20 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Mobile Device Management: разнообразие видов

В отличие от ранее рассмотренных решений инсталляция SafePhone происходит в Linux-окружении – в качестве ОС выступает CentOS 5.x 64-bit, системой управления базами данных служит Oracle MySQL версии не ниже 5.5.17 (рекомендуется развертывание в режиме кластера). В качестве сервера приложений используется Apache Tomcat 6. По завершении процедуры развертывания происходит инсталляция мобильного агента с помощью одного из приложений для синхронизации мобильного устройства с компьютером: для Sym-bian – Nokia PC Suite или Nokia OVI Suite. Дальнейшее администрирование осуществляется через Web-консоль посредством браузера семейства Microsoft Internet Explorer или Mozilla Firefox. После того как процесс развертывания инфраструктуры завершен, необходимо создать комплект, который объединяет в себе три сущности: пользователь (может быть импортирован из Active Directory), телефон (SIM-карта, PIN-код) и конфигурация (политика). По завершении данной процедуры файл конфигурации должен быть скопирован на устройство.

Основной функцией защиты, реализуемой решением SafePhone, является замена инсталлятора, входящего по умолчанию в мобильную платформу, на собственный. Таким образом, пользователь устройства не может выполнить установку какого-либо приложения – все операции по инсталляции и удалению мобильных приложений становятся доступны только администратору системы.

Данный механизм защиты также затрагивает и пакеты обновлений для приложений, установленных по умолчанию, – по этой причине обновить устройство самостоятельно через ПО не удастся. Для того чтобы выполнить инсталляцию приложения, расположенного на OVI Store, необходимо его скачать на компьютер, затем разместить в банке доверенного ПО и отправить команду на его инсталляцию (одному или нескольким клиентам). Эта функция защиты является основной “изюминкой” данного решения и определяет, таким образом, модель защиты мобильных устройств – вредоносное ПО не может нанести вред по той причине, что оно не может быть проинсталлировано в системе. Подход не затрагивает аспекты безопасности при работе с браузером (отсутствует список разрешенных/запрещенных URL, в результате чего пользователь может попасться на XSS или фишинговый сайт, отсутствует фильтрация на сетевом уровне). Рассмотрим функционал, предлагаемый решением для платформы Symbian и Apple iOS (см. табл. 4).

SafePhone предотвращает попытки инсталляции приложений на мобильную платформу, и единственный вариант произвести установку – добавить приложение в банк доверенного ПО. Таким образом, “хранилище приложений” в буквальном смысле является местом хранения дистрибутивов, а не только ссылок и сертификатов. Плюсом такого подхода (помимо защиты от несанкционированной установки) является централизованное распространение приложений.

Интересной особенностью решения является возможность интеграции с системой контроля и управления доступом. Это позволяет применять различные политики к устройствам, находящимся в пределах защищаемой зоны, и к устройствам ее пределов. К примеру, на территории предприятия можно запретить использовать камеры, диктофоны, интернет-браузеры и пустить весь интернет-трафик устройства через доверенные Wi-Fi-точки организации.

В целом функционал системы в большей степени нацелен на аудит пользователя, а не на фильтрацию его действий или субъектов со стороны.

В заключение отметим список поддерживаемых мобильных платформ: Symbian 9.x S60 3rd/5th Edition, Symbian 3, Symbian Anna, Symbian Belle, Apple iOS4.

Управление устройствами Manage devices

В Intune вы управляете устройствами с помощью подхода, который подходит вам. In Intune, you manage devices using an approach that’s right for you. Для устройств, принадлежащих организации, может потребоваться полный контроль над устройствами, включая параметры, функции и безопасность. For organization-owned devices, you may want full control on the devices, including settings, features, and security. При таком подходе устройства и пользователи этих устройств “регистрируются” в Intune. In this approach, devices and users of these devices “enroll” in Intune. После регистрации они получат правила и параметры с помощью политик, настроенных в Intune. Once enrolled, they receive your rules and settings through policies configured in Intune. Например, можно установить требования к паролю и ПИН-коду, создать VPN-подключение, настроить защиту от угроз и многое другое. For example, you can set password and PIN requirements, create a VPN connection, set up threat protection, and more.

