如今,虛擬化技術(shù)已出現(xiàn)在大多數(shù)數(shù)據(jù)中心,但是由于大行其道的自帶設(shè)備(BYOD)潮流,IT主管們眼下在關(guān)注移動虛擬化。
IT領(lǐng)域的新想法常經(jīng)歷漫長的精煉過程。有人首創(chuàng)了某個想法,廠商們炒作新產(chǎn)品概念,分析師們則對其價值高談闊論。最終,一類新的硬件或軟件隨之出現(xiàn),但是很少是完全成熟的。至于移動虛擬化技術(shù),它出自名門世系:大多數(shù)企業(yè)在數(shù)據(jù)中心使用某種類型的服務(wù)器虛擬化技術(shù)。
現(xiàn)在,IT主管們面臨一種出現(xiàn)在智能手機上的新型虛擬化。其想法是在同一部手機上運行操作系統(tǒng)的兩個版本。那樣一來,員工(和IT部門)就可以把個人的應(yīng)用程序和服務(wù)交給一個操作系統(tǒng)來處理,把企業(yè)服務(wù)交給更安全的操作系統(tǒng)版本來處理。這方面有兩種不同的方案:
類型1虛擬化(Type 1 Virtualization)在底部的硬件層運行,需要原始設(shè)備制造(OEM)手機廠商參與;而類型2虛擬化(Type 2 Virtualization)作為一個安全的應(yīng)用程序在任何設(shè)備上運行。
正如知名調(diào)研公司The 451 Group的分析師Chris Hazelton指出的那樣,每種方案各有其優(yōu)缺點。他表示,底層虛擬化比較安全;意味著用戶可以安全地訪問底層服務(wù),比如藍牙連接或固件變更。缺點是,這種底層訪問常常需要獲得來自三星和摩托羅拉等手機廠商的許可和合作。他說:“這導(dǎo)致銷售周期比較長,這意味著設(shè)備的市場覆蓋面有限,用戶需要面對多道管理層。”
與此同時,作為應(yīng)用程序來運行的移動虛擬化軟件意味著,可以在比較短的時間內(nèi)更容易部署到更多設(shè)備上。他表示,類型2虛擬化技術(shù)之所以天生不大安全,原因在于軟件并不在硬件層運行。另外,類型2虛擬化軟件運行起來速度可能不如原生應(yīng)用程序。
移動虛擬化技術(shù)應(yīng)對挑戰(zhàn)
每種方案都將處理許多企業(yè)里面的一個基本問題:棘手的自帶設(shè)備(BYOD)難題。IT領(lǐng)域的一個現(xiàn)狀是,許多員工會把鐘愛的設(shè)備帶到工作場所,訪問和獲取公司資源,可能會危及公司的安全基礎(chǔ)架構(gòu)。實際上,IDC公司估計,到2015年,企業(yè)中使用的所有智能手機中有55%將歸員工所有。移動虛擬化技術(shù)提供了迎面應(yīng)對這個挑戰(zhàn)的一種方法,甚至有望完全克服這個挑戰(zhàn)。
Hazelton說:“可以將企業(yè)數(shù)據(jù)與消費者應(yīng)用程序和潛在的移動惡意軟件隔離開來。虛擬化環(huán)境里面的任何數(shù)據(jù)都經(jīng)過了加密,防止外面的應(yīng)用程序訪問或聯(lián)系企業(yè)的數(shù)據(jù)和應(yīng)用程序。IT部門可以要求采用密碼保護設(shè)備上的企業(yè)數(shù)據(jù)和應(yīng)用程序,讓用戶可以避免用密碼來保護面向攝像頭、社交網(wǎng)絡(luò)、個人電子郵件及其他應(yīng)用的消費者應(yīng)用程序。如果員工離開公司或者設(shè)備丟失或被偷,IT部門可以在不影響個人數(shù)據(jù)的情況下擦除企業(yè)數(shù)據(jù)。”
IDC的移動企業(yè)分析師Stacey Crook補充說:“移動設(shè)備虛擬化技術(shù)的想法是,將企業(yè)與消費者的應(yīng)用程序和數(shù)據(jù)區(qū)分開來。一旦運用了設(shè)備虛擬化技術(shù),設(shè)備就可以運行兩個完全彼此隔離開來的操作系統(tǒng)。公司對此會有興趣,以保護敏感的企業(yè)數(shù)據(jù),遠離病毒和數(shù)據(jù)外泄。”
