Защита корпоративной информации на мобильных устройствах с Oracle Mobile Security Suite
За последние несколько лет мобильные устройства основательно вошли в нашу жизнь, так что мы не представляем себе как раньше обходились без них. Каждый помнит то неуютное ощущение, когда телефон забыт дома или разрядился. Смартфоны и планшеты помогают нам во всех сферах жизни и теперь все больше бизнес-процессов оказываются связаны с использованием этих устройств. В то же время перед компаниями возникает довольно серьезная проблема — защита корпоративной информации. Представьте, что вы забыли свой смартфон на столике в кафе или оставили планшет в зале ожидания аэропорта, ваша почта, список контактов, удаленный доступ к внутренней сети компании, все это может оказаться в чьих угодно руках. И уж совсем печальные перспективы рисуются при мысли о том, что телефон у вас могут вытащить из кармана целенаправленно для получения этой информации.
При решении вопроса защиты мобильного устройства, возникает еще и вопрос удобства его защищенного использования. Например, сколько раз в день вам придется вводить пароль для доступа к телефону и что будет с личной информацией, если при потере требуется удалить конфиденциальные рабочие документы?
В этой статье мы рассмотрим как мобильная стратегия Oracle позволяет обеспечить защиту корпоративных приложений и конфиденциальных данных в мобильном окружении. Существуют несколько подходов к вопросу предоставления мобильного доступа сотрудникам и речь пойдет о двух основных вариантах — Mobile Device Management (MDM) и Mobile Application Management (MAM).
MDM и MAM
Не обязательно защищать весь смартфон, но основные данные и приложения защитить нужно. Необходимо дать сотрудникам удобные мобильные приложения, а не просто защищенный доступ к электронной почте.
• Mobile Device Management – управление мобильным устройством, при этом подходе используется удаленное управление устройством целиком, включая управление аппаратными функциями. MDM нужен когда требуется запретить пользователю использовать камеру устройства или делать снимки с экрана. Устанавливая на мобильное устройство MDM, владелец соглашается передать полное управление устройством администратору MDM системы. Это не значит, что администратор получит доступ к личной информации, это означает, что в случае утери устройства будет возможность послать на него сигнал возврата к заводским настройкам и в этом случае сотрется вся информация, как корпоративная, так и личная. Проблема потери личной информации уменьшается, если у пользователя настроена облачная синхронизация, контакты, фотографии, заметки и даже прогресс прохождения некоторых игр могут быть восстановлены и облака.
• Mobile Application Management – управление мобильными приложениями, при этом подходе не предоставляются права на все устройство, а управление ограничивается только приложениями и данными, относящимися к этим приложениям. В случае утери устройства администратор посылает сигнал на стирание только корпоративной информации с устройства или блокировку входа пользователя только в корпоративное рабочее пространство и корпоративные приложения. Если владелец найдет свой потерянный телефон или планшет, то в данном случае он не потеряет ничего личного. MAM позволяет с удобством использовать корпоративное устройство как личное, корпоративная информация и корпоративные приложения при этом находятся в так называемом «контейнере», а личная информация и личные приложения — вне контейнера.
Многие компании хотят использовать оба подхода одновременно, либо предоставляя сотрудникам самостоятельную возможность выбора способа подключения, либо разделяя сотрудников на группы в зависимости от должностных обязанностей, ведь не все сотрудники имеют доступ к конфиденциальной информации и не для всех требуется повышенный контроль.
Oracle Mobile Security Suite
Мобильная стратегия Oracle предоставляет возможность использовать оба подхода, как MAM, так и MDM. В обоих случаях у сотрудника на мобильном устройстве будет установлено приложение-контейнер – это рабочая область, содержащая в себе набор других корпоративных приложений, обеспечивающая единый вход в эти приложения и защиту содержимого. Только в случае установки MDM варианта придется поставить дополнительный профиль/сертификат, подтверждая тем самым, что вы согласны на удаленное управление устройством.
Oracle Mobile Security Suite выделяет контейнер, в котором изолируются корпоративные данные. Внутри контейнера — дисциплина и порядок, контейнер поддерживает удаленную очистку и обновление политик. Все корпоративные данные хранятся внутри контейнера, их передача в другие области запрещена.
После того, как вы устанавливаете контейнер, в нем появляется несколько готовых приложений:
• корпоративный браузер предназначен для использования с внутренними ресурсами, администратор определяет что будет разрешено просматривать через этот браузер. Доступ к внутренним веб-ресурсам и веб-приложениям компании настраивается так, что бы можно было попасть туда только из корпоративной сети или из браузера внутри мобильного контейнера.
• почтовый клиент для корпоративной почты;
• редактор документов и файловый менеджер для работы с корпоративными документами;
• бизнес-приложения предприятия — любые приложения, которые помещены в контейнер;
• корпоративный каталог приложений — для того, чтобы получить на смартфон контейнеризированные приложения, существует отдельный каталог, не похожий на App Store или Play Market.
Но при этом в распоряжении пользователя остается браузер для обычных интернет-ресурсов; обычный почтовый клиент для личной почты; привычные приложения и доступ в App Store или Play Market.
