使用EFSS规避消费级云存储风险云和虚拟化
许多使用消费级云存储产品的公司都面临着不同程度的安全风险,因此企业可以尝试采用IT部门和普通员工都能够接受的企业级文件同步和共享解决方案。
IT部门需要在提供服务的过程当中进行不断调整:如何在保证安全和管理的前提下,为用户提供所期望的服务?
在消费领域当中,很少有工具能够像EFSS(enterprise file sync-and-share)这样对业务流程产生如此大的影响。尽管大家通常讨论的是BYOD(Bring Your Own Device),但是“bring your own app”也是企业无法忽视的一个方面。
简单易用的特性吸引很多企业员工开始使用消费级云存储应用程序。在任何移动办公和终端计算领域,都不能低估用户体验(UX)的重要性,但是企业需要在面临数据风险的情况下牺牲部分用户体验。
对于企业员工来说,他们使用没有经过IT批准的文件同步和共享工具并非出于不良意图;他们只是想要使用这种工具顺利完成日常工作,轻松访问存储在云端的内容,而不必将所有文件都存放在邮件当中,Needham银行的IT副总裁James Gordon说。
“使用邮件来管理所有文件的方式并不现实,”Gordon说,“邮件并不适合于用来长期存储文件,并且不能提供共享访问方式。”
但是如果IT部门不仔细监控和规范数据存储方式,那么企业员工就会使用像Dropbox和Google Drive这样的消费级云产品来存储企业敏感信息。对于IT部门来说,这种方式带来许多严重问题:如果被解雇的员工在离开公司之前将数据存储在自己的Dropbox账户当中,那么公司的数据将永远无法被收回。
企业IT部门正在尝试扭转这种局面。云存储解决方案提供商CTERA在2015年对300位IT专家进行了调查,其中83%的受访者制订了相关策略,限制或者完全禁止使用某些软件提供文件共享服务。并且还有35%的企业在2014年遭遇了由于员工共享文件而导致的数据丢失问题——通常是企业员工使用了未经批准的文件同步和共享服务。
“我认为可以将IT部门分为两类:已经意识到‘Dropbox’问题的和还没有意识到的,”Gordon说。
尽管存在某些安全风险,但是相关厂商已经考虑到企业IT部门的顾虑,市场上的很多消费级云储存产品已经综合考虑了其易用性和安全性。
如何选择恰当的EFSS产品
在选择EFSS厂商的过程当中,所有产品都可以被划分为两种类别:也就是单独的EFSS产品或者将文件共享特性集成到更大平台当中的产品,Constellation Research公司副总裁和首席分析师Alan Lepofsky认为。
如果企业之前没有固定合作的EFSS厂商,那么寻找新的厂商将是一个十分困难的过程。可能一些企业已经部署了自己的EFSS安全解决方案——比如IBM Files、Salesforce Files、Microsoft OneDrive for Business、Citrix ShareFile、VMware Secure Content Locker AirWatch等,这些都是知名企业软件厂商推出的EFSS产品。
“最简的方式是选择邮件服务提供商作为协作产品提供商,”Lepofsky说。
此外,市场当中还有一些专注于企业级产品的软件厂商,比如Dropbox和Box,而像Egnyte,、Accellion、Intralinks 和 Soonr等也已经进入到这个领域当中。
对于企业级文件同步和共享产品来说,用户通常希望实现四个目标:安全、消费级易用性、可扩展性以及能够集成到更大的平台当中,内容共享和协作厂商Huddle的CEO Alistair Mitchell表示。
“用户不会选择15种不同的单一功能解决方案,而是会选择一种综合产品” Mitchell说。
