企業應用商店
出自 MBA智库百科(https://wiki.mbalib.com/)
企業應用商店(Enterprise Application Store)
目錄 |
企業應用商店是結合了通信和互聯網的優勢服務平臺,加之雲計算所擁有的強大信息資源處理能力,藉助廣大的終端傳遞企業的服務和產品信息,SAAS模式的軟體服務,可以大幅度的減少企業移動應用的運營成本。同時,企業應用商店是為企業級移動應用而生,用戶群體以行業從業者和企業用戶為主,用戶查找企業應用的目標更強,安裝使用的忠誠度更高。企業應用商店以行業和功能為主要分類方式,所有上架軟體均通過機器測評和人工審核,且要求上傳者對上傳應用擁有知識產權和運營推廣的權利,既可以保護企業利益,又可以保護用戶使用應用的安全性。
雖然圍牆戰略已具有明顯的安全保障,但一家應用商店所帶來的好處絕不僅僅體現在防禦層面。
首先,應用商店具有不少的經濟優勢。通過對應用下載的重新控制以及對授權應用數目的監控可以減少企業開支。企業應用商店還具備一個共性功能,即通過內部應用評定機制,取消那些不受青睞的或熱度低的應用授權,從而節約公司的資金。此外,在企業應用商店系統里,能夠訪問包括蘋果應用商店及其批量購買項目在內的公共應用商店,相互支持。
應用商店的企業化還有利於IT部門的維護和管理。例如,管理者重獲了控制權,就能確保員工只使用符合公司安全條例的應用。另一方面,一家企業應用商店能夠在同一時間把應用推送給整個行業的員工,使得更大群體範圍的應用操作更加便捷。
支持多個移動平臺
Virtusa公司首席企業架構師Rauf A.Adil表示,蘋果iOS、Android(包括Honeycomb和ICS的多個版本)以及Blackberry操作系統(版本6.x、7.x和支持Blackberry OS和BlackBerry PlayBook OS、QNX)都應該得到支持。一些企業可能還需要支持其他移動平臺,包括Windows Phone或者Bada OS(三星基於Linux的操作系統。)
瀏覽器和本地應用支持
企業應用商店應該允許應用程式從瀏覽器通過網址或者通過企業市場應用程式(類似於Google Play Store或iTunes App store)下載到設備中。
安全保護
將應用商店與企業單點登錄或者身份管理系統以及MDM(移動設備管理)解決方案整合在一起。這樣的話,應用程式下載將會位於安全的SSL(HTTPS)或者安全的VPN通道上。你的應用程式不應該允許通過不安全網路連接的下載。
訪問控制
只有被授權的用戶才能夠下載和安裝一個應用程式。授權可以通過受用戶、角色和指定以及組授權驅動的伺服器端ACL(訪問控制列表)來實現。例如,在建築物和設施管理工作的員工不應該被允許下載用於銷售業務的移動應用程式。
推送通知
管理員應該能夠使用受支持移動平臺的推送功能來發送通知。這些通知提醒用戶其設備上安裝的應用程式已經可以安裝更新。
OTA自動更新功能
Android和iOS(5.x)現在都可以支持OTA(通過無線方式自動更新)來更新現有的應用程式、安裝補丁和其他相關的修複程式。企業應用商店應該包括將更新推送到設備的功能,通過設備的通知系統來通知用戶。
設備登記和管理
企業應用商店應該包括用戶、設備和應用程式的資料庫。這可以通過使用MDM軟體並將其整合到應用商店來實現。在企業中,一個用戶可能擁有多個移動設備,同樣地,設備可能由不同的用戶來使用,每個用戶有不同的賬戶和配置文件。
管理控制台、集中管理和控制
易於使用基於web的管理控制台是一個非常重要的功能,允許管理員批准新的應用程式或者對現有程式進行更新,而且還可以讓管理員在必要的時候刪除、保存應用程式。
識別惡意代碼
惡意軟體(例如木馬應用程式)是公共應用商店存在的一個大問題,企業應用商店同樣可能受到這些惡意軟體的攻擊,例如來自心懷不滿的員工的內部攻擊,或者來自與內部企業應用程式捆綁的第三方軟體和服務包。應用商店應該提供方法來識別、阻止和刪除不符合企業行為守則的應用程式。
