探索中国CIO人才现状 | 第四季调研报告
员工绕过IT部门使用个人云 安全如何保障
2013-07-20  作者:网界网 

  携带自己的设备到工作场所办公(BYOD)已经是2012年的事了,IT消费领域的下一个趋势是携带自己的云办公。正如面对大量涌入企业环境的消费设备一样,对于这个新的趋势,很多IT企业已经列出了该做什么和不该做什么的清单。


  企业通常采用的方法是“用这个,别用那个”的方法,即禁止使用个人云应用程序用于商业用途,应该使用企业提供的替代应用程序。同时,企业会为企业文件分隔出云存储工作区,以便对这些文件进行独立保存、管理和审计。但企业很难控制个人云服务,如果个人云中的生产力工具能够帮助他们更容易、更快、更好地完成工作的话,用户会想办法绕过IT。一方面IT部门想要对消费类和专业云应用程序及存储采用两种管理办法,另一方面用户并不会屈服于此。


  绕过企业IT部门使用个人云应用


  在企业无法提供一个可行的解决方案来满足其需求后,VMware公司终端用户计算首席技术官ScottDavis开始使用个人云应用程序。Davis的工作需要与世界各地的人员进行交流,以及共享大型多媒体演示文件,当他向其公司申请大容量电子邮件附件的特例时,IT部门首先建议他缩小共享的文件,随后建议他购买“一大袋USB驱动器”来邮寄文件。“这个时候我开始使用Dropbox。”他说:“IT面临很大的竞争,人们知道,如果IT不帮助他们的话,外界有很多工具可以帮助他们把工作做好。”Gartner分析师MichaelGartenberg同意他的说法。分析师说:“IT不仅需要应对携带自己设备到工作场所,而且要应对携带自己的服务到工作场所。”如果企业提供的专业云产品不能提供更好的服务,或者他们更喜欢其个人云应用,他们将会绕过可行的替代方案。Gartenberg表示:“如果这是一个数字化应用,同时又是消费类应用,用户总会有办法把它弄进办公室,人们总会找到使用它的理由。”


  在美国建筑公司Skanska,员工使用各种个人云服务(例如Dropbox和Evernote)来同时处理企业和个人事务。该公司高级企业工程师JeffRoman表示:“现在我们没有进行控制。”但IT部分正在评估这种做法。他问道:“我们应该限制什么?他们在工作场所和家里可以访问什么?”现在,对于哪些类型的文件不能放在云中,以及哪些允许放在云中,企业主要通过使用政策来限制员工。例如,根据政策规定,财务数据永远不能放在云服务中,与政府项目相关的文件也一样。


  但同时,Skanska也正在寻找一个替代的云存储选项。该公司正在考虑使用微软的SkyDrivePro,或者Citrix的ZenMobile来提供对存储在后端服务器上的文件虚拟访问,或者使用利基服务。例如AutodeskBuzzsaw——它将施工图设计工具和文档放在云中。Roman表示:“我们并不强制人们使用这些替代工具,但我们需要保证这些解决方案与个人云工具一样简单易用。”否则,用户可能会绕过企业提供的替代方案。“我们很难找到一个完美的解决方案。”Roman说:“但我们正在努力,我希望在未来一年内,我们能够找到这样一个替代方案,无论是在内部部署还是云中,或者两者的混合体。”


  个人云和专业领域界限模糊


  专业服务公司董事总经理JimGuinn表示,企业需要针对内部部署、外部部署和云计算制定一个三管齐下的策略。他表示:“你真的需要注意应该如何保护在其他人的云服务中的文件安全。”


  Roman认为有些文件不应该放在主流云存储服务中。“我看过Dropbox上的白皮书,我觉得他们是安全的,但对于敏感文件,我们不想冒这个险。”Roman说。谁拥有业务应用程序,以及这些应用程序如何获得许可的问题正越来越模糊。例如,商业版Evernote增加了业务服务层,其中包含基于政策的业务笔记本,并增加了业务文档库到用户的个人Evernote账户。个人和专业文件在不同的资料库,但可通过统一的视图查看。