五年之前,Needham银行开始在移动办公领域进行大量投资,允许员工在移动设备上访问企业信息和内部系统,并且使用MobileIron来实现移动设备管理。但是由于邮件不能满足内容管理和协作需求,因此企业发现员工并没有采用IT部门批准的方式,而是使用像Dropbox这样的消费级产品。
之后这家银行开始使用Accellion提供一种对IT部门友好和安全的内容协作和存储平台。除了安全性,Accellion还能够为用户提供类似于Dropbox的使用体验,Gordon说。
对于EFSS平台来说,能够与现有环境进行集成也是一项关键优势。比如,Accellion能够使用插件连接到SharePoint和Windows文件共享环境,这样企业员工就可以在不借助IT部门帮助的情况下学习新的内容访问方式了。
“我们不必完全了解Accellion的工作流程,它能够集成到我们现有的信息系统当中,” Gordon说。
EFSS工具的管理功能也在变得更加全面。最初EFSS管理员界面只能显示存储使用数据,但是现在能够为管理员提供多种视图来查看添加用户权限、删除用户权限和文件属主变化等情况。管理员还能够对那些共享给企业外部用户的文件进行标记,大多数企业平台都能够为IT部门 提供这些管理工具,比如Box、Dropbox和Egnyte等,Lepofsky说。
对于像Gordon这样的IT专家来说,日志是另外一种重要特性。作为需要高度监管的行业,银行需要记录哪些人在特时间创建了文件以及共享访问持续了多长时间。如果某种产品连这些功能都不具有,那么注定要失败。
“当你不得不挽起袖子 ,亲自动手一项一项找出谁做了哪些操作的时候,你会怎么想?”他问道,“不要在事故发生之后才后悔没有提前收集日志。”
但是管理方面仍然存在缺陷,并且EFSS系统当中的数据便携性并没有达到人们最初预期,Lepofsky说。
“对于每个人来说,从一个平台迁移到另外一个都是一件十分困难的事情,”他说。“想要将所有文件立刻迁移到Box或者Salesforce Files当中并不容易。”
从安全性角度来说,EFSS的优势在于密钥加密和管理,Lepofsky说。厂商现在提供了越来越多的客户端密钥管理方式,而不再将密钥管理在自己手中。Box最近推出了一种企业级密钥管理程序,能够为用户赋予加密密钥的完全控制权限。
“如果厂商能够访问你的加密密钥,那么理论上它们能对你的数据进行任何操作,” Lepofsky说。“想要获得最佳安全性的用户需要自己管理密钥,但是有可能会损失一些终端用户功能,所以这也是一种权衡的解决方案。”
许多管理员认为他们必须自己控制密钥加密机制,以使得EFSS完全在自己的控制之中。
“由于存在大量SSL和协议漏洞,因此我强烈建议企业自己保存密钥并进行恰当管理,”Gordon说。
在文件共享方面坚持原则
随着市场逐渐成熟,企业对于EFSS的兴趣也在不断增加。2015年BlackBerry收购了WatchDox,这表明大型技术企业可能收购EFSS厂商以完善其产品组合。
“能够在这个市场当中取胜的厂商只有很少几家,” Mitchell说,但是对于新的解决方案来说仍然留有空间。 除了上面提及的两种解决方案之外还有第三种方式,也就是IT部门使用第三方软件加强EFSS平台当中的文件安全。像Vera和SearchYourCloud这样的厂商都可以提供类似功能,这样用户就可以放心使用任何EFSS产品,并且保证文件安全性了。
“除了作为报警系统,这些产品还可以对所有重要信息进行分类,之后提供安全防护,这样用户就可以在任何地方访问文件了,”Lepofsky说。
但是并非市场当中的所有产品都是相同的,Gordon说。
“它们看起来都是十分方便、易于使用的,这非常好,”他说,但是需要注意的是当使用不同的产品时,IT部门需要将个人信息和企业信息分开存放。
为了确保所有相关人员认识到使用其他没有经过认证的文件同步和共享方式可能存在的安全风险,IT部门必须表明立场,就是只能通过一种方式完成这项工作。
“我们不能过于迁就用户感受,”Gordon说。