Mobile Enterprise Security

Mobile Enterprise Security

ในโลกปัจจุบันนี้คงต้องยอมรับว่า Mobile Device เข้ามาเป็นส่วนสำคัญของชีวิตประจำวันและก็รวมไปถึง ชีวิตการทำงานด้วย ซึ่งแนวโน้มการทำงานโดยใช้ Mobile Device ในลักษณะของ BYOD (Bring Your Own Device) ก็มีเพิ่มมากขึ้นด้วยเช่นกันซึ่งลักษณะการทำงานบน Mobile Device ในโลกที่การทำงานเป็น แบบ BYOD นี้ที่เส้นแบ่งแยกของอุปกรณ์การทำงานสำหรับเรื่องส่วนตัวกับเรื่องงานไม่มีอีกต่อไปแล้ว ทำให้ กลายเป็นว่ามีการใช้ทั้งเรื่องส่วนตัวและเรื่องงานบนอุปกรณ์ Mobile Device ตัวเดียวกัน ซึ่งแน่นอนว่าจะ ทำให้ผู้ใช้งานมีความสะดวกสบาย แต่ในส่วนขององค์กรแล้วนั่นหมายถึงการเพิ่มขึ้นของความเสี่ยงในด้าน ปัญหาความปลอดภัยที่มาจาก Mobile Device เหล่านี้

ดังนั้นในส่วนขององค์กรจึงจำเป็นที่จะต้องเตรียม มาตรการและระบบจัดการทางด้านความปลอดภัย สำหรับ Mobile Device เหล่านี้ เพื่อให้รองรับกับการ ทำงานในลักษณะ BYOD นี้ไว้ ไม่ว่าจะเป็นปัญหาจาก Malware บน Mobile Device ของพนักงาน หรือเมื่อเกิดเหตุการณ์ Mobile Device ของพนักงานที่มีข้อมูลและ Applications ขององค์กรอยู่ สูญหายหรือถูกขโมยไป เพื่อไม่ให้เหตุการณ์ ลักษณะนี้กลายมาเป็นปัญหาทางด้านความปลอดภัยกับระบบ งานขององค์กร ซึ่งเทคนิคของการจัดการความปลอดภัยบน Mobile device สำหรับองค์กร (Mobile Enterprise Security) นี้ก็สามารถ ทำได้หลากหลายวิธี โดยแต่ละวิธีก็จะมีจุดเด่นที่แตกต่าง กันไป

 

รูปแบบของการทำ Mobile Enterprise Security

ตอนนี้เรามาดูกันว่าการทำ Mobile Enterprise Security สามารถทำได้ด้วยเทคนิคอะไรบ้าง และมีข้อแตกต่างกัน อย่างไร

 

Mobile Device Management (MDM)

MDM เป็นวิธีการจัดการ Device โดยอาศัยการติดตั้ง Software ไว้ที่ตัว Mobile Device เพื่อให้ทำหน้าที่ดูแลจัดการ Mobile Device นั้นๆ ไม่ว่าจะเป็นการติดตั้ง/การสร้าง/ การลบ ข้อมูลหรือ Apps ต่างๆ แบบระยะไกล ซึ่งจะส่งผลให้ Enterprise สามารถตรวจสอบและติดตาม Device Location, Installed Applications และอื่นๆ ได้ และเมื่อ Mobile Device นี้สูญหายหรือถูกขโมย ทาง Enterprise สามารถสั่งล้างข้อมูล ใน Mobile Device นี้ทั้งหมดแบบระยะไกลได้ ส่วนระบบการ เข้ารหัสในการติดต่อกับ Enterprise ก็จะเป็นไปในลักษณะ ของ Device-Level VPN

เมื่อ Mobile Device ได้เข้าไปอยู่ในระบบ MDM แล้วจะ ทำให้ Device นั้นๆ จะถูกควบคุมและติดตามได้จาก Enterprise ซึ่งอาจจะทำให้การใช้งานในเรื่องส่วนตัวกลายเป็นไม่ส่วนตัว และไม่สามารถเป็นไปได้อย่างสะดวก รวมถึงไม่สามารถทำได้ โดยไม่กระทบกับการใช้งานในรูปแบบเดิมที่ผู้ใช้คุ้นเคยอยู่ได้ รวมไปถึงว่า MDM ก็จะมีลักษณะตามชื่อของมัน นั่นก็คือ เน้นไปที่การจัดการ Mobile Device ในเชิงของการเป็น Management Tool มากกว่าที่จะเป็น Security Tool

 

Mobile Virtualization

Mobile Virtualization มีแนวคิดคือจะทำการแบ่ง Mobile Device แยกออกเป็น 2 ระบบปฏิบัติการ (Operating Environments) เสมือนว่าเป็น 2 Device โดยจะใช้ระบบ ปฏิบัติการหนึ่งสำหรับงานส่วนตัว (Personal) และอีกระบบ ปฏิบัติการสำหรับงาน Enterprise ซึ่งการแบ่งแยกระบบ ปฏิบัติการอย่างเด็ดขาดนี้จะช่วยป้องกันปัญหาเรื่องความ ปลอดภัยไม่ให้กระทบกันและกันได้ (หรืออีกนัยหนึ่งก็คือ ไม่ให้ความเสียหายจากการใช้งานส่วนตัวแพร่กระจายมาสู่ Enterprise ได้)

