从MDM到MDM：从管理设备到管理应用再到管理数据

概述

移动业务管理（Mobile operations management，MOM）如今对于现代化的企业来讲是具有顶级优先级的事情。从功能角度来讲，MOM解决方案试图对企业中所采用的移动方案提供不同级别的管理，并使移动运维就绪。第一代的MOM解决方案围绕着移动设备和应用的管理，组织机构很快意识到有效的企业级移动基础设施需要解决一个更为困难的问题：管理和保护移动业务数据。

尽管设备和应用管理解决了企业移动方案中很重要的一些运维需求，但是业务数据的安全和管理为企业移动方案打开了一个崭新的领域。请考虑一下，如果一个组织能够有效地管理和保护移动应用所使用的业务数据，那么它就能够强制访问控制等级，已有的设备和应用管理并不能实现这种安全性。

让我们通过一个虚拟的企业Contoso来阐述这种理念。

第一阶段：Contoso实现MDM策略

像很多现代化的企业一样，Contoso的员工开始使用自己的设备来开展工作相关的活动。为了实现更高的生产效率，尤其是Email和日程相关的业务，并且在使用移动设备时还要保证正确的安全和协议（compliance）等级，Contoso决定实现BYOD（bring your own device）策略。这种策略的核心在于Contoso决定推出一个移动设备管理（mobile device management，MDM）平台，使其作为管理和保护组织中智能手机和平板的主要机制。 在实现企业级移动策略时，Contoso所做的决策是组织起始步骤的典型样例。为了控制员工用于工作活动的个性化设备快速增长，组织进而实现一种最为显而易见的可选方案：管理这些设备。这种选择是移动设备管理（MDM）领域的催化剂，对于任何的企业级基础设施来说，这都使其从“最好能有（nice to have）”变成了一项“必须拥有（must have）”的技术。借助MDM技术，企业能够使用不同的安全和访问控制策略，这样就能够管理组织中所使用的个人和企业拥有的移动设备。

MDM领域的快速演进引发了技术供应商数量的爆炸性增长，这些供应商提供了多种MDM功能。现在，我们可以发现超过100家公司提供MDM技术解决方案，包括现有的公司如IBM、Microsoft、SAP、Citrix和VMWare，它们通过高额的收购或构建自己的产品进入该领域。这样以来，在最近几年，MDM领域已经实现了高度的商品化，按照Gartner的技术采用曲线，我们可以非常确定地说，它最好的阶段已经过去了。

除了商品化的MDM领域，我们需要注意到企业已经发现MOM的需求已经超出了设备本身。如果从Gartner炒作周期（hype-cycle）指标的角度看一下MDM领域，我们可以看到市场的演化已经越过了顶点，进入到了一个巩固合并（consolidation）的水准，现有的厂商，如Citrix、SAP、IBM、BlackBerry和VMWare，已经以高度商业化的解决方案进入到该领域。就Contoso来讲，当公司要构建多个移动应用程序的时候，它就意识到不同的应用程序通常需要不同级别的管理。为了应对这种需求，Contoso开始聚焦于企业移动管理功能中的另一个等级：移动应用管理。

第二阶段：Contoso开始管理移动应用

如前面章节所述，在Contoso开始开发各种移动应用之后，IT团队面临如何管理这些应用的挑战，需要的功能超出了MDM平台所能提供的范围。突然间，IT部门不再满足于管理移动设备，他们需要为组织中不同部门所开发的移动应用提供安全和访问控制功能。例如，假定存在这样的场景，Contoso的IT部门想为某个特定的移动应用启用micro-VPN登录，但对其他的企业级移动应用却要禁用该项功能。这是一个典型的特定应用策略的样例，它不能通过MDM技术在设备层面启用。为了解决日益增长的移动应用管理的需求，组织转向了一个非常熟悉的类比方案：企业级app store。企业级的app store提供了中心化的移动应用目录，并且能够允许IT部门在应用级别使用访问控制和安全策略，这样的话，就能随时随地地限制任何运行移动应用的设备。像Apperian这样的MAM领域领军者宣告MDM解决方案已死。尽管在技术上这样的争论有一定的道理，但现实却略有不同。MDM解决方案已经成为任何现代IT部门的重要组成部分，并且随着该领域的商品化，MDM平台已经将其功能扩展至MAM领域。这样的结果就是，MAM技术从一个独立类别，转变成了MDM平台的一个特性。

在企业中，MDM和MAM技术的快速发展使像Contoso这样的企业组织发现他们正在试图扩展这些平台的功能，从而加入新的安全、隐私以及访问控制模型以保护移动应用所访问的业务数据。尽管MDM和MAM平台能够分别在设备和数据层面提供安全与访问控制策略，但是组织并没有简单的方式保护移动应用所使用的业务数据资产。以我们看来，这种需求将是下一代移动业务管理解决方案的源动力：移动数据管理。