按照現(xiàn)在情況,Enterproid、VMware和Red Bend Software這三家公司在這個市場提供激烈競爭的產(chǎn)品。各自都在企業(yè)領(lǐng)域找到了小眾市場,提供旨在滿足特定需求的獨特功能。
1. Enterproid Divide
Enterproid提供的方案最直觀簡單。在安卓手機上,員工點擊一個應(yīng)用程序,輸入密碼,即可開始使用操作系統(tǒng)的安全的企業(yè)版本。至于管理方面,IT部門可以限制安裝哪些應(yīng)用程序、制定策略以及遠程擦除企業(yè)版本。不過,IT部門也同樣接觸不到員工的個人數(shù)據(jù),控制不了應(yīng)用程序的安裝。
由于Divide用于快速部署,IT部門可以將這款產(chǎn)品部署到幾乎任何一部安卓設(shè)備上,這包括亞馬遜Kindle Fire之類的平板電腦。
Enterproid的解決方案技術(shù)主管Andy Zmolek表示,Divide與VMWare Horizon Model虛擬機管理程序方案(同樣作為應(yīng)用程序來運行)的一個差異化因素是,Divide不需要與手機OEM廠商進行任何合作。安裝不需要低層驅(qū)動程序,而是使用安裝應(yīng)用程序的一套標準安卓程序。Zmolek表示,其他獨特功能包括:IT管理員能夠根據(jù)員工角色,把應(yīng)用程序發(fā)送到操作系統(tǒng)的企業(yè)版本,控制策略(如允許企業(yè)版本與個人企業(yè)之間拷貝粘貼),以及對數(shù)據(jù)采用256位加密。
Zmolek表示,與Red Bend Software等廠商的底層虛擬機管理程序相比,面向Divide的類型2虛擬機管理程序允許更靈活地部署。他說:“如果你迫使設(shè)備OEM廠商進行虛擬化,那么你將只有幾種設(shè)備,而且啟動設(shè)備需要更長的時間。”
2. VMware Horizon Mobile Virtualization
VMware在移動虛擬化方面采用了混合方案。產(chǎn)品Horizon Mobile Virtualization不僅僅是作為應(yīng)用程序來運行的沙盒模擬器(sandbox emulator),而是不需要獲得手機OEM廠商的底層訪問權(quán),就提供了像Red Bend這些類型1虛擬機管理程序的一些底層優(yōu)點。有一個應(yīng)用程序,但是它比Enterproid Divide等虛擬機應(yīng)用程序更深入地內(nèi)置到操作系統(tǒng)中。
Horizon Mobile應(yīng)對的是這股IT潮流:更多的員工在使用個人設(shè)備來工作。VMware的產(chǎn)品經(jīng)理Hoofar Razavi表示,企業(yè)在個人使用智能手機方面限定了太多的條條框框。不過,該產(chǎn)品同樣讓員工可以安全地開展“事務(wù)型”活動。比如說,員工可以使用個人設(shè)備來查看Facebook狀態(tài)信息,但是他們可以改用企業(yè)版本,制作開支報表或者回復(fù)敏感的業(yè)務(wù)電子郵件。這種組合對日常工作來說更為流暢。他說:“移動設(shè)備可能是員工用來與企業(yè)進行交互的唯一接觸點。”
值得關(guān)注的是,VMware在移動虛擬化方面同時提供了類型1虛擬機管理程序和類型2虛擬機管理程序。該公司一開始只使用硬件層虛擬化。Razavi表示,公司認識到移動設(shè)備具有設(shè)計周期和上市時間非常短的現(xiàn)狀。他表示,大多數(shù)智能手機在市面上出現(xiàn)的時間只有9到12個月,但是OEM廠商大概需要兩年才能開發(fā)出手機。
Razavi表示,類型2虛擬機管理程序很適合當前的BYOD環(huán)境,因為應(yīng)用程序的運行速度與原生虛擬機管理程序一樣快,所以虛擬操作系統(tǒng)就能更快地充分利用處理器架構(gòu)中新的改進,類型2虛擬機管理程序還能支持新出現(xiàn)的企業(yè)應(yīng)用程序。目前,VMware已宣布與LG和三星達成了合作伙伴關(guān)系,共同開發(fā)Horizon Mobile客戶端。Horizon Mobile與Divide的一個主要區(qū)別在于:VMware包括作為默認安裝的虛擬客戶端,隨時可以部署,而Divide更多地是一種擴展附件。