發佈過程
應用程式提交、批准和撤銷應用程式應該有一個明確和簡單的過程。應該制定一套明確的指導方針來指導應用程式的審批。還應該對企業的最佳做法、政策和設計指導方針進行驗證和執行。
瞭解你的用戶:瞭解雇員以及外部顧客如何使用技術和為什麼要使用技術。兩類人對應用發現的訴求不同。外部顧客可能尋找不同的應用類型,而內部員工則尋找能夠提升工作效率的應用。
建立一個可以為全公司範圍內的設備提供服務的超市:提供儘可能多的智能手機平臺的超市,甚至提供PC端的應用超市,覆蓋面要廣。
創建一個吸引人的應用目錄:如果你的企業應用商店與傳統的應用超市相比,沒有吸引人的應用或者沒有特有的移動應用,這將阻礙你的應用超市的發展,用戶也將會棄你而去。
確定哪些人可以訪問你的企業應用商店,以及如何進行鑒權:用戶的訪問不能是一個按鈕點擊就進入所有的應用目錄。企業應用商店需要提供用戶角色確定的手段,以及根據角色分配不同許可權的應用目錄的能力。
分權分域管理應用:企業可以對不同機構、不同部門、不同職位的目標對象發佈移動應用,為企業移動應用管理提供必要的許可權控制手段。
建立統計報表,為移動應用優化提供依據:許多企業不太重視這塊,但這是企業移動門戶一個很重要的拼圖,移動應用的使用情況統計,可以給企業決策者提供針對具體應用/業務的報表分析,從而可以做出更前瞻的業務規劃或策略轉變。
部署企業應用商店的幾 個步驟 部署企業應用商店的5 大關鍵步驟如下:
1. 全面評估交付給用戶的所有應用 —— Windows、數據中心、Web 及移動應用
2. 評估用戶及其應用和數據接入需求
3. 定義企業安全要求,及面向每種應用及數據共用的策略
4. 規劃合理的基礎架構,將用戶需要的應用和數據交付到他們選擇的設備上,同時幫助IT 部門順利實施安全性和數據共用策略
5. 通過分階段方法部署企業應用商店
第 1 步:評估應用
有一點非常重要,那就是全面評估將交付給使用企業應用商店的所有用戶組的全部應用。評估應用時,IT 部門應全面考慮並記錄以下內容:
應用類型,如:
基於Windows 的應用 – 如Microsoft Office
內部Web 應用(在數據中心內進行托管和管理) – 如SharePoint
SaaS 應用(由第三方進行托管和管理) – 如SalesForce
移動應用(專門針對平板電腦或智能手機等移動設備設計,可能通過數據中心或公共應用商店交付) – 如QuickOffice
特定應用是公開交付給所有用戶組還是僅交付給特定用戶組
長期計劃是繼續交付該應用還是用原生移動應用版本取代
對於已經實現了Windows 應用虛擬化的企業來說,困難工作已經完成,實施企業應用商店自然而然成了將這些應用通過任何設備交付給用戶的下一步。
第 2 步:評估用戶
每家企業都有著不同類型的用戶,他們對設備、應用和數據的要求也各不相同。進行企業應用商店部署規劃時,IT 團隊必須確定企業目錄內每個用戶組的設備、應用和數據接入需求。這些信息對於正確配置企業應用商店,以適合特定時間所使用設備的方式向每個類型的用戶交付適當的內容至關重要。
第 3 步:制定正確的設備應用和數據安全策略
隨著人們要求使用個人設備辦公,自帶設備(BYOD)趨勢快速普及,而且企業也可以藉此提高生產率。這意味著IT 團隊再也不能禁止用戶使用平板電腦和智能手機等移動設備辦公。同時,企業必須牢記保護保密企業數據的責任,因此IT 團隊必須確定各種接入方式的“可信性”。這種情況下的關鍵考慮因素包括:
設備概況:
- 設備是否歸企業所有/由企業管理?
- 設備是否安裝有最新的防病毒/防惡意軟體/防網路釣魚軟體?
- 設備是否安裝了最新的操作系統安全補丁?
- 設備是否需要輸入密碼才能接入?
- 設備是否被越獄?
接入地點:接入請求來自企業網路內部還是外部?
接入網路:用戶的網路是專用/安全的還是公用的/不安全?