แต่ในการใช้งานจริงแล้ว Mobile Device บางประเภทจะไม่ อนุญาตให้มีการใช้งานแบบ Virtualization นี้บนอุปกรณ์ของ ตน รวมถึงการที่มีการผลิต Mobile Hardware อยู่เป็นจำนวน มากมายหลายรุ่นหลายยี่ห้อหลายเทคโนโลยี ทำให้เป็นการ ยากที่จะพัฒนา Virtualization Software ให้ครอบคลุม Mobile Hardware ทั้งหมดนี้ได้ และนอกจากนี้แล้วการที่ผู้ใช้งานจะ ต้องมาคอยสลับระบบปฏิบัติการไปมาระหว่างการใช้งานเรื่อง งานและเรื่องส่วนตัวก็ทำให้การใช้งานในลักษณะ Virtualization นี้อาจจะไม่ใช่วิธีที่สะดวกนัก

 

Mobile Application Management (MAM)

MAM จะคล้ายกับ MDM แต่ต่างกันที่จะมุ่งเน้นไปที่การบังคับ ควบคุมเฉพาะในส่วนของ Enterprise Application เท่านั้น ซึ่ง Enterprise Application นี้ก็จะอยู่ร่วมภายในระบบ ปฏิบัติการ (Operating Environments) เดียวกันกับ Personal Applications โดยสิ่งที่ MAM แตกต่างจาก MDM ก็คือ MAM จะไม่ได้มีการควบคุมในส่วนของ Operating System จะมีเพียงแค่การควบคุม Enterprise Application เท่านั้น

MAM จึงเหมาะกับการที่ Enterprise ต้องการระบบที่จะมา ปกป้องการเข้าถึงข้อมูลขององค์กรแต่ก็ยังคงความเป็นส่วนตัว ในการใช้งานเรื่องส่วนตัวอยู่ แต่ที่เป็นอุปสรรคสำคัญของ MAM ก็คือ Mobile Enterprise Application จะยังมีอยู่ไม่ มากเท่าไรในตลาด เนื่องจากยังอยู่ในช่วงเริ่มต้นของการพัฒนา และใช้งานของ Mobile Enterprise Application เท่านั้น โดยส่วนใหญ่ของ Enterprise Application จะยังคงเป็น Legacy Windows หรือ Web-Based อยู่ ซึ่งจะไม่ได้อยู่ใน ขอบเขตการทำงานของ MAM ที่จะสามารถไปควบคุมได้

 

Mobile Container

Mobile Container มีหลักการคือการสร้าง Workspace บน Mobile Device แยกออกมาสำหรับให้ใช้กับงาน Enterprise โดยเฉพาะ และปล่อยให้การใช้งานส่วนตัวเป็นไปตามปกติ ซึ่งจะส่งผลให้ Mobile Container จะมีคุณสมบัติในระดับ เดียวกับ MDM แต่จะบังคับควบคุมเฉพาะในส่วนของ Container เท่านั้น โดยที่จะไม่กระทบกับการใช้งานส่วนตัว นอกจากนี้ Mobile Container ก็จะมีคุณสมบัติของการแบ่งแยก Workspace เช่นเดียวกับ Mobile Virtualization แต่จะไม่มี ข้อจำกัดทางด้าน Hardware รวมไปถึง Mobile Container ยังมีคุณสมบัติการจัดการ Application ในแบบเดียวกับ MAM แต่จะไม่มีข้อจำกัดในเรื่องของ Legacy หรือ Windows Application ที่ MAM จะไม่ได้รองรับ

 

จะเห็นได้ว่า Mobile Container นั้นจะมีความยืดหยุ่นอยู่มาก เนื่องจากถูกออกแบบมาโดยรวบรวมเอาข้อดีของเทคนิคแบบ ต่างๆ มาไว้รวมกัน

 

Oracle Mobile Security Suite (OMSS)

หลังจากที่เราได้รู้จักเทคนิคต่างๆ ของการทำ Mobile Enterprise Security แล้ว คราวนี้เรามารู้จักกับ Product ของ Oracle กันบ้างว่าใช้เทคนิคแบบไหนและมีคุณสมบัติพิเศษอย่างไรบ้าง

Oracle Mobile Security Suite (OMSS) เป็น Product จากค่าย Oracle ที่จะมาช่วยจัดการเรื่องระบบความปลอดภัย ให้กับ Enterprise โดยจะยึดแนวทางการทำ Container ซึ่ง จะมีข้อดีในเรื่องของความง่ายและการรักษาความเป็นส่วนตัว สำหรับการใช้งานในเรื่องส่วนตัว แต่ก็ยังคงรักษาความปลอดภัย ในส่วนของการทำงานที่เป็นของ Enterprise ด้วย

