При работе с мобильными устройствами в корпоративной сети сотрудники могут вольно или невольно опубликовать конфиденциальные сведения либо использовать эти устройства неэффективно, поэтому разработчики средств управления мобильными устройствами предложили специализированные решения класса Mobile Device Management (MDM) для обеспечения безопасной работы с ними. Однако только инструментами MDM перечень средств контроля и управления мобильными устройствами сотрудников не ограничивается.
VPN
Самым простым средством защиты корпоративных данных при использовании мобильных устройств являются системы защищенного удаленного подключения через частные виртуальные сети (VPN), позволяющие отказаться от хранения корпоративных данных на удаленных устройствах и получать доступ к информации через защищенное соединение и терминальную сессию. Эти решения удобны также тем, что многие компании уже установили у себя шлюзы доступа к корпоративным сетям, через которые можно работать с информацией с мобильных компьютеров на платформе традиционных операционных систем. Для подключения планшетных компьютеров и смартфонов достаточно лишь написать соответствующие клиентские части для операционных систем iOS, Android, Windows Phone и др.
В России имеется несколько производителей VPN-решений, например компании «Код безопасности» и Infotecs, причем первая собирается выпустить собственный планшетный компьютер, который можно будет использовать для обработки секретных материалов. Кроме того, ее специалисты уже создали клиентское приложение для iOS и разрабатывают аналогичное под Android. Мобильный клиент от Infotecs может блокировать любое обращение мобильного устройства к Интернету напрямую, кроме доступа к корпоративному шлюзу. В результате мобильный сотрудник может обращаться в Сеть только через шлюз компании, где его трафик полностью контролируется: проверяется на наличие вредоносного кода, передачу корпоративных секретов и наличие постороннего контента. Все это позволяет предприятию реализовать универсальную для всех мобильных устройств корпоративную политику.
Безопасность мобильных устройств
Использование сотрудниками компаний собственных мобильных устройств для работы с корпоративной информацией ставит перед ИТ-отделами компаний новые задачи обеспечения безопасности. Денис Безкоровайный |
Отдельной проблемой является легальность установки клиента VPN на ОС iOS — в некоторых случаях для этого приходится обходить средства защиты операционной системы. По умолчанию пользователь не может получить контроль над этой ОС и установить на нее какое-либо программное обеспечение кроме того, что есть в Apple Store. В то же время далеко не все российские компании могут пройти процедуру включения их клиента в репозиторий приложений Apple, поэтому, чтобы установить агент в iOS, требуется обойти защиту устройства, что автоматически лишает владельца устройства гарантий со стороны производителя. Международные разработчики средств защиты на базе VPN, такие как Check Point или Stonesoft, предпочитают договариваться с Apple о распространении агента через стандартный механизм установки приложений, но они не реализуют нужные некоторым российским пользователям алгоритмы шифрования и не имеют сертификатов отечественных регуляторов. Поэтому сейчас на рынке пока нет VPN-клиента, который бы полностью устраивал всех российских пользователей. Возможным вариантом решения данной коллизии является использование технологии SSL-VPN, позволяющей выполнять шифрование с помощью стандартного протокола HTTPS без установки специального клиента. Все проверки в этом случае выполняются специальным сценарием JavaScript, который может проверить устройство на наличие вредоносных программ и в конце сеанса удалять из памяти устройства информацию, содержащую конфиденциальные данные.
В классе мобильных VPN-решений имеются в том числе и продукты с поддержкой российской криптографии, которая сейчас имеет статус международного стандарта. Некоторые из них имеют сертификаты ФСТЭК — это разработки компаний Stonesoft и Check Point. Теоретически клиенты этих производителей должны работать на мобильных устройствах, однако эффективность их реализаций пока никто не проверял.
