NSC2015刘勇:移动虚拟化技术与企业移动安全

大家都知道,移动端尤其是像现在员工的BYOD事件日益增多,移动信息安全也是大家日益关注的主题。下面请北京泰一奇点科技有限公司副总裁刘勇先生分享:移动虚拟化技术与企业移动安全管理。有请。

刘勇:各位来宾下午好。下面由我和大家分享一下我们在移动虚拟化技术方面的研究,以及在企业移动安全这方面的一些观点。主要从这几个方面来讲一下我们分享的内容:企业移动信息化的挑战,移动虚拟化技术介绍,如何利用移动虚拟化技术解决我们所面临的这些问题,最后介绍一下泰一奇点公司。

刚才熊总也提到了,现在这个时代已经是翻天覆地的变化,我们每个人都有自己的设备,智能终端设备,它已经成为了你身体的一部分和生活的一部分。这个智能终端会有更多的和商务、办公、企业组织相关的活动在你的移动终端上进行开展,我们又不能像保密机构一样发一个专用的智能终端设备来解决这些问题,我们会更多的利用自己的设备,员工自己的手机和笔记本电脑来完成工作,这个趋势也是非常的明显,已经会有越来越多的公司是允许员工自己的设备来接入到企业的内网进行相关的移动应用。

前期我们做了一些安全的分析,有很多公司非常担心企业的数据在员工手机上,在使用过出现一些遗失的风险,有很多的公司也发生过这样的一些事情,手机丢了之后,企业的数据怎么办?有很多时候会带来更多的损失,我们做过一些这样的统计,每年的损失还是比较大的。有一些组织就会采取一些措施,要对整个设备进行安全管理,将所有的设备管控起来。只要所有使用了安全管控的设备要进行一些密钥保护,设备丢失的时候要进行远程管理,更多的还要采取一些加密的技术来保证数据在移动端的安全。很多员工也会担心自己的手机的一些个人健康数据和个人信息,会不会随着安全管控造成个人隐私泄露,这也是很多方面需要考虑的。

整个移动安全市场呈现爆发式增长,全球市场从2014到2018年增长比例是非常高的,相对国内来讲,也是在这块有比较大的增长。泰一奇点一直专注于移动领域研究安全的问题,以及找到一个适合目前阶段的,兼顾了安全和易用的解决方案。

移动化的过程中有很多的挑战,首先是移动的开发。前期在开发的过程中,像OA、ERP和CM系统不是一开始就考虑了我们在移动端怎样来使用和访问的,我们必定要带来一个问题,就是怎样把这些应用交付到移动端去,是做一个APP、做一个开发,还是怎样的过程。我们的CIO都能体会到,我要开发一个移动应用,开发周期很长,开发的成本也比较高。是什么造成了这个问题呢?是因为它的开发模块比较多,它要开发自己的业务模块和认证模块,还要开发和安全相关的模块,还要开发数据存储的模块等等。而且每个应用厂商在考虑自己业务实现的时候,它会很少关注安全的问题。我们整个企业又会在整个安全上有一些统一的标准,怎么来执行,这也会造成不同的开发厂商水平不一样的情况下,执行的力度也会不一样,效果也会不完全一致。

要解决移动应用的分发问题。今天上午我们看到了有很多的应用,包括银行类的应用都有N多种版本,被不同的打包到不同的应用市场上去,我们怎么解决企业员工拿到的应用就是企业想要给它的应用呢,怎么解决这个应用安全的交付到我们自己员工的手机上呢,这个问题是一个比较重要的问题。

还有相互之间的认证问题,一个应用开发好了,另一个应用也开发好了,每个应用进去的时候我要做相应的登录,怎样完成比较好的体验,一个应用开发进去,所有的应用都能自动的使用。还有安全的问题,恶意软件爆发式的增长,如果你的移动应用没有在手机上加以保护的话,我的一些病毒和木马获取你的相关信息是很简单的,我们曾经做过一些攻防的测试,在一些安卓手机上,我很轻易的就能拿到你存储的文档、短信信息和通讯录等等。那么像钓鱼和很多攻击手段,都会从以前的PC端转移到移动端,有更多的安全困扰会阻碍着我们在移动信息的发展。

隐私数据外泄。可以从两个角度看,一是员工自己单身自己的隐私数据外泄,个人的健康数据、个人照片等和企业没有关系的数据是不是会被泄露出去,二是企业担心的是和企业相关的数据会不会被泄露出去,随着手机的丢失或者是手机上木马病毒的存在,把企业的数据给外泄了,这是不同的对数据保护的看法。还有设备管理,我们知道BYOD的模式,拿自己的设备来进行管理的模式,设备的类型非常多,华为、三星、小米、中兴、苹果等等的类型非常多,执行统一的管理难度是非常大的。还有你要让所有人都要执行相同的安全策略也是比较困难的一件事情。所以,我们看到了移动化的过程中,我们期待要解决的问题,从应用管理到设备管理,还有到隐私的管理和一些安全的管理,内容的一些管理,它是方方面面的很多的层面。我们可以看到,在移动端来解决这些问题,我们又可以看到借助了很多技术,我们先看一下虚拟化的技术。