ด้วยการใช้เทคนิค “Containerization” OMSS จะสร้าง Secure Workspace ขึ้นมาสำหรับ Enterprise Applications, Email และ Data โดยจะมีเพียง Authenticated Users เท่านั้นที่จะสามารถเข้าถึง Secure Workspace นี้เพื่อที่จะ เรียกใช้ Applications และเข้าถึง Data ได้ และจะมีเพียง Applications ที่ถูกเตรียมหรืออนุมัติโดย Enterprise เท่านั้น ที่จะสามารถติดตั้งและเรียกใช้งานที่ Secure Workspace นี้ ได้และเมื่อเกิดเหตุการณ์ที่ Mobile Device นี้หายหรือถูก ขโมยไป ทาง Enterprise ก็สามารถสั่งล้างข้อมูลทั้ง Secure Workspace /Container นี้ได้จากระยะไกลโดยที่ไม่กระทบ กับ Applications และ ข้อมูลที่ใช้ส่วนตัว

 

OMSS Components Architecture

OMSS จะมีโครงสร้างที่ประกอบไปด้วยระบบต่างๆ คือ

  • Mobile Security Container ปกป้องระบบด้วยการจัดการ Applications และ Data ในส่วนของการใช้งานส่วนตัว ให้แยกออกจากการใช้งาน ในส่วนของ Enterprise
  • Mobile Security Access Server ช่วยให้การจัดการการเข้าถึง Enterprise Intranet จาก Mobile Device เป็นไปได้ง่ายและปลอดภัย โดยจะอนุญาตให้มีการเรียกใช้งานได้จาก Mobile Security Container และมีการเข้ารหัสในรูปแบบของ ApplicationLevel SSL Tunnel แทนที่จะเป็นแบบ Device-Level VPN ที่อาจจะมี Malware แอบแฝงเข้ามาทางช่องทาง VPN นี้ได้
  • Mobile Security Administrative Console ช่วยในการจัดการ Mobile Container ในด้านต่างๆ ผ่าน ช่องทาง Remote Management เช่น Logging, Policy Enforcement Application Management, การ Lock และ/หรือ ล้างข้อมูลของ Remote Container และยัง สามารถทำงานร่วมกับ Active Directory เพื่อให้การ จัดการ Users/Groups เป็นไปได้อย่างสะดวกได้อีกด้วย
  • Mobile Security File Manager ช่วยในการจัดการให้เข้าถึง Internal File Server โดยไม่มี ปัญหาด้านความปลอดภัยกับ Enterprise
  • Mobile Security Application Wrapping Tool ใช้ในการจัดการแปลง 3rd Party หรือ Custom Applications ให้มีความปลอดภัยอยู่ในรูปแบบของการใช้งานแบบ Container โดยที่ไม่ต้องมีการแก้ไข Code ใดๆ (Containerized) โดย Containerized Applications นี้ จะถูกนำไปเรียกใช้ใน Mobile Security Container ได้

โดย OMSS นี้ยังมาพร้อมกับ Applications ต่างๆ เพื่อช่วยให้ มั่นใจได้ว่าระบบและข้อมูลขององค์กรถูกปกป้องอยู่ตลอด เวลา

  • Secure Web Browser
  • Secure File Manager
  • Secure Email, Calendar, Contacts, Tasks, Notes

 

จากที่ได้กล่าวมา การเพิ่มขึ้นของการใช้งาน Mobile Device ที่เพิ่มมากขึ้นอย่างรวดเร็ว ทำให้องค์กรต้องปรับตัวเพื่อรองรับ กับสถานการณ์ที่มีอุปกรณ์ Mobile Device ที่หลากหลายเข้า มาใช้งานเชื่อมต่อกับระบบภายในขององค์กร รวมไปถึงการ ควบคุมการเข้าถึงข้อมูลต่างๆ ขององค์กรไม่ว่าจะเป็นการ เข้าถึงตรง การ Share การส่งต่อเอกสารจาก Mobile Device ไปยังที่อื่นซึ่งก็ล้วนแต่เป็นเรื่องที่ต้องควบคุมดูแลทั้งสิ้น แต่ก็ ยังต้องคงไว้ซึ่งความสะดวกในการใช้งานในเรื่องส่วนตัวไม่ให้ กระทบเปลี่ยนแปลงไปจากเดิม ซึ่งเมื่อดูจากความต้องการ การใช้งานทั้งส่วนองค์กรและส่วนตัวแล้วจากเทคนิคต่างๆ ที่ มี Containerization ก็ดูจะเป็นวิธีที่เหมาะสมที่จะใช้ปกป้อง ความปลอดภัยให้กับองค์กรโดยที่ยังคงรูปแบบการใช้งานใน เรื่องส่วนตัวให้เป็นไปโดยปกติได้

 



Top