BYOD - пользуемся преимуществами, избегаем угроз

1 Августа, 2014 15:26
Ярослав Боцман, S&T Ukraine
Концепция применения собственных устройств для доступа к корпоративным данным (BYOD - Bring Your Own Device) находит все больше сторонников. Большинство пользователей офисных приложений хотят использовать для доступа к ним более удобные и современные собственные устройства.

Современные технологии аутентификации позволяют предоставить доступ к сети практически для любого устройства. Соображения безопасности требуют однозначной идентификации подключаемых устройств и их владельцев. Правильной стратегией по идентификации пользователя и проверке соответствия политикам подключаемых устройств является проведение машинной аутентификации устройства (регистрации в сети) и аутентификации пользователя.

Для этого важно реализовать процедуру самостоятельной регистрации устройств в сети и управления профилем безопасности разнообразных устройств. В противном случае нагрузка на ИТ-подразделения будет расти и администраторам придется все больше времени тратить на подключение и поддержку пользователей.

Однако применение устройств, не контролируемых администраторами, несет в себе ряд угроз. Одной из ключевых особенностей применения устройств, принадлежащих пользователям, является необходимость разделения корпоративных данных и данных принадлежащих пользователям. Информация пользователя должна находиться под полным контролем пользователя и не изменяться во время работы. В то время как администраторы должны иметь возможность управления жизненным циклом корпоративных данных и приложений от создания и хранения до распространения и ограничения использования. Контроль над информацией на мобильных устройствах без применения специализированных систем практически не реализуем.

Мобильные устройства представляют собой особую платформу, защищаемую производителями с помощью процедуры добавления приложений в Android Market и AppStore от зловредных приложений. Однако лавинообразный рост добавляемых приложений сложно контролируется и не дает гарантированного результата.

Кроме того, все большую популярность среди пользователей приобретает операция получения полного доступа к файловой системе мобильного устройства – получение прав администратора или Джейлбрейк. Эти факторы приводят к частым атакам злоумышленников и появлению все большего количества зловредного программного обеспечения (троянских программ). В таких условиях предоставлять доступ к сети любому устройству нельзя, необходимо предоставить администраторам возможность реализации корпоративных политик безопасности на частных мобильных устройствах.

Несмотря на наличие большого количества инструментов, предназначенных для работы в корпоративной среде, с их помощью сложно реализовать полный цикл управления мобильными устройствами. Для этого применяются специализированные системы управления мобильными устройствами (Mobile Device Management – MDM).

mdm

Рис.1. Архитектура системы управления мобильными устройствами

Архитектура системы управления мобильными устройствами строится по технологии клиент – сервер. Управление мобильным устройством осуществляется с помощью клиентского программного обеспечения. Процедура подключения к сети строится таким образом, чтобы установка агента или его наличие на устройстве были обязательным требованием. На данном этапе необходимо организовать последовательность операций максимально понятной и простой для пользователя. Основная идея – предоставить возможности саморегистрации устройства в сети и нагрузку на административный персонал.

Наличие MDM-приложения на частном устройстве является гарантией соответствия оборудования политикам безопасности, применяемым в организации. Клиентское ПО отвечает за контроль, настройку и применение политик, а также содержит в своем составе ряд средств совместной работы. В частности, защищенный браузер и почтовая программа. Именно эти программы на мобильном устройстве наиболее уязвимы к вредоносному влиянию.

Все корпоративные программы и данные помещаются в специальный зашифрованный контейнер, предусматривающий парольный доступ к информации. Это ограничивает доступ к критически важным данным на потерянном устройстве даже в условиях отсутствия подключения к сетям передачи данных общего пользования (Интернет). В случае же подключения к сети, устройство получит сигнал от MDM-сервера на удаление корпоративных данных или полную очистку устройства до заводских настроек.

MDM-сервер служит для отслеживания и контроля за параметрами и политиками всех подключаемых устройств. Он предоставляет консоль администратора для мониторинга и управления безопасностью в мобильном сегменте. Важной частью MDM-сервера является защищенный мобильный шлюз. Все подключения клиентских устройств к сети терминируются на шлюзе, что позволяет контролировать соответствие мобильных устройств политикам безопасности как при подключении внутри сети, так и при подключении из сети Интернет.

