SecureIT Mobile企業(yè)版技術(shù)白皮書
在桌面系統(tǒng)中,因?yàn)槌霈F(xiàn)新的惡意軟件和攻擊界面,防病毒軟件銷售商和平臺(tái)及應(yīng)用供應(yīng)商也在不斷提供更新和補(bǔ)丁。對(duì)于IT團(tuán)隊(duì)來說,最好的實(shí)踐經(jīng)驗(yàn)就是及時(shí)評(píng)估和應(yīng)用這些補(bǔ)救措施。另一方面,對(duì)于移動(dòng)設(shè)備軟件來說,要跟上惡意軟件不斷演進(jìn)的步伐則更加困難?,F(xiàn)在的移動(dòng)平臺(tái)更多(Android有多個(gè)部署版本,iPhone, Linux, RIM OS, Symbian, WindowsMobile/Phone等),并且應(yīng)用也日益增加(截至2011年1月末統(tǒng)計(jì)的數(shù)據(jù),針對(duì)Android平臺(tái)的應(yīng)用就有20萬種)。
對(duì)補(bǔ)救措施的支持問題同樣重要——移動(dòng)軟件更新速度有待改進(jìn)。雖然對(duì)于設(shè)備OEM廠商和運(yùn)營(yíng)商來說,移動(dòng)軟件現(xiàn)在能夠達(dá)到供給平衡,但就其更新速度而言,還遠(yuǎn)遠(yuǎn)落后于桌面系統(tǒng)。這一頻率上的差距是由最初的預(yù)裝部署、推出和安裝固件無線(FOTA)更新以及終端用戶忽視軟件維護(hù)造成的。此外,防病毒(和移動(dòng)設(shè)備管理)方案自身也容易遭受侵襲和攻擊,并成為被感染目標(biāo)。
移動(dòng)設(shè)備管理(MDM)
集成移動(dòng)設(shè)備管理軟件填補(bǔ)了許多企業(yè)移動(dòng)方面的空白,涉及應(yīng)用配置、安全策略執(zhí)行、設(shè)備定位、支援、清掃和其他管理功能。由于MDM趨向于橫向的綜合方案,因此同一家廠商的方案是最好的選擇。然而,這一趨勢(shì)在簡(jiǎn)化購(gòu)買支持過程的同時(shí),也會(huì)導(dǎo)致集成的方案泛泛膚淺,忽略針對(duì)所有功能的頂尖性能集成。
MDM軟件通常涉及底層固件、系統(tǒng)軟件和應(yīng)用中間件組件。就MDM自身而言,該系統(tǒng)至少在部分程度上是依賴移動(dòng)操作系統(tǒng)(OS)集成和移動(dòng)網(wǎng)絡(luò)的完整性。因此,如果其中一個(gè)遭受攻擊,也會(huì)嚴(yán)重影響到MDM軟件。
SecureIT Mobile企業(yè)版介紹
SecureIT Mobile企業(yè)版利用移動(dòng)虛擬化重塑企業(yè)移動(dòng)性。
為了迎接企業(yè)移動(dòng)的挑戰(zhàn)和填補(bǔ)現(xiàn)有方案的空白,OK Labs公司推出了SecureIT Mobile企業(yè)版。通過基于OK Labs公司內(nèi)核移動(dòng)虛擬平臺(tái)OKL4 Microvisor,SecureIT Mobile企業(yè)版重塑企業(yè)移動(dòng)性。此外,該產(chǎn)品完善和鞏固了MDM、防病毒和其他移動(dòng)技術(shù),并且實(shí)現(xiàn)了安全、隱私和功能的完美組合。
作為一款軟件和服務(wù)方案,SecureIT Mobile企業(yè)版可以幫助企業(yè)與個(gè)人應(yīng)用平行部署和管理企業(yè)應(yīng)用及服務(wù)。利用OKL4安全HyperCells(虛擬機(jī)),SecureIT Mobile企業(yè)版將關(guān)鍵業(yè)務(wù)應(yīng)用與個(gè)人應(yīng)用、服務(wù)和數(shù)據(jù)隔離開來。
通過在一部物理設(shè)備上同時(shí)支持開放個(gè)人域和可靠企業(yè)域,SecureIT Mobile企業(yè)版滿足了個(gè)人和企業(yè)的雙向需求。
背景