Для персональных или собственных устройств (BYOD) пользователи могут запретить полный доступ для администраторов организации. For personal devices, or bring-your-own devices (BYOD), users may not want their organization administrators to have full control. При использовании такого метода пользователям следует предоставить параметры. In this approach, give users options. Например, пользователи регистрируют свои устройства, если им нужен полный доступ к ресурсам организации. For example, users enroll their devices if they want full access to your organization resources. Если этим пользователям нужен доступ только к электронной почте или Microsoft Teams, то для использования этих приложений следует использовать политики защиты приложений, для которых требуется многофакторная проверка подлинности (MFA). Or, if these users only want access to email or Microsoft Teams, then use app protection policies that require multi-factor authentication (MFA) to use these apps.

Когда устройства регистрируются и управляются в Intune, администраторы могут: When devices are enrolled and managed in Intune, administrators can:

  • просмотреть зарегистрированные устройства и получить сведения об инвентаризации устройств, обращающихся к ресурсам организации; See the devices enrolled, and get an inventory of devices accessing organization resources.
  • настроить устройства таким образом, чтобы они соответствовали стандартам безопасности и работоспособности. Configure devices so they meet your security and health standards. Например, вы вероятно захотите заблокировать устройства со снятой защитой. For example, you probably want to block jailbroken devices.
  • Отправьте сертификаты на устройства, чтобы пользователи могли легко получать доступ к сети Wi-Fi или использовать VPN для подключения к сети. Push certificates to devices so users can easily access your Wi-Fi network, or use a VPN to connect to your network.
  • Просмотреть отчеты по пользователям и устройствам, которые соответствуют и не соответствуют требованиям. See reports on users and devices that are compliant, and not compliant.
  • Удалить данные организации, если устройство потеряно, украдено или больше не используется. Remove organization data if a device is lost, stolen, or not used anymore.

Онлайн-ресурсы: Online resources:

Попробуйте интерактивное руководство Try the interactive guide

Интерактивное руководство Управление устройствами с помощью Microsoft Endpoint Manager описывает, как в центре администрирования Microsoft Endpoint Manager можно управлять мобильными и настольными приложениями и защищать их. The Manage devices with Microsoft Endpoint Manager interactive guide steps you through the Microsoft Endpoint Manager admin center to show you how to manage and protect mobile and desktop applications.

Что такое MDM?

В первую очередь MDM и VMware AirWatch создают на устройстве абсолютно безопасную рабочую среду, защищенную от зловредных программ и неграмотных действий. Все рабочие файлы помечаются особым образом, после чего их нельзя открыть в любых сторонних приложениях, не разрешенных политикой безопасности. ИТ-служба компании видит список контента на планшете – как помеченные рабочие файлы, так и личные без возможности их просмотра. Кроме того, подключенные почтовый клиент и браузер (совместимые сторонние приложения) позволяют открыть скачанные и полученные файлы исключительно в безопасной «песочнице». Если сотрудник случайно запустит вирус, тот останется под контролем и не проникнет за пределы MDM, прихватив с собой корпоративную информацию.

Для совместной работы с документами к VMwareAirWatch подключаются офисные пакеты и облачные сервисы – как популярные, так и собственные решения компаний. Через MDM сотрудникам рассылаются необходимые рабочие файлы, где бы они не находились – этот процесс значительно удобней, чем пересылка по электронной почте. Например, пилоты авиакомпаний получают из центрального офиса полетную документацию и планы аэропортов. Расстояния – не преграда для MDM.

Установку и обновление политик безопасности и прав пользователя администратор может осуществлять массово и удаленно. Можно быстро изменить набор корпоративного ПО, защитить некий контент от открытия или удаления сотрудником, закрыть доступ в сеть.

Для борьбы со «сливами» информации через MDM блокируются возможности копирования, печати и даже снятия скриншотов с рабочих документов (как мы помним, открыть их за пределами системы нельзя). VMwareAirWatch позволяет быстро исключить из инфраструктуры утерянное или украденное устройство, удалив или защитив информацию на нем. Планшеты с GPS можно отследить на карте, причем эта возможность пригодится не только для поиска потерянного устройства.

Читать еще:  Как перезагрузить приложение в контакте

Аналитика использования планшета, в том числе GPS-трекинг, помогут руководству компании отследить использование подчиненными ресурсов в личных целях. Особенно показателен кейс одной российской компании, чей сотрудник, работавший на корпоративном самосвале, в выходные использовал его для подработки на стороне. Планшет с MDM значительно снижает возможности для личного заработка и в ущерб организации.

