+7 495 228-02-08 info@tessis.ru
ВХОД
Меню
Array ( [ROOT_MENU_TYPE] => top [MENU_CACHE_TYPE] => Y [MENU_CACHE_TIME] => 36000000 [MENU_CACHE_USE_GROUPS] => Y [MENU_CACHE_GET_VARS] => [MAX_LEVEL] => 2 [CHILD_MENU_TYPE] => left [USE_EXT] => [DELAY] => N [ALLOW_MULTI_SELECT] => [CACHE_TYPE] => Y [CACHE_TIME] => 36000000 [~ROOT_MENU_TYPE] => top [~MENU_CACHE_TYPE] => Y [~MENU_CACHE_TIME] => 36000000 [~MENU_CACHE_USE_GROUPS] => Y [~MENU_CACHE_GET_VARS] => [~MAX_LEVEL] => 2 [~CHILD_MENU_TYPE] => left [~USE_EXT] => N [~DELAY] => N [~ALLOW_MULTI_SELECT] => N [~CACHE_TYPE] => Y [~CACHE_TIME] => 36000000 [CACHE_SELECTED_ITEMS] => 1 )

Кризис MDM функционала

Сегодня мир мобильных технологий развивается настолько быстро, что успеть за новинками практически невозможно. При этом эволюция наблюдается не только в части аппаратной составляющей, но и программной реализации как мобильных операционных систем, так и приложений для этих платформ.

Мобильное устройство теперь может заменить офисное рабочее место, при этом увеличив оперативную работу сотрудника в разы. Но любой прогресс имеет две стороны медали и при условии несоблюдения даже простейших мер безопасности может привести к печальным последствиям. Пользователь мобильного устройства, как правило, использует его вне офиса. При этом для организации полноценной работы он имеет доступ как к корпоративному сегменту на уровне сетевой инфраструктуры, так и к информационным ресурсам (данным), размещенным в ней. А что происходит в случае потери, кражи устройства? В последние годы операторы сотовой связи усилили механизмы защиты от спам-рассылки, но полностью решить данный вопрос, к сожалению, так и не удалось. А иногда возникает такой соблазн перейти по ссылке, не подразумевая, что за ней может находиться. Результатом данных инцидентов может служить несанкционированный доступ к корпоративным ресурсам, не говоря уже о доступе к персональной информации, хранящейся на устройстве в огромном количестве. Часто приходится слышать и атаки изнутри – публикация в общем доступе медиа контента, доступного для ограниченного числа лиц, потеря информации, возникшая путем применения мобильных устройств (использование устройства как внешнего хранилища, модема и т.п.).

Михаил Рожнов

Михаил Рожнов
технический директор TESSIS

16 Декабря 2014 г.

Так что же делать? С одной стороны – мобильное устройство является инструментом бизнеса, с другой – источник угроз, который может поломать весь этот бизнес. Уже на протяжении нескольких последних лет ведущие производители как программного обеспечения, так и разработчики средств защиты информации большое внимание уделяют такому направлению как Mobile Device Management – сервисам и технологиям, обеспечивающих контроль и защиту мобильных устройств сотрудников в рамках использования их в организациях. Первоначально рынок делился на сторонников использования мобильных устройств в бизнес среде и ярых противников этого явления (нет мобильного устройства у субъекта внутри компании ‒ нет угрозы, исходящего с его стороны). При этом противников было гораздо больше.

Времена проходят, меняются взгляды людей (изначально и мобильная связь считалась небезопасной в части вреда здоровью, а сейчас уже сложно найти человека, у которого не было бы мобильного телефона), меняются потребности, да и к хорошему быстро привыкаешь. На текущий момент соотношение сторонников и противников практически выровнялось. Тем не менее, уже в лагере сторонников мобильных устройств произошло разделение на два направления. Первый подразумевает корпоративный стандарт – BYOD (Bring Your Own Device), позволяющий сотрудникам использовать свои мобильные устройства в корпоративных нуждах. Если говорить о молодых специалистах, то для них – это стандарт по умолчанию. Они приходят из учебных заведений, где устройства для них были рабочим инструментом, средством коммуникации и развлечения. И тут им говорят, что часть привычного для них жизненного функционала будет не доступна. Данное положение дел может привести и к смене работодателя. Более того, многие компании и не подразумевают, что BYOD уже внутри компании. А в Вашей компании есть BYOD? Проверьте, настроено ли у вас почтовое приложение, которое хранит всю корпоративную переписку, есть ли у вас внешний доступ к корпоративному порталу, к системе электронного документооборота, которая позволяет сохранять внутренние документы на внешних носителях. Часто компании и не подразумевают, насколько их пользователи стали самостоятельно мобильными. Если рассматривать BYOD как элемент корпоративной инфраструктуры, то каким образом следует поступить с устройством при последующем увольнении сотрудника? С одной стороны на устройстве есть конфиденциальная информация, и допустимо только одно правильное решение – выполнить возврат устройства к заводским настройкам, осуществив при этом маскирование информации, записанной на внутреннем и внешнем хранилище устройства. С другой стороны – на этом устройстве присутствует личная информация пользователя, потерять которую он не хотел бы.

Вторым направлением развития сервиса, обеспечивавшего контроль корпоративной сотовой связи, является COPE (Corporate-Owned, Personally Enabled). Здесь уже не встает вопрос о защите личных данных сотрудника, так как юридически мобильное устройство является собственностью компании, для которой первоначальной задачей является предоставление инструмента для бизнеса с дальнейшей организацией защищённой инфраструктуры.