SecureIT Mobile企業(yè)版源自安全和認(rèn)證的系統(tǒng)。2010年,OK Labs公司針對(duì)國(guó)家防御、緊急救援和公共安全發(fā)布了SecureIT Mobile 政府版。利用SecureIT Mobile政府版,OK Labs公司幫助OEM廠商、集成商、政府承包商和政府部門使用COTS移動(dòng)硬件,構(gòu)建了類似奧巴馬黑莓[1]的設(shè)備,并且價(jià)格只相當(dāng)于傳統(tǒng)定制系統(tǒng)成本的幾分之一。
基于SecureIT Mobile企業(yè)版,OK Labs公司為企業(yè)移動(dòng)帶來了軍用級(jí)安全性。
方案架構(gòu)
移動(dòng)虛擬化
SecureIT Mobile企業(yè)版基于成熟且廣泛部署[2]的OKL4移動(dòng)虛擬化平臺(tái)架構(gòu)。此外,該產(chǎn)品采用了片上存貯管理和ARM等現(xiàn)代微處理器的特殊執(zhí)行功能,其核心和數(shù)據(jù)中心虛擬化一樣,都是純硬件管理程序。
堅(jiān)固的隔離系統(tǒng)
該產(chǎn)品是一款虛擬化企業(yè)移動(dòng)方案,實(shí)現(xiàn)了可信(企業(yè))及非可信(個(gè)人)操作域之間的堅(jiān)固隔離。
公司信息和個(gè)人數(shù)據(jù)應(yīng)用被安排在了不同的OKL4安全
HyperCells里,這些區(qū)域之間相互隔離,并且在獨(dú)有的
一個(gè)或更多移動(dòng)操作系統(tǒng)(OSes)環(huán)境中運(yùn)行。
安全基礎(chǔ)
開發(fā)商在開發(fā)移動(dòng)設(shè)備和移動(dòng)軟件時(shí),需要最大的靈活性設(shè)計(jì)原型、開發(fā)和測(cè)試平臺(tái)及應(yīng)用程序。在可以“松綁”和實(shí)地部署設(shè)備和應(yīng)用時(shí),設(shè)備OEM廠商、集成商和運(yùn)營(yíng)商必須退后一步,再次確保整個(gè)軟件棧的安全,包括操作系統(tǒng)(OS)、設(shè)備驅(qū)動(dòng)、網(wǎng)絡(luò)、中間件和應(yīng)用程序——這就意味著數(shù)千萬條源代碼。鑒于安全挑戰(zhàn)如此龐大,移動(dòng)設(shè)備遭受日增攻擊威脅的原因也就顯而易見了。
相比較而言,SecureIT Mobile企業(yè)版基于底層安全性,以及專為OKL4 Microvisor開發(fā)的小巧、可信的計(jì)算基礎(chǔ)。
基于微核的架構(gòu)
OKL4 Microvisor以成熟高性能的微核技術(shù)為基礎(chǔ)。微核確保了為小巧可信計(jì)算基礎(chǔ)而設(shè)計(jì)的特權(quán)模式下運(yùn)行的編碼數(shù)量最少。簡(jiǎn)單一流的架構(gòu)涵蓋了精細(xì)的訪問控制機(jī)制,這一機(jī)制在設(shè)計(jì)過程中(而不是事后)就確保了OKL4的安全,并為開發(fā)商和集成商提供了簡(jiǎn)易安全的機(jī)制,實(shí)現(xiàn)跨域共享資源,包括設(shè)備驅(qū)動(dòng)和CODEC。
安全企業(yè)移動(dòng)
通過隔離和保護(hù),SecureIT Mobile企業(yè)版為企業(yè)安全策略提供了“堅(jiān)固的”支持:
敏感文件和數(shù)據(jù)庫(kù)
本地及遠(yuǎn)程應(yīng)用及服務(wù)器
語音和文本通信(例如SMS)
防病毒和防惡意軟件的軟件
MDM和其他用于遠(yuǎn)程控制和管理的代理
讓我們來了解一下提供這種保護(hù)的意義:
保護(hù)本地和上游數(shù)據(jù)
通過隔離用戶和企業(yè)域,SecureIT Mobile企業(yè)版使本地和遠(yuǎn)程企業(yè)數(shù)據(jù)免遭攻擊。就設(shè)備層面而言,SecureIT Mobile企業(yè)版為業(yè)務(wù)著急數(shù)據(jù)提供安全保障。