Сотрудники компании рассчитывают использовать свои собственные устройства по своему усмотрению, но ИТ-персонал не может допустить поведение, которое может поставить под угрозу безопасность сетевых ресурсов, независимо от того, кто является владельцем устройства.

Таким образом, процесс регистрации устройства, как правило, требует, чтобы пользователь согласился на определенные условия, такие, как политика в области безопасности и допустимого использования.После того как пользователь принимает условия соглашения, процесс регистрации завершен и устройство защищено.

Разработчики MDM решений могут обеспечить стандартизованный интерфейс, который работает независимо от типа устройства. Интерфейс настраивает параметры безопасности на уровне устройства либо с помощью API-интерфейсов для конкретных устройств или более стандартных механизмов, таких как политики Microsoft Exchange ActiveSync.

Доставка приложений

Еще одна проблема, связанная с разнообразием устройств – это вопрос распространения программного обеспечения. В средах, которых используются только персональные компьютеры, вопрос совместимости приложений практически не стоит. Если каждый ПК имеет необходимое аппаратное обеспечение и операционную систему, администраторы могут легко установить требуемое приложение на каждый корпоративный ПК.

В случае современных многоплатформенных сред дело обстоит иначе. Администратор не может развернуть приложение для Windows на устройствах с операционной системой IOS и Android. На сегодняшний день каждый класс устройств имеет свою собственную уникальную архитектуру и операционную систему, поэтому приложения, как правило, работают только на одной платформе. Если пользователь решает работать со своего персонального устройства, его компания-работодатель должна лицензировать любое программное обеспечение, которое потребуется установить.

Разработчики MDM решений применяют различные подходы к распространению программного обеспечения. Некоторые производители предлагают корпоративные магазины приложений, которые могут быть добавлены к утвержденным корпоративными правилами приложениям. Если пользователь хочет установить приложение на своем устройстве, ему достаточно подключиться к магазину приложений и инициировать процесс загрузки.

Что делает MDM Plus

Собственно, как ManageEngine MDM Plus обеспечивает безопасный и работоспособный сценарий BYOD? Давайте начнем с рассмотрения наиболее важных операций, которые IT-менеджерам необходимо проводить над мобильными устройствами:

  • Управление несколькими платформами для мобильных ОС, включая Apple iOS, Google Android и Microsoft Windows Phone.
  • Управление приложениями. Распространение собственных приложений и выборочное одобрение/блокирование сторонних приложений.
  • Управление активами: просмотр и управление конфигурациями аппаратного и программного обеспечения каждого мобильного устройства.
  • Управление безопасностью. Отслеживание мобильных устройств и выполнение удаленной очистки потерянных или украденных устройств.

Конечно, MDM Plus может даже больше! Давайте взглянем поближе.

Первоначальная настройка и регистрация устройства

ManageEngine предлагает 30-дневную неограниченную пробную облачную версию MDM Plus. Я создал свою учетную запись и вошел в веб-портал MDM Plus за три минуты — все было просто. Повторюсь, вы можете также запустить MDM Plus локально, но, с моей точки зрения, вы это не даст всех возможностей облачной версии.

На домашней странице портала, показанной ниже, можно видеть инфографику, которая поможет в процессе установки. К сожалению, не вся она интерактивная. На мой взгляд, ManageEngine стоит сделать интерактивными все эти графические элементы.

Теперь переходим на страницу Device Mgmt, где можно зарегистрировать iPhone с MDM Plus. Процесс настройки регистрации практически не зависит от используемых мобильных операционных систем:

  • Создайте аккаунт (Apple Push Notification Service, Google Cloud Messaging, Windows Push Notification Services).
  • Распределите профиль управления, профиль политики и приложения MDM для клиентов.
  • Проверьте устройства в консоли MDM Plus.

Повторюсь, я создал свой аккаунт Push Push Notification (APN) Apple за несколько минут. Вы можете зарегистрировать устройства своих пользователей несколькими способами:

  • Массовая регистрация через входные файлы CSV.
  • Самостоятельная регистрация по электронной почте.
  • Административная регистрация с помощью Apple Configurator.

В своей среде я зарегистрировал свой iPhone с помощью приглашения по электронной почте. Как вы можете видеть ниже, я получил сообщение электронной почты от ManageEngine, содержащее ссылку для регистрации и одноразовый пароль (OTP).

ПРИМЕЧАНИЕ. ManageEngine является технически подразделением корпорации Zoho, так что вы увидите ссылки на оба названия в инфраструктуре MDM Plus.

