Mobile Device Management: разнообразие видовЧасть 2

Михаил Рожнов
руководитель центра компетенции
ООО "НИИ СОКБ" по обеспечению
информационной безопасности при
использовании мобильных средств связи

SafePhone - решение для защиты корпоративной сотовой связи с централизованным управлением

В отличие от ранее рассмотренных решений инсталляция SafePhone происходит в Linux-окружении - в качестве ОС выступает CentOS 5.x 64-bit, системой управления базами данных служит Oracle MySQL версии не ниже 5.5.17 (рекомендуется развертывание в режиме кластера). В качестве сервера приложений используется Apache Tomcat 6. По завершении процедуры развертывания происходит инсталляция мобильного агента с помощью одного из приложений для синхронизации мобильного устройства с компьютером: для Sym-bian - Nokia PC Suite или Nokia OVI Suite. Дальнейшее администрирование осуществляется через Web-консоль посредством браузера семейства Microsoft Internet Explorer или Mozilla Firefox. После того как процесс развертывания инфраструктуры завершен, необходимо создать комплект, который объединяет в себе три сущности: пользователь (может быть импортирован из Active Directory), телефон (SIM-карта, PIN-код) и конфигурация (политика). По завершении данной процедуры файл конфигурации должен быть скопирован на устройство.

Основной функцией защиты, реализуемой решением SafePhone, является замена инсталлятора, входящего по умолчанию в мобильную платформу, на собственный. Таким образом, пользователь устройства не может выполнить установку какого-либо приложения - все операции по инсталляции и удалению мобильных приложений становятся доступны только администратору системы.

Данный механизм защиты также затрагивает и пакеты обновлений для приложений, установленных по умолчанию, - по этой причине обновить устройство самостоятельно через ПО не удастся. Для того чтобы выполнить инсталляцию приложения, расположенного на OVI Store, необходимо его скачать на компьютер, затем разместить в банке доверенного ПО и отправить команду на его инсталляцию (одному или нескольким клиентам). Эта функция защиты является основной "изюминкой" данного решения и определяет, таким образом, модель защиты мобильных устройств - вредоносное ПО не может нанести вред по той причине, что оно не может быть проинсталлировано в системе. Подход не затрагивает аспекты безопасности при работе с браузером (отсутствует список разрешенных/запрещенных URL, в результате чего пользователь может попасться на XSS или фишинговый сайт, отсутствует фильтрация на сетевом уровне). Рассмотрим функционал, предлагаемый решением для платформы Symbian и Apple iOS (см. табл. 4).

SafePhone предотвращает попытки инсталляции приложений на мобильную платформу, и единственный вариант произвести установку - добавить приложение в банк доверенного ПО. Таким образом, "хранилище приложений" в буквальном смысле является местом хранения дистрибутивов, а не только ссылок и сертификатов. Плюсом такого подхода (помимо защиты от несанкционированной установки) является централизованное распространение приложений.

Интересной особенностью решения является возможность интеграции с системой контроля и управления доступом. Это позволяет применять различные политики к устройствам, находящимся в пределах защищаемой зоны, и к устройствам ее пределов. К примеру, на территории предприятия можно запретить использовать камеры, диктофоны, интернет-браузеры и пустить весь интернет-трафик устройства через доверенные Wi-Fi-точки организации.

В целом функционал системы в большей степени нацелен на аудит пользователя, а не на фильтрацию его действий или субъектов со стороны.

В заключение отметим список поддерживаемых мобильных платформ: Symbian 9.x S60 3rd/5th Edition, Symbian 3, Symbian Anna, Symbian Belle, Apple iOS4.

Mobilelron VSP 4.5.3

Программный комплекс Mobilelron VSP 4.5.3 представляет собой специализированную платформу для управления мобильными устройствами. Поэтому инсталляционный образ уже включает в себя набор компонентов (операционную систему CentOS, Web-сервер), определяющий среду функционирования. Комплекс может быть представлен в виде аппаратного решения либо развернут в виртуальной инфраструктуре на базе VMware vSphere 4/5. После первоначальной инсталляции и базового конфигурирования (адреса интерфейсов, шлюз, настройка административных пользователей) изделие готово к эксплуатации.

Администрирование в Mobilelron VSP 4.5.3 разделено на две составляющие - это конфигурирование системных параметров (осуществляется с помощью Web-браузера Microsoft Internet Explorer или Mozilla Firefox, либо с помощью удаленного клиента по протоколу SSH или TELNET), и непосредственная работа со смартфонами (осуществляется с помощью Web-браузера).

Механизмы взаимодействия мобильного устройства с сервером не отличаются от ранее рассмотренных решений. Взаимодействие осуществляется через мобильный агент, инсталлированный на смартфон. Для установки мобильного агента на устройство администратор системы заводит новую учетную запись владельца телефона (при необходимости связывает ее с доменной учетной записью), далее посредством SMS-сообщения (SMS-шлюз предоставляется компанией-разработчиком) пользователю пересылается URL-ссылка для скачивания клиента и почтовое сообщение с парольной фразой для выполнения операции. Ссылка ведет либо в "магазин", откуда скачивается и устанавливается агент, либо непосредственно на дистрибутив, расположенный на сервере, развернутом в инфраструктуре организации. После этого происходит регистрация устройства, отчет о ней администратор видит в режиме реального времени.

В целом решение представляет собой центр управления мобильными устройствами, в большей степени нацеленный на процедуры инвентаризации, единое управление настройками мобильных устройств (централизованное распространение настроек приложений, банка мобильного ПО, сертификатов, политик, включая политики безопасности).

Перечислим функции безопасности, реализованные для различных мобильных платформ (см. табл. 5).