Применение VPN на мобильном устройстве — это адаптация уже отработанных защитных механизмов, таких как антивирусы, межсетевые экраны и спам-фильтры, к новым условиям. К сожалению, они не позволяют полностью использовать преимущества самого мобильного устройства, например определение его местоположения. Тем не менее такой подход вполне допустим, однако для его реализации требуется дополнительное программное обеспечение. Использование VPN не гарантирует полного контроля устройств со стороны компании — решения этого класса позволяют только получить удаленный доступ к корпоративным системам, но не защитить само устройство от вредоносных кодов. Поэтому в дополнение к VPN на мобильное устройство придется устанавливать какой-нибудь антивирус и, возможно, другие инструменты защиты. Кроме этого, требуется настройка системы защиты устройства, поэтому его придется приносить в ИТ-службу предприятия. В результате на мобильное устройство, которое имеет достаточно ограниченные вычислительные ресурсы, придется устанавливать много приложений, что затрудняет его использование. При отсутствии возможности удаленного администрирования все работы по поддержке и решению проблем безопасности придется выполнять самому сотруднику, что либо потребует от него высокой квалификации, либо часть функционала не будет использоваться.
Мобилизация во благо
Отношение к «мобилизации предприятий» очень сильно зависит от того, что вкладывается в это понятие. С одной стороны, мобилизацию можно считать развитием BYOD и консьюмеризации корпоративной ИТ-инфраструктуры. С другой стороны, имеются предприятия, компании или организации, выдающие сотрудникам специализированные мобильные устройства, «заточенные» под требуемые программы и задачи. И тогда здесь открывается поле для разработки специализированного ПО, выполняемого на определенных платформах. В любом случае остаются вопросы по управлению такими устройствами, обеспечению безопасного доступа и экономической составляющей решения. И вот тут оказывается, что всегда найдутся варианты, при которых мобилизацию категорически нельзя внедрять на предприятии, и в то же время будут сотни примеров, когда она принесет организации конкурентные преимущества.
Задачи обеспечения информационной безопасности не решаются каким-то одним продуктом, поэтому если компания до внедрения мобильности не занималась этими вопросами, то и говорить, что новое решение приведет к усилению безопасности или, наоборот, к ее снижению, нельзя. В случае применения комплексных мер защиты безопасность должна повыситься – пользователь вряд ли сможет хранить на мобильном устройстве большие объемы информации, а если его устройство используется как терминал доступа, то служба ИТ будет иметь все средства контроля за трафиком между ним и корпоративным ЦОД.
Следует ли бросать все ресурсы на переписывание ПО для бизнеса под мобильные платформы? Самым правильным, как мне кажется, будет решение, основанное на здравом смысле. Если программа, написанная под определенную мобильную платформу, использует максимум ее возможностей, а пользователи получают уникальное по удобству, функциональности и экономическим характеристикам решение, то ее имеет смысл адаптировать к другой платформе. Однако в большинстве случаев более правильным путем будет интеграция мобильных устройств в существующие системы удаленного доступа к приложениям. Например, компания Citrix Systems в своем решении XenApp предлагает средство интеграции, автоматически определяющее, что пользователь применяет мобильное устройство, и настраивающее характеристики сервера и устройства: на десктопе сервера XenApp будет установлена тема с увеличенным размером иконок приложений, включается навигация по меню и запуску приложений, на устройстве «всплывает» экранная клавиатура и т. д. Для клиентского ПО Citrix Receiver, используемого для подключения к Citrix XenApp и Citrix XenDesktop, предлагается инструментарий Mobile App Access SDK, с помощью которого можно из приложений обращаться к специфическим для мобильных устройств функциям и устройствам: GPS, камера и т. д. В Citrix Receiver поддерживаются все мобильные платформы: iOS, BlackBerry, Android, Java, Linux, Playbook (QNX) и др., что позволяет организовать удобный доступ к корпоративной инфраструктуре с практически любых имеющихся у сотрудников мобильных устройств. Это позволяет департаменту ИТ избежать серьезных потрясений при переходе к мобильному предприятию, предполагающему интеграцию мобильных технологий, технологий виртуализации и средств удаленного доступа.
— Сергей Халяпин (sergeykh@citrix.com), руководитель системных инженеров Citrix Systems RU&CIS (Москва).
