾的安定生活。在這當中,軍隊的日常起居、作戰會議、軍事化訓練等,都是非常機密的軍事情報,也是敵方挖空心思期望得到的訊息,在新時代的軍事鬥爭中,需要結合更安全智慧的方案,確保軍用資料資產的隔離,保障軍事情報的安全性。
傳統的通過給士兵發放行動裝置進行日常軍訓的方式,一旦行動裝置被木馬入侵或者設備遺失,就會容易導致重要資料的洩漏,而這將最終嚴重損害人民群眾的根本利益。因此,軍隊需要採用更為安全高效的行動安全辦公方案,來實現軍用隔離,降低可能存在的安全風險。
安全行動辦公雲系統以ARM SoC Cluster伺服器為基礎,通過軟硬體深度融合以及各種創新技術設計,為智慧軍營提供了一個成本更優、安全性更強、維運管理更便捷的高性價比行動辦公解決方案。
圖7 軍用隔離應用部署架構
- 以ARM SoC Cluster伺服器為硬體承載平台,提供一個高密度、高性價比的私有雲運算環境,不僅能夠有效抑制IT資源不斷膨脹的問題,降低製造業企業客戶的採購成本和維運成本,而且還可以節省資料中心的占地空間以及供電和製冷等營運成本。
- 利用安全行動辦公雲系統的容器虛擬能力,使行動辦公方案升級為雲辦公模式,且更靈活、更高效、更安全的部署在企業私有雲環境中,實現員工的行動裝置零資料,結合防截圖、螢幕浮水印等功能,極大地降低資料外洩的風險。
- 通過安全行動辦公雲系統界面集中、統一、可視化納管計算資源和虛擬運算資源,實時獲取和展示物理和虛擬資源使用狀態,統一監控告警,維運更便捷。
- 利用安全行動辦公雲系統管理平台,實現企業自定義映像(Android)和應用程式(瀏覽器、Office、WPS等)的一體化標準交付,滿足製造業行業行動辦公系統快速交付的同時,使得應用程式的安裝和使用更安全、更合規。