虚拟化大家并不陌生,大家使用的很多,服务器虚拟化、存储虚拟化和网络虚拟化,包括我们在PC上也会用PC方面的虚拟机等等。怎么在移动端使用虚拟化技术呢?我们看到有两种方式,一种虚拟机的模式,另外一种叫做APP  Wrapper的封装打包的虚拟化技术。 Hypervisor是独立的虚拟化模式,而应用打包则是对应用集成封装的技术,让你在逻辑上感觉到有一台虚拟的空间来运行相关的移动应用,但这是两种不同的虚拟化技术。

在虚拟化这一环,我们可以看到Hypervisor,它的更多层面是基于硬件来做准虚拟化的系统,它的优点很明显,它整个的独立性非常强手机应用框架、库等等相互之间都不会造成任何影响,它的性能和体验也还是非常好的,因为多个虚拟机之间的隔离会有更加高强度的隔离,但它的一个缺点是整个开发的量会比较大,我们可以看到,一个这样的手机下面是内核,它要输出不同的这种操作系统的内核和硬件抽象的空间,所有的应用又是在不同的独立空间里进行运行,它是和硬件的相关性非常大,每一款硬件设备都要去进行相关的开发工作。整个硬件的移植工作量也比较大。另外多个虚拟机之间的数据分享会比较困难,还有它对整个虚拟机硬件资源也比较高。我们用PC机下的虚拟机的同时会更多一些,当你运行了一个虚拟机,再使用另外一个虚拟机的时候会明显发现在资源的占用和使用上,速度上会受到影响。

APPWrapper技术是针对一种应用的安全的封装,它能够自动替换一些应用的API进行安全隔离,它是这么一种做法。它整个对操作系统要求比较低,对硬件的要求也非常低,它可以说是一种非常轻量的虚拟化的技术,但它同样也会存在一些缺点,每个应用都共同使用相同的服务和资源,另外对应用有一个封装的过程,有些应用可能在兼容性方面做得不够好,有可能在封装的过程中出现一些失败,当然这种失败的概率会比较低,这是我们看到的两种技术。

我们可以分析一下,目前每一个都有一定的缺点和优点,从目前阶段来看,应用封装技术,就是APP  Wrapper更加适合现在的移动端,它比起Hypervisor来说整个成本以及安全性的性价比考虑来讲更加优秀一些,我们可以通过后续的手段来保证在安全虚拟的空间里APP运行的安全。

总结起来,可以形象的看,一个手机通过移动虚拟化之后,我们可以分成两个手机,一个手机可以运行个人的APP,例如我的微信、视频、聊天、娱乐类的APP。跟企业相关的一些APP完全在另外一个空间来运行,这两个空间是独立的,工作系统是由企业来进行管理和全加密的一套系统,所有的落地数据以及数据库的信息都是透明和进行加密的。个人终端不受影响,该是原来的使用还是原来的使用。在工作系统中,当然它也会提供一些基础应用,例如打电话的功能和短信功能,在工作区间内打的电话和发的短信,你在个人区间内是看不见的,它会进行相关的隔离。通过这种移动虚拟化的技术,它能够有效解决个人和企业之间这种数据共享和隔离使用的问题。

如何利用移动虚拟化技术。

我们看到一个移动虚拟化平台通常由几大部分组成。第一,它有整个的一套安全结构,我们利用移动虚拟化技术来构建一个统一安全的结构来解决企业移动化的问题。第二,它肯定会有一个应用管理,我怎么把企业开发好的应用下发到我的目标用户手机上,怎样进行应用的管理和更新。第三,设备的管理,所有的设备是怎么按照统一的安全策略来进行统一的管理。第四,内容的管理,所有访问的数据、邮件和短信、企业的文档在我的虚拟化空间内是怎样一个机制,怎么来进行相关的管理。

这四个必备的功能中,第一应用管理这一环,不管是你开发好的这种基础应用,还是企业自己开发好的OA,都需要解决怎么在这个平台上进行快速发布和更新的问题。这就给这个企业建立了一个自己的应用商店,以后企业的应用不需要再到外部的应用商店下载了。第二,我们可以利用移动虚拟化技术来进行相关的自动的应用程序保护、自动更新和安装,因为所有应用程序的管理都已经在我的虚拟化空间内完成,内容管理这块,我所提供的环境是完全隔离的,所有的内容是隔离的。在这里我们可以扩展的有安全邮件,浏览器、文档等等。  第三,设备的管理。想象一下我们的设备丢了之后,你最关心的是个人的数据和企业的数据,我们怎样把设备进行远程管理,设备丢了我可以去定位擦除数据,统一的都会应该由整个这块模块工程来完成。网络设置,每个设备,比如到了一个会议室,我让它自动连上这个会议室的Wi-Fi。我的设备如果被Root越狱了就不可以再使用我们企业的某些应用,我们可以在这上面进行管控。第四,整个安全管理,我们有VPN通信,文件存储、统一认证、授权,还有在这方面做一些基于这种U盾和数字证书的管理。有了移动虚拟化技术之后,这些方面的内容做起来就比较简单,因为它所有的入口,所有的运行的空间都在我们掌控的虚拟化空间里。所以,这里它体现的一些关键技术,一是虚拟化的技术,二是针对各类数据的隔离和加密,高强度的隔离和加密,包括对国产加密算法的一些使用,在这个虚拟化的空间里都会变成是一个可操作的事情。