MDM
Для решения задачи централизованного управления корпоративными мобильными устройствами разработчики платформ управления ИТ и средств защиты предложили отдельный класс программных продуктов — системы управления мобильными устройствами (Mobile Device Management, MDM). Эти продукты предназначены, в том числе, для выполнения автоматизированной установки на новое оборудование всего необходимого программного обеспечения, настройки, поддержания безопасности и защиты от утечек данных, мониторинга использования устройств и создания требуемого набора отчетов, а также удаления всех корпоративных данных с мобильных устройств в случае необходимости. Аналитики Gartner насчитали около 60 компаний, выпускающих продукты класса MDM, и в мае 2012 года нарисовали свой «Магический квадрант», включив в него 20 компаний, решения которых наиболее полно реализуют функционал управления жизненным циклом мобильного устройства.
Все представленные сегодня на рынке продукты MDM можно разделить на два типа. В первом, «легком», варианте для подключения нового устройства к системе MDM нужно установить на него агент, поддерживающий связь с корпоративным сервером управления и контролирующий все действия пользователей. При этом в агенте имеется описание корпоративной политики безопасности и средства мониторинга ее соблюдения, пользователь работает с привычными ему приложениями, а агент выполняет только часть функций MDM, которые в основном связаны с соблюдением политики безопасности. В то же время управление жизненным циклом приложений и данных такие агенты обычно не выполняют. К этому варианту относятся продукты компаний AirWatch, BoxTone Fiberlink, MobileIron и Zenprise.
Второй, «тяжелый», вариант предполагает установку на устройство специального набора программного обеспечения, с помощью которого можно подключаться к корпоративным сервисам. В этом случае на мобильном устройстве фактически создается защищенная среда, через которую пользователь получает доступ к корпоративным данным. При этом ему приходится осваивать новый набор приложений, который входит в состав самого решения. На устройстве создаются две рабочие среды: персональная, доступ к которой имеет пользователь, и корпоративная, контролируемая ИТ-администраторами компании. Отметим, что администратор не имеет доступа к персональной части устройства. Решения этого класса предлагают компании Good Technology, Excitor и SAP.
Архитектура решений MDM предусматривает три уровня: мобильный клиент, сервер управления и облачный сервис от производителя. Имеются решения, максимально сконцентрированные на клиенте, продукты с богатым серверным функционалом, а также решения на базе облачных сервисов, например продукт MaaS360 (Мобильность как сервис, Mobility as a Service) компании Fiberlink. Выбирая архитектуру того или иного решения, покупатель должен оценить, что ему удобнее — самостоятельно обслуживать сервис управления мобильными устройствами сотрудников или передать эту работу сторонней компании-оператору.
Минимальные функции решения MDM — установка на устройство и настройка программ, контролирующих посещение сайтов, отправку SMS и выполнение звонков на указанные номера. Кроме того, важной частью решения является удаление корпоративных данных с мобильного устройства. В случае «легкого» агента удаление может выполняться при получении специального SMS, а «тяжелый» самостоятельно удаляет с устройства свой защищенный контейнер. К расширенным функциям MDM может относиться контроль за перемещениями сотрудника.
Разберем более подробно основные функции MDM.
Локальный репозиторий приложений. Контроль за установкой приложений путем их загрузки и установки только из корпоративного репозитория, содержащего лишь проверенные приложения. Управление репозиторием приложений обеспечивается серверной частью MDM-решения. Следует отметить, что производители мобильных устройств, например Apple, разрешают своим корпоративным клиентам создавать подобные репозитории.
Контроль доступа, SMS и телефонных звонков. Такой контроль может потребоваться компании для защиты своих мобильных сотрудников от вредоносных программ, заставляющих устройство отсылать платные SMS или совершать звонки, хотя этот функционал компания может использовать и для контроля за действиями сотрудников. Например, в отечественном решении от НИИ СОКБ предусмотрена возможность чтения текстов отправляемых сотрудником SMS, а также фиксации телефонных номеров и длительности разговоров. Западные производители, такие как Symantec и McAfee, в основном ограничиваются блокировкой нежелательных коммуникаций.
