В своих предыдущих статьях я вскользь уже упоминал о программных продуктах для управления корпоративной мобильностью. Сегодня постараюсь более подробно рассказать о том, для чего нужно такое ПО, в каких случаях его стоит применять и на какие ограничения и особенности при его выборе необходимо обращать внимание. А также вкратце рассмотрим отличительные черты Citrix XenMobile в трех его редакциях. Всех интересующихся – прошу под кат.
Начнем с того, что разделим технологии: есть мобильные рабочие места с точки зрения организации бизнеса как такового. Если у компании есть сотрудники, которые большую часть времени вынуждены проводить вне офиса, и при этом им нужен доступ к корпоративным данным – это главная предпосылка для внедрения корпоративной мобильности. Самый простой пример – большое складское помещение, где сотрудник производит инвентаризацию, и если при этом у него нет средств мобильности, то все данные ему придется записывать на листок бумаги, а уже потом с листа заносить в стационарный компьютер эту информацию. В этой ситуации должно появиться мобильное рабочее место, специализированное устройство, которое позволяет ему считывать метки с соответствующей коробки. Указав ее точное местоположение на складе, система автоматически обновит сведения в базе данных.
Когда у предприятия есть соответствующие предпосылки для внедрения мобильных рабочих мест, встает вопрос выбора путей реализации данной концепции. Одна из возможностей реализации – это XenMobile. Основной нюанс использования данного ПО заключается в том, что выполнение приложения осуществляется локально на пользовательском устройстве. Следовательно, у компании должны либо уже быть приложения, написанные под эту платформу, либо обязательным условием должна быть поддержка рабочими приложениями той программной платформы, на которую устанавливается XenMobile. Есть второй вариант: можно взять планшет и удаленно подключиться к виртуальным рабочим столам. В этом случае мобильное пользовательское устройство — это своего рода «телевизор», устройство отображения тех процессов, которые выполняются в дата-центре. И то, и другое — удаленный доступ. Главное отличие заключается в том, что в случае XenMobile мы можем работать с приложением даже тогда, когда временно отсутствует подключение к сети (при условии что программисты предусмотрели такую возможность).
Для мобильной платформы есть жесткие ограничения: обязательно должна быть установлена поддерживаемая ОС, при этом список функций будет сильно зависеть от версионности (Android 6 – очень хорошо, а вот версия 2.2. – теоретически и в нее можно интегрировать старые версии XenMobile, но их поддержка со стороны Citrix уже не ведется). Если в компании нет бизнес-приложения под имеющуюся платформу – его нужно будет специально писать. Возможно, придется менять бизнес-процессы, которые были изначально построены из расчета того, что пользователь сидит на своем рабочем месте. Потребуется поменять какое-либо оборудование (самый простой вариант – у пользователя был ПК+сканер, теперь же сканер должен быть встроен в мобильное рабочее место, чтобы существовала возможность автоматически одним устройством и сканировать, и заносить данные в систему). Необходимо тщательно проанализировать, какой из путей внедрения мобильных рабочих мест выбрать. Если идти, отталкиваясь от варианта использования XenMobile в качестве основного средства обеспечения мобильности сотрудника, с точки зрения нагрузки на канал рекомендуется предусмотреть при разработке приложения функцию накопления информации в буфер. Так, если некоторое время канал передачи данных недоступен, то при разработке приложения можно сделать так, что система будет способна работать в офлайн-режиме.
В случае терминального доступа к любым удаленным приложениям или виртуальным десктопам по каналу постоянно что-то передается, как минимум — рабочие пакеты открытой сессии. В случае, когда приложение работает локально, по каналу может вообще ничего не передаваться до тех пор, пока не начнется принудительная отправка данных. С точки зрения виртуальных десктопов и терминальных приложений объем передаваемых данных сильно зависит от приложения. Если в нем заложены какие-либо мультимедийные функции (Flash, обучающие видеоролики), то нагрузка на канал будет весьма существенной. Хорошо, если пользователь достаточно грамотен, чтобы во время работы в терминальном режиме зря не водить пальцем по экрану, когда любое перемещение курсоров фактически должно дать обратную реакцию перерисовки этого курсора на стороне дата центра. В результате, в случае виртуальных десктопов и терминального доступа нагрузка на канал может быть больше. На практике же все зависит от конкретной реализации: как написано приложение, требуется ли обмен больших объемов данных и проч.