对整个的应用进行分发,我们会有效的能够对应用来进行相关的保护,来确保你的应用不会被其他的一些病毒或木马来进行注入。我们可以根据不同的策略来进行相关应用使用环境的管理,有些应用可能在某个时间段,某个地点和某个区域才能在这个空间里使用,还有对设备进行的这种管理。另外就是说所有的应用可以通过统一的平台来进行统一的管控。

这里的创新点,刚才一直提到这是一种轻量级的,而不是很重和需要很高的硬件支持、特定的设备支持,我只需要你是安卓系统,各种手机都可以在上面做轻量级应用的虚拟化技术。所有受加密技术或者说虚拟化技术影响的只是在安全沙盒内运行的应用,其他的应用完全不受影响。通过这个构建了一个安全的企业应用发布途径,我有了自己的商店,来进行移动应用的管理。另外是针对自动的虚拟应用打包技术会有更好的应用,更多的应用的开发商和厂商关注于自己的业务实现,更多应用的管理、安全的管理,交由这种移动虚拟化的产品或者是这种技术来解决。

在这里面它可以发挥出这样一些技术的特点,所有的应用在上传到这个平台的时候,可以自动的把一些相关的能力加入到这个应用里来,这个东西是可扩展的。我们可以看到一些自己的应用或者是Web应用、混合开发的应用,各种类型的APP应用,我们都可以加入相关的保护。因为整个应用管理是我们做的,整个应用管理是应用这个平台来做的,它在加入这个平台的时候,我们可以删除它的恶意代码,可以对它应用的使用时间和位置进行限制,甚至应用里面所有数据的复制粘贴都可以进行相关的限制,来进行整体的数据管控。

第二个特点,我们很容易把一台设备变成两台。我们经常在PC下讲一机两用,我们的终端同样可以体现出这样的概念,智能终端的一机两用,个人的APP和企业的APP完全在两个不同的虚拟化空间里进行。

第三个特点我们进行了相关4A的管理。所有企业的移动应用由于有了这个虚拟化技术存在以后,我们所有应用的入口都是一个,从一个入口进入到这个虚拟化环境的时候,我容易实现整个帐号的管理,应用访问的审计,统一应用的授权,还有统一的认证。整个实现了移动应用从审计、访问、应用、授权的闭环管理。

第四个特点,在设备管理这块,我们可以进行强大方便的设备丢失后的处理和设备的相关管理。我们可以看到自己的设备在哪里,我们曾经遇到有一些用户说找不到设备了,可能设备没有丢,但就拉在自己办公室的什么位置了,我们可以通过这样一些自主管理来进行设备的追踪和察看,以及察看我们新的设备下目前应用的一些状况,真正实现了设备的安全管理。

刚才我们讲的这些技术和挑战。泰一奇点公司其实是一家成立比较晚的公司,2013年成立的,我们主要关注在企业移动安全方面,我们公司是一家产品和技术型的公司,泰一奇点,奇点代表了我们团队对技术探索的精神,奇点是物理学里能量无穷大和质量无穷大的爆发奇点,在这里我们聚集的是一些和互联网安全和内核、移动互联开发经验比较多的这样一些人员。

基本上我们所有的产品都关注在隐私的保护,工作数据安全以及虚拟化技术的研究,沙盒技术研究方面。

我们刚才提到了,像我们能够利用这个虚拟化技术来完成一些什么样的任务,我们会有一些引进的产品,如果大家感兴趣可以去google  play和苹果市场去下载使用。

我们把积累的经验免费开放出来,给广大的APP开发者使用,利用我们的双因素的认证,安全认证等接口,SDK开放给大家用。MDM管控,移动设备管控的接口,还有一些数据的存储,所有的数据怎么加密存储,还有一些加密算法,对我的数据进行更高强度的数据保密。还有安全通讯,从3G、4G和外面的互联网怎么接入到企业的内网,我们都有相应的一些SDK来提供给大家免费使用,我们也运营了一个网站,我们叫做影子侠开发社区,我们可以在这个社区里面进行企业移动应用的安全的这种开发以及相关的一些技术方面的交流。整个这块是我们介绍的内容,大家可以利用我们的渠道来下载我们利用移动虚拟化技术所研发出来的产品。谢谢大家。

上一篇:NSC2015熊军:互联网金融交易平台安全思考

下一篇:NSC2015齐亚卓:制造企业精益安全管理