Руководство компаний и организаций отдает себе отчет в том, что мобильные устройства, используемые сотрудниками для выполнения своей работы, приносят новые риски: потеря устройства, получение несанкционированного доступа к конфиденциальной корпоративной информации и т. д. Соответственно, для минимизации этих рисков возникает необходимость наладить контроль над мобильными устройствами.
Первый и наиболее популярный сервис, который предоставляется пользователям мобильных устройств, — это почта, и разработчики почтовых серверов предусмотрели возможность настройки политик безопасности клиентов с помощью, например, Exchange ActiveSync. На данный момент для серверов Microsoft Exchange 2007/2010 имеются следующие политики: требование использования пароля, его минимальной длины и состава; максимальное количество ошибочного ввода пароля; неактивное время, до очередной попытки ввода пароля; срок длительности пароля и его проверка на повторяемость в истории; интервал обновления политик; требование ручной синхронизации в роуминге; разрешение на использование камеры; разрешение на использование доступа в Web; удаленная полная очистка данных с устройства.
Следующим сервисом является доступ для мобильных устройств к приложениям документооборота, ERP, CRM и т. п. Здесь возможностей, предоставляемых ActiveSync, уже недостаточно, что послужило основной причиной появления систем класса Mobile Device Management (MDM), предназначенных для управления политиками безопасности мобильных устройств и распространения настроек для доступа к различным сервисам (VPN, почта, Wi-Fi и т. д.). Набор политик (включая политики ActiveSync) для каждой из мобильных платформ (Apple iOS, Android, Widows Phone, Symbian и т. д.) включает совпадающие настройки, такие как парольная политика, и индивидуальные, которые сильно зависят от архитектуры. Например, функционал, связанный с iCloud и iTunes, уникален для платформы iOS, а возможность отключения фотокамеры имеется как в iOS, так и в Android. Для определения политик, поддерживаемых разными платформами, необходимо установить агенты системы MDM, унифицирующие работу тех или иных функций. В таблице приведен перечень типичных настроек для мобильных платформ.
Типичные настройки для мобильных платформ |
Установка и контроль приложений
Очень часто у руководства компаний появляется желание контролировать приложения, устанавливаемые на мобильные устройства, для блокировки возможности использования устройства для игр, а также для защиты устройства и данных от ненадежных программ (особенно это актуально для Android) и т. п. Существует несколько различных подходов к организации контроля за установкой приложений:
- жесткое определение списка приложений, устанавливаемых на устройстве, с последующей блокировкой попыток установки новых приложений;
- блокировка установки приложений и распространение новых приложений только с помощью агента MDM;
- установка приложений только на основании «репутационного» рейтинга, имеющегося у производителя систем MDM;
- предоставление возможности установки любых приложений, но с контролем доступа устройства в Сеть, что предполагает обязательное подключение устройства только по VPN до корпоративной сети.
Часть из указанных в таблице параметров позволяют контролировать установку приложений или использование уже установленных приложений, а в будущем, например, Apple планирует добавить функционал по удалению с помощью агента MDM уже имеющихся приложений. Для остальных платформ такой информации пока нет.
Дополнительным сервисом при развертывании решений MDM является рассылка документов и медиаконтента — этот функционал может быть полезен при распространении документов среди сотрудников, находящихся вне офиса.
В России обычно применяются два подхода к установке и контролю приложений. Первый, предельно жесткий, состоит в том, что устройство изымается у пользователя, возвращается к заводским настройкам, обновляется до текущей версии и на него устанавливается только необходимое для работы ПО. Установка происходит под учетной записью, параметры которой известны только сотрудникам ИТ-подразделения и служб информационной безопасности; последующая установка любых приложений блокируется. В соответствии со вторым, «либеральным», подходом от пользователя требуют установить агент MDM и соблюдать политики безопасности, обычно регламентирующие только порядок применения паролей.
Безопасность данных
Для обеспечения безопасности данных необходимо организовать проверку на наличие вирусов, контроль устройства после его утери, контроль доступа в Сеть, контроль доступа к конкретным приложениям и шифрование данных в приложениях.
Решения для защиты устройств от вирусов попутно предлагают дополнительные возможности, такие как: защита от фишинга, от вредоносных сайтов, от телефонного спама; отправка оповещения при смене SIM-карты; определение местоположения устройства; удаление данных с устройства; контроль приложений. Однако при выборе средств защиты необходимо учитывать, что они должны управляться централизованно и иметь интеграцию с системой MDM.
При контроле доступа к приложениям используется агент, создающий «оболочку» над приложением и позволяющий определять политики доступа для каждого конкретного приложения.
Необходимость шифрования в современных мобильных платформах уже остро не стоит: в Apple iOS шифрование реализовано на аппаратном уровне, а в Android — на уровне операционной системы. Но при необходимости шифрования для электронного трафика можно использовать постоянное соединение по VPN с корпоративными серверами или же использовать соответствующие приложения, например, так работает система защиты от утечек данных Symantec DLP for Tablets (см. рисунок)
Для защиты от угроз, контроля доступа в Сеть с мобильных устройств можно использовать корпоративные серверы или облачные сервисы по очистке исходящего с мобильного устройства и приходящего на него трафика.
Внедрение MDM
Развертывание решений MDM возможно по трем направлениям: независимое MDM-решение; решение как компонент другой системы (системы по обеспечению антивирусной защиты или управлению инфраструктурой); облачное решение как разновидность первых двух. Компания Symantec, например, придерживается второго варианта — решение MDM является компонентом системы управления инфраструктурой. Данный подход был выбран из-за того, что управление мобильными устройствами является расширением системы управления рабочими станциями в организации и интегрируется с наиболее популярными на данном рынке платформами: Microsoft System Center Configuration Manager и Symantec Management Platform (бывший Altiris).
При внедрении MDM и решений, связанных с мобильными устройствами, также необходимо учитывать, что от пользователя требуется выполнение некоторых действий, связанных с установкой клиента и его регистрацией в системе. Для полноценного функционирования решений MDM обычно необходимы почтовый сервер (например, Exchange) и центр сертификации, а для полноценного управления устройствами на платформе iOS нужен соответствующий сертификат, предоставляемый производителями решения MDM или в рамках программы Apple Developer Program.
***
Использование мобильных устройств требует пересмотра корпоративных инструкций, регламентирующих обеспечение информационной безопасности в организации. В компании должны быть созданы регламенты, описывающие действия пользователей и администраторов в различных ситуациях, прописаны процедуры установки и настройки клиентов систем, используемых в мобильных устройствах, определены действия всех заинтересованных сторон в момент утери или кражи мобильного устройства и т. д. Главное, помнить, что, в конце концов, взаимодействие осуществляется не между устройствами, а между людьми.
Михаил Савушкин (mikhail_savushkin@symantec.com) — технический консультант компании Symantec (Москва).