В зависимости от местоположения устройства реализуются разные настройки безопасности. Одно и то же устройство обладает разными возможностями при работе на территории компании и вне стен офиса. MDM-шлюз проводит аудит настроек подключаемых устройств, а также синхронизацию корпоративной информации (почтовых сообщений, календарей, контактов, и т.д.) и является прокси-сервером для внутренних ресурсов. Внедрение системы управления мобильной инфраструктурой предоставляет важный инструмент управления безопасностью корпоративной сети, но является лишь частью реализации концепции использования собственных устройств для выполнения рабочих функций.

Вторым важным компонентом является решение по управлению файлами и данными в корпоративной среде. Вне зависимости от местоположения и используемого устройства предоставляется безопасный защищенный доступ ко всей необходимой информации. В офисной инфраструктуре применяется специализированная система хранения данных и портал, реализующий веб-инструмент для совместной работы с хранимой информацией.

Несмотря на использование для хранения данных на мобильном устройстве защищенного контейнера, обеспечение безопасности требует гранулированного управления доступом к информации и минимизации ее нахождение на устройстве.

Кроме удобства доступа, необходимо реализовать ряд функций по защите корпоративной информации, характерной для DLP-систем. Особенно полезным является функционал установления временем жизни для файлов, загруженных на устройство. При загрузке файла на мобильное устройство, пользователь осуществляет его редактирование и происходит автоматическое обновление содержимого файлов на корпоративном портале. При достижении граничного срока использования файла происходит его удаление. Актуальный файл сохраняется только на портале внутри защищенного периметра сети, и для его использования нужно иметь соответствующие права доступа.

Эффективность работы с любого устройства зависит от доступных приложений и инструментов. Платформы, применяемые в мобильных устройствах, довольно разнообразны и не содержат средств для совместной работы. Агент MDM, как правило, обеспечивает только безопасный браузер и почтовую программу. Некоторые производители реализуют в рамках MDM-клиента ряд общеупотребимых приложений для работы в офисной среде – текстовый процессор, электронные таблицы, базы данных, записные книжки, и т.д. Все приложения, требующие специализированных клиентов, особенно «самописные» банковские программы, испытывают определенные сложности с использованием в рамках концепции BYOD.

Трудности реализации приложений на мобильной платформе вызваны ограниченными ресурсами устройств, такими как память, мощность процессора и, особенно, ограниченным ресурсом батареи. Именно возрастающее энергопотребление служит ограничивающим фактором при переносе приложений на мобильную платформу. Решение проблемы возможно с помощью применения киоска приложений и виртуализации рабочего места. Киоск приложений представляет собой выделенный сервер, на котором запускаются все приложения, необходимые пользователям. Для доступа к приложениям применяется клиентское устройство, устанавливаемое на мобильное устройство. Между сервером и мобильным устройством передается только изображение интерфейса и служебная информация о действиях пользователя. Все вычисления проводятся на мощной распределенной платформе и не оказывают значительной нагрузки на мобильное устройство. Кроме экономии ресурсов решение повышает защиту данных, они не передаются на клиентское устройство, а остаются внутри защищаемой сети. Технология позволяет предоставлять мобильным пользователям доступ к очень большому количеству разнообразных приложений.

Еще больше расширить возможности позволяет технология виртуализации рабочих мест. При работе совместно с киоском приложений, появляется возможность доставить рабочий стол на мобильное устройство. Это очень удобно с точки зрения расширения границ рабочего места. Редактируя файл с рабочего компьютера, при необходимости продолжения работы, можно продолжить его редактирование с мобильного устройства. При этом на мобильном устройстве становятся доступны все рабочие инструменты, применяемые на предприятии, и обеспечиваются максимальная гибкость при максимальной безопасности.

Реализация концепции BYOD не должна ограничиваться внедрением MDM-системы, а должна дополняться решениями по доставке и управлению репозиторием корпоративных файлов и данных, а также, предоставлением приложений и инструментов для комфортной работы. Применяя собственные устройства, пользователь должен получать не только ограничения, вызванные требованиями по безопасности, а и новые возможности. Именно такой подход является залогом успешного использования собственных устройств в корпоративной сети.

Автор статьи - главный консультант отдела системных решений компании «ЭС ЭНД ТИ УКРАИНА»

Комментарии: