Mobile Enterprise Security
โดย ปิติพงศ์ อัครจันทโชติ บริษัท จีเอเบิล จำกัด
ในโลกปัจจุบันนี้คงต้องยอมรับว่า Mobile Device เข้ามาเป็นส่วนสำคัญของชีวิตประจำวันและก็รวมไปถึงชีวิตการทำงานด้วย ซึ่งแนวโน้มการทำงานโดยใช้ Mobile Device ในลักษณะของ BYOD (Bring Your Own Device) ก็มีเพิ่มมากขึ้นด้วยเช่นกันซึ่งลักษณะการทำงานบน Mobile Device ในโลกที่การทำงานเป็นแบบ BYOD นี้ที่เส้นแบ่งแยกของอุปกรณ์การทำงานสำหรับเรื่องส่วนตัวกับเรื่องงานไม่มีอีกต่อไปแล้ว ทำให้กลายเป็นว่ามีการใช้ทั้งเรื่องส่วนตัวและเรื่องงานบนอุปกรณ์ Mobile Device ตัวเดียวกัน ซึ่งแน่นอนว่าจะทำให้ผู้ใช้งานมีความสะดวกสบาย แต่ในส่วนขององค์กรแล้วนั่นหมายถึงการเพิ่มขึ้นของความเสี่ยงในด้านปัญหาความปลอดภัยที่มาจาก Mobile Device เหล่านี้
ดังนั้นในส่วนขององค์กรจึงจำเป็นที่จะต้องเตรียมมาตรการและระบบจัดการทางด้านความปลอดภัยสำหรับ Mobile Device เหล่านี้ เพื่อให้รองรับกับการทำงานในลักษณะ BYOD นี้ไว้ ไม่ว่าจะเป็นปัญหาจาก Malware บน Mobile Device ของพนักงาน หรือเมื่อเกิดเหตุการณ์ Mobile Device ของพนักงานที่มีข้อมูลและ Applications ขององค์กรอยู่ สูญหายหรือถูกขโมยไป เพื่อไม่ให้เหตุการณ์ลักษณะนี้กลายมาเป็นปัญหาทางด้านความปลอดภัยกับระบบงานขององค์กร
ซึ่งเทคนิคของการจัดการความปลอดภัยบน Mobile device สำหรับองค์กร (Mobile Enterprise Security) นี้ก็สามารถทำได้หลากหลายวิธี โดยแต่ละวิธีก็จะมีจุดเด่นที่แตกต่างกันไป
รูปแบบของการทำ Mobile Enterprise Security
ตอนนี้เรามาดูกันว่าการทำ Mobile Enterprise Security สามารถทำได้ด้วยเทคนิคอะไรบ้าง และมีข้อแตกต่างกันอย่างไร
Mobile Device Management (MDM)
MDM เป็นวิธีการจัดการ Device โดยอาศัยการติดตั้ง Software ไว้ที่ตัว Mobile Device เพื่อให้ทำหน้าที่ดูแลจัดการ Mobile Device นั้นๆ ไม่ว่าจะเป็นการติดตั้ง/การสร้าง/การลบ ข้อมูลหรือ Apps ต่างๆ แบบระยะไกล ซึ่งจะส่งผลให้ Enterprise สามารถตรวจสอบและติดตาม Device Location, Installed Applications และอื่นๆ ได้ และเมื่อ Mobile Device นี้สูญหายหรือถูกขโมย ทาง Enterprise สามารถสั่งล้างข้อมูลใน Mobile Device นี้ทั้งหมดแบบระยะไกลได้ ส่วนระบบการเข้ารหัสในการติดต่อกับ Enterprise ก็จะเป็นไปในลักษณะของ Device-Level VPN
เมื่อ Mobile Device ได้เข้าไปอยู่ในระบบ MDM แล้วจะทำให้ Device นั้นๆ จะถูกควบคุมและติดตามได้จาก Enterprise ซึ่งอาจจะทำให้การใช้งานในเรื่องส่วนตัวกลายเป็นไม่ส่วนตัวและไม่สามารถเป็นไปได้อย่างสะดวก รวมถึงไม่สามารถทำได้โดยไม่กระทบกับการใช้งานในรูปแบบเดิมที่ผู้ใช้คุ้นเคยอยู่ได้
รวมไปถึงว่า MDM ก็จะมีลักษณะตามชื่อของมัน นั่นก็คือเน้นไปที่การจัดการ Mobile Device ในเชิงของการเป็น Management Tool มากกว่าที่จะเป็น Security Tool
Mobile Virtualization
Mobile Virtualization มีแนวคิดคือจะทำการแบ่ง Mobile Device แยกออกเป็น 2 ระบบปฏิบัติการ (Operating Environments) เสมือนว่าเป็น 2 Device โดยจะใช้ระบบปฏิบัติการหนึ่งสำหรับงานส่วนตัว (Personal) และอีกระบบปฏิบัติการสำหรับงาน Enterprise ซึ่งการแบ่งแยกระบบปฏิบัติการอย่างเด็ดขาดนี้จะช่วยป้องกันปัญหาเรื่องความปลอดภัยไม่ให้กระทบกันและกันได้ (หรืออีกนัยหนึ่งก็คือไม่ให้ความเสียหายจากการใช้งานส่วนตัวแพร่กระจายมาสู่ Enterprise ได้)
