无处不在的智能手机、平板电脑和其它无线设备使员工在公司外部——无论是在路上,还是在家中——都能够访问公司的网络。适应这种企业IT“消费化”需求,让员工购买并使用自有设备,给企业基础设施以及重要数据和使用这些数据的应用程序带来了难以应对的挑战。
移动虚拟化可以减轻企业移动性的负担,简化IT人员的工作,同时为移动办公人员和远程办公人员提供安全的平台来运行企业应用程序和使用公司数据。同时,这些移动办公人员也得以在老板的监控之外继续享受智能手机带来的功能和乐趣。
现状——移动性带来提高生产效率的机遇
从20世纪80年代开始,各公司就开始为员工提供各种个人设备——首先是台式机,然后是手机和笔记本电脑,最近是智能电话和平板电脑。投资这些资产设备的动机是为随时联系员工,并提高企业效率,通过语音和电子邮件扩展联系方式,方便访问企业信息系统,并为员工提供各种工具使得他们无论是否在办公室都能够实现同样的效率。
结果是喜忧参半。移动投资回报的挑战包括:
· 访问:由于安全策略以及各种远程网络(VPN、酒店宽带等)的不确定性,只能对公司系统进行有限的访问。
· 维护:购买和维护远程硬件、激活远程访问以及进行硬件和软件实时更新的成本高昂。
· 消费化:雇员对公司提供的计算机、电话以及平板电脑不满意,员工更倾向于使用自选的移动硬件。
· 安全性:随意使用公司提供的设备(雇员浏览网页、下载内容等),给公司的网络和资产带来了恶意软件和其它攻击的风险。
目前对于VPN技术的改进和无处不在的宽带(WiFi、3G等)解决了大部分访问问题。随着消费化设备——员工自费或利用补贴购买自用的智能电话和平板电脑的普及,员工满意度将会提高,而维护成本将会下降。
企业移动性的另外一个薄弱环节就是安全性。
IT 的挑战——不可能完成的任务?
企业管理层授权IT人员支持“消费化”的企业移动性:远程办公的员工不仅能够通过PC和笔记本电脑,以及通过经IT审核的硬件登录公司网络,还应该能够通过自己的Android智能手机和其它无线设备,登录到公司网络,访问公司的数据库和邮件服务器,并运行重要的业务应用程序。这样做的目的是使终端用户保持高效率(而且愉快),而又不会牺牲公司来之不易的安全性;使他们能够移动但不会将公司的机密和客户信息暴露给破解者、盗用者和其它黑客。
在整理好简历并走出大门前,IT人员可能会考虑做一些令人不愉快的事情:
· 锁定移动应用程序,将所有与工作无关的网站列入黑名单。
· 清除员工的电话记录,安装干净且安全的公司软件(如果可能的话)。
· 只支持1到2款终端用户可购买并使用的手持设备和平板电脑。
由于技术和实际应用的原因,以上这些方案都不现实。那么,公司应该怎样做呢?终端用户的难题
在圣诞节后,销售、支持、市场、开发、财务、设备管理等部门的员工带着作为礼物或自己购买的崭新智能手机和平板电脑回到公司上班。这些设备不仅仅用于通信,而且还改变着生活方式,它们提供的应用能够帮助管理节食和运动、参与社交、协调日程、随时与家人联络、教育和娱乐等。这些设备还通过人们热爱的触屏方式,支持网页浏览、电子邮件、笔记、报告编写、财务模型等,这些大多都曾是在PC或笔记本电脑上运行的高效活动。
渴望在工作场所或工作场所之外体验这种新型移动性的员工向我们分享了他们体验企业移动性的故事,值得借鉴:
· 财务部的Joe让IT设置了他的智能手机,现在他不能在业余时间炒股(或玩游戏,或看视频)了;
· 销售部的Wendy在她的web pad上安装了公司的CRM和库存管理工具,她现在无法浏览竞争对手的网站和阅读自己喜欢的博客了;
· 研发人员Chad和IT人员Michelle为了遵守移动安全条例,不得不从自己的无线设备上删除了网络检测和控制台工具;