第三阶段：Contoso从管理应用转向管理数据

在实现了多个移动应用并部署完一个可运维的企业app store后，Contoso开始面临规章制度和安全方面的挑战，这些挑战来自于这些移动应用所使用的企业级数据源。从存储在移动设备中的数据，到数据载体（carrier）的限制以及在什么位置可以访问企业级数据源，Contoso的IT部门开始寻找可行的方案，将MOM策略从应用扩展到数据领域。

在技术上，尽管移动业务数据管理（mobile business data management，MBDM）还是一个没有得到确认的流行词汇，但是它正成为企业级移动领域日益增长的需求。MDM和MAM平台提供了定义良好的功能来管理设备和应用，但是在保护企业移动解决方案中最为宝贵的资产，也就是企业级业务数据方面却显得力不能及。例如，让我们假设这样的场景，Contoso的IT部门想要保证移动应用所使用的客户信息要经过签名和加密。使用现在的MDM和MAM技术很难实现这个简单的场景。

与其他企业级软件的趋势相同，企业级移动解决方案需要粒度等级越来越多的管理和访问控制，以满足企业级部署的需要。MDM和MAM平台分别在移动设备和应用级别提供了管理功能，而移动业务数据则自然代表了企业级移动基础设施管理演化的下一个粒度等级。下图展现了这种理念。

图：移动业务管理的成熟度范围

移动业务数据的上下文相关性特征

组织需要管理和保护企业级移动应用所访问的业务数据，这种需求切实存在并且在快速增长，但是实现这一功能所需的技术模型可能会相当复杂。这种复杂性部分原因在于移动应用的特性，这种特性为使用传统企业级数据源引入了新的挑战。我们可以列出传统的以及移动的企业级数据源的众多不同之处，从中可以快速总结出这些不同其实来源于同一条原则：移动业务数据必须与上下文相关（context-aware）。

与上下文相关指的是移动业务数据的特征，那就是根据上下文不同所表现的行为会有所差异，而这与数据本身无关。举例来说，考虑有一个移动应用要访问企业资源计划（enterprise resource planning，ERP）系统的财务数据。

当通过移动应用访问企业级数据源时，组织需要考虑到如下的上下文因素：

位置
载体
网络
设备
离线存储
从移动访问的角度来看，上述的每一个元素都会增加业务数据的不同维度。例如，就财务数据源来说，通过不安全的移动网络在海外某个国家进行访问与在企业防火墙内部进行访问的行为肯定会有所差异。与之类似，我们可以想到的一个例子是客户数据不能通过Windows Phone设备访问，并且不能持久化到电话存储中。像这样的样例能够阐述为什么上下文相关的计算是保护和管理移动应用访问业务数据的基本原则。

通过移动优先的数据安全策略管理移动业务数据

为了实现业务数据的管理，最主要的元素依赖于对数据服务API执行移动优先、上下文相关的安全策略。在这个模型中，数据服务API负责访问底层的企业级数据源，这些请求来源于移动应用，而安全策略则代表了访问控制条件，要访问目标数据源，移动用户必须要满足这些条件。下图展现了该理念：

图：对于移动业务数据的访问控制模型

移动数据的访问安全策略是一系列的条件动作（condition-action）规则，这些规则会限制对特定数据源的访问。规则会将上下文相关的移动因素考虑进来，如载体、位置、网络等等。下图展现了移动数据访问策略可能出现的一些样例。

图：移动数据访问策略

如前面的列表所述，基于上下文相关的移动因素确定条件动作规则能够提供一个非常简单的模型，这个模型可以用来保护移动应用所访问的业务数据。这种类型的模型将作为MDM和MAM所提供的访问控制机制的补充，进而提供端到端的移动业务管理管道（pipeline）：

图：移动访问控制管道

借助这种类型的管道，组织能够保护和管理企业级移动生态系统中的三个最主要的内容：设备、应用和数据。更为重要的是，移动数据管理模型能够扩展MDM和MAM的安全和访问控制功能，使其提升至当前所未能达到的水平：业务数据。

总结

移动数据管理代表了移动业务管理领域的自然演进方向。从原理上来讲，移动数据管理指的是一系列的访问控制和管理机制，它控制了移动应用对企业级数据源的访问，补充了已有的MDM和MAM策略。

移动数据管理模型的核心依赖于访问控制规则，这些规则基于企业移动解决方案的上下文因素，如位置、设备、人员、载体、网络等等。移动数据管理模型的实现是MDM-MAM平台功能的补充，它能够让组织实现端到端的移动业务管理，从而使安全从设备级别一直延伸到业务数据级别。

英文原文：http://www.infoq.com/articles/jesus-rodriguez-mobile-data-management