Все, что пользователи должны сделать со своей стороны кроме как пройти по ссылке из электронной почты, это принять профиль управления, который пришлет ваш облачный сервер. После этого на устройстве будет установлено приложение ME MDM, вот как это будет выглядеть:

В приложении ME MDM вы можете получить доступ к Каталогу приложений, где ваши приложения отображаются для конечных пользователей.

Что касается исключений брандмауэра, вы должны открыть порты TCP 5223, 5228, 5229 и 5230 для диапазона IPv4 17.0.0.0/8.

Вы можете проверить, что устройство успешно зарегистрировано, проверив веб-портал, как показано ниже:

Выполнение общих задач управления с помощью MDM Plus

Полагаю, я знаю, о чем вы думаете: «Тим, как я могу ограничить пользователей от проведения Root и jailbreak? Как мы можем заставить пользователей использовать безопасный код?»

Ответ на этот вопрос — это профиль политики. Но, прежде чем мы до него доберемся, давайте получим общий инвентарь устройства. Щелкните в навигационной панели Admin > Enrollment и выберите управляемое устройство:

Обратите внимание, что на приведенном выше снимке экрана можно сразу увидеть, было ли устройство взломано. Перейдя на вкладку «Geo-Tracking», мы можем получить местоположение устройства и, при необходимости, выполнить удаленную очистку или сброс кода доступа, если это необходимо.

Чтобы создать профиль управления, перейдите в Device Mgmt > Profiles и создайте новый профиль iOS, Android или Windows Phone. Как вы можете видеть на следующем скриншоте, вы можете создавать и применять некоторые полезные политики для мобильных устройств, в том числе:

  • Настройка блокировки паролей и политики блокировок.
  • Wi-Fi и VPN-подключения.
  • Настройки электронной почты (включая Exchange ActiveSync).
  • Корпоративные календари.
  • Выборочные разрешения/блокировки для встроенных функций, таких, как камера, захват экрана, покупка в приложении и т.д.
  • Вы можете развертывать политики мобильных устройств, которые обеспечивают соблюдение ваших стандартов безопасности ИТ.

Говоря о приложениях, вы можете добавлять, развертывать и управлять самостоятельно разработанными приложениями, а также теми, которые вы получаете из Apple App Store, магазина Google Play или Windows Apps Store. Процесс лицензирования и развертывания так называемых «корпоративных приложений» выходит за рамки нашего сегодняшнего обсуждения, но известно, что это возможно.

ManageEngine MDM Plus также предлагает поддержку безопасности Samsung KNOX. Это классная технология, которая предусматривает создание зашифрованного «контейнера» на управляемых устройствах, где пользователь хранит данные компании. Мне нравится это понятие, потому что оно создает жесткую границу между личными данными пользователя и данными, принадлежащими организации, и, скорее всего, находится в соответствии с отраслевыми и/или правительственными нормами.

Протокол управления мобильными устройствами MDM позволяет системным администраторам отправлять команды управления на подключенные устройства под управлением iOS 4 и более поздних версий системы.

Через MDM сервис администратор может просмотреть, добавить или удалить профили, удалить коды доступов или безопасно удалить данные на удаленном устройстве.

Согласно документации Apple:

Протокол MDM построен на основе HTTP, TLS и push-уведомлений. Соотвествующий протокол проверки MDM обеспечивает способ передачи процесса начальной регистрации на отдельный сервер. Далее MDM использует Apple Push Notification Service (APNS) для отправки сообщения «wake up» (очнись!) для управляемого устройства. Затем устройство подключается к заранее определенной веб-службе для получения команд и возвращения результата их выполнения.

Вышеуказанное понимается так, что для работы службы MDM необходимо развернуть HTTP-сервер, чтобы работать как MDM-сервер, а затем распространять профили, содержащие необходимую информацию для управления устройствами.

Ключевая особенность: возможность администратору отправлять профили на устройство без какого-либо непосредственного физического вмешательства.

Таким образом, сервис MDM состоит из трех ключевых вещей:
1. Устройства, которыми нужно управлять (конечно же)
2. Сервер, осуществляющий управление (различные серверы MDM)
3. Методы, с помощью которых сервер может «разбудить» устройство через уведомление ASNP

Необходимые данные могут содержаться в файле конфигурации с расширением .mobileconfig передаваемый через электронную почту или страницу в интернете, как часть итоговой конфигурации профиля доставляемого через удаленную службу регистрации или с помощью Device Enrollment Program (DEP) автоматически.