· 前台的Fiona再也不能在休息时间显示她最喜欢的屏保或浏览Facebook了;
· 每个人也都意识到公司安装的软件也许能够跟踪网上浏览或下载的行为。通过GPS电话和平板电脑,他们现在可以考虑将自己所在位置增列为隐私项目了。
每个人都失去了一些东西——熟悉、个性、实用、隐私,而最根本的是效率和自由——随意使用自有设备的自由。
那么结果是什么呢?这些移动办公的员工要么放弃公司的企业移动服务,要么随身携带至少两个设备:一个用于公司业务,另一个是自己用的个人手机或平板电脑。
实现企业移动性的方法
市场上出现了各种各样的技术和解决方案,能够满足个人与职业移动性的“双重角色”挑战:
基于云的门户——云计算影响了包括移动性在内的整个企业IT领域。Web应用和基于云的(虚拟)服务器将企业资产及应用从总部的数据中心转移到全球网络上。基于云的移动性通常支持电子邮件(webmail)、咨询服务以及数据库应用(如CRM),还支持XaaS(“一切皆服务”)规范。缺点是,*XaaS改变了用户体验,尤其是在传统移动和PC本地应用上的体验。
应用级容器——部署企业移动性的捷径是封装/保护重要的移动设备资产。将“容器”应用(元平台)项目独立化,通过提供专用、安全的邮件客户端和其它应用(但不是期望的本地应用,也不是传统的企业应用),将企业应用与移动设备分离。
加密——不仅自身是一种企业移动性解决方案,而且也意味着保护设备上的内容和传输中的数据。其它解决方案可以利用平台原有的加密(如果有的话)或使用自有的加密引擎。
移动设备与软件管理(MDM/MSM)——软件组件和服务套件,部分存在于移动设备,部分存在于后端服务器,可提供设备管理、配置、追踪、定位以及擦除功能。MDM套件常常能够整合多种技术。
系统级解决方案——采用移动虚拟化(1类管理程序)将重要的企业软件和数据存放在安全的虚拟机上,将它们与开放的终端用户环境隔离。 企业移动性的三大支柱
企业移动性的成功取决于以下三个因素:安全,隐私,以及自由。安全是针对企业通信与资产而言,而隐私与自由则是针对设备使用者而言。
通过下表,让我们看看某些领先的技术方法是如何增强企业移动性,但同时影响了安全、隐私和自由的。请注意,这些方法并不是相互独立的,在很多情况下是互为补充的。
移动虚拟化
虚拟化为各种程序(包括Android和其它OS)提供安全、隔离和可靠的运行环境,这一环境与实际的硬件裸机没有区别。虚拟机(VM)环境模仿实际的计算机硬件,并将客户软件堆栈相互隔离。被称为管理程序的软件层提供虚拟机环境并管理虚拟机资源。
移动虚拟化和数据中心类似,在OS和其它应用程序及终端用户可见的软件之下运行(图1)。它基于I型“裸机”虚拟化,有别于II型管理程序,这些管理程序以应用程序的形式在OS中运行(II虚拟化通常在桌面系统中运行,例如:VMware Workstation/Fusion和Parallels)。
移动虚拟化不仅为企业移动性提供了理想的基础,而且还部署于移动设备中用于其它各种目的——为传统的基带射频软件提供主机/分区,通过芯片组整合降低成本,还可为超安全、经过认证的“超级手机”实现军用级的安全性。
结论
在安全地实现企业移动性同时保留终端用户的隐私和自由的各种选择中,只有移动虚拟化能够不断地平衡这三大支柱。其它解决方案也试图实现双重角色的功能,但却失去了安全、隐私和自由的实质基础。
移动虚拟化构建于广泛部署的、基于硬件的管理程序技术之上,从硬件一直到软件堆栈,均将个人与公司环境从架构层面上隔离开来。当安全不再是马后炮时,可以对安全进行量身定制,以适应并加强用户的隐私,保证最终用户的体验。