Удаление данных. В случае потери корпоративного устройства срабатывает команда уничтожения всех данных и возврата устройства к заводским настройкам. Команда инициируется с помощью специально сформированного SMS, а сам компонент защиты сработает автоматически при подключении устройства к сотовой сети или Интернету. В случае «тяжелого» решения MDM удаление данных выполняется вместе с защищенным контейнером.
Определение местоположения. Современные мобильные устройства имеют средства геолокации, что можно использовать в корпоративных приложениях, определяя, например, маршруты перемещения сотрудников для оптимизации времени доставки грузов, оперативного реагирования на вызовы клиентов и т. п.
Список типичных функций MDM-решений может быть расширен каждым производителем, например, компания MobileIron предлагает платформу Virtual Smartphone Platform — аналог виртуальных рабочих столов, но для мобильных устройств. Кроме того, далеко не все производители решений MDM реализуют на мобильных устройствах шифрование, если оно не предусмотрено базовой платформой, однако, с точки зрения защиты корпоративной информации, это является важным функционалом MDM, поэтому даже саму аббревиатуру MDM расшифровывают иногда как «управление мобильными данными» (Mobile Data Management). В скором времени аналитики, вероятно, сформируют более широкий список минимальных возможностей MDM, и тогда можно будет говорить о втором поколении этих продуктов. Потребность в этом уже созрела, поскольку в существующем списке отсутствуют, например, функции по сопровождению приложений на мобильном устройстве и их защите от вредоносных кодов.
Поставщиков решений MDM (см. таблицу) можно разделить на три группы: разработчики средств защиты, такие как Symantec, McAfee, Sophos, Trend Micro; производители решений для управления ИТ-системами, например LANDesk, SAP, IBM, Amtel, Good Technology; компании, для которых решения MDM являются основным бизнесом, к ним относятся MobileIron, AirWatch, Fiberlink и Zenprise. Кроме того, сегодня производители средств защиты нередко покупают специализированные компании с целью интеграции их технологий в свои продукты. Так, компания McAfee приобрела технологию управления мобильными устройствами вместе с компанией Trust Digital, а Symantec базирует свой продукт Mobile Management на разработках Odyssey Software. Производители систем обработки событий и управления ИТ тоже пытаются расширить свои системы средствами поддержки мобильных платформ. Функциональные возможности таких решений, как IBM Worklight, SAPSybase Afari a или LANdesk Management Suite, достаточно богаты, поскольку эти компании имеют большой опыт разработки систем управления. Однако сегодня на рынке MDM пока лидируют специализированные компании, имеющие четкую стратегию развития и возможности для ее реализации, правда, кроме MobileIron мало кто из них представлен в России.
Производитель | Поддерживаемые платформы | Тип компании |
---|---|---|
MobileIron | Android, BlackBerry, iOS, Mac OS X, Symbian, WebOS, Windows Phone | Cпециализированная |
AirWatch | Android, BlackBerry, iOS, Mac OS X, Symbian, Windows Phone/Mobile | Cпециализированная |
Fiberlink | Android, BlackBerry, iOS, Mac OS X, Symbian, Windows 7/Phone/Mobile | Cпециализированная |
Zenprise | Android, BlackBerry, iOS, Symbian, Windows Mobile | Cпециализированная |
Good Technology | Android, BlackBerry, iOS, Windows Phone | ИТ-управление |
BoxTone | Android, BlackBerry, iOS | Cпециализированная |
IBM | Android, iOS, Mac OS X, Symbian, Windows 7/ Mobile/Phone, Linux, UNIX | ИТ-управление |
SAP | Android, iOS, Symbian, Windows 7/Mobile, Palm | ИТ-управление |
Symantec | Android, iOS, Windows Phone/Mobile | Безопасность |
McAfee | Android, iOS, BlackBerry, Windows Phone/Mobile | Безопасность |
Sophos | Android, iOS, BlackBerry, Windows Phone | Безопасность |
Trend Micro | Android, iOS, BlackBerry, Windows Mobile | Безопасность |
НИИ СОКБ | Symbian | Специализированная |
BYOD
Следует отметить, что в решениях западных поставщиков продуктов MDM не приветствуется перехват SMS, фиксация телефонных номеров или сбор сведений о положении телефона без согласия его владельца, поэтому акцент делается на том, что при удалении средств MDM владелец устройства в обмен на возврат полного контроля над телефоном лишается корпоративной защиты и доступа к ресурсам предприятия. Такая ситуация связана с концепцией «принеси свое устройство» (bring your own device, BYOD), предполагающей, что сотрудник добровольно устанавливает на свое мобильное устройство MDM-клиент для получения доступа в корпоративную сеть. При этом он также добровольно может данное программное обеспечение удалить и полностью вернуть себе контроль над своим устройством.