Читать еще:  Android activation что это за приложение

В любой момент времени на устройстве может быть установлены данные только одного MDM. После того как вы зарегистрировались на сервере MDM, устанавливается безопасная связь между MDM-сервером и порталом Apple. Это используется для синхронизации сведений о девайсе, с помощью портала регистрации устройств Apple DEP.

Когда вы найдете устройства, синхронизированные с порталом Apple, то можете назначить пользователя для него.

Всякий раз когда устройство активируется, все ограничения и конфигурации, указанные через MDM автоматически устанавливаются на все ваши устройства удаленно. Настройте DEP, что все устройства приобретенные в рамках DEP, будут управляться MDM по-умолчанию как только они были активированы. Рассмотрим как это работает с сервером.

Каждое взаимодействие между клиентом устройств и сервером MDM состоит из четырёх элементов:
1. Сервер запрашивает push-уведомление через Apple
2. Apple отправляет push-уведомление на устройство
3. Устройство подключается к серверу
4. Сервер и клиент обмениваются командами и результатами


В дополнение к управляемым профилям можно также использовать MDM для установки приложений. Служба MDM имеет дополнительный контроль над тем, как управляемые приложения и их данные используются на устройстве.

Device management что это за приложение

Решения Mobile Device Management могут оказаться неоптимальным вариантом защиты

Российский рынок MDM находится в зачаточном состоянии – насчитывается не более нескольких десятков проектов. Крупный бизнес присматривается к этим решениям и проводит пилоты, а сегмент СМБ не может себе позволить использовать MDM по финансовым соображениям. Согласно одной из точек зрения, широкого распространения эта модель не получит, так как MDM – тупиковый вариант развития технологий, а защита будет осуществляться на уровне корпоративных приложений.

Решения по удаленному управлению и защите мобильных устройств (MDM, Mobile Device Management) известны достаточно давно, но лишь после появления платформ iOS и Android получили широкое распространение. По данным Gartner, подобные системы установлены на 30% мобильных устройств, используемых в корпоративных целях.

Для России характерны те же тенденции, как и для США и Западной Европы, но, как это часто бывает, с отставанием в несколько лет. Уровень проникновения MDM пока низкий. По данным Softline, он составляет 5–10%. Остальные опрошенные CNews компании предпочитают не называть цифр, но согласны с тем, что рынок MDM находится в зачаточном состоянии. Низкий уровень внедрений связан это с двумя факторами, объясняет Сергей Орлик, директор центра корпоративной мобильности компании «АйТи»: «Первый – это недооценка масштабов фактического использования мобильных устройств и рисков, ассоциированных с их неуправляемым применением в корпоративной среде. Второй фактор – «аналитический паралич» выбора новых решений для ранее незнакомых платформ iOS и Android в сочетании с отсутствием внутрикорпоративной экспертизы в этой области».

Примеров внедрений мало, но представители бизнеса уже интересуются технологией, поэтому поставщики MDM настроены оптимистично: «Интерес к MDM-решениям со стороны корпоративных клиентов сегодня опережает тот информационный поток, который мы, как производитель MDM-решения, готовы обрушить на внешний рынок. И если сейчас проникновение тренда не очень высоко, уверена, что в ближайшую пару лет ситуация изменится диаметрально», – говорит Жанна Кривозубова, менеджер по продвижению серверных продуктов в России.

Наиболее распространенная сейчас практика использования MDM – это тестирование, когда в рамках пилота услуга предоставляется бесплатно, а потом, в случае если продукт понравился, компания внедряет MDM на постоянной платной основе. «За последнее время нами было реализовано несколько проектов по внедрению MDM-систем и политик использования мобильных устройств у наших заказчиков, – делится опытом Павел Липанов, руководитель проектов департамента по работе со стратегическими клиентами компании Digital Design. – Проекты носили, в первую очередь, характер пилотного внедрения, «чтобы попробовать». Практика показала, что решения «приживаются» и заказчики покрывают весь парк мобильных устройств лицензиями MDM. Однако количество внедрений пока остается минимальным».

Первые проекты

Проблема оценки количество проектов заключается в том, что не все заказчики дают согласие на раскрытие такой информации. Данные о некоторых проектах доступны анонимно, без указания имени предприятия.

