В рубрику "Спецпроект: mobile security" | К списку рубрик | К списку авторов | К списку публикаций
Сегодня планшеты и смартфоны превращаются в полнофункциональные рабочие места, предоставляя расширенные возможности для использования различных информационных систем вне жесткой привязки к месту и времени. Например, мы можем полноценно работать в кафе, аэропортах, самолетах или поездах с корпоративной электронной почтой, открывая и редактируя вложения в различных форматах, при наличии соответствующих прав получаем удаленный доступ к системам Lotus Notes, SAP, MS Project и др. При этом особую значимость приобретает вопрос безопасности использования мобильных устройств. Его решение связано с задачами управления гаджетами и противодействия утечкам, которые могут через них происходить.
Логичным показателем того, что компании пора "брать под контроль" корпоративные мобильные устройства, становится их количество, достигшее критической точки. Наша практика показывает, что "критической массой" можно считать число корпоративных устройств, превышающее 10. Низкий численный порог обусловлен тем, что основные пользователи таких гаджетов - топ-менеджеры организаций, активно использующие мобильные устройства не только для чтения почты или просмотра презентаций, но и для обмена конфиденциальными данными, доступ к которым им разрешен удаленно.
Возможность удаленной работы с корпоративными приложениями компании сегодня перестала быть "приятным статусным дополнением" к роли менеджера высшего звена, превратившись в необходимость для более широкого круга сотрудников, особенно актуальную, к примеру, в условиях командировок. Проиллюстрировать это можно с помощью примера из нашей практики. Перед нами стояла задача построения системы, предоставляющей возможность доступа к ряду приложений сотрудникам, которые находятся в командировке, и одновременно ограничивающей его для разработчиков и администраторов SAP - сотрудников сторонних компаний. В итоге мы создали портал, на котором были опубликованы необходимые приложения (Lotus Notes, модули SAP, MS Office, MS Project, Service Desk и MS Outlook). Сотрудники получили доступ к приложениям из любой точки мира, то есть была создана полноценная рабочая станция в виртуальной среде. При этом особое внимание уделялось обеспечению безопасности мобильных устройств сотрудников и мобильного доступа к корпоративным приложениям. Была создана эшелонированная система защиты, в которую вошли подсистемы аутентификации и авторизации пользователей, шифрования каналов передачи данных, антивирус и система предотвращения вторжений. Совокупность этих методов позволила повысить защищенность критичной информации при ее удаленной обработке, а также контролировать легитимность и безопасность каждого подключения к корпоративной среде извне.
Теме Mobile Device Management (MDM, "управление мобильными устройствами") еще нет и двух лет: первый отчет, посвященный ей, появился в апреле 2011 г. К тому моменту на рынке было уже около 60 компаний, представляющих решения подобного класса. Сегодня MDM-продукты стремительно развиваются: производители с уверенностью анонсируют новый функционал в будущих версиях продуктов и демонстрируют соответствующие RoadMap на ближайшие год-два. На российском рынке известность получили решения компаний Mobile Iron, AirWatch, Good Technology, Symantec, SAP.
Решения класса MDM позволяют проводить инвентаризацию в терминах управления материально-техническими ресурсами. Как только в компании появляются корпоративные мобильные устройства, они централизованно инициализируются и настраиваются. Эксплуатация может сопровождаться установкой апдейтов ОС, которые можно выполнять только после проверки работоспособности на тестовом мобильном устройстве компании, а также организацией бэкапа и восстановления данных.
Эти решения делают возможным и эффективное управление приложениями: те из них, которые функционируют на мобильных устройствах, подпадают под контроль администраторов. Наиболее распространенная практика в этом случае - организация корпоративного магазина приложений, основанного на их разделении на группы. При этом приложения из одних групп могут быть установлены на устройство, а из других - нет. С помощью системы управления можно, например, запретить доступ к некоторым корпоративным ресурсам или приложениям, в случае если уровень обновлений на устройстве не соответствует тому, который определен администраторами.
MDM-решения предоставляют новые возможности для управления политиками использования устройства. В зависимости от местоположения, дня недели и т.д. оно может применяться с различными ограничениями, принятыми в компании. Примерами могут быть функции активации защиты паролем или контроля камеры.
Системы контроля мобильных устройств сокращают риски, связанные с их кражей. Это одна из самых важных функций, предоставляющая возможности "большой красной кнопки" для удаленного уничтожения информации на устройстве и GPS-трекинга с отображением на интерактивной карте. Этот функционал занимает первые строки технических требований ко всем системам MDM. Другие компоненты управления безопасностью устройства (Security Management) - удаленная блокировка, шифрование данных, аутентификация, межсетевые экраны, антивирус и мобильный VPN.
Решения разных производителей обладают функциональными отличиями или особенностями лицензирования, которые нельзя сбрасывать со счетов. Например, система управления Mobilelron реализована в виде appliance, a SAP Afaria - ПО под Windows. Лицензирование Mobilelron выполняется по принципу поддержки конкретных ОС, а не устройств - это монолитное решение, без "меню" для выбора опций. В случае с Afaria лицензирование имеет модульный принцип (всегда существует возможность после дополнительной оплаты расширить управление, пополнив список, например, еще одним видом платформы). Одно из достоинств Afaria в том, что создающийся профиль безопасности нигде не отображается и человек, использующий это корпоративное решение, не может удалить профиль. Mobilelron позволяет владельцу устройства видеть и даже удалить профиль, но информация об этом будет направлена администратору, а сотрудник может автоматически лишиться доступа к корпоративным ресурсам с данного устройства.
Проекты по управлению мобильными устройствами часто выполняются в рамках работ, направленных на контроль утечек информации (DLP). При этом первоочередная задача - идентификация нигде и ни к чему не привязанных устройств, появляющихся в пределах корпоративной сети. В некоторых компаниях с помощью средств MDM отключают беспроводную связь на устройстве, но тогда теряется всякий смысл его использования как рабочего места.
Оказавшись в подобной ситуации в одном из своих проектов, мы предложили заказчику на выбор три варианта решения. Два из них предусматривали установку на мобильные устройства сертификатов безопасности для осуществления идентификации. В качестве технологической базы использовался специальный многофункциональный прокси-сервер в связке с DNS-службой или серверами аутентификации.
Третий подход - менее гибкий - рассчитан на использование ограниченным кругом лиц, но позволяет избежать дополнительной настройки мобильных устройств и установки оборудования и ПО. В основе этого решения лежит идея назначения каждому владельцу мобильного устройства своей подсети в адресном пространстве локальной сети компании при помощи DHCP-сервера. Это дает возможность идентифицировать устройства в сети на основании различной информации о пользователе и перенаправлять данные по контролируемому маршруту (например, через корпоративные прокси-серверы). Последний из описанных вариантов наибольшим образом соответствовал потребностям заказчика и был принят на вооружение для организации работы VIP-пользователей.
Практика показывает, что именно такие задачи сегодня привлекают внимание компаний крупного и среднего бизнеса к решениям класса MDM.
Обеспечение безопасности использования мобильных устройств на корпоративном уровне вносит значимый вклад в развитие компаний и наглядно демонстрирует готовность ИБ-подразделений так же чутко, как и бизнес, реагировать на появление новых задач и технологий.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2012