BYOD и комплексная информационная безопасность мобильных устройств

Концепция «Принеси свое устройство» (BYOD), предназначенная для предоставления сотрудникам возможности использовать все возможные личные устройства для работы, в настоящее время является основным способом взаимодействия сотрудников подавляющего большинства предприятий.Благодаря комплексному решению, основанному на соблюдении единой политики и унифицированном управлении конвергентной сетью в проводных и беспроводных средах, предприятие обеспечивает своим сотрудникам доступ к ресурсам корпоративной сети. Комплексный мониторинг BYOD позволяет оптимизировать распределение ресурсов и соблюдать нормативные требования.
Применение BYOD налагает серьезные требования на систему корпоративной безопасности. В частности, необходимо использовать комплексную проверку клиентских устройств на соответствие корпоративным правилам и политикам безопасности, тщательно отслеживать привилегии доступа, вести комплексный мониторинг использования как ресурсов, так и трафика.Использование концепции BYOD запускает еще один важный тренд в построении современных корпоративных сетей. Политики аутентификации и авторизации пользователя становятся глобальными и больше не привязаны к проводной или беспроводной сети.Доступ и хранение данных в облачных сервисах открывает для компании потенциальную угрозу утечки корпоративных данных. Вместе с тем, нельзя игнорировать мировую тенденцию к тому, что все больше услуг, включая информационные услуги для компаний, переходят на аутсорсинг к узкоспециализированным операторам связи, и с усложнением услуг эта тенденция будет только укрепляться.Таким образом, в современном мире есть все предпосылки к использованию концепции BYOD для организации единой информационной защищенной среды. Данная концепция рассматривает применение BYOD в рамках проводной/беспроводной архитектуры, телефонии, центра обработки данных.

Преимущества решения BYOD от компании Cisco Systems:

• Вся информационная среда управляется единым «рулевым колесом» (с единой панели управления), упрощая тем самым управление безопасностью.
• Решение построено на базе централизованного хранилища политик безопасности, тесно интегрированного с корпоративной системой Active Directory и инфраструктурой открытых ключей (Public Key Infrastructure).
• Решение предоставляет единую точку мониторинга и контроля пользователей, устройств, сетей, площадок, повышая управляемость системы и уровень ее безопасности.
• Решение тесно интегрировано с мобильными устройствами и позволяет использовать их в качестве рабочего инструмента сотрудниками на рабочем месте.

Архитектура Cisco BYOD

Базовым элементом решения Cisco BYOD является архитектура Cisco Identity Service Engine (ISE).

Механизм идентификационных сервисов Cisco Identity Services Engine (ISE) дает администраторам возможность формировать единую упрощенную политику для множества методов доступа и типов устройств. ISE позволяет ИТ-отделам внедрять автоматические правила контроля доступа с помощью политики, регулирующей вопросы информационной безопасности, управления устройствами и аутентификацией пользователей независимо от того, через какую сеть: проводную, беспроводную или виртуальную частную, — сотрудники подключаются к корпоративным ресурсам.

Новая версия Cisco ISE расширяет возможности управления мобильными устройствами (MDM)  и хорошо интегрируется с лучшими отраслевыми решениями, совершенствуя управление мобильными устройствами и создавая единое упрощенное решение для управления политиками.

Список поддерживаемых на настоящий момент платформ MDM выглядит следующим образом:

• Good Technology;
• Airwatch;
• Fiberlink;
• MobileIron;
• SAP/Afaria;
• Citrix/ZenPrize.

В архитектуре ISE каждый управляющий сервер выполняет одну из ролей, приведенных в таблице.

Роль сервера	Значение
Администрирование	Выполняет конфигурирование всех опций, относящихся к аутентификации, авторизации и учету (Accounting).
Сервис политик	Обеспечивает доступ к сети, гостевой доступ, профилирование, оценку состояния устройства
Сервис мониторинга	Собирает журналы событий, устанавливает корреляцию между различными событиями.
Оценка состояния устройства (Posture Assesment Node)	Служит привратником (Gatekeeper) для уже прошедшего авторизацию устройства.

Далее приведены краткие характеристики платформ MDM, поддерживаемых Cisco ISE.

I SAP Afaria

Решение SAP Afaria уменьшает сложность управления мобильными Android устройствами путем установки приложений в режиме over-the-air (OTA) и управление функциональностью мобильных устройств без вмешательства пользователей. В целях упрощения использования пакет Afaria может управляться через различные порты, включая Bluetooth, WiFi, камеру и микрофон. Обеспечение безопасности осуществляется использованием улучшенной политики паролей, новейших функций управления и различными настройками для Exchange Active Sync. Кроме того, решение SAP Afaria включает обновленные функции управления приложениями, включая использование списка запрещенных приложений и предотвращение установки приложений пользователями мобильных устройств.