3. Red Bend Software vLogix Mobile
選擇Red Bend vLogix作為移動虛擬化方案(類型1虛擬機管理程序)的主要優(yōu)點與速度和控制性有關(guān)。Red Bend公司副總裁Lori Sylvia表示,該公司與幾家設(shè)備制造商和半導(dǎo)體公司密切合作,將這款產(chǎn)品打造成原生的硬件層組件。她表示,原生的、驅(qū)動程序?qū)拥奶摂M機管理程序提供了更高的性能、更好的安全性和更緊密的集成。她表示,那樣一來,下一代企業(yè)設(shè)備準備好隨時可以部署。
這方面的一個例子是目前正在開發(fā)中的新的ARM A-15 Cortex處理器。該處理器支持原生移動虛擬化。IT部門借助這款芯片,就能為手機建立一個安全的企業(yè)區(qū)域,用來為企業(yè)部署移動操作系統(tǒng)。IT部門變得如同企業(yè)平臺的服務(wù)提供者,選擇具體的驅(qū)動程序、固件、應(yīng)用程序和安全機制。Red Bend對這種部署已經(jīng)是熟門熟路,因為它平時就為大多數(shù)知名智能手機公司(包括三星和摩托羅拉)采用的許多無線固件更新方式提供框架。
至于個人數(shù)據(jù)和應(yīng)用程序,員工可以依賴標準的移動運營商。出現(xiàn)與企業(yè)版本有關(guān)的通知內(nèi)容時,員工就可以回到主屏幕,訪問該平臺。直觀地比較類型1虛擬機管理程序與類型2虛擬機管理程序的區(qū)別:從一個平臺變成另一個平臺可能在實際的手機鎖屏上進行,而不是切換應(yīng)用程序。這提供了更高的硬件層安全性和更高的性能。
當然,缺點在于,與OEM廠商合作的過程花費更長的時間。而且將來能支持硬件層虛擬化技術(shù)的智能手機數(shù)量較少。
IT用戶能否接受
移動虛擬化方面的一個挑戰(zhàn)與用戶接受有關(guān)。員工把iPhone帶到工作場所后,他最不愿看到的一幕是,得把設(shè)備交給IT部門,IT部門針對設(shè)備采取監(jiān)管措施。正如Hazelton指出的那樣,幸好,如果這些員工認識到移動虛擬化技術(shù)的價值,更有可能支持這方面的新策略。
比如說,移動虛擬化技術(shù)有助于降低統(tǒng)一通信方面的一些復(fù)雜性。隨著企業(yè)手機和個人手機成為一體,IT部門可以無縫地把一個設(shè)備“融入”到企業(yè)中。員工們也會得益于更簡化的安全機制:他們隨時在上網(wǎng)沖浪、拍照或通過即時通訊工具聊天時,不用擔心IT部門在背后監(jiān)管自己。
不過Hazelton表示,員工在果真開展企業(yè)活動時——比如共享安全的財務(wù)報表,可以使用獲準的企業(yè)應(yīng)用程序和由IT部門管理的操作系統(tǒng)版本。員工想查看新聞時,也不需要在設(shè)備上使用復(fù)雜的密碼。員工還可以隨意把任何應(yīng)用程序下載到手機上,只要他們是在個人虛擬操作系統(tǒng)里面下載。
移動虛擬化技術(shù)想得到廣泛采用,面臨的一大障礙是:如今大多數(shù)移動虛擬化軟件只適用于安卓手機。這使得世界上最受歡迎的手機:iPhone淪為了局外人。Hazelton表示,完全統(tǒng)一采用安卓手機的企業(yè)為數(shù)不多。
虛擬化技術(shù)大有幫助,但仍需要制定策略
最后,移動虛擬化技術(shù)確實可以應(yīng)對企業(yè)領(lǐng)域的一些重大潮流。這方面要注意的一點是,移動虛擬化無法完全對付得了員工胡作非為的活動。個人活動與企業(yè)活動之間有著明確的劃分,IT部門可以控制允許哪些應(yīng)用程序供企業(yè)使用,但是員工仍可能發(fā)送含有企業(yè)數(shù)據(jù)的個人電子郵件。他們?nèi)钥梢杂檬謾C為財務(wù)記錄拍照,然后通過Yahoo Mail來發(fā)送。
Hazelton建議公司仍要深入查找安全泄密事件的根源,制定明確的移動設(shè)備策略。虛擬化技術(shù)大有幫助,但是它并非解決BYOD問題的萬無一失的辦法。