30 августа 2013

Мобильные устройства в корпоративной сети: управление и контроль

Бизнес

Продолжение. Начало см. здесь.

К необходимости MDM-системы зачастую приходят не сразу. При небольшом количестве мобильных сотрудников, руководству компании может показаться, что со всем объемом задач вручную справится IT-департамент. Но реальность быстро развеивает иллюзии такого рода.

Применение сотрудниками личных смартфонов и планшетов в работе ставит перед IT-поддержкой ряд новых задач:

  • Подключение устройства к сети. Настройка параметров ОС, установка и настройка необходимых приложений, загрузка и установка сертификатов. Такая подготовка аппарата занимает немало человеко-часов. Потенциальные дыры в безопасности устройства, такие как Jailbreak в iOS или root-права у пользователя Android также должны быть выявлены на этом этапе.
  • Обеспечение защиты от зловредов. Мало установить мобильный антивирус – его еще надо регулярно обновлять. Кроме того, необходимо убедиться в отсутствии на устройстве заведомо вредоносных и потенциально опасных программ. Настройки телефона также могут быть небезопасны, к примеру, банальное разрешение на установку программ от неизвестных источников в ОС Android резко понижает защищенность устройства. И самое важное, все это необходимо проделывать регулярно, периодически изымая у сотрудника его смартфон и планшет для проведения очередных процедур.
  • Обеспечение защиты данных от несанкционированного доступа. Все важные данные должны быть зашифрованы, в противном случае нет каких гарантий от их попадания «не в те руки», к примеру, путем аппаратного «допроса» с помощью специального устройства для извлечения данных. Кроме того, все приложения, оперирующие важными данными, также не должны передавать их куда-либо в незашифрованном виде.
  • Обновление программ. Устаревшая программа может не только вызывать проблемы в работе, но и представлять собой угрозу безопасности корпоративной информации. Опять-таки устройство придется периодически изымать: даже рассылка обновлений по электронной почте не гарантирует, что сотрудник их установит.
  • Обновление настроек и данных. Необходимость периодического обновления базы корпоративных контактов на устройствах сотрудников – это еще полбеды. Значительно больше проблем могут вызвать инфраструктурные изменения в корпоративной сети. К примеру, модификация параметров VPN-сервера мгновенно вызовет шквал обращений в IT-поддержку, и специалистам придется потратить немало времени на перенастройку клиентских устройств.
  • Удаление корпоративных данных с устройства в случае его утери. Такие функции имеют как антивирусные, так и специализированные приложения «антивор», но если утеря устройства – не случайность, из сети оно сразу же исчезнет, и удаление данных выполнить не удастся. Вся информация достанется злоумышленникам.

Взвалив на себя такой груз, IT-департамент, скорее всего, окажется не в состоянии обработать все поступающие запросы и придет к необходимости системы администрирования мобильных устройств, то есть к MDM-системе. Ведь все это можно делать удаленно, полностью или частично автоматически! Но стоит учесть, что у каждого разработчика свой взгляд на необходимый функционал MDM-системы, в связи с чем ее выбор может представлять собой весьма нетривиальную задачу.

Что должна уметь современная MDM-система? Перечислим основные функции:

  • Установка по воздуху. Для подключения к MDM-системе и получения необходимого ПО сотрудник не должен отдавать свой смартфон или планшет на растерзание IT-специалистам. Все требующиеся операции выполняются автоматически при заходе по ссылке, присланной по SMS, email или на бумаге в виде QR-кода.
  • Конфигурирование устройства. Администратор системы должен иметь возможность удаленно изменять настройки, включать и выключать функции устройства без помощи пользователя.
  • Массовая установка обновлений. Система должна позволять удаленно устанавливать патчи и обновления ПО на все устройства компании по мере их синхронизации с системой.
  • Аудит мобильного устройства. Администратор должен иметь полную информацию о характеристиках смартфона или планшета сотрудника, об установленных на нем программах и о возникающих программных и аппаратных ошибках. Кроме того, важен контроль текущих настроек устройства: владелец аппарата может просто по незнанию отключить мешающую ему функцию, напрямую влияющую на безопасность данных (например, требование ввода пинкода). Критичной дырой в безопасности может также стать установленный Jailbreak на iOS-устройстве или root-права у пользователя Android.
  • Управление политиками безопасности устройства. В вопросе безопасности полагаться на благоразумие пользователя нельзя, администратор обязан при подключении нового устройства установить на него требующиеся политики безопасности.
  • Обеспечение безопасности корпоративных данных. Данные должны быть так или иначе защищены, средства для этого выбирает разработчик системы: антивирусное ПО, шифрование, контейнеризация приложений. Кроме того, в случае утери устройства или увольнения сотрудника администратор должен иметь возможность полностью удалить все корпоративные данные с телефона.