แต่ในการใช้งานจริงแล้ว Mobile Device บางประเภทจะไม่อนุญาตให้มีการใช้งานแบบ Virtualization นี้บนอุปกรณ์ของตน รวมถึงการที่มีการผลิต Mobile Hardware อยู่เป็นจำนวนมากมายหลายรุ่นหลายยี่ห้อหลายเทคโนโลยี ทำให้เป็นการยากที่จะพัฒนา Virtualization Software ให้ครอบคลุม Mobile Hardware ทั้งหมดนี้ได้ และนอกจากนี้แล้วการที่ผู้ใช้งานจะต้องมาคอยสลับระบบปฏิบัติการไปมาระหว่างการใช้งานเรื่องงานและเรื่องส่วนตัวก็ทำให้การใช้งานในลักษณะ Virtualization นี้อาจจะไม่ใช่วิธีที่สะดวกนัก
Mobile Application Management (MAM)
MAM จะคล้ายกับ MDM แต่ต่างกันที่จะมุ่งเน้นไปที่การบังคับควบคุมเฉพาะในส่วนของ Enterprise Application เท่านั้น ซึ่ง Enterprise Application นี้ก็จะอยู่ร่วมภายในระบบปฏิบัติการ (Operating Environments) เดียวกันกับ Personal Applications โดยสิ่งที่ MAM แตกต่างจาก MDM ก็คือ MAM จะไม่ได้มีการควบคุมในส่วนของ Operating System จะมีเพียงแค่การควบคุม Enterprise Application เท่านั้น
MAM จึงเหมาะกับการที่ Enterprise ต้องการระบบที่จะมาปกป้องการเข้าถึงข้อมูลขององค์กรแต่ก็ยังคงความเป็นส่วนตัวในการใช้งานเรื่องส่วนตัวอยู่ แต่ที่เป็นอุปสรรคสำคัญของ MAM ก็คือ Mobile Enterprise Application จะยังมีอยู่ไม่มากเท่าไรในตลาด เนื่องจากยังอยู่ในช่วงเริ่มต้นของการพัฒนาและใช้งานของ Mobile Enterprise Application เท่านั้น โดยส่วนใหญ่ของ Enterprise Application จะยังคงเป็น Legacy Windows หรือ Web-Based อยู่ ซึ่งจะไม่ได้อยู่ในขอบเขตการทำงานของ MAM ที่จะสามารถไปควบคุมได้
Mobile Container
Mobile Container มีหลักการคือการสร้าง Workspace บน Mobile Device แยกออกมาสำหรับให้ใช้กับงาน Enterprise โดยเฉพาะ และปล่อยให้การใช้งานส่วนตัวเป็นไปตามปกติ ซึ่งจะส่งผลให้ Mobile Container จะมีคุณสมบัติในระดับเดียวกับ MDM แต่จะบังคับควบคุมเฉพาะในส่วนของ Container เท่านั้น โดยที่จะไม่กระทบกับการใช้งานส่วนตัว นอกจากนี้ Mobile Container ก็จะมีคุณสมบัติของการแบ่งแยก Workspace เช่นเดียวกับ Mobile Virtualization แต่จะไม่มีข้อจำกัดทางด้าน Hardware รวมไปถึง Mobile Container ยังมีคุณสมบัติการจัดการ Application ในแบบเดียวกับ MAM แต่จะไม่มีข้อจำกัดในเรื่องของ Legacy หรือ Windows Application ที่ MAM จะไม่ได้รองรับ
จะเห็นได้ว่า Mobile Container นั้นจะมีความยืดหยุ่นอยู่มาก เนื่องจากถูกออกแบบมาโดยรวบรวมเอาข้อดีของเทคนิคแบบต่างๆ มาไว้รวมกัน
Oracle Mobile Security Suite (OMSS)
หลังจากที่เราได้รู้จักเทคนิคต่างๆ ของการทำ Mobile Enterprise Security แล้ว คราวนี้เรามารู้จักกับ Product ของ Oracle กันบ้างว่าใช้เทคนิคแบบไหนและมีคุณสมบัติพิเศษอย่างไรบ้าง
Oracle Mobile Security Suite (OMSS) เป็น Product จากค่าย Oracle ที่จะมาช่วยจัดการเรื่องระบบความปลอดภัยให้กับ Enterprise โดยจะยึดแนวทางการทำ Container ซึ่งจะมีข้อดีในเรื่องของความง่ายและการรักษาความเป็นส่วนตัวสำหรับการใช้งานในเรื่องส่วนตัว แต่ก็ยังคงรักษาความปลอดภัยในส่วนของการทำงานที่เป็นของ Enterprise ด้วย