Российским пользователям мобильных устройств более понятна другая модель, при которой компания выдает им устройство, полностью контролируемое администраторами предприятия. Поэтому российские разработчики решений MDM стремятся реализовать поддержку бизнес-модели GYOD (Give me your own device, «дай мне свое устройство»), предусматривающей более жесткий контроль устройств — компании должны быть уверены, что сотрудники, которым они выдают свою собственность, будут использовать их преимущественно для работы. Такие решения, скорее, следует расценивать как средства контроля сотрудников, работающих вне офиса.
В случае GYOD меняется и сама концепция MDM, поскольку уже не требуется поддерживать наиболее популярные мобильные платформы и можно ограничить их выбор. Действительно, для компании выгодно приобрести всем сотрудникам одинаковые устройства и установить на них необходимый набор программного обеспечения, поэтому у единственного пока российского производителя решений MDM — НИИ СОКБ — реализована поддержка только одной платформы Symbian, хотя планируется реализация агентов и для других. Уже упоминавшийся планшетный компьютер компании «Код безопасности» также соответствует концепции GYOD.
Западным разработчикам решений MDM приходится поддерживать широкий перечень платформ: iOS, Android, BlackBerry, Windows Phone, постоянно расширяя функциональность по их управлению. В частности, аналитики Gartner отмечают, что последние версии агентов, предлагаемые лидерами рынка MDM, пользуются возможностями мобильных платформ по шифрованию данных — например, в версии iOS 4.2 заявлена поддержка шифрования, которое агенты будут использовать для защиты корпоративных данных. Правда, на платформах, где пока нет встроенного шифрования, разработчики не торопятся реализовывать его программно.
Практика мобильности
Беспроводные сети стали неотъемлемой частью жизни современного человека, у которого теперь появилась возможность пользоваться публичными и корпоративными сервисами в любом месте, однако мобилизация, как и любое новшество, кроме преимуществ таит в себе и опасности. Утеря устройства, ошибки при задании параметров, использование публичных сетей при работе с конфиденциальной информацией — все это может привести к утечкам ценных данных. Без надежных платформ управления парком мобильных устройств современному предприятию не обойтись.
С каждым годом все больше организаций предоставляют своим сотрудникам доступ к корпоративным ресурсам, что позволяет им выполнять свою работу как в офисе, так и удаленно, используя планшеты и смартфоны. И если пять лет назад большинство телефонов, применяемых для работы, управлялись операционной системой Blackberry, то теперь к ней добавились Apple и Android, причем в Apple Store насчитывается около 500 тыс. приложений, а в Android Market — около 200 тыс. Такое изобилие не может не радовать, однако не следует забывать и о возможных опасностях — кража или потеря смартфона, работа в открытых сетях и т. п. таят в себе потенциальные угрозы политике корпоративной информационной безопасности.
На помощь предприятиям приходят, в частности, системы класса MDM, предназначенные для управления политиками безопасности мобильных устройств и распространения настроек для доступа к различным сервисам. Такие средства позволяют запретить установку новых приложений на устройство либо разрешить установку программ только на основании «репутационного» рейтинга производителя MDM.