II MobileIron MyPhone@Work

Решение MobileIron MyPhone@Work представляет собой портал для самоуправления пользователями своими мобильными устройствами. Это решение обеспечивает визуальный контроль за использованием данных на смартфонах, что позволяет администраторам осуществлять мониторинг за мобильными устройствами персонала компании. Простое в установке решение MobileIron обеспечивает профессионалам безопасность их данных и сокращение расходов на контроль без ущерба для конфиденциальности. Кроме того, оно позволяет вам быстро находить и устранять возникшие проблемы и фиксировать затратные или потенциально опасные действия, что обеспечивает лучшую защиту вашего бизнеса.

III Решение AirWatch MDM

Решение AirWatch MDM входит в состав платформы AirWatch Enterprise Mobility Management (EMM) по корпоративной мобильности и состоит из четырех модулей:

• AirWatch Mobile Device Management
• AirWatch Mobile Application Management
• AirWatch Mobile Email Management
• AirWatch Mobile Content Management

Каждый из этих модулей обеспечивает ключевой функционал по защите и управлению определенного аспекта корпоративной мобильности, а все вместе они помогают организовать комплексную систему работы с мобильными устройствами в корпоративной среде.

Решение AirWatch MDM является на сегодняшний день передовым в отрасли решением для простого и эффективного контроля за всеми мобильными устройствами, используемыми в компании. Решение AirWatch позволяет управлять устройствами на базе Android, Apple, BlackBerry, Mac OS X, Symbian и Windows через единую консоль управления, осуществлять поддержку конечных пользователей и обеспечивать сопровождение этих устройств на протяжении всего жизненного цикла.

Это решение обеспечивает безопасность коммуникаций благодаря надежной системе защиты и управления настройками, позволяющими пользователям получать доступ к корпоративным документам. AirWatch MDM дает возможность осуществлять визуальный контроль за всеми устройствами мобильного сегмента, администрировать политики безопасности для всех устройств и легко масштабировать сеть мобильных устройств.

IV AirWatch Mobile Application Management (MAM)

Сотрудники используют мобильные приложения для доступа к корпоративным ресурсам, повышения производительности и совместной работы. Одной из важнейших задач является предоставление доступа к общедоступным и внутренним корпоративным приложениям, которые разрешены к использованию в вашей организации.Модуль AirWatch Mobile Application Management (Управление мобильными приложениями — MAM) позволяет управлять внутренними, коммерческими и корпоративными приложениями на уровне сотрудников, личных и рабочих устройств организации. Специальный Корпоративный магазин приложений AirWatch позволяет удобно распространять, следить, обновлять и защищать корпоративные приложения.

V AirWatch Mobile Email Management (MEM)

Корпоративная почта на мобильных устройствах является наиболее критичной функцией для современных сотрудников. При этом необходимо не просто обеспечить доступ к корпоративной электронной почте, но и гарантировать безопасность этого доступа для избежания утечки информации.Модуль AirWatch Mobile Email Management (Управление мобильной почтой — MEM) предоставляет функционал для обеспечения высокой защищенности корпоративной почтовой инфраструктуры. AirWatch позволяет контролировать устройства, получающие доступ к почте, предотвращать несанкционированный доступ, шифровать конфиденциальную информацию и применять различные политики безопасности и соответствия стандартам.Среди поддерживаемых почтовых серверов — Exchange 2003, 2007 и 2010, а также облачные сервисы Gmail, MS Office365 и BPOS.

VI AirWatch Mobile Content Management (MCM)

Все чаще сотрудники работают с конфиденциальными рабочими документами на своих мобильных устройствах. При этом необходим как защищать корпоративные данные, так и предоставлять сотрудником доступ к актуальным версиям документов на их мобильных устройствах в любое время и в любом месте. Модуль AirWatch Mobile Content Management (Управление мобильным контентом — MCM) позволяет осуществлять защищенный доступ к рабочим файлам и документам через специальное мобильное приложение. В модуль AirWatch MCM входят два приложения: Secure Content Locker и Secure Browser.AirWatch Secure Content Locker позволяет сотрудникам получать оперативный доступ к офисным документам и прочим файлам, расположенным в общих папках, SharePoint-сайтах и доступным по WebDAV, делая доступными эти файлы на мобильных устройствах.

AirWatch Secure Browser является защищенным браузером, разработанным для мобильных платформ Apple iOS и Android. Браузер позволяет получить доступ к Интранет-сайтам (внутренним сайтам компании), либо же организовать фильтрованый или ограниченный доступ в сеть Интернет с мобильных устройств. VII Поддерживаемые платформы: Apple iOS Android, в том числе Kindle Fire, Windows Phone, BlackBerry, Windows Mobile, Windows CE и PPC 2003 Nokia Symbian, Apple Mac OS X, Windows 8 / RT. Расширения и интерфейсы Samsung SAFE и Samsung KNOX. Расширения и интерфейсы HTC, Lenovo, LG.