Лидером по количеству реализованных проектов среди интеграторов является компания «АйТи». Самый крупный из них реализуется в одном из лидирующих российских банков, в котором используется решение XenMobile. «Счет уже идет на тысячи мобильных устройств, в том числе и закупаемых централизованно планшетов. Проведена интеграция с корпоративным центром выпуска сертификатов (Certificate Authority) для их автоматической генерации персональных пользовательских сертификатов и доставки их при подключении мобильного устройства в корпоративный периметр через MDM XenMobile», – рассказывает Сергей Орлик.

Еще одно внедрение 2012–2013 гг., масштаб которого составил несколько сотен устройств, было проведено в энергетической компании МОЭК. Вначале были разработаны политики и регламенты, затем было внедрено решение XenMobile. «Сотрудники очень быстро оценили преимущества централизованной настройки, нет необходимости тратить время на «поход в ИТ» для настройки рутинных вещей – доступа к почте, VPN, Wi-Fi, зато можно заблокировать или очистить устройство в случае утери. Люди получили возможность использовать во внутрикорпоративной среде устройства, с которыми им привычно и комфортно работать. Появилась удобная функция – удаленная оперативная настройка устройств для руководителя, находящегося вне офиса – в командировке, на встрече», – говорит Сергей Орлик.

Кроме того, компанией «АйТи» реализован ряд проектов развертывания Good for Enterprise и платформы управления и интеграции мобильных приложений Good Dynamics в ряде российских филиалов международных компаний и нескольких российских компаниях. При этом спрос на MDM растет, отмечает Сергей Орлик: «За последние 4 месяца с конца 2013 г. инициировано более десятка проектов в компаниях и организациях разных отраслей – от ведущих банков до производственных компаний и ведомств».

КомпанияПриложениеГод внедренияЧисло пользователейИнтегратор
Транспортная компания «Лорри»SAP Afaria2014До 1000ВымпелКом
ВнешэкономбанкSymantec Mobile Management2013н/дИнлайн Груп
МОЭКXenMobile2012–2013Несколько сотенАйТи
АвиадвигательMcAfee2013До 2500Крок

Источник: CNews Analytics, 2014

Компания «Крок» реализовала проект в одной крупной организации на 250 устройств. «В рамках проекта мы внедрили функционал контейнеризации корпоративных приложений и защиты их от утечек информации, обеспечили безопасный доступ к электронной почте и web-ресурсам компании, совместную работа с файлами. Для реализации поставленных задач мы предложили решение Citrix XenMobile редакции Enterprise. Оно включает в себя такие технологии как Mobile Device Management, Mobile Application Management и Mobile Information Management», – рассказывает Константин Астахов, руководитель направления портальных и мобильных решений компании «Крок».

Наконец, из событий прошедшего года следует отметить выход на российский рынок решений Microsoft Intune MDM осенью 2013 г. Несмотря на недавний дебют, в корпорации утверждают, что уже «есть опыты внедрения, в том числе и у крупных корпоративных клиентов».

«Зарубежный» контроль

На российском рынке доминируют иностранные решения, отечественных разработок практически нет. Единственное исключение – продукт «Лаборатории Касперского», который попал в магический квадрат Gartner в категории «нишевые игроки». Функции управления мобильными устройствами (MDM) и их защиты входят в состав корпоративного решения «Kaspersky Security для бизнеса», а также доступны в составе отдельного продукта «Kaspersky Security для мобильных устройств».

Наибольшей популярностью пользуется решение Citirix XenMobile, достоинством которой является интеграция с виртуальной средой этого поставщики. «Думаю, что Citrix с XenMobile являются лидерами, поскольку это решение интегрируется с инфраструктурой Citrix. Им нет необходимости придумывать что-то новое, строить новый участок. Они просто расширяют функциональность старого», – комментирует Виктор Ивановский, заместитель руководителя направления инфраструктурных решений департамента ИБ Softline.

Логично предположить, что спросом будут пользоваться MDM-решения других производителей средств виртуализации. Microsoft уже представила собственный продукт Intune. Вероятно, подобных шагов следует ожидать от VMware, которая в январе 2014 г. сообщила о покупке одного из лидеров рынка MDM компании AirWatch за $1,5 млрд.

Среди других решений, которые получили распространение в России, можно отметить продукты известных ИТ-брендов SAP Afaria, McAfee EMM, Symantec Mobile Management и Symantec App Center, а также специализированные функциональные MDM-решени: Mobileiron, Good for Enterprise, а также уже упомянутая AirWatch.