Для поддержки мобильных устройств администраторам организаций необходимо иметь надежную платформу, поддерживающую управление устройствами сотрудников и параметрами их безопасности. В качестве примера рассмотрим решение компании Good Technology. Ключевым компонентом архитектуры является центр управления сетью, проверяющий подлинность соединения устройства с серверами компании. Он управляет маршрутизацией данных и гарантирует, что к серверам организации смогут подключиться только конкретные устройства. Вся передаваемая информация шифруется. Поддерживаются популярные операционные системы: iOS, Android и Windows Phone.
Администратор задает типы файлов, которые можно сохранять на контролируемых устройствах, а также список приложений, которым доступно сохранение таких файлов. Для соединения с серверами предприятия используется протокол HTTP с защитой SSL — нет необходимости дополнительно настраивать межсетевой экран и открывать какие-либо порты. Подключение к центру управления сетью выполняется только при отправке и получении идентификационного сообщения, а всем мобильным трафиком управляет центр управления сетью, что исключает возможность подключения посторонних устройств к корпоративной сети. Кроме того, серверы Good используют дополнительную проверку по серийному номеру устройства. После установления соединения между мобильным устройством и центром управления, администратор генерирует специальный 15-значный код и передает сотруднику, например по электронной почте. Одновременно создается 128-разрядный хэш этого же кода по стандарту PBKDF2, который шифруется и передается в центр управления сетью для подтверждения подлинности устройства. После того как сотрудник введет на своем устройстве указанный код, автоматически генерируется его 128-битный хэш, который затем кодируется и отправляется на сервер. В случае соответствия кодов, полученных от клиента и сервера, центр управления сетью разрешает доступ.
По данным компании Sybase, 75% организаций отмечают повышение общей производительности труда сотрудников после внедрения мобильных платформ, при этом большая часть предприятий (42%) предпочитает пока разрабатывать приложения для мобильных устройств самостоятельно, а 31% использует программы сторонних разработчиков. Решающую роль при выборе мобильной платформы играет наличие необходимых инструментов, более 80% предприятий ориентируются на бренд разработчика и качество выпускаемых приложений.
При выборе платформы поддержки мобильности для конкретного предприятия аналитики и исследователи рынка советуют учесть следующие рекомендации:
- •сформулируйте основные требования к системе и цели ее внедрения (в большинстве случаев это повышение производительности труда сотрудников);
- •выберите поддерживаемые операционные системы с учетом их достоинств и недостатков (см. таблицу);
- •организуйте тесное сотрудничество кадровых служб, отвечающих, в частности, за повышение квалификации работников, и подразделений ИТ — необходимо убедиться в безопасности платформы и учесть психологические особенности работы с мобильными устройствами, чтобы быть уверенными в готовности сотрудников к использованию мобильной платформы.
ОС | Совместимый контент | Достоинства | Недостатки | |
---|---|---|---|---|
Смартфон | Apple iPhone | HTML, приложения. Нет поддержки Flash | Популярность, широкие базовые возможности, единообразие дизайна устройств и размера экрана, стабильность ОС | Недостаточный уровень безопасности, закрытость ОС, жесткие требования Apple App Store |
RIM BlackBerry | HTML, Flash, Java, приложения BlackBerry | Высокий уровень безопасности, широкие базовые возможности | Разнообразие размеров экранов | |
Android | HTML, Flash, приложения Android | Популярность, растущая база приложений | Ограничения производителя на модификацию и адаптацию | |
Планшетный ПК | iPad | HTML, HTML5, приложения | Популярность, широкие базовые возможности, единообразие дизайна устройств и размера экрана | Недостаточный уровень безопасности, закрытость ОС, необходимость соответствия требованиям App Store |
BlackBerry Playbook | HTML, HTML5, Flash, Java | Связь с системами безопасности предприятий, известность на рынке | Ограниченные функциональные возможности | |
Android Tablets | HTML, HTML5, Flash, Java, приложения Android | Популярность, высокое разрешение экрана | Ограниченные функциональные возможности |
По мнению аналитиков рынка мобильных платформ, наиболее популярны сегодня такие поставщики, как AirWatch, BoxTone, Fiberlink, McAfee, Symantec и Zenprice. Наилучшим покрытием по функционалу отличаются решения Zenprice, за которым следуют AirWatch, Fiberlink и BoxTone, несколько отстает Symantec и завершает список McAfee. Высоким уровнем безопасности выделяется Zenprice. Наиболее удобно в администрировании решение Fiberlink, а Zenprice отличается высоким уровнем управления.