Если рассмотреть рынок MDM, то функционала, реализуемого в классическом понимании этого решения, стало уже не достаточно и на сегодня логическим эволюционным развитием развития стали продукты под общим названием Enterprise Mobility Management (EMM), которые в дополнение к функциям MDM включили механизмы управления мобильными приложениями и мобильным контентом. EMM должен представлять следующий набор функционала:

  • Инвентаризация аппаратной части
  • Инвентаризация приложений, включая возможность создания внутреннего репозитория
  • Возможность конфигурирования мобильной операционной системы (настройка функций безопасности, функционала встроенных приложений)
  • Развертывание, обновление, удаление мобильных приложений
  • Конфигурирование и управление политиками мобильных приложений (передача конфигурационной информации о Wi-Fi точках, VPN, прокси, почты, сертификатов, критерий соответствия требованиям политик информационной безопасности и т.д.)
  • Удаленный просмотр и управление устройством для решения проблем на нем
  • Удаленное выполнение действий на устройстве (удаление корпоративных данных и приложений)
  • Управление мобильным контентом – этот функционал отличает EMM решение от классического MDM.

Механизм управления мобильным контентом позволяет пользователям получать доступ к корпоративным данным с их мобильных устройств, разделяя при этом частную информацию и рабочую. Данный функционал у разных производителей решений реализуется одним из следующих способов:

  1. Контейнеризация – клиент ориентированное приложение (свертка существующего мобильного приложения), позволяющее хранить данные в защищенном контейнере на мобильном устройстве. При этом EMM позволяет применять для этих объектов различные политики, такие как аутентификация при доступе к контейнеру, разрешение или блокирование доступа к данным контейнера для других мобильных приложений, ограничение операций копирования или вставки информации. Данный механизм позволяет легко разграничивать данные, и при использовании технологии BYOD удалить корпоративную информацию (данные и само мобильное приложение) при увольнении сотрудника или отсоединения устройства от EMM.
  2. Технология «Content Push» – при использовании данного механизма контент доставляется к конечному пользователю через передачу информации на устройство с консоли EMM. Данный подход позволяет выполнять уведомление для субъекта о новых объектах, контролировать версии документов и использовать флаги, ограничивающие доступ к данным при истечении некоторого промежутка времени.
  3. Технология «Content Access» – при использовании данного механизма осуществляется соединение с бэкэнд репозиторием (SharePoint, Documentum и т.д.), с которого пользователь осуществляет скачивание документа с учетом ограничений, действующих на него.

Данные механизмы могут комбинироваться, при этом достигать оптимального соотношения «безопасность–удобство использования».

После определения систем MDM и EMM стоит взглянуть на рынок игроков и посмотреть насколько их решения действительно позволяют повысить производительность сотрудников, а компании оправдать ожидания от внедрения мобильных устройств в бизнес. По результатам аналитических отчетов компании Gartner более 120 компаний в мире (не исключение и российские производители) занимаются разработкой систем MDM/EMM. На момент середины лета 2014 года картина выглядела следующим образом:

Enterprise Mobility Management

Квадрат Гартнера для решений Enterprise Mobility Management

Сразу необходимо отметить, что в список участников не попали компании, которые реализуют классический MDM, так как требования международного рынка подразумевают наличие функций защиты по работе с корпоративными данными мобильными пользователя. Хотя функции EMM и определены, но каждый из участников рынка пытается привнести свои, с одной стороны, пытаясь обхватить весь рынок мобильных операционных систем, соблюдая при этом поддержку всех актуальных версий (так например, ведущие игроки рынка EMM были готовы к поддержке мобильных платформ iOS 8 и Android 5 еще до выхода самих устройств), с другой стороны, сместить акцент на особенности аппаратных платформ и в строенные в них функции защиты (например, организовывая поддержку всего функционала Samsung KNOX или устройств BlackBerry). 

Также стоит отметить особенности мобильных платформ и того набора функций безопасности, которые могут быть реализованы в операционной системе – не стоит ожидать от EMM решений того, что единая политика безопасности сможет быть применима для всех устройствах сразу. Как правило, политика будет разделена по мобильным операционным системам, которые в свою очередь будут делиться дальше по версиям операционных систем с реализацией дополнительного функционала исходя из аппаратной платформы. Это означает, что администратору EMM системы следует быть готовым при использовании технологии BYOD к созданию множества профилей безопасности, при этом периодически выполнять анализ парка мобильных устройств и установленных на них операционных систем. Технология COPE позволит снизить нагрузку на администратора, но покупка единого парка аппаратных платформ увеличит стоимость владения инфраструктурой, оставляя вопрос о проценте увеличения производительности при организации мобильного рабочего места.

Тем не менее, рынок мобильных технологий будет расти, и как следствие, пользователь будет требовать от работодателя наличие мобильного рабочего места – в идеале на том же устройстве, на котором он привык работать. Если сейчас рассмотреть мобильное место пользователя, то это, в основном, почтовый клиент плюс несколько специализированных приложений для работы (доступ к порталу, CRM и т.п.). В будущем же с увеличением пропускной способности каналов связи, ростом производительности мобильных устройств и развитием средств виртуализации пользователь не будет чувствовать разницы между своим стационарным рабочим местом и мобильным офисов. Как бы много не было противников мобильных рабочих мест новое поколение сотрудников уже не сможет представить себе «офис» без удаленного доступа с планшета или телефона.

Рынок же EMM решений будет развиваться в сторону сведения функций к единой политике – это будет обусловлено конкурентной борьбой разработчиков мобильных операционных систем и миграции функционала с конкурентной платформы. Снижение себестоимости EMM системы, в то же время, потребует использование EMM решения как сервиса (Software As A Service), что в дополнение к упрощению системы администрирования – управление с единой консоли, сделает решения EMM унифицированным техническим решением любой корпоративной инфраструктуры.