Все корпоративные документы сохраняются на устройство в зашифрованном виде. Злоумышленник или случайный человек, которому достался смартфон под управлением Oracle Mobile Security Suite, не сможет получить доступ к приложениям и документам в контейнере. И даже если смартфон не подключен к сети и не поддается удаленной очистке, то взломав его и получив документы, прочитать их не получится, они будут открываться в нечитаемом виде.
Политики
Политики определяют множество параметров: способ авторизации для данной группы пользователей, на каких устройствах и операционных системах разрешено использовать контейнер, какие приложения будут доступны в каталоге у пользователя, разрешать ли доступ из определенной геопозиции и в определенное время, какой будет таймаут у сессии и т.д. Также политики управляют всеми функциями при передаче данных между контейнером и незащищенной областью телефона — сохранением данных, копированием-вставкой, электронной почтой, мгновенными сообщениями, видеоконференциями, социальными сетями, печатью, запуском программ, перетаскиванием данных из одного приложения в другое (AirDrop), медиа-галереей, контактами. Каждый авторизованный пользователь входит в ту или иную группу, к группе применяется одна или несколько политик.
Если нужно удаленно стереть данные, когда смартфон потерян, сотрудник обращается к администратору, администратор отправляет на смартфон push-уведомление, и при использовании MAM варианта — данные, относящиеся к контейнеру и его приложениям, удаляются с устройства. В случае использования MDM — все устройство возвращается к заводским настройкам.
Oracle Mobile Security Suite использует различные механизмы для определения Jailbreak- и root-устройств. При помощи политик администратор определяет, разрешает ли он пользователям со взломанными устройствами устанавливать контейнер. Кроме того, можно разрешить пользователям видеть определенные приложения только с определенных устройств или при помощи определенных версий iOS и Android, что будет полезно, если приложение может работать не на всех версиях операционной системы.
Туннель приложения
Один из способов предоставления доступа к внутренним ресурсам – это организация VPN соединения с мобильного устройства. Oracle Mobile Security Suite не использует VPN-соединение — вместо этого от приложения или от контейнера к серверной части открывается взаимно аутентифицированный SSL-туннель. Доступ к внутренней сети при этом открывается только для приложений из «белого» списка — а в случае VPN-соединения любые приложения, скачанные пользователем, получили бы доступ со смартфона в корпоративную сеть.
Туннель приложения оптимизирован для мобильного трафика, и решение поддерживает прозрачное переключение между Wi-Fi и 3G — то есть, если вы, работая с документом «на ходу», покинули зону Wi-Fi и ваш смартфон переключился на 3G, вы можете спокойно продолжать работу, связь не прервется и сессия не потеряется.
Контейнеризация приложений
Oracle Mobile Security Suite сразу предоставляет вам все, что нужно, чтобы безопасно работать с веб-приложениями — а именно, безопасный браузер. Если же в информационной системе вашего предприятия нужно использовать автономные приложения, то их придется провести через процесс контейнеризации.
Чтобы контейнеризовать приложение, его нужно подписать специальным сертификатом — в случае iOS это официальный сертификат разработчика Apple. Для этого в Oracle Mobile Security Suite входит инструмент для контейнеризации, у которого всего две функции: подписать приложение и внедрить в него свой код – создать так называемую обертку для приложения. Перед тем, как приложение сделает вызов к операционной системе, эта обертка перехватит этот вызов и проверит политику – можно ли это действие выполнять данному пользователю? Чтобы контейнеризовать приложение независимого разработчика, нужно с ним связаться и получить неподписанную версию приложения без сертификата. Подписанное приложение администратор загружает в корпоративный каталог, после чего любой сотрудник с правом доступа сможет установить приложение к себе на устройство — и не просто на устройство, а в защищенный контейнер.
Код основных механизмов защиты Oracle Mobile Security Suite обфусцирован, чтобы его сложно было декомпилировать. Ключи, которыми шифруется защищенный контент и приложения, управляются и хранятся только в оперативной памяти устройства и безопасно удаляются, когда в них отпадает необходимость.
Интеграция с Oracle Access Manager и Oracle Identity Governance
В новом релизе OMSS тесно интегрирован с другими продуктами Oracle. Интерфейсы управления Oracle Mobile Security Suite и Oracle Access Manager объединили в единую консоль управления политиками.
Такая интеграция позволяет централизовано администрировать продукты и использовать возможности OAM на мобильных устройствах. Например, OMSS может использовать Oracle Access Manager для выполнения контекстной пошаговой аутентификации на основе рисков во время регистрации пользователя или во время его входа в защищенное приложение. Пошаговая аутентификация это дополнение к основному паролю, она может быть выполнена в виде ответов на контрольные вопросы или в виде дополнительного ввода одноразового пароля. Эта функция доступна если защищаемое приложение настроено на использование OAuth2.
Oracle Mobile Security Suite может быть установлен совместно с консолью самоуправления Oracle Identity Governance. При использовании такой интеграции в одном интерфейсе видно кто к каким системам компании имеет доступ, какими мобильными устройствами пользуется сотрудник и какие приложения на них установлены.
Сертификация
Решения по информационной безопасности Oracle проходят сертификацию Федеральной службой по техническому и экспортному контролю (ФСТЭК России), вы увидите их по ссылке — это блог Oracle по информационной безопасности.