При выборе мобильной платформы эксперты рекомендуют руководствоваться рядом критериев.
- Безопасность файлов. Информация, находящаяся за пределами офиса, должна храниться в зашифрованном виде и передаваться по защищенному протоколу. Администратору должна быть доступна информация о файлах, находящихся на устройствах работников, а также сроках их хранения.
- Поддержка безопасного обмена информацией. Сотрудникам должна быть доступна возможность обмена информацией с внешними лицами, например партнерами и клиентами, а безопасность коммуникаций не должна ограничиваться конкретным доменом.
- Наличие безопасной среды для приложений. Это требование наиболее актуально в случаях, когда на устройствах сотрудников хранится важная коммерческая информация. Безопасная среда позволяет содержать конфиденциальные данные в специальном хранилище, отвечающем повышенным требованиям безопасности и управляемом администратором предприятия, который может перевести их в режим «только для чтения» или удалить с устройства.
- Интеграция с системами управления контентом. Решение должно иметь мобильный доступ к популярным средствам управления контентом предприятия, например SharePoint, iManage и File Net.
- Поддержка работы с большими файлами. Мобильные платформы должны отвечать этому требованию, так как в настоящее время часто необходимо передавать видео объемом в несколько гигабайтов или медицинские изображения высокой четкости.
- Прозрачность управления платформой. Администраторы мобильных платформ должны иметь возможность назначать разные права доступа и политики безопасности для различных отделов и рабочих групп. Контроль работы за мобильными сотрудниками позволяет отслеживать изменения содержимого файлов, их публикацию и другие факторы.
- Соответствие уровня безопасности мировым стандартам. Уровень обеспечиваемой безопасности мобильной платформы должен соответствовать требованиям местных регуляторов.
— Евгений Шахов (jen947@mail.ru), независимый автор (Москва).
OMA-DM
Пока производители средств защиты разрабатывали или скупали MDM-продукты, создатели платформ управления ИТ формировали стандарты управления мобильными устройствами. Базой для этого стал альянс Open Mobile Alliance, образованный для координации процессов разработки различных спецификаций в индустрии мобильных решений. В него входят как разработчики мобильных устройств, так и операторы вместе с разработчиками ПО. В частности, OMA сформировал набор стандартов OMA Device Management (OMA-DM), описывающий протокол управления мобильными устройствами. Стандарт базируется на XML, а точнее, на уже используемом для синхронизации данных в мобильных устройствах протоколе SyncML. Стандарт описывает формат документов, которыми обмениваются центральный сервер управления и мобильное устройство.
Сервер может выполнять инвентаризацию подключенного к нему оборудования, его переконфигурацию, обновление приложений, обеспечение отказоустойчивости и сохранения данных с мобильных устройств. При этом сервер передает на устройство команды по изменению настроек как оборудования, так и программ, а устройство сообщает в центр управления сведения о заряде батарей, объеме задействованной памяти, геолокационные данные и другую информацию в зависимости от приложения управления. Например, с помощью данного механизма в Windows Phone 7, в котором есть поддержка SyncML, можно с центрального сервера полностью удалить все данные с мобильного устройства (см.рисунок).
