【2012年12月4日 51CTO外电头条】IT部门的关注重点正迅速由移动设备管理(简称MDM)转向移动应用程序管理(MAM),观念也从过去的犹豫是否应该引入移动设备转变到如今的如何最大程度利用移动技术优势。我曾经亲身参加过许多IT讨论会议,发现大家开始围绕应用程序的管理提出一个又一个实际问题。对于使用IBM Tivoli以及微软SMS等用户PC软件管理工具的企业,iPhone、iPad以及Android系统平台已经成为新时代的“西部拓荒”。这是一片充满风险与机遇的环境,谁能占得先机、谁就能在未来一段时间中笑傲同侪。
移动设备的多样性确实令人望而却步——大多数台式机应用程序管理工具连顺畅管理Mac OS X应用都做不到,我们当然不可能指望它们能在移动设备上一展身手。尽管心理准备已经做完,但移动操作系统相对桌面系统采用了太多颠覆式设计,就连IT部门也无法通过传统方案对新应用进行管理。此外,应用程序商店的出现令企业IT团队无法继续扮演移动领域的应用提供者角色,而HTML与本地应用相混杂的状况也进一步加剧了移动管理的复杂性。没错,IT部门确实可以收集自己的移动应用搭建“企业应用商店”,但这实在有名不副实之嫌——一个内部站点、几条允许使用或建议使用的应用下载链接,这根本不可能引起员工的兴趣。
在IT部门逐渐对全面管理移动设备表示绝望的同时,另一种观点开始占据上风——既然这些设备的所有权属于用户,那么IT团队应该有权对其中面向业务的各类应用加以控制。这样一来,如果员工离开企业或者设备丢失,应用程序及其保存数据都能够被及时清除、进而保护敏感信息安全。IT团队还应当有权管理更新及授权许可,同时追踪用户的使用状态——尤其是在员工、分包商及企业合作伙伴选择各自业务应用的复杂前提下——从这个角度来看,即使是以控制为主要服务对象的专业企业也无法利用传统方案对各类设备进行全面覆盖。
第一波浪潮:通过政策管理HTML应用容器
目前设备管理领域中的主流方案仍然以面向政策模式居首。在这种情况下,诸如黑莓Enterprise Server(BES)、微软Exchange(以Exchange ActiveSync协议为代表)等强势体系,加上Good Technology、MobileIron以及Trellia等第三方MDM工具,都能够为邮件、联系人等业务信息提供恰当的数据保护服务。此外,它们还以强制手段贯彻密码保护、远程锁定等管理政策。某些工具甚至可以管理应用程序本身,实现例如允许或禁止访问及更新推送等功能。
而同样的状况在移动应用管理领域也开始出现。
其中一大选择是采用Antenna软件公司提供的方案,这款名为Volt MAM的产品为iPhone及Android环境打造了一套专门存放HTMl 5应用的虚拟环境。由于苹果、谷歌等巨头厂商在系统中提供JavaScript API以及支持W3C的BONDI APi,因此上述产品能够借此调用设备本机功能。(举例来说,它们能够以这种方式捕捉标签或者栏位代码。)我们可以根据自己选择的IDE进行HTML 5应用开发(甚至可以使用文档编辑器进行开发),但开发成品必须与Antenna的API相对接,否则将无法同Volt客户端协作、更不用提接受Antenna移动平台(简称AMP)服务器的管理。
有鉴于此,大家不妨以用户政策(例如角色分类)为基础编写安装配置文件。这样用户在登录服务器(大多处于托管状态下)时,应用程序会将与角色相对应的配置文件一同下载至设备当中。服务器同时还会推送软件更新并为IT部门提供用于监控使用状况、变更应用许可、锁定下行数据以及清除应用所必要的功能组件,这样用户在离开企业或是调任其它岗位时,管理者就能够快速将其角色剔除或是做出相应更改。
虚拟环境的出现终于为业务与个人应用及数据的划分指出了一道康庄大道,但具体实施起来还是有点问题——毕竟强迫用户打开容器应用(Antenna的Volt就是最典型的例子)才能访问业务HTML应用的做法不够人性、容易引发员工的反感。但从另一个角度看,既然是HTML应用,咱们也不必要求太多。毕竟用户在使用任何一款Web应用时都需要先打开浏览器,这与打开容器倒也没啥本质区别。另外,由于所有业务资源都运行于IT部门的服务器中,因此管理者能够直接对应用进行控制,这跟传统的台式机Web应用非常类似。
