четверг, 2 апреля 2015 г.

Каким должно быть идеальное решение по защите мобильных устройств для бизнеса

Много сказано о том, с какой скоростью проникают мобильные девайсы в нашу жизнь, что мобильный трафик начинает превышать трафик с настольных систем, что мобильность – это жесткий неизбежный тренд и вместе с ней меняется парадигма потребления сервисов.
Тем временем, все с большей силой возникает потребность со стороны бизнеса в наличии решений, позволяющих пользоваться мобильными технологиями без ущерба для бизнеса.
На сегодняшний день имеется немало предложений по защите мобильных устройств.
Одних только лидеров в сегменте Enterprise Mobility Management (EMM, следующая стадия после Mobile Device Management MDM) по версии Gartner (июнь 2014 года) 5 штук:
·         IBM (MaaS360)
·         Citrix (Zenprise)
·         AirWatch (принадлежит VMWare, но остался выделенным направлением)
·         Good Technologies
·         Mobile Iron
Критерии у Gartner для оценки довольно обширные, это анализ в следующих разрезах:
·         Mobile Device Management
·         Mobile App Management
·         Security Management
·         Identity Management
·         Mobile Content Management
·         System Integration
·         End-User Experience
·         Service Desk Experience
·         Audit and Management Reporting
·         Vendor Licensing and Support
Ключевым функционалом EMM выделяется следующее:
·         Hardware inventory (инвентаризация оборудования)
·         Application inventory (инвентаризация приложений)
·         OS configuration management (управление конфигурацией ОС)
·         Mobile app deploymentupdating and removal (развертывание, обновление и удаление мобильных приложений)
·         Mobile app configuration and policy management (управление конфигурациями и политиками мобильных приложений)
·         Remote view and control for troubleshooting (удаленное управление устройством для решения проблем)
·         Execute remote actions, such as remote wipe (выполнение удаленных команд, типа очистка устройства)
·         Mobile content management (управление данными для мобильных устройств)
Собственные приложения для стандартных функций: защищенные почта, календарь, управление контактами, а также безопасный браузер для защищенного доступа в интернет. Эти приложения являются неотъемлемой частью EMM-решения.
Возможность встраивания сторонних приложений в защищенную экосистему разработчиком через SDK, либо самостоятельно через заворачивание приложений в специальную оболочку. Это требуется для тех приложений, которые не управляются стандартными средствами ОС.
Технологии защищенного контейнера – приложение, на стороне клиента, которое позволяет безопасно хранить и обрабатывать информацию внутри защищенной области, которая требует дополнительной аутентификации:
·         Вложения почты
·         Данные от другого пользователя
·         Доступ к корпоративным данным
Проталкивание данных – доставка документов:
·         Контроль версий
·         Оповещение пользователя о новых файлах
·         Ограниченность доступа к данным по времени
Доступ к корпоративным данным:
·         Поддержка внедренных в компании репозиториев документов (SharePointDocumentum и др.)
·         Логирование действий мобильных пользователей
Если обратиться к стандартамто одним из интересных документов является NIST Special Publication 800-124 Revision 1 «Guidelines for Managing the Security of Mobile Devices in the Enterprise» датированный июнем 2013 года.
В нем на 17-ой странице приведен хороший перечень функционала, который должен быть реализован в рамках защищенной мобильности (естественно, для каждой конкретной компании те, или иные пункты могу быть не критичны), привожу без перевода:
General policy. The centralized technology can enforce enterprise security policies on the mobile device, including (but not limited to) other policy items listed throughout Section 3.2. General policy restrictions of particular interest for mobile device security include the following:
·         Restrict user and application access to hardware, such as the digital camera, GPS, Bluetooth interface, USB interface, and removable storage.
·         Restrict user and application access to native OS services, such as the built-in web browser, email client, calendaring, contacts, application installation services, etc.
·         Manage wireless network interfaces (Wi-Fi, Bluetooth, etc.)
·         Automatically monitor, detect, and report when policy violations occur, such as changes from the approved security configuration baseline, and automatically take action when possible and appropriate
·         Limit or prevent access to enterprise services based on the mobile device’s operating system version (including whether the device has been rooted/jailbroken), vendor/brand, model, or mobile device management software client version (if applicable). Note that this information may be spoofable.
Data Communication and Storage
·         Strongly encrypt data communications between the mobile device and the organization. This is most often in the form of a VPN, although it can be established through other uses of secure protocols and encryption.
·         Strongly encrypt stored data on both built-in storage and removable media storage. Removable media can also be “bound” to particular devices such that encrypted information can only be decrypted when the removable media is attached to the device, thereby mitigating the risk of offline attacks on the media.
·         Wipe the device (to scrub its stored data) before reissuing it to another user, retiring the device, etc.
·         Remotely wipe the device (to scrub its stored data) if it is suspected that the device has been lost, stolen, or otherwise fallen into untrusted hands and is at risk of having its data recovered by an untrusted party. See Section 4.5 for more information on data scrubbing.
·         A device often can also be configured to wipe itself after a certain number of incorrect authentication attempts.
User and Device Authentication
·         Require a device password/passcode and/or other authentication (e.g., token-based authentication, network-based device authentication, domain authentication) before accessing the organization’s resources. This includes basic parameters for password strength and a limit on the number of retries permitted without negative consequences (e.g., locking out the account, wiping the device).
·         If device account lockout is enabled or the device password/passcode is forgotten, an administrator can reset this remotely to restore access to the device.
·         Have the device automatically lock itself after it is idle for a period (e.g., 5 minutes).
·         Under the direction of an administrator, remotely lock the device if it is suspected that the device has been left in an unlocked state in an unsecured location.
Applications
·         Restrict which app stores may be used.
·         Restrict which applications may be installed through whitelisting (preferable) or blacklisting.
·         Restrict the permissions (e.g., camera access, location access) assigned to each application.
·         Install, update, and remove applications. Safeguard the mechanisms used to perform these actions. Keep a current inventory of all applications installed on each device.
·         Restrict the use of operating system and application synchronization services (e.g., local device synchronization, remote synchronization services and websites).
·         Verify digital signatures on applications to ensure that only applications from trusted entities are installed on the device and that code has not been modified.
·         Distribute the organization’s applications from a dedicated mobile application store
Во многих решениях реализованы похожие функции, так чего же им, в таком случае не хватает для выхода в лидеры?
В первую очередь, единой складной и красивой концепции, в рамках которой решение работает и которой оно следует и соответствует. Речь о том, что безопасность мобильных устройств не может строиться на одном приложении, это должна быть Платформа, со своей четкой архитектурой. Платформа, которая реализует не только функции защиты, но и функции самого доступа к корпоративным данным, будь то клиент удаленного доступа или доступ к файловому хранилищу. При этом важно, чтобы компоненты доступа были четко выделены, как, например, это сделано в Mobile Iron:

Если подниматься на уровень маркетинга и адресации «месседжа» в рынок, то на этом языке можно общаться не только с технарями, но и с бизнесом, объясняя преимущества внедрения такого решения.
Mobile Iron в данном случае приведен как пример удачной концепции, сама концепция может отличаться, однако, надо признать, что данная модель становится де-факто стандартом EMM.
 Secure your life!