Архитектура MS System Center Mobile Device Manager 2008 c поддержкой протокола OMA-DM |
В наборе спецификаций OMA-DM есть и требования по безопасности, в частности, предусмотрены следующие механизмы защиты: взаимная аутентификация клиента и сервера, гарантия целостности запросов с помощью цифровой подписи (алгоритм MD5), шифрование передачи данных между клиентом и сервером по протоколу SSL, а также использование других механизмов защиты, таких как обращение к смарт-картам. Поскольку большинство этих механизмов являются обязательными к реализации в агенте, то и всю систему управления мобильными устройствами с помощью OMA-DM можно сделать достаточно защищенной.
Поддержка стандарта OMA-DM для управления мобильными устройствами теоретически обеспечивает работу агента с различными платформами управления ИТ, однако, хотя стандарт разработан уже несколько лет назад, далеко не все современные продукты MDM используют его. Во всяком случае, в спецификациях лидеров индустрии, таких как AirWatch MobileIron или Zenprise, ссылок на данный стандарт нет, да и сами они в альянс не входят. В то же время компании Microsoft, SAP/Sybase и IBM активно участвуют в разработке OMA-DM. В частности, Microsoft уже реализует его поддержку в Windows Phone.
Защита мобильного предприятия
Сегодня распределенные компании, взявшие на вооружение принципы организации мобильного предприятия, имеют стратегическое преимущество перед конкурентами благодаря оперативному влиянию на бизнес-процессы. Вместе с тем мобилизация таит в себе и риски, связанные с информационной безопасностью: утечка информации при работе с корпоративными информационными системами с мобильных устройств через публичные беспроводные или сотовые сети, потеря или кража устройства. В компании «Код Безопасности» ведутся разработки программного VPN-клиента «Континент АП» для ОС Android, предназначенного для криптографической защиты сетевого трафика мобильных устройств с подключением к сетям общего пользования при работе с корпоративными информационными ресурсами. «Континент АП для Android» входит в состав комплексного решения по защите мобильных платформ, включающего еще защищенный планшет «Континент Т-10».
«Континент Т-10» относится к решениям типа GYOD (Give me your own device, «дай мне свое устройство») и выполнен в форм-факторе планшета с встроенными криптографическими средствами защиты информации. Мобильный планшет — первое на российском рынке устройство для работы в защищенных корпоративных сетях без необходимости установки дополнительных наложенных средств защиты информации.
«Континент Т-10» целесообразно использовать для обеспечения как защиты от внешних угроз, так и для криптографической защиты мобильного сетевого трафика при передаче между сегментами распределенной сети мобильного предприятия.
Высокая пропускная способность VPN-канала и возможность установки любого прикладного ПО, использующего разнообразные протоколы для взаимодействия с информационными системами мобильного предприятия, дает технологическое преимущество защищенному планшету «Континент Т-10» на рынке мобильных устройств. Данное решение позволит использовать мобильные устройства в автоматизированных системах с подключением
к сетям общего пользования при обработке конфиденциальных и персональных данных, при этом значительно упростится процедура приведения этих систем в соответствие с требованиями регуляторов (ФСТЭК, ФСБ) и их аттестации.
— Александр Болгак (info@securitycode.ru), специалист по продуктам компании «Код Безопасности» (Москва).
***
Российский рынок MDM-решений еще только формируется, и вполне возможно, что он будет отличаться от международного. Это связано как со специфичным пониманием роли мобильных устройств в российских компаниях, так и с отсутствием в России многих поставщиков таких решений. В основном в Россию продукты этого класса продвигают международные компании, занимающиеся разработкой средств защиты, такие как Symantec, McAfee и Trend Micro, поэтому за этими продуктами, возможно однобоко, закрепляется роль защитных механизмов. Но есть и исключения — например, SAP с продуктом Afaria, LANDesk с решеним LANDesk Mobility Manager и IBM с продуктом Worklight, однако такие решения пока продвигаются слабо, а у данных компаний весьма объемный список продуктов, поэтому потенциальному покупателю трудно найти в нем необходимые ему решения по управлению мобильными устройствами. Коме того, в России мобильные устройства пока воспринимаются не как основной инструмент бизнеса, а скорее, как дополнительное удобство для руководства компании, поэтому крупных систем управления мобильными устройствами на отечественном рынке не представлено.