Mobilelron принуждает пользователя привести свое устройство в соответствие требованиям, предъявляемым к инфраструктуре мобильных устройств (парольная защита, конфигурирование настроек устройств - почта, VPN, сертификаты, закладки, Wi-Fi, а также приложений - разрешенные/запрещенные, контроль мобильного программного контента). Решение о применении той или иной политики может быть обязательным или рекомендуемым, при этом политики применимы к группам, которые могут быть определены как по мобильным платформам, так и по классификаторам. Настройка политик облегчается тем, что общие настройки объединены в одну группу, а те настройки, которые отличаются по платформам, - в другую или могут быть свернуты. Интересным решением была организация выборочной очистки данных, включая почту и SMS, а также возможность создания "снимка" телефона для дальнейшего восстановления критически важных данных (к сожалению, не все платформы поддерживают данный функционал). Система позволяет ограничить процесс синхронизации данных при нахождении устройства в роуминге. Банк доверенного ПО может строиться как по схеме ln-house Apps, когда файл-инсталлятор непосредственно находится на сервере, так и по схеме Recommended Apps, когда указываются только ссылки в Apple Store или Google Play. Приложения в банке ПО разделяются по категориям "Обязательные", "Допустимые" и "Запрещенные", однако при этом пользователь может установить запрещенное приложение и система не предотвратит эту операцию. Тем не менее устройства, определенные как несоответствующие политике безопасности (установлены недопустимые приложения, jailbreak, rooted), могут быть блокированы для доступа к корпоративным ресурсам. Достаточно интересен функционал, заключающийся в удаленном доступе к мобильному устройству (рис. 8).

При попытке установить соединение система запрашивает доступ на выполнение данной операции. Решение предлагает мощную систему аудита, которая позволит проконтролировать как действия пользователей, так и операции, совершающиеся в MDM-системе. В решении также присутствует компонент, отвечающий за планирование биллин-говой системы в организации, а также механизм аудита, позволяющий просмотреть статистику по разговорам, разговорам в роуминге, SMS, интернет-трафику. К сожалению, применимо это не ко всем мобильным платформам.

По таблице функций безопасности можно было увидеть, какой объем мобильных платформ охватывает решение. Ниже представлен детальный список мобильных решений, которые поддерживаются MobileIron:

• Android 2.2 и выше (часть функционала поддерживается только в старших версиях);
• Windows Mobile 6.x, Windows Phone 7 (функционал сильно урезан для данной платформы);
• Symbian S60 3rd Edition (Base, FP1, FP2), Symbian S60 5th Edition;
• Apple iOS 4, Apple iOS 5;
• BlackBerry OS 4.2.1 и выше;
• WebOS.

BlackBerry Enterprise Server 5.0.3

Программный комплекс BlackBerry Enterprise Server представляет собой централизованное решение для мобильной платформы BlackBerry. Процесс инсталляции сервера включает в себя развертывание контроллера домена, почтового сервера Microsoft Exchange (поддерживаются версии 2007/2010), выделенного сервера для BlackBerry Enterprise Server (физического или виртуального), почтового сервера IBM Lotus Domino (поддерживаются версии 8.0.x - 8.5.x), базы данных Microsoft SQL Server (поддерживаются версии 2005/2008). По завершении всех операций доступ к административной и Web-консоли пользователя осуществляется с помощью браузера Microsoft Internet Explorer (рис. 9).

Для активации устройства в системе можно воспользоваться одним из следующих способов: регистрация через административную Web-консоль BlackBerry Administration Service или пользовательскую Web-консоль Web Desktop Manager (потребуется установка ActiveX-компоненты для синхронизации с устройством). Активация через Wi-Fi недоступна в связи с ограничением на его использование в устройствах BlackBerry на территории России (Wi-Fi-интерфейс может быть разблокирован путем установки обновления или выполнения перепрошивки для некоторых типов устройств, например BlackBer-ry9700 Bold2 и 9800 Torch).

В основе управляющей единицы устройства лежит понятие IT-политики (IT Policy). В системе на момент завершения процесса инсталляции становятся доступны политики, указанные в табл. 6.

Из таблицы базовых политик видно, что акцент системы - на парольной системе защиты, механизме "банка доверенного ПО" на основе категорий "обязательны к установке и запуску", "допускаются к установке и запуску", "не допускаются к установке и запуску", контроле интерфейсов устройства и их поведении (Bluetooth, конфигурация настроек Wi-Fi-подключения после снятия программной блокировки, VPN), a также на ограничениях, связанных с защитой почтовых данных и частной информацией (шифрование, удаление данных, запрет доступа к адресной книге).

Политика контроля приложений позволяет задать ограничения, которые не дадут инсталлированному приложению выполнить запрещенные операции. К характеристикам политики относятся такие показатели защищенности, как доступ к коммуникационному API, к API телефона, почтовому API, интерфейсу Bluetooth, GPS, аутентификационному API и т.д. Все это позволяет ограничить приложению доступ к тому функционалу, который ему не требуется или не должен быть доступен в силу действующих политик безопасности организации.

По результатам тестирования хотелось бы отметить, что решение BlackBerry Enterprise Server содержит минимальные, но в то же время необходимые механизмы защиты, которые позволяют, с одной стороны, решить все вопросы, связанные с регистрацией, настройкой устройства и приложений в корпоративной сети, с другой - содержат необходимый перечень показателей безопасности, которые могут защитить пользовательские данные путем применения механизмов парольной защиты, контроля приложений и средств шифрования. Поддержка единой платформы позволяет сосредоточиться на оптимальной защите одного класса устройств взамен подбора оптимальных политик для различных мобильных платформ.