Следует отметить, что большим спросом пока пользуются решения, разворачиваемые в инфраструктуре заказчика, но растет интерес к SaaS-продуктам из публичных облаков. Наиболее громкое событие 2013 г. в этой области – презентация облачного сервиса MDM, созданного совместными усилиями «ВымпелКома», «Ланит» и SAP на базе продуктов SAP Afaria и MobiDM компании Veliq. Стоимость услуги составляет 200 руб. в месяц за одно мобильное устройство.

Читать еще:  Установка приложений windows 10 без магазина

Интерфейс SaaS-решения для администрирования мобильных устройств «ВымпелКома»

Источник: Habrahabr.ru, 2013

Установленное решение позволяет разграничивать личные и рабочие данные: компания получает доступ только к корпоративной информации, что не позволяет руководству организации контролировать частную жизнь сотрудников. При этом реализуется полный спектр функций MDM (пароли, настройка почты, календаря, белый и черный список приложений, ведение статистики по устройствам, управление политиками безопасности, блокировка и удаление корпоративных данных в случае утраты устройства).

Масштаб экономии

Выгода от внедрения MDM заключается в предотвращении утечек конфиденциальной информации, но не все компании готовы нести связанные с этим дополнительные издержки. Даже для крупного бизнеса экономия не очевидна. «Позволить себе развертывание MDM-систем в своей инфраструктуре могут пока что лишь средние и крупные компании, для которых окупаемость вложений в такие системы не всегда видна. На практике проще запретить использование мобильных устройств, чем вкладываться в безопасность и управляемость инфраструктуры», – считает Павел Липанов. Чтобы привлечь покупателей, вендоры идут навстречу, и объем первоначальных инвестиций при внедрении MDM-систем постепенно снижается, а функционал становится шире, закрывая одним решением сразу несколько потребностей, отмечает эксперт.

Следует отметить, что стоимость таких решений в России ниже, чем на Западе. Если в среднем в мире поддержка одного устройства обходится в $10–15 в месяц, то в России цена, как правило, ниже $10.

Посчитать выгоду от внедрения MDM сложно, так как есть трудности с оценкой ущерба при утечке корпоративных данных. «Мы часто слышим новости о сливе информации и потере данных из Европы и Америки. В России, к сожалению, такие факты очень часто замалчиваются, поэтому невозможно адекватно оценить риски, которые понесли коллеги по бизнесу – информации просто нет», – утверждает Дмитрий Аргунов, сотрудник департамента виртуализации компании Softline. Он предлагает следующий критерий для оценки ущерба: «Задайте себе вопрос, сколько вы готовы отдать за информацию вашего конкурента и вы поймете, сколько стоит ваша информация».

Легче всего оценить оптимизацию в работе ИТ-департамента, которому больше не нужно вручную настраивать каждое устройство. «При внедрении XenMobile качественно упростилась работа службы ИТ, – приводит пример Сергей Орлик. – Вместо того, чтобы сотни раз проводить первичную настройку устройств и потом ее переконфигурировать, все делается с помощью систем управления. Экономятся сотни человеко-часов, это дает несомненный финансовый эффект».

Более детальный расчет экономии доступен по SaaS-услуге «ВымпелКома», реализованной совместно с SAP и «Ланит». В среднем 100 гаджетов обслуживают 2 системных администратора, на выполнение этой задачи они тратят треть своего рабочего времени. Зарплата системных администраторов примерно 200 тыс. руб. (с учетом налогов) на двоих. Получается, что в год компания платит 800 тыс. рублей только за обслуживание мобильных устройств. MDM-cервис для этой компании будет стоить 20 тыс. руб. в месяц или 240 тыс. руб. в год. Очевидная экономия – более 500 тыс. руб., говорят в «Ланит».

Еще одна сфера, где выгода MDM очевидна, – это использование корпоративных устройств в роуминге. Виктор Ивановский приводит следующий пример из личного опыта: «Человек, приехав командировку в Таиланд, положил iPhone в сейф. Несколько раз за время командировки сотрудник сейф открывал и закрывал. В те моменты, когда дверь сейфа открывалась, iPhone видел сеть, и что-то передавал. В итоге, из Таиланда приехал счет на 65 тыс. руб.». В системах MDM применяется защитная политика – ограничивается время разговора, трафик и т.д.