根據設備概況、接入請求發起地點和所使用的網路,企業應定義每種接入方式的可信度級別並制定獨特的策略,規定允許(或不允許)每個級別對應用及數據執行的具體操作。購買並部署允許以細粒度實施所定義策略的安全接入解決方案非常重要。例如:針對每種應用分別制定安全策略,而不是制定適用於所有內容的總括性策略;能夠定義具體詳細的接入許可權級別,如“只讀”或“不能列印”(而不是只能無奈地選擇“全面接入”或“不能接入”)。
第 4 步:規劃基礎架構
評估和安全策略制定工作完成後,下一步就是規劃適當的基礎架構來部署企業應用商店。在IT 團隊設計解決方案時,企業應考慮5大核心原則:
通過“容器化(containerization)”保護應用和數據
為了在信息層解決數據安全性問題,“容器化(containerization)”方法可針對多種應用和數據類型提供必要的管控功能。
Windows:鑒於企業已在Windows 應用上進行了大量投資,而現在員工越來越多地需要使用非Windows 設備,因此通過虛擬化從數據中心內交付各種桌面應用對任何企業而言都是一種基本的容器化技術,而且許多企業已開始藉助Citrix XenApp?等虛擬化解決方案來應對這一挑戰。大多數Windows 應用是針對鍵盤和滑鼠設計的,因此關鍵是要使用可在移動設備上優化用戶體驗的解決方案(如將滑鼠功能修改為觸摸功能,加大圖標尺寸,需要輸入數據時自動彈出鍵盤等)。
內部Web 應用:思傑最近進行的一項移動性調查顯示,接受調查的所有公司中只有四分之一實現了對Web 應用的統一接入。這裡所講的容器化涉及多種下一代單點登錄(SSO)技術。這些技術可將對各種網站——不管是企業內部和外部網站——的接入捆綁起來。
雲數據:雲數據存儲的“容器化”通常被稱作“Dropbox 問題”。這需要將加密、DLP 和鏈接文件接入等安全功能添加到企業目錄中,進而確保IT 部門可以有效地管理數據保存和共用許可權。
SaaS:SalesForce 及Evernote 等SaaS 應用的快速普及使企業無法控制這些關鍵應用,而顧名思義,這些應用本就在數據中心之外,由第三方廠商進行管理。根據思傑最近進行的一項調查,只有20%的企業相信可以有效地控制SaaS 應用的使用。通過在內部控制這種接入來實現SaaS應用的容器化和管理,並利用Security Assertion Markup Language(SAML)等標準,可以大幅度增強企業重新掌控SaaS使用情況的能力。
通過容器化保護移動設備中的數據安全
一種有效的設備管理方法是設備容器化。這種方法將接入和安全保護工作從設備上卸載掉,幫助IT部門重掌全面的信息控制權。
移動應用:在保護移動應用安全方面,有兩點非常關鍵—對客戶端應用進行‘打包’併為跨平臺部署提供靈活性。應用打包可以將接入許可權捆綁在一起,將原生移動應用放入到容器中,進而使應用可以根據IT策略進行管控、鎖定和/或擦除。同時可將HTML5應用放入到容器中的解決方案可以提供一種靈活的跨平臺解決方案,實現關鍵業務流程和應用的移動交付。
移動設備中的雲數據:這包括加密移動設備中的數據文件、在不同設備間提供應用“跟隨”和數據接入以及在必要時(如用戶丟失自己的移動設備)支持擦除數據等。
根據身份控制接入
隨著企業內應用的快速增加,需要解決的一個主要問題是將應用和員工的工作職能關聯起來。這一原則的核心是基於角色的身份管理。這方面的解決方案包括:
對多種身份驗證類型的靈活支持
Active Directory(活動目錄)聯合
角色與適當應用及數據存儲的關聯
通過SSO 將SaaS、Web 應用及Windows 應用接入捆綁起來,包括數據中心和外部雲環境中的接入。
“活動”身份管理,自動完成應用接入許可權的置備和取消置備。
根據策略控制接入
除了身份外,還必須制定全面的策略來提供“環境感知(contextually aware)”型移動信息接入。關鍵的檢查要素和策略應包括:
位置(辦公室,遠程)
設備類型(智能手機、平板電腦和OS等)
設備狀態(設備是否被越獄?是否啟用了攝像頭?)
網路強度/離線接入
身份驗證要求(單因數/多因數)
基於事件的接入許可權撤銷(如規定時間內禁止接入)
然後,這些策略應深入適用於每個具體應用或文件,進而允許或限制接入。
通過自服務企業應用商店將這一切結合起來
完成上面的容器化和控制步驟後,IT部門就可以支持工作空間內的任何應用、設備或數據。接下來要做的就是平衡IT管控和出色的用戶體驗——這兩方面的需求均可通過企業應用商店得到滿足。企業應用商店的關鍵組件應包括:
交付所有應用和數據的統一應用商店:Windows、數據中心、Web、SaaS、移動應用和雲數據
針對企業內每種“角色”的定製接入:例如,銷售人員可以接入Salesforce,而財務人員可接入SAP等。
應用請求工作流程:用戶可請求接入新應用,而IT部門可配置自動化工作流程,以獲取管理許可(或拒絕),置備新賬戶併在不需要IT部門干預的情況下將應用交付到用戶商店中。
應用更新的自服務預定
面向移動設備的原生應用交付
不同設備間的應用和數據接入“跟隨”
這些步驟記起來很簡單,那就是“容器化、控制和交付(contain, control, deliver)”。使應用、數據和設備容器化;根據身份和策略控制接入;為每個用戶交付個性化應用商店,允許用戶通過單一點擊接入所有資源。
第 5 步:部署企業應用商店
經驗表明,通過分階段方法可實現有效的部署。對於任何企業應用商店,很重要的一點是應以能獲得最明顯優勢的用戶開始。例如,與經常在辦公室辦公的員工相比,那些使用多種設備並且經常移動的用戶是第一階段部署的理想對象。
最理想的情況是,交付企業應用商店的新基礎架構應與現有應用交付基礎架構並行部署,以最大限度減少用戶業務中斷並簡化IT變更管理工作。最先的用戶組開始使用企業應用商店之後,最好等待兩周後再開始下一階段的工作,以確保定義的使用案例、安全策略和新基礎架構如期運行。最先的用戶組證明新應用商店的價值之後,就可以更快速地添加更多用戶組。
