Безопасность мобильных ОС
Немного статистики
Согласно оценкам компании Forrester Research, личными устройствами на работе пользуются около двух третей служащих, а в некоторых организациях их число достигает 75%. В то же время, эксперты Blue Coat Research указывают, что свыше 70% сотрудников работают с корпоративными ресурсами, применяя собственные мобильные гаджеты.
По прогнозам аналитиков, численность пользователей BYOD прирастает на 15% ежегодно. При этом, в соответствии с отчетом PricewaterhouseCoopers, только чуть более 40% компаний внедрили официальную корпоративную политику, оговаривающую применение личных мобильных устройств для работы.
ИТ-специалисты достаточно хорошо осведомлены о том, что тренд BYOD несет в себе угрозы для конфиденциальности корпоративных данных. Почти 80% респондентов, отвечающих за ИБ, признали, что применение личных устройств для рабочих целей может представлять значительные риски для организации. В таких условиях ИТ-службы должны обеспечить соответствующий уровень защиты корпоративных систем, доступ к которым осуществляется с устройства, принесенного пользователем.
Мобильные гаджеты прокладывают путь в корпоративный сегмент
Одним из первых драйверов тренда BYOD стали устройства Apple iPhone и iPad, которые с самого начала полюбились сотрудникам компаний, и в первую очередь – топ-менеджменту. Таким образом, iOS прочно прописалась в корпоративном секторе.
Однако Google Android, в которой первоначально достаточно мало внимания уделялось безопасности, очень быстро набирала силу. Немаловажную роль в этом укреплении сыграла компания Samsung и ее корпоративное расширение для ОС Android под названием SAFE (Samsung Approved for Enterprise). По задумке Samsung, именно SAFE должно было проложить путь к Android для бизнеса и обезопасить от вредоносного ПО.
Операционная система BlackBerry изначально разрабатывалась для применения в корпоративном сегменте, поэтому располагает множеством инструментов защиты. Гаджеты BlackBerry нередко выступали в роли основного корпоративного мобильного устройства во многих компаниях. Новая ОС BlackBerry 10 теперь поддерживает протокол Exchange ActiveSync (EAS), а также множество функций безопасности в обновленном сервере BlackBerry Enterprise Server 10.
Не забудем и про Windows Phone 8 — третью попытку Microsoft отвоевать свою долю пирога на рынке ОС для смартфонов. Вообще в этой системе никогда не уделялось особое внимание безопасности, однако именно в 8-й версии разработчики попыталась исправить данный недостаток.
Далее мы рассмотрим более подробно перечень инструментов защиты в каждой из вышеприведенных ОС. Отметим, что эксперты рассматривают мобильную безопасность с точки зрения поддержки двух основных технологий: политик Microsoft EAS и интеграции нативных API-интерфейсов. Напомним, что протокол Exchange ActiveSync (обычно известный под аббревиатурой EAS) предназначен для синхронизации электронной почты, контактов, задач и прочих данных между сервером сообщений и смартфоном. Кроме того, этот протокол также обеспечивает управление мобильными устройствами и выполнение политик.
Протокол EAS в современных ОС
По мнению аналитиков, ключевые политики EAS покрывают большинство потребностей компаний в сфере безопасности. Приложения Microsoft Exchange, Microsoft System Center 2012, Google Docs for Business и многие другие продукты от третьих разработчиков очень хорошо поддерживают политики EAS.
Apple iOS 4.2 стала первой современной мобильной ОС, работающей с протоколом EAS, и это помогло данной системе занять доминирующее положение в бизнес-сегменте. Однако разработчики Google также не сидели сложа руки, постоянно наращивая функционал EAS в каждой версии. В результате Android 4.2 поддерживает EAS-политики гораздо лучше, чем ранние версии. Кроме того, Samsung, который сегодня является ведущим производителем Android-устройств, добавил поддержку политик и API в большинство своих продуктов.
Что касается BlackBerry, то поддержка EAS появилась только в новейшей ОС BlackBerry 10. В более ранних версиях защита обеспечивалась за счет BlackBerry Enterprise Server.
А вот в Windows Phone 8, по сравнению с Windows Phone 7.5, с точки зрения поддержки EAS мало что изменилось. Правда, появилась поддержка шифрования – а ведь именно ее отсутствие в свое время являлось наибольшим барьером для продвижения Windows Phone в бизнес-сегменте.
Поддержка EAS в различных мобильных ОС
Функции |
Apple |
BlackBerry 10 |
Google Android 4.x |
Microsoft Windows Phone 8 |
Samsung Android 4.x SAFE |
Минимальная длина пароля |
— |
● |
● |
● |
● |
Определение сложности пароля |
● |
● |
● |
● |
● |
История паролей |
● |
● |
● |
● |
● |
Поддержка шифрования данных на устройстве |
● |
● |
● |
● |
● |
Поддержка шифрования данных на карте памяти |
N/A |
— |
● |
● |
● |
Отключение съемных накопителей |
О. С.* |
— |
— |
— |
О. С. |
Отключение Wi-Fi |
О. С. |
— |
— |
— |
О. С. |
Отключение Bluetooth |
О. С. |
— |
— |
— |
О. С. |
Отключение камеры |
● |
— |
● |
— |
● |
Блокировка SMS-сообщений |
— |
— |
— |
— |
— |
Блокировка вложений email |
● |
— |
● |
● |
● |
Блокировка email POP3/IMAP4 |
О. С. |
● |
— |
— |
— |
Допускает использование личной почты |
— |
— |
— |
— |
— |
Допускает использование браузера |
● |
— |
О. С. |
— |
О. С. |
Настройка формата сообщений (HTML или plain text) |
— |
— |
— |
— |
— |
История email-сообщений |
● |
● |
— |
● |
— |
Усечение размера email (KБ) |
— |
— |
— |
— |
— |
Требует подписанных S/MIME-сообщений |
— |
— |
— |
— |
— |
Требует шифрования S/MIME-сообщений |
— |
— |
— |
— |
— |
Требует подписанного алгоритма S/MIME |
— |
— |
— |
— |
— |
Требует шифрования алгоритма S/MIME |
— |
— |
— |
— |
— |
О. С.* — означает, что функция возможна только при использовании отдельного MDM-сервера
Нативные функции безопасности
Помимо EAS, каждая мобильная ОС предлагает API-интерфейсы для интеграции инструментов безопасности от сторонних разработчиков. Большинство систем MDM (Mobile Device Management) поддерживают различные мобильные ОС, обеспечивая единую консоль управления для ИТ-администратора. Некоторые продукты поставляются с клиентскими приложениями, которые предлагают дополнительную функциональность, отсутствующую в оригинальных API.