Прогноз негативный

Не исключено, что низкое проникновение MDM – это преимущество, а не проблема российского рынка. Развитие ИТ с опозданием позволяет «пересаживать» на отечественную почву только те решения, которые уже зарекомендовали себя в других странах. На Западе это рынок также находится на начальном этапе развития, хотя уровень проникновения выше – около 30%. Некоторые иностранные эксперты сомневаются в жизнеспособности этого направления и считают, что функции MDM будут интегрированы в сами приложения. «Рынок MDM пребывает в хаосе, и я полагаю, что он умрет, – утверждает вице-президент Gartner Джон Гирард (John Girard). – MDM достигнет потолка, после чего мы увидим, как вендоры обратят внимание на строительство систем защиты и управления вокруг приложений».

Некоторые игроки российского рынка также настроены скептически. Например, руководитель отдела инфраструктурных решений ГК «Астерос» Иван Батов считает несостоятельным мнение о том, что BYOD пробивает дыры в защите периметра и требует внедрения специализированных средств безопасности: «На мой взгляд, этот главный аргумент производителей MDM-решений является мифом – у бизнеса нет уникальных проблем, возникающих именно из-за концепции BYOD, – комментирует он. – Руководство компании либо серьезно относится к вопросам комплексного обеспечения ИБ, либо этот вопрос его «не сильно заботит», и тогда мобильное устройство не является какой-то исключительной угрозой».

Получается, что российские пользователи поступают мудро, когда не спешат внедрять MDM по примеру западных компаний. Подождав, они смогут увидеть, какой подход и возобладает и какую нишу займет MDM.

Установка и контроль приложений

Очень часто у руководства компаний появляется желание контролировать приложения, устанавливаемые на мобильные устройства, для блокировки возможности использования устройства для игр, а также для защиты устройства и данных от ненадежных программ (особенно это актуально для Android) и т. п. Существует несколько различных подходов к организации контроля за установкой приложений:

  • жесткое определение списка приложений, устанавливаемых на устройстве, с последующей блокировкой попыток установки новых приложений;
  • блокировка установки приложений и распространение новых приложений только с помощью агента MDM;
  • установка приложений только на основании «репутационного» рейтинга, имеющегося у производителя систем MDM;
  • предоставление возможности установки любых приложений, но с контролем доступа устройства в Сеть, что предполагает обязательное подключение устройства только по VPN до корпоративной сети.

Часть из указанных в таблице параметров позволяют контролировать установку приложений или использование уже установленных приложений, а в будущем, например, Apple планирует добавить функционал по удалению с помощью агента MDM уже имеющихся приложений. Для остальных платформ такой информации пока нет.

Дополнительным сервисом при развертывании решений MDM является рассылка документов и медиаконтента — этот функционал может быть полезен при распространении документов среди сотрудников, находящихся вне офиса.

В России обычно применяются два подхода к установке и контролю приложений. Первый, предельно жесткий, состоит в том, что устройство изымается у пользователя, возвращается к заводским настройкам, обновляется до текущей версии и на него устанавливается только необходимое для работы ПО. Установка происходит под учетной записью, параметры которой известны только сотрудникам ИТ-подразделения и служб информационной безопасности; последующая установка любых приложений блокируется. В соответствии со вторым, «либеральным», подходом от пользователя требуют установить агент MDM и соблюдать политики безопасности, обычно регламентирующие только порядок применения паролей.

Как обезопасить себя в iOS

Хотя iOS разрабатывалась с расчетом на безопасность, даже такую систему нельзя считать неуязвимой. Периодически киберпреступники находят новые способы использования уязвимостей iOS или обмана специалистов Apple, проверяющих приложения. Например, мошенникам в свое время удалось заразить пакет разработки Xcode, чтобы созданные в нем приложения становились вредоносными без ведома разработчиков. Другие добавили в свое приложение проверку местоположения, для того чтобы вредоносный код не запускался в пределах США, это позволило преступникам обойти проверку Apple и добавить свое приложение в App Store. С учетом этого было бы неплохо иметь приложения-антивирусы для iOS, но, к сожалению, их не существует, и создать их сейчас не представляется возможным.

К счастью, зловреды под iOS — крайне редкое явление, так что вероятность оказаться в числе пострадавших невелика. Но риск возрастает при установке профиля MDM. В этом случае устройством можно будет полностью удаленно управлять с сервера организации, выдавшей этот профиль. Поэтому пользователям, чьи телефоны не являются корпоративными, стоит избегать MDM-профилей — это практически главное правило безопасности в случае iOS.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Статьи c упоминанием слов: