数字化工作空间

Workspace ONE — 企业级安全

作为企业级的工作平台,Workspace ONE 首先要保证的就是业务数据的安全性。VMware 能够为企业业务提供端到端的保护,在移动设备、网络传输、数据中心各个环节做好安全防护。

 

用户身份安全

 

1. 统一用户认证

Workspace ONE 利用 VMware Identity Manager 模块桥接企业现有的身份管理系统(如 OpenLDAP、Novell NDS、Microsoft AD等),用户只需要使用一套用户身份就可以来访问所有的企业应用。从而可以遵循企业现有的用户管理规范,例如密码复杂度规则、定期更改密码等;员工离职时通过在主身份系统中注销用户身份,可以及时终止该员工对所有企业应用的访问。

 

2. 多因子认证

为了强化用户身份认证的安全性,很多企业采用了多因子认证 MFA (Multi Factor Authentication) 来强化用户身份的检查,通过除了登录密码之外的多个因子来验证用户身份。Workspace ONE 内置了 MFA 解决方案 VMware Verify,为用户身份认证提供多重保护。

 

设备端的安全

移动设备用于办公,其管理难度比传统的个人电脑更大,因为设备的移动特性,存在易丢失、易损坏的情况;另一方面,允许员工自带设备,也给企业安全带来了新的挑战,比起统一的企业配发设备,更难控制自带设备上安装的软件,有些设备还被破解了,更容易受到恶意软件的入侵。

Workspace ONE 提供了全面的安全手段来保护移动设备上应用和数据的安全。

 

1. 应用安全容器

首先,Workspace ONE 为企业应用提供了安全沙箱,把企业空间和员工私人空间隔离开来。企业应用 App 都是在一个称之为“沙箱”的安全容器中运行的,不会受到恶意软件的攻击和影响。那怕移动设备中了病毒,企业应用还是可以安全运行,不会受到病毒的感染。

小知识:沙箱(Sandbox)原意是一种消防工具,在物体着火时用沙子把被燃物体和空气隔离开来。在软件中引用了这一概念来指能够隔离其他程序的一个虚拟系统程序,在其中可以运行其他程序,运行所产生的变化可以随后删除。

 

2. 基于合规性检查的条件访问

其次,Workspace ONE 在允许员工访问设备或启动应用之前,都会进行合规性检查,确保安全之后才会允许员工使用某项功能。管理员可以制定各种安全策略,来详细设定设备必须满足的一组规定,主要包括以下两大类:

  • 设备合规性:规定设备上的软硬件配置必须满足的一组条件,例如操作系统必须在一定的版本之上,低版本的往往有安全漏洞或者不能支持某些应用;移动设备不允许破解,破解的设备失去了操作系统级的保护,容易受到恶意代码的利用和攻击。
  • 身份合规性:规定访问设备的用户必须满足的一组条件,如身份验证的强度,是否强制要求多因素身份验证,用户能否访问某个特定的应用等等。

Workspace ONE 会针对管理员设定的安全规则来进行检查,当检查的结果显示不合规时,就会发邮件通知管理员,并且提示用户修改设备配置(如升级操作系统版本)来满足合规要求,在某些特定的条件下(如设备已被破解并且检测到恶意软件)甚至可以执行删除操作,把所有的企业应用和数据从设备上擦除掉。

3. 数据防丢失 DLP (Data Loss Prevention)

Workspace ONE 在移动设备上存储和在网络上传输邮件时都是要求加密的,对邮件附件使用 AES 256 位加密,并且强制设备和SD卡加密。这样即使移动设备丢失或被盗,或者用户使用不安全的公共网络办公,都能够最大限度的保证企业信息安全。

小知识:高级加密标准 AES(Advanced Encryption Standard),在密码学中又称 Rijndael 加密法,是美国联邦政府采用的一种区块加密标准,AES 标准是对称密钥加密中最流行的算法之一。对于满轮的 AES 256 的攻击,维基百科上说研究的复杂度为2254.4。

移动设备体积较小,又是在移动中办公,容易发生设备丢失、被窃等现象。一旦这种情况发生,只要是设备在 Workspace ONE 中注册过的,每个用户都可以登录进自服务门户,远程定位设备,尽量找回设备;或者是对设备进行远程数据擦除,最大限度地保护企业数据安全。

另外,Workspace ONE 企业版整合了虚拟桌面和应用平台 Horizon,应用和数据完全存在于企业数据中心,用户通过移动终端远程访问桌面和应用,所有的应用和数据都位于数据中心内,大大提高了业务数据的安全性。这种方案称之为数据不落地,适用于开发、设计等特别注重知识产权保护的单位。

 

网络传输安全

除了保护设备端的安全,另外一个重要环节就是网络传输,Workspace ONE 提供了应用级(Per-App)VPN 来灵活保护数据安全。

 

1. 设备级 VPN

VPN 的全称是虚拟专用网络(Virtual Private Network),用于在公用网络上建立专用网络,进行加密通讯。移动设备上自带的 VPN 都是设备级的,一旦建立连接接入企业网络,设备上所有的应用都可以访问企业网络,虽然还有防火墙等传统的网络安全措施,还是存在一定的安全隐患。

2. 应用级 VPN

Workspace ONE 可以让移动应用跟后台数据中心建立起应用级(Per-App)VPN,即建立的 VPN 通道仅供当前的企业应用使用,所有其他的应用都无法访问该加密通道。这种方式可以大大提高数据通讯的安全性,杜绝了其他无关应用(甚至是恶意软件)通过 VPN 通道访问企业数据中心的可能。

3. 集成 NSX 提供端到端的保护

如果企业在数据中心内部部署了 VMware  的网络虚拟化产品 NSX 的话,还可以进一步提高网络传输安全性。通过 Workspace ONE 与 NSX 的集成,建立从单个应用到对应服务器的 VPN 微分段连接,应用只能访问它对应的后台服务器,而不能访问数据中心内任何其他的资源。这是利用 NSX 独有的微分段技术而建立的真正端到端的安全通道,具有最高的安全性。
以上介绍的是 Workspace ONE 作为一个企业数字工作空间平台而提供的各种安全服务,这些安全措施能够作用于任何第三方应用,从而为企业应用提供基础的安全保障。