Apple предлагает множество API-интерфейсов, с помощью которых можно удаленно конфигурировать различные настройки iOS, а также управлять поведением приложений. Уже в 6-й версии iOS появились несколько новых политик, среди которых: возможность предотвращения удаления приложений, определение специального приложения для пользователя и блокирование покупки новых приложений.
BlackBerry, изначально ориентированная на корпоративный сектор, может похвастаться наличием BlackBerry Enterprise Server, который оснащен огромным числом инструментов для защиты. Технология Balance позволяет ИТ-службам создавать разделы на устройстве BlackBerry 10 для раздельного хранения персональных и рабочих данных и приложений.
Рэдмонд, в свою очередь, встроил в Windows Phone 8 поддержку функций блокировки приложений, ограничения перенаправления электронной почты, удаленной регистрации устройств и удаленного обновления бизнес-приложений. Одна из важнейших возможностей Windows Phone 8, которая недоступна в других мобильных ОС, касается интеграции с Active Directory. Это является хорошим подспорьем для ИТ-службы.
Вообще, Windows Phone и Google Android предоставляют намного меньше возможностей в своих API, хотя Samsung и Google Motorola Mobility добавили несколько собственных API в устройства с Android. Например, Samsung SAFE API позволяет ИТ-администраторам отключать камеры, Bluetooth- и Wi-Fi-связь, запись голоса и SD-накопители.
Функции безопасности, встроенные в мобильные ОС
Функции |
Apple |
BlackBerry 10 |
Google Android 4.x |
Microsoft Windows Phone 8 |
Samsung Android 4.x SAFE |
Шифрование |
AES 256 |
AES 256 |
AES 128, только некоторые модели поддерживают шифрование |
AES 128 |
AES 256, не все модели поддерживают шифрование |
S/MIME |
● |
● |
— |
● |
— |
VPN |
● |
● |
● |
● |
● |
Настройка VPN |
● |
● |
● |
— |
● |
Ограничение/блокирование доступа к магазинам приложений |
● |
● |
— |
● |
● |
Ограничение/блокирование беспроводных сетей |
● |
● |
— |
— |
● |
Определение разрешаемых точек доступа |
● |
● |
● |
— |
● |
Запуск только подписанных приложений |
● |
● |
— |
● |
— |
Избирательное удаление бизнес-приложений и данных |
● |
● |
— |
● |
● |
Удаленное обновление бизнес-приложений |
● |
● |
— |
● |
● |
«Песочница» для приложений |
● |
● |
● |
● |
● |
Отключение функций копирования и вставки |
● |
● |
● |
— |
● |
Безопасная загрузка |
● |
● |
●* |
● |
● |
Отключение синхронизации с iCloud/эккаунтом Microsoft / эккаунтом и хранилищем Google |
● |
● |
— |
— |
● |
* — для этой функции требуется MDM-сервер
Основные требования к MDM
Аналитики выделяют три основных группы требований к развитию систем Mobile Device Management. Первая группа касается конфигурирования и защиты утерянных и скомпрометированных устройств. Сюда входят политики по заданию сложности паролей, шифрования, удаленное блокирование и стирание данных, удаленное конфигурирование email, сертификаты для идентификации, удаленное конфигурирование подключений (таких как Wi-Fi и VPN) и обнаружение скомпрометированных ОС. Под компрометацией ОС имеются в виду: взлом ОС (jailbrake), получение root-доступа или инфицирование вредоносным ПО.
Вторая группа требований описывает предотвращение утечек данных (DLP), что охватывает регулирование приватности пользователя (например, его местоположение), контроль применения различных облачных сервисов (таких как iCloud, SkyDrive и Google Docs) и предотвращение утечки по email. Сюда входит возможность ограничить перенаправление почты и блокирование вложенных файлов. Кстати, именно задачи второй группы все еще не реализованы в Windows Phone. В то же время Android, BlackBerry и iOS уже поддерживают большую часть вышеописанных требований, хотя некоторая их часть решается с помощью внешних MDM-клиентов.
Третья группа требований касается управления и защиты бизнес-критических приложений. Например, iOS и Windows Phone располагают механизмами для выполнения, как минимум, базовых задач по управлению. Система Apple позволят прятать приложение так, что оно больше не будет доступно для пользователя, а Windows Phone 8 может обновлять корпоративные приложения удаленно.
В целом, производители MDM уже сделали немало для обеспечения безопасности мобильных устройств. И все же реализация полноценной MDM-системы пока что весьма сложна. Бизнес пребывает в ожидании новых, более простых «коробочных» решений, которые предоставят компаниям возможность легко подключать к сети мобильные устройства сотрудников.