Последний пункт – один из наиболее технически сложных. По этой причине многие MDM-системы просто не способны обеспечить безопасность от полного спектра угроз, чем вынуждают заказчика приобретать дополнительные средства безопасности мобильных устройств.

Самой, пожалуй, сложной и трудоемкой задачей является реализация прозрачной контейнеризации приложений. Приложение должно вести обмен данными исключительно средствами контейнера, и его работоспособность должна сохраниться в полном объеме. Недостаточно просто определить, какие методы API операционной системы могут использоваться для передачи незашифрованных данных, надо еще выяснить, к каким последствиям приведет вмешательство в их работу. К примеру, для разработки технологии прозрачной контейнеризации, не влияющей на работу приложения, разработчикам MDM-системы «Kaspersky Security для бизнеса» пришлось протестировать десятки тысяч приложений из Google Play. Для этого потребовалось написать специальное приложение, выкачивающее дистрибутивы и устанавливающее их в контейнере. Тестирование также выполнялось в автоматическом режиме, так как прогон такого количества приложений вручную занял бы очень много времени.

Критерии качества

Все без исключения MDM-системы предназначены для работы в составе корпоративных сетей, и потому к ним предъявляются весьма жесткие требования. Создание качественной MDM-системы, способной защитить мобильное устройство, являющееся полноправным членом корпоративной сети, – задача непростая, и каждый разработчик по-своему подходит к ее решению. Так, например, при разработке MDM-системы «Kaspersky Security для бизнеса» были установлены следующие приоритеты:

  • Безопасность мобильного устройства от полного спектра киберугроз без привлечения продуктов других производителей (антивирусов, брандмауэров и т.д.).
  • Интеграция с корпоративными системами безопасности. В идеале управление безопасностью мобильных устройств должно выполняться из той же консоли, что и управление безопасностью остальной сети.
  • Простота и удобство для пользователя. Для подключения к системе и ее использования пользователь не должен обладать какими-либо навыками, выходящими за пределы базовых умений обращения с устройством. Все настройки и действия по установке должны выполняться удаленно администратором.
  • Широкий охват парка клиентских устройств в рамках BYOD. Поддержка практически всех присутствующих на рынке мобильных ОС и аппаратных платформ.
  • Управление всеми функциями системы с единой консоли, относительно как стационарных рабочих мест, так и мобильных устройств. Удобство и простота администрирования – важнейшее средство обеспечения надежной работы системы, большую роль в этом играет интеграция продуктов одного поставщика друг с другом.
  • Низкая совокупная стоимость владения системой. Продукт должен обеспечивать максимальный спектр необходимых функций для управления мобильными устройствами и обеспечения безопасности без привлечения продуктов сторонних производителей.

Кроме того, системе такого рода недостаточно иметь богатую функциональность, прежде всего, она должна быть удобна как для пользователя, так и для администратора. Заказчики MDM-систем ценят время своих сотрудников, и зачастую простота освоения продукта является важным критерием выбора.

Заключение

Качественная MDM-система способна не только обеспечить сотрудникам возможность удобной удаленной работы с мобильных устройств, но и снизить нагрузку на IT-поддержку, а также обезопасить конфиденциальные данные. Чаще всего наиболее важным вопросом при выборе такой системы является ее функциональный охват. Не стоит рассчитывать, что один продукт удовлетворит всем требованиям, возможно, его придется дополнять сторонними продуктами, что вызовет дополнительные сложности при внедрении и повысит совокупную стоимость владения. В других случаях во главе угла встанет качество технической поддержки со стороны поставщика, а иногда ключевую роль играет совокупная стоимость владения системой, что также влияет на критерии выбора. Иными словами, идеальных систем нет, а вероятность попадания «в десятку» зависит, прежде всего, от точности формулирования требований заказчика.