В решениях класса Mobile Application Management объектом управления являются не устройства (смартфоны и планшеты), а приложения, связанные с ними данные и мобильные услуги. В конце концов, для компаний и организаций важна не безопасность собственно устройства (об этом пусть заботится его владелец), а обеспечение защиты мобильных корпоративных приложений. Поэтому сегодня оказались востребованы средства, позволяющие компаниям определять политики безопасности на уровне приложений: кому следует предоставить доступ и на каком уровне, каким способом должна извлекаться информация с помощью этого приложения, как она может использоваться и т. п. Для управления устройствами требуется, чтобы сотрудник разрешил удаленное управление своим личным гаджетом и предоставил доступ к некоторым функциям и параметрам, на что, как правило, он редко дает согласие. Управление же мобильными приложениями затрагивает только приложения работы с корпоративными данными.
В 2012 году компания Symantec приобрела компанию Nukona, что позволило добавить в портфель продуктов первой решение Symantec AppCenter, поддерживающее функции MAM. Данное приобретение стало еще одним в череде аналогичных поглощений и анонсов новых продуктов с функционалом MAM: Good Technology приобрела компанию AppCentral, MobileIron анонсировала продукт Mobile App Persona, Citrix купила ZenPrise, а Airwatch в январе 2013 года выпустила серию продуктов класса MAM.
|
MDM на страже безопасности
Все больше организаций предоставляет своим сотрудникам доступ к корпоративным ресурсам с разнообразных мобильных устройств, однако в сценарии удаленного доступа для этих устройств еще много непонятного. Михаил Савушкин |
Следующим логичным шагом является интеграция MAM и MDM в единую систему управления мобильным предприятием — одним организациям требуется сочетание возможностей MAM и MDM, другим нужен весь спектр технологий по работе с конфиденциальной информацией, а кому-то достаточно лишь управлять доступом к определенным приложениям. Именно требования, предъявляемые компанией к реализации концепции BYOD, определят выбор в пользу полнофункционального решения для всех сотрудников, использующих мобильные устройства, или в пользу гибридного варианта, предполагающего классификацию сотрудников и функционала. Не последнюю роль в этом играет и человеческий фактор — не каждый сотрудник еще готов полностью предоставить свое мобильное устройство в распоряжение системного администратора компании.
Принципы работы решений MAM в разных продуктах могут различаться — при публикации (wrapping) корпоративного приложения одни требуют включить в исходный код свои компоненты (SDK), другие требуют выслать производителю дистрибутив приложения для интеграции в него нужного кода, а третьи выполняют такую интеграцию автоматически. В случае Symantec AppCenter процесс публикации выглядит следующим образом. Сначала описывается политика, в которой определяются параметры безопасности (рис. 1).
.png "Рис. 1. Пример определения политики безопасности") |
| Рис. 1. Пример определения политики безопасности |
Затем, в зависимости от платформы, загружается установочный пакет (рис. 2).
.png "Рис. 2. Загрузка установочного пакета") |
| Рис. 2. Загрузка установочного пакета |
После этого указывается, какая именно политика безопасности будет применяться для конкретного приложения, назначаются дополнительные параметры — и приложение доступно для загрузки (рис. 3). В случае изменения политики по работе с приложением ему будут автоматически переданы все изменения.
.png "Рис. 3. Загрузка приложения с указанной политикой") |
| Рис. 3. Загрузка приложения с указанной политикой |
При интеграции в одном решении MDM и MAM из первого обычно берутся средства ограничения различных функций устройств, распространения настроек (например, электронной почты, Wi-Fi, VPN) и получения различной инвентаризационной информации. Список требуемых функций MAM обычно несколько шире. При работе с приложением прежде всего нужно уметь управлять аутентификацией при доступе именно к конкретному приложению. Далее требуется обеспечить контроль за потоками данных между приложениями и регламентировать их доступ к корпоративным серверам. Важнейшей функцией, например, Symantec AppCenter является удаление администратором данных и приложений при обнаружении факта вскрытия устройства («джейлбрейк») либо автоматическая очистка при отсутствии соединения с сервером больше указанного срока.
Автоматическое обновление приложений/документов может осуществляться при появлении новой версии. В случае невозможности установить приложение удаленно в автоматическом режиме, средства МАМ могут обеспечить рассылку уведомлений и пользователи постоянно будут получать напоминания о необходимости установки конкретного приложения. Кроме загрузки приложений, возможна также интеграция с различными каталогами пользовательских данных (LDAP, SAML и т. д.) и рассылка документов в соответствии с требованиями политики безопасности, например путем построения VPN-туннелей для передачи конкретных документов в зашифрованном виде.
Для защиты публичных мобильных приложений компания Symantec предлагает программу App Center Ready (ACR), позволяющую разработчикам мобильных приложений встраивать механизмы защиты Symantec в свои продукты без изменения их исходного кода. Данная программа обеспечивает проведение идентификации с помощью систем LDAP и SAML, шифрует данные на время их хранения с помощью алгоритмов FIPS 140-2, следит за процессами копирования и вставки любых данных в приложения, ограничивает пересылку любых материалов приложения на сторонние сайты или приложения. После встраивания технологии Symantec мобильное приложение получает сертификацию и право на глобальное распространение через каталог Symantec App Center Ready. На сегодняшний день этой программой воспользовались такие разработчики приложений и решений MDM/MAM, как Good, Moxier, Xavy, iKonic и Branchfire.
Решения MAM, как и MDM, являются клиент-серверными — управление осуществляется либо с сервера, либо из облака поставщика, а на мобильные устройства пользователей устанавливается агент с магазином приложений (документов), в котором пользователи могут выбирать нужные им для установки (рис. 4).
.png "Рис. 4. Схема обновления приложений") |
| Рис. 4. Схема обновления приложений |
Для минимизации затрат, связанных с обслуживанием мобильных устройств, пользователи должны иметь доступ к порталу самообслуживания, позволяющему выполнять простые действия на своем устройстве — например, определить его местоположение или удалить всю информацию с устройства. Это может существенно снизить поток обращений к службе технической поддержки.
***
Бизнес требует сегодня более гибкого применения личных мобильных устройств пользователей для выполнения служебных функций, однако сотрудники не всегда готовы предоставлять свои устройства в управление администраторам компании, что инициировало процесс консолидации различных подходов к управлению устройствами. На рынке появились решения по контролю за перемещениями информации в приложениях и аутентификации при доступе к ним для блокирования несанкционированного доступа к ресурсам корпоративной сети. При этом, например, оказалось, что ни один из почтовых клиентов мобильных устройств на данный момент не предоставляет безопасный и контролируемый доступ к корпоративной почте. Технологии класса MDM и MAM еще только в стадии становления, хотя уже ясно, что они не только способны влиять на ИТ-инфраструктуру мобильного предприятий, но и, благодаря, например, функциям рассылки приложений, позволяющим организациям использовать приложения третьих компаний, помогут получать прямую коммерческую выгоду и создавать конкурентные преимущества.
Михаил Савушкин (mikhail_savushkin@symantec.com) — технический консультант компании Symantec (Москва).