ด้วยการใช้เทคนิค “Containerization” OMSS จะสร้าง Secure Workspace ขึ้นมาสำหรับ Enterprise Applications, Email และ Data โดยจะมีเพียง Authenticated Users เท่านั้นที่จะสามารถเข้าถึง Secure Workspace นี้เพื่อที่จะเรียกใช้ Applications และเข้าถึง Data ได้ และจะมีเพียง Applications ที่ถูกเตรียมหรืออนุมัติโดย Enterprise เท่านั้นที่จะสามารถติดตั้งและเรียกใช้งานที่ Secure Workspace นี้ได้และเมื่อเกิดเหตุการณ์ที่ Mobile Device นี้หายหรือถูกขโมยไป ทาง Enterprise ก็สามารถสั่งล้างข้อมูลทั้ง Secure Workspace /Container นี้ได้จากระยะไกลโดยที่ไม่กระทบกับ Applications และ ข้อมูลที่ใช้ส่วนตัว
OMSS Components Architecture
OMSS จะมีโครงสร้างที่ประกอบไปด้วยระบบต่างๆ คือ
-Mobile Security Container ปกป้องระบบด้วยการจัดการ Applications และ Data ในส่วนของการใช้งานส่วนตัว ให้แยกออกจากการใช้งานในส่วนของ Enterprise
-Mobile Security Access Server ช่วยให้การจัดการการเข้าถึง Enterprise Intranet จาก Mobile Device เป็นไปได้ง่ายและปลอดภัย โดยจะอนุญาตให้มีการเรียกใช้งานได้จาก Mobile Security Container และมีการเข้ารหัสในรูปแบบของ Application-Level SSL Tunnel แทนที่จะเป็นแบบ Device-Level VPN ที่อาจจะมี Malware แอบแฝงเข้ามาทางช่องทาง VPN นี้ได้
-Mobile Security Administrative Console ช่วยในการจัดการ Mobile Container ในด้านต่างๆ ผ่านช่องทาง Remote Management เช่น Logging, Policy Enforcement Application Management, การ Lock และ/หรือ ล้างข้อมูลของ Remote Container และยังสามารถทำงานร่วมกับ Active Directory เพื่อให้การจัดการ Users/Groups เป็นไปได้อย่างสะดวกได้อีกด้วย
-Mobile Security File Manager ช่วยในการจัดการให้เข้าถึง Internal File Server โดยไม่มีปัญหาด้านความปลอดภัยกับ Enterprise
-Mobile Security Application Wrapping Tool ใช้ในการจัดการแปลง 3rd Party หรือ Custom Applications ให้มีความปลอดภัยอยู่ในรูปแบบของการใช้งานแบบ Container โดยที่ไม่ต้องมีการแก้ไข Code ใดๆ (Containerized) โดย Containerized Applications นี้ จะถูกนำไปเรียกใช้ใน Mobile Security Container ได้
โดย OMSS นี้ยังมาพร้อมกับ Applications ต่างๆ เพื่อช่วยให้มั่นใจได้ว่าระบบและข้อมูลขององค์กรถูกปกป้องอยู่ตลอดเวลา
-Secure Web Browser
-Secure File Manager
-Secure Email, Calendar, Contacts, Tasks, Notes
จากที่ได้กล่าวมา การเพิ่มขึ้นของการใช้งาน Mobile Device ที่เพิ่มมากขึ้นอย่างรวดเร็ว ทำให้องค์กรต้องปรับตัวเพื่อรองรับกับสถานการณ์ที่มีอุปกรณ์ Mobile Device ที่หลากหลายเข้ามาใช้งานเชื่อมต่อกับระบบภายในขององค์กร รวมไปถึงการควบคุมการเข้าถึงข้อมูลต่างๆ ขององค์กรไม่ว่าจะเป็นการเข้าถึงตรง การ Share การส่งต่อเอกสารจาก Mobile Device ไปยังที่อื่นซึ่งก็ล้วนแต่เป็นเรื่องที่ต้องควบคุมดูแลทั้งสิ้น แต่ก็ยังต้องคงไว้ซึ่งความสะดวกในการใช้งานในเรื่องส่วนตัวไม่ให้กระทบเปลี่ยนแปลงไปจากเดิม ซึ่งเมื่อดูจากความต้องการการใช้งานทั้งส่วนองค์กรและส่วนตัวแล้วจากเทคนิคต่างๆ ที่มี Containerization ก็ดูจะเป็นวิธีที่เหมาะสมที่จะใช้ปกป้องความปลอดภัยให้กับองค์กรโดยที่ยังคงรูปแบบการใช้งานในเรื่องส่วนตัวให้เป็นไปโดยปกติได้