企业自主开发的HTML 5应用借助Volt的强大功能,得以拥有一片独立的运行空间,因此相关数据的加密与隔离效果也要比设备上的其它信息好很多。苹果的iOS平台本身就支持加密及隔离服务,但谷歌的Android 2.x系列却一项也不支持。虽然在Android 3.x和4.x系统中纳入了加密机制,但隔离仍然是谷歌产品的最大软肋。由于业务HTML 5应用的运行完全依托于Volt,所以AMP服务器能够直接对其进行管理,而且绝不会对设备中的其它应用产生干扰。
而在iOS这边,Amp服务器同样能够利用AMP及其内部集成的MDM工具实现本机应用管理。与此类似,AMP中集成的MDM工具还可以管理由自身提供(HTML 5及本机)或工具提供(本机)的应用程序。值得一提的是,Volt在离线工作时HTML 5应用仍然能正常运行,并在网络连接恢复后第一时间进行数据同步。
理论上讲,Volt控制下的HTML 5应用能够以独立应用的状态保存在iOS设备的主屏幕中随时等待调用,这就省去了先开容器、再开应用的弊端。其实应用本身仍然处于AMP所绑定的安全及管理之下,但用户使用时的感受与普通应用无疑,并不会感觉到AMP的存在。某些用户可能喜欢按个人偏好对应用程序进行分组,但Volt会强制要求使用者把业务应用统统归在同一个组中。(Android系统不支持应用与容器绑定,因此Volt控制下的HTML 5应用必须在打开Volt平台的情况下才能运行。)
Antenna公司CTO Dan Zeck指出,他们更乐于通过iOS的方式运行应用而非强行通过容器,因为IT消费者更希望从直观层面上了解业务应用与个人应用间的划分——这样既能让IT部门轻松实现数据隔离,又能帮助用户在意识上搞清个人活动与业务操作的差异。他同时表示,让业务应用以普通应用的面貌出现在iOS主屏幕中、同时又确保它们始终处于严格监控之下其实并没有什么技术难度。(黑莓OS 6和7同样支持这种隐性隔离方案,不过仅有数款最新黑莓Enter Server版本支持该功能,并只限BES控制下的应用。)
随着MDM工具开始广泛为应用程序提供支持,AMP服务器也开始接管起iOS应用的安装与管理工作——但前提是企业用户必须采用苹果公司推出的企业级SDK协议。AMP能够在许可证书的支持下实现应用的直接安装,这就回避了公共App Store中蕴含的潜在风险。这是苹果公司的强制要求,目的在于为业务应用带来与其它iOS应用同等级别的高端控制标准。
而包括AppCentral在内的其它工具也提供相似的功能。不过现在看来,Volt客户端与AMP托管服务器的组合似乎更适用于企业环境,因为这套方案将LDAP、MDM工具以及高度加密与验证技术以打包方式集于一身,这极大丰富了管理政策的功能性。(AT&T公司在其Workbench产品中使用的就是AMP,但Volt/AMP这套组合可不只局限于使用AT&T服务的设备。)Volt客户端能够作用于使用iOS 4、5的iPhone以及使用2.1、到2.3版本的Android设备;目前其它版本支持对象正在开发之中。
第二波浪潮:通过政策直接管理本机应用
尽管功能强大,但Antenna方案仍然无法作用于本机应用——因为本机应用无法在其它应用内部或IT服务器上运行。这时就要轮到AppCentral和AppGuard服务出场了。AppCentral公司(起初名为Ondeego公司)已经分别为自家MAM技术发布了iOS及Android版本,以迥异的思路为移动应用程序管理及分布指明了新方向。令人欣慰的是,实践证明了这款产品在本机应用领域的巨大贡献与完美协调能力。
在由AppGuard服务所构建起的小型独立环境中,我们可以利用AppCentral管理政策API将“监听器”功能代码添加到iOS及Android应用中。在API的帮助下,应用程序将与AppCentral服务器进行交互,使管理者得以将各种政策及用户划分方案加入其中——例如限制特定Wi-Fi访问请求(此类情况在医疗保健行业比较常见)或者在员工权限发生变更时及时清除应用及数据(比如分包商工作完成、需要向总包交接项目资料)。
“监听器”功能会对应用程序启动、前台运行等活动(主要针对应用激活操作)加以监控,并实时检测当前设备与应用状态是否有悖于管理政策。“监听器”功能还能将应用程序(而非设备整体)的状态与活动单独反馈给服务器端,这就降低了管理工作中的人为因素,大大缓和员工、分包商及企业合作伙伴对于监控流程的防备心理。
