資安合規全攻略(四):UEM!企業的完整端點防護超人

當過兵的人大概都記得,入伍之前被國家要求下載 MDM 的軟體,該軟體會紀錄手機使用的時間,還會停用拍照錄影、藍芽傳輸、定位、網路熱點分享等功能,諸多限制讓許多人無法適應。而在彈性辦公的時空背景下,員工可以在任何地方、從筆記型電腦、平板、手機等多元裝置隨時處理工作相關事務,便利的背後潛伏著各種資安危機,讓企業也不得不開始重視「裝置管理」的議題以保護重要的數據資產。

在過去,雲端科技尚未發展成熟、地端系統為大宗的時代裡,大多數企業組織都還是以防火牆作為安全措施。傳統的防火牆就如其名,將企業組織的地端系統包圍,透過限制範圍內的權限控管桌機和筆電。隨著行動裝置及雲端概念發展成熟並被投入應用,工作裝置的管理難度大幅提高,而年輕一代工作者們自主意識較高,對於裝置的使用也期待著更高度的自由,如何在彈性和資安間找到平衡讓許多企業傷透腦筋。

行動裝置管理(Mobile Device Management, MDM)是什麼?

MDM 是一個管理裝置的的常見概念,把「行動裝置管理」拆分成「裝置」和「管理」兩個區塊來解釋:

行動裝置:需要管理的企業裝置大致可分為兩種:

公發設備及自攜設備(Bring Your Own Device, BYOD)。

  • 公發設備:

所謂公發設備指的是由企業統一購買、分發給內部人員,而內部人員需要在離職時返還的設備。

  • 自攜設備(Bring Your Own Device, BYOD)

近年來,越來越多企業採取 BYOD 政策,一方面可以節省企業的硬體支出,企業不再需要大量採購,一方面也是因為每個人慣用的作業系統不同,自攜設備提供更多彈性和自由。現代人大概都會有 2-3 臺行動裝置。除了筆記型電腦和手機,也許還會有平板,MDM 主要目的為保護企業資料,像寶可夢阿伯那樣一個人擁有很多行動裝置的情況下,需要控管的僅包含需「接觸到工作環境」的裝置。

管理

管理的範圍很廣,比如說可以限制拍照錄影、藍芽傳輸、網路熱點分享、AirDrop 等等可能造成資安破口的裝置功能;也可以強制裝卸特定應用程式,以確保企業組織的數據資產不被未授權的應用程式使用;此外還可監控裝置連線環境、確認合規狀態、要求硬體加密等等。

然而,MDM 的概念還是無法涵蓋現在的不斷複雜化的裝置生態。除了上面提過常見的裝置像是筆電、手機、平板,智慧手錶、智慧聯網螢幕、Kiosk (多媒體事務機,像是 ibon 那種)都帶有許多具有價值的數據資料,應該被納入管理範圍。又,許多 MDM 解決方案專注於桌電主機、伺服器和筆電,但 MDM 的伺服器又放在地端環境,地端環境再用防火牆保護,等於是回歸到最傳統的方式。而當企業組織越來越重視資安保護,MDM 的解決方案能否與其他資安措施例如 EDR、SASE、CDR 等整合也是一個常見的挑戰。

從 MDM 到統一端點管理(Unified Endpoint Management, UEM)

統一端點管理可以說是 MDM 的延伸。為了適應現在快速變化的數位環境,統一端點管理以使用者的裝置類型為基礎,判斷使用者可以存取、查看的數據資料;管理的範圍也從前述常見的裝置擴大到伺服器、虛擬桌面(Virtual Desktop Interface, VDI)、多媒體事務機等等;以集中管理所有裝置為大方向,但同時給予單一裝置彈性、靈活的控制框架。

而近年發展的統一端點管理解決方案大多包含了過去 MDM 的功能範圍,設計上也較容易與其他裝置保護措施例如:端點偵測與回應(EDR)、內容解除與重建(CDR)、安全存取服務邊緣(SASE)、雲端存取安全性代理(CASB)、身份識別與存取管理(IAM)等整合。統一端點管理的包容性讓企業可以輕鬆、完整地涵蓋各種裝置及場景,無論是一般企業內部人員、掌控更高系統變動權限的開發團隊或是與其他組織有更多、更密切接觸的派遣員工及承包商,都能依照他們所需的狀態調整及管理。

典型的統一端點管理包含下面幾個部分:

  • 行動裝置管理(MDM)
  • 行動應用程式管理(Mobile Application Management, MAM):

MAM 相較 MDM 更注重「應用程式」本身,在受到 MAM 的裝置上,App Store 裡的品項是有限的,也會涉及存取控制、身份驗證,管理者可以管理應用程式的版本、資安政策等。和 MDM 不同的地方在於,MDM 擁有整個裝置的控制權,而 MAM 則是僅限應用程式。

  • 桌電及筆電管理:

桌電及筆電上的軟體部署、程式修補、配置管理、遠端問題解決及資產追蹤都在管理範圍內。

  • 端點資安防護:

為了防止端點裝置遭受資安威脅,統一端點管理協助防毒、防惡意軟體,管理防火牆、加密、預防數據外洩,並可偵測潛在威脅及早應對。

  • 端點配置管理:

IT 人員可透過統一端點管理調整及執行配置設定,像是網路連線、裝置政策、安全配置及使用者偏好。

  • 統一的管理站台:

統一端點管理解決方案會提供管理者一個統一的管理站台,管理者可以集中監管所有端點裝置的狀態,而統一個站台可協助營運者簡化作業、提高效率,避免不必要的平台切換並讓端點環境一目了然。

總體來說,統一端點管理相較 MDM 管理的範圍更大、提供多元裝置保護;可以更好地整合其他解決方案,建立完整資安防護網;在控制設定上更多彈性,給予裝置使用者更多自由。

端點管理的未來

近幾年看到了歐洲的民眾將微晶片植入到皮膚下,可直接「刷手」購物、確認疫苗接種紀錄的新聞;也看到美國科技公司致力研發 AR 隱形眼鏡,讓民眾能夠透過視覺快速找到需要的資訊、同時收集民眾接收到的視覺數據。在未來,端點裝置的形式只會更多,讓民眾生活更便利的同時也需要更加完整的資安防護,比起過去的大家熟知的 MDM,UEM 是進化過後、更適合這樣快速變化環境的解決方案,如果您有興趣了解更多,歡迎聯絡思想科技 Master Concept 的專業顧問!

參考資料:

Getting to know declarative device management and what it can do

什麼是行動裝置管理(MDM)?

MDM vs. MAM: Top 5 differences – IBM Blog

最專業的技術團隊! 提供您最完善的技術教學和服務

歡迎您與我們聯絡
我們會協助您取得最佳解決方案!

Leave Us Your Message
We are ready to talk!

歡迎您與我們聯絡。
我們會協助您取得最佳解決方案!

Leave Us Your Message.
We are ready to talk!

找不到您需要的? 加入我們的最新活動!

搶先了解
新趨勢