  Evernote公司营销副总裁AndrewSinkov说:“我们正在看到这样的过渡,从两个完全不同的世界过渡到个人和业务界限模糊的世界。”如果用户离开企业,这个账户(没有企业文档)将伴随用户。Forrester研究公司分析师FrankGillett表示:“企业对这种模式知之甚少,但我认为这种模式将会产生深远的影响。”


  通过Office2013和SkyDrive,微软已经朝着建立个人和专业世界的统一视图方向迈出了一小步。微软为用户创建了同步的本地版本SkyDrive和SkyDrivePro(SharePoint文档库)存储库,作为用户本地桌面上的单独文件夹。通过这种方式,Office365可以在云中创建和修改文档,Office2013可以读取和写入本地文件夹中的相同文件,并且所有更改都会被同步。微软发言人SteveClayton说:“从用户的角度来看,这里出现了融合。”


  这种策略对个人和专业工作流采用了融合的方法,用户必须退出一个账户并进入另一个账户来查看和编辑文档。而Office应用程序可以保存文件到两个文件夹中。如果用户从其个人SkyDrive文件夹复制一个文件到SkyDrivePro文件夹,这个文件将会被复制到云中,同时,针对该文档库的政策将会适用。


  但这只能是在云中。虽然IT部分可以控制用户与SkyDrivePro同步哪些文件,但云服务不能控制用户对本地存储的这些文件的操作。用户要么处理掉云中的敏感文件,要么使用Office2013的信息权限管理功能来控制特定文件的转发、复制或打印。


  谷歌公司企业部门总裁AmitSingh说:“显然这里会有很多变化,IT需要整合这些个人云服务到当前的堆栈,并弄清楚它们将如何一起运作。”谷歌在近几年增加了企业功能到面向消费者的云应用程序中,例如GoogleDocs。在这个应用程序中,个人文档可在受控制的可审计的专业账户和用户的个人账户之间进行共享,但Docs不提供统一文档视图。在另一方面,GooglePlus被作为半透层,我们可以为企业从底部添加控制。


  IT部门的首要任务:专注于保护文件本身


  并不是所有的消费类云应用程序都一定会扩展为支持企业安全和合规需求。


  随着个人和专业世界越来越模糊,IT部门必须适应这种局面。用户想要使用一些他们自己的个人云生产力工具,那么无论是好是坏,IT部门都将需要支持这些主流个人云应用程序,包括Dropbox。展望未来,你将需要整合员工的个人云应用程序,以及数据。正如你现在与业务合作伙伴的连接一样。


  Gartner分析师KenDulaney表示,最终IT部门都将不应该再担心如何控制用户正在使用的应用程序,或者文档的存储位置,而应该专注于保护文件本身。他说:“企业可以允许这些事情的发生,并采取不同的安全视角。IT最终将会拥抱数字版权管理计划。例如微软的信息权限管理服务。”


  企业移动管理供应商GoodTechnology首席技术官NickovanSomeren表示:“我们正在与微软合作,以便在移动环境中支持这种权限管理。”但目前使用权限管理服务器来追踪和控制内容的市场仍然处于萌芽中。


  虽然DRM(数字内容版权管理)在消费者那里有着不好的名声,但该系统还是可以用于企业环境。例如Dulaney提到的WatchDox,该产品能对移出企业空间之外的文件进行加密,并要求用户使用验证阅读器程序来查看文件。


  如果DRM的概念令人难以接受,并且太昂贵,那么,个人和专业云的融合将会让IT部门没有太多选择来保护真正敏感的文件,IT部门也将面临着这样的挑战,即在资产位于很多不同终端设备且需要在设备之间快速移动的世界里,最大限度地保证便利性,同时保护这些文件的安全。


  Dulaney说:“消费类技术领域的这些趋势来势汹汹,并且受到很多用户的支持,现在已经是用户驱动IT,而不再是业务驱动IT的时代,我们需要听取用户的声音。”


  Skanska公司的Roman表示,他已经不再幻想他能够控制云中创建和共享的所有应用程序和数据。尽管该公司计划提供云替代产品,并部署了强有力的政策来控制敏感文件的使用,最终,你还是必须要信任你的用户。