Pull to refresh

Comments 5

Не понял. Android пока только ограниченный набор устройств с KNOX?
В локальном варианте да. Есть облачная реализация DRS, она поддерживает любые устройства Android 4+. Детали и дополнительные ссылки здесь.
Здравствуйте!
Извините, не вполне понял, где в данном механизме повышается защищенность системы.
То, что везде удобно носить с собой, легко может быть потеряно или украдено. Любой новый «владелец» устройства любопытства ради или же по злому умыслу может попытаться «поизучать» URLs в history браузера. И при сохраненных cookies, которые наверняка используются на личных устройствах, получить доступ в том числе к приложениям организации не составит труда.
Это совершенно понятно. Далее:
В доменной сети средствами групповых политик подобных ситуаций легко избежать.
<...>
Как быть с устройствами, которые в домен включить невозможно? Подходы могут быть разными: можно настроить обязательное использование пароля или PIN-кода для входа на устройство, можно сгенерировать и установить сертификат на планшет.
Здесь вопрос: а как сертификат помогает избежать компрометации в случае утери ноутбука? Украли ноутбук, открыли историю браузера, нашли страницу с корпоративным порталом — сертификат все так же подгрузился, и злоумышленник уже в системе. В чем отличие от схемы, где используется только пароль?
Далее вы говорите следующее:
Давайте вернемся к ситуации с утерей/кражей планшета. Если устройство уже зарегистрировано, для приложения реализован SSO, и устройство попало в чужие руки. Первая линия защиты – пароль или PIN-код для входа в устройство. Для недоменных устройств обязательную блокировку можно включить, например, через Microsoft Intune или другое MDM-решение. Если этого не было сделано? Получается, мы дали злоумышленнику дополнительные козыри – ему остается просто открыть браузер и набрать URL. Очевидно, в такой ситуации владелец должен как можно быстрее оповестить свою службу ИТ.
Выходит, что на устройстве никакой дополнительной защиты не получается.
После некоторого раздумья я пришел к выводу, что данное решение принципиально на безопасность подключения к системе практически не влияет, и главная его прелесть именно в стандартизации процедуры подключения пользователей и в упрощении администрирования этих подключений. Это действительно так или я где-то ошибся?
И да, и нет. Для доступа к приложению на устройстве должен быть сертификат. Если злоумышленник каким-то образом узнал ваш пароль (например, подсмотрел, сидя рядом в аэропорту), он все равно не сможет воспользоваться им со своего (любого) устройства. Пока не выполнит регистрацию устройства. Чтобы он не смог выполнить регистрацию своего устройства, зная только ваш логин и пароль, для процесса регистрации можно и даже нужно подключить MFA.
Теперь перейдем к ситуации с кражей устройства. Действительно, если регистрация устройства уже была выполнена, и сертификат в системе, от момента кражи до момента, когда об этом узнает служба ИТ, злоумышленник может получить доступ к приложению. В отличие от ситуации, когда сертификат находится на смарт-карте или USB-ключе, и для доступа нужно завладеть и планшетом, и смарт-картой. Но это неизбежное следствие использования личных устройств для доступа к корпоративным данным. И каждая организация решает для себя, приемлем ли такой компромисс между безопасностью и удобством.
Наконец, как только ИТ-отдел узнает о краже, путем блокировки сертификата, блокируется доступ с конкретного устройства. Это можно рассматривать исключительно как упрощение администрирования, либо как характеристику системы безопасности, благодаря которой, оценив риски, мы решим реализовать такой сценарий, либо же решим этого не делать.
Only those users with full accounts are able to leave comments. Log in, please.