关键在于管理机制已经嵌入到应用程序当中,因此大家无需再为设备本身操心。既然消除了后顾之忧,我们就应当开始考虑将应用程序管理以规范形式普及向更大规模的用户群体,而不再仅仅把眼光放在与企业内部与敏感信息相关的移动设备身上。
苹果公司对于AppCentral开发的技术赞赏有加,因此iOS开发人员也就不必担心自己的应用产品会受到非苹果API的侵扰。而在Android领域则缺乏此类官方引导——这毫不令人意外,Android在安全性上的疲软已经不算新闻了。不过AppGuard技术则为Android指了一条明路,IT部门能够在它的帮助下将应用集中起来,进而实现企业级别的管理与监控。
AppCentral工具为应用程序提供多项管理服务,其中包括授权许可管理、第三方产品发布等等——这在以往的移动领域、尤其是苹果强制要求企业将专有业务应用以第三方产品的形式通过App Store发布这一背景下,更加显得难能可贵。而且在iOS与Android平台的授权许可管理方面,由于苹果App Store与谷歌Play软件市场都在以用户为单位进行计费管理,AppCentral的授权许可机制可谓意义非凡。IT管理者可以批量采购使用许可,并以注册码的形式发放给普通用户,这样员工就不必再经历自掏腰包、申请报销等一系列麻烦的过程——而且在大型企业方面,批量发放也让应用程序的实际推广不再困难。尽管AppCentral提供了较为全面的解决方案,但其中所涉及的问题仍然相当复杂,这就导致IT部门与移动操作系统供应商之间的矛盾尚未得到实质性缓和。
新型MAM正在针对“消费化”趋势做出调整
我们目前还处于移动管理发展的初级阶段。在过去两年中,MDM领域出现了一股不大不小的淘金热,十几家供应商的涌入颇有股群雄逐鹿的味道。而就在去年,MDM的概念终于在企业用户中扎根,自此即使是对安全性要求最高的公司,也开始尝试将iPhone、iPad及Android设备引入业务环境并为其提供支持——这在2009年看来简直不可想象。
MAM则可以看作下一个MDM,IT部门的敏感分子们已经把高风险的帽子从设备上取下,转而扣给了应用程序——某些是出于合法性考虑、某些则源于新问题的涌现。我个人则满怀热情,期待着像Antenna、AppCentral、Mocana以及赛门铁克这样的一流安全技术企业能够认识现实、制定规划,早日引领应用程序合法性管理走向正途——正如Good Technology、MobileIron与Sybase等公司当前所做的一样。
再乐观一点,像AppCentral这样的方案已经成功将全面管理的沉重包袱卸下、将IT部门的工作重心调整为以“消费化趋势”为中心、业务技术共享模式为前导,用户、IT部门及第三方供应商各司其职、各负其责的良好管理体系。这套方案要求我们采取分块分类、以政策为基础的管理模式,并为大家带来足以应对今后挑战的优秀工具。
移动应用管理引发的焦虑已经消弭
一年前,CIO们还普遍认为自己绝不可能为iPhone及其它自带设备提供任何安全及管理层面的操作政策。而时至今日,上述观点显然已经过时,这要感谢用户的大力推动以及面向iOS与Android设备IT管理需求的各类工具。随着设备管理纷争的日渐平息,围绕应用管理展开的讨论又开始充斥在我耳边——没错,无论是私人活动还是正式会议,这都是技术圈子里最热门的话题。
不过对于应用管理的恐慌情绪也同样会烟消云散。只需要利用安全网站或在邮件中发送指定链接这类简单的应用交付方案,企业就完全能够初步掌握安全主动权——当然这也是去年秋天之前iOS设备所能采取的最佳安保模式。但如今不同了,企业希望或需要以更直接的方式进行应用管理,他们对移动设备提出了与传统台式机一样的高要求:控制、安全、合规性监管一项都不能少。而现实没有令企业失望,他们需要的工具已经蓄势待发、准备投入这场轰轰烈烈的消费化变革。
我们欣喜地看到,管理方案已经在正确的道路上渐行渐远——赋予IT部门足够的控制权、又不过分影响用户感受,这才是消费化进程的精髓与实质。随着移动设备迅速成为个人事务及企业业务不可或缺的组成部分,以Volt为代表的一系列工具也已经分别为两种用途提供了理想支持。我们不再需要强迫用户使用被重重锁定起来的智能手机或者平板设备,而IT部门也摆脱了承担一切监控工作的压力——整条产业链中的每一环都是受益者,健康发展的经济观念在这里体现得淋漓尽致。
【51CTO独家特稿非经授权谢绝转载,合作媒体转载请发转载邮件至zhousn#51cto.com】