SecureIT Mobile企業(yè)版還保護(hù)了上游數(shù)據(jù)和基礎(chǔ)設(shè)施?!癎olden Master”軟件涵蓋了與公司數(shù)據(jù)實(shí)現(xiàn)交互的所有組件和服務(wù),并且部署于企業(yè)域之中。該軟件不會(huì)遭受來自用戶域的惡意軟件和攻擊的威脅(圖2)。即使移動(dòng)用戶下載和安裝了包含病毒、間諜軟件和其他危險(xiǎn)的應(yīng)用,惡意軟件還是無法進(jìn)入企業(yè)域,上行到存放企業(yè)數(shù)據(jù)、服務(wù)和MDM方案的服務(wù)器和網(wǎng)關(guān)。
為保護(hù)者提供保護(hù)
之前在這份白皮書里,我們注意到在幫助保護(hù)移動(dòng)設(shè)備、防病毒、MDM及其他安全的同時(shí),管理和遠(yuǎn)程控制軟件自身也容易遭受攻擊(圖1)。通過在可信企業(yè)域里部署“保護(hù)器”,我們可以將其與用戶下載軟件中的威脅隔離?;谶@一安全定位,防病毒軟件可以掃描企業(yè)域和用戶域。同樣,MDM也可以選擇性的管理一個(gè)或兩個(gè)空間內(nèi)的應(yīng)用和內(nèi)容。
為了實(shí)現(xiàn)更高的安全性,SecureIT Mobile企業(yè)版支持在專用虛擬機(jī)上部署防病毒、MDM及其他重要軟件?;谖⒑说腛KL4提供了應(yīng)用程序接口,開發(fā)商利用OKL4輕量級(jí)執(zhí)行環(huán)境,為安置現(xiàn)在的獨(dú)立軟件和推動(dòng)與未來其他個(gè)人和企業(yè)軟件的重新部署,包括不同的操作系統(tǒng)和應(yīng)用。
完善移動(dòng)設(shè)備管理
SecureIT Mobile企業(yè)版為MDM軟件提供了增強(qiáng)的基礎(chǔ),完善——有時(shí)甚至是超越了——MDM功能。讓我們來看看MDM的主要功能,以及SecureIT Mobile如何使這些功能更加安全和完善:
數(shù)據(jù)跟蹤:SecureIT Mobile為資產(chǎn)跟蹤軟件和設(shè)備標(biāo)識(shí)數(shù)據(jù)提供了一個(gè)安全的執(zhí)行環(huán)境。定位軟件運(yùn)行可以遠(yuǎn)離下載間諜軟件和其他攻擊的探測(cè)系統(tǒng)。移動(dòng)用戶需要的定位信息(GPS數(shù)據(jù)、定位服務(wù)等)也可以在企業(yè)域和用戶域上實(shí)現(xiàn)安全有選擇性的共享。
備份:在企業(yè)域里,關(guān)鍵業(yè)務(wù)數(shù)據(jù)、應(yīng)用和配置數(shù)據(jù)可以安全地備份到數(shù)據(jù)中心或云存貯空間,并且完全不受用戶域操作的影響。
設(shè)備清掃/還原:萬一設(shè)備丟失、被盜或用戶部署狀態(tài)變更,MDM軟件可以完全清除(和還原)企業(yè)域中的數(shù)據(jù)和應(yīng)用。同時(shí),還可以保證用戶的個(gè)人軟件和數(shù)據(jù)不受影響,設(shè)備基本可以還原到他們投入業(yè)務(wù)應(yīng)用之前的狀態(tài)和操作。
FOTA:無線下載固件是眾多移動(dòng)設(shè)備中的功能,然而,很多時(shí)候這一功能都沒有得到充分利用。在通常情況下,配置和管理軟件運(yùn)行于移動(dòng)操作系統(tǒng)“下層”,通過限制FOTA的可見性和訪問駐留在操作系統(tǒng)上軟件的精度,這些軟件可以幫助升級(jí)和操作系統(tǒng)自身運(yùn)行。有了SecureIT Mobile企業(yè)版,F(xiàn)OTA代理軟件可以駐留在特定虛擬機(jī)上,可以更容易管理和更新其他虛擬機(jī)內(nèi)容,無需要消耗資源的補(bǔ)丁和補(bǔ)充。
的確,移動(dòng)虛擬化還實(shí)現(xiàn)了新版本的無線虛擬化(VOTA)。其不僅將虛擬化引入了移動(dòng)設(shè)備,還利用這一關(guān)鍵技術(shù)升級(jí)固件、系統(tǒng)軟件和應(yīng)用程序。
故障修復(fù)與診斷:基于在多虛擬機(jī)上的實(shí)踐能力,基于OKL4的SecureIT Mobile企業(yè)版成為了診斷軟件的最佳環(huán)境。軟件探測(cè)可以與企業(yè)應(yīng)用平行部署或占用特定虛擬機(jī)。
針對(duì)操作系統(tǒng)和應(yīng)用程序的升級(jí):SecureIT Mobile企
評(píng)論