При обсуждении этого вопроса, отталкиваемся от того, раздаем ли мы сотрудникам корпоративные устройства или же они используют свои собственные. На складе, скорее всего, раздаем, потому что устройство должно быть совмещено со сканером или считывателем штрих-кодов, RFID-меток. Если же у мобильного сотрудника больше офисных функций, он вполне может использовать собственное мобильное устройство. И на этом устройстве нужно будет провести грань между личными данными пользователя и тем, что ему доставляется с корпоративного сервера. Говоря об устройстве, выдаваемом компанией, у работодателя больше юридических и этических возможностей по полному управлению устройством и запрету определенных действий. В случае с BYOD такие ограничения функциональности всего устройства делать нельзя, так как это будет влиять на личные данные и приложения пользователей.
По большому счету, защита данных в обоих случаях будет изменяться не сильно, кроме того факта, что у устройства выдаваемого компанией, политиками заблокирована часть потенциальных возможностей, которые есть у пользователя. Если мы пишем приложение самостоятельно с использованием того SDK, которое Citrix поставляет в составе XenMobile, то там можно «завернуть» данные и приложение в контейнер. При использовании личных устройств это обязательное условие. При удалённой работе, не в рамках внутренней сети компании, нужно подумать о защите внешнего подключения пользователя к внутрикорпоративным ресурсам.
Citrix рекомендует ставить перед «входом» в дата-центр решение NetScaler, тогда при использовании XenMobile от конкретного приложения строится микро-VPN туннель только к тому ресурсу, который нужен приложению. В рамках мобильного устройства могут работать десятки приложений, которые выходят наружу, и если это приложение корпоративное, то, как только появляется необходимость, оно «стучится» в направлении дата-центра. NetScaler определяет, какой внутренний ресурс нужен этому приложению, и строит туннель только для этого приложения до ресурса. Все обычные пользовательские приложения пользуются привычным каналом передачи данных и их траффик во внутреннюю сеть не попадает. Можно быть спокойным, что неправомерное либо вредоносное пользовательское ПО не попадет в корпоративную сеть. Администратор сети имеет возможность привязать к контейнеру определенные политики: к примеру, разрешать ли операции Copy-Paste с внешними приложениями или нет. В случае business critical-приложений, которые крайне чувствительны к обрабатываемой информации, разрешать такую операцию будет не самой лучшей идеей. Банальный пример: внутри компании делают почтовую рассылку, поздравляющую сотрудников с выигрышем крупного тендера. Официально об этом еще не объявлено, договор не подписан, но сотрудников уже известили. Во многих компаниях, найдутся люди, которые не подумав, готовы поделиться со своими друзьями этой информацией в соцсетях. Однако раз официально это не подтверждено, то публикация таких сведений может нарушить некие обязательства компании. Сотрудники же сделали это не из злых намерений, а по глупости.
Конечно, в случае целенаправленной атаки или же просто при большом желание украсть данные – никто не мешает переписать их с экрана мобильного устройства ручкой на бумагу. Однако применение политик очень сильно помогает нам убрать огромное количество простых пользовательских ошибок, связанных с невнимательностью, небрежностью и т.д. Противостоять направленной атаке только лишь одним приложением XenMobile — это несерьезно и рассчитывать, что не специализированное приложение защитит вас от целенаправленной атаки невозможно. При таких сценариях требуется эшелонированная оборона.
При хранении данных на мобильном устройстве стоит исходить из того, кому принадлежат эти данные. В случае корпоративных данных, при локальном хранении они должны находиться в защищенном контейнере и быть недоступны для других неавторизованных приложений. Это позволяет избежать ситуации, когда мы открываем стандартный почтовый клиент и пытаемся отправить корпоративные документы как вложение. Такую функцию можно заблокировать изначально. При передаче данных между клиентом и дата центром все данные шифруются. XenMobile использует стандартные протоколы шифрования, контейнер и данные при передаче шифруются с помощью AES256, решение сертифицировано в рамках NIST для использования в зарубежных госорганах. Российским пользователям необходимо учесть, что в системе не используются ГОСТ алгоритмы шифрования. Если заказчику нужна именно такая возможность (например, передача персональных данных по публичному каналу), то в этом случае можно использовать совместное решение с компаниями-партнерами, такими как S-Terra, Digital Design — у которых есть решения для защиты канала передачи данных с использованием российских криптографических алгоритмов.
В случае нахождения мобильного устройства во внутренней сети компании (закрытый периметр), ограничений на криптографию почти нет, поэтому можно использовать штатную криптографию XenMobile. При разработке приложения, понимая специфику работы, есть возможность изначально полностью запретить какие-то функциональные возможности или ограничить их использование – запретить снятие скриншота при работе с финансовым приложением, запретить использование камеры, когда пользователь находится внутри приложения, запретить открывать ссылки внешним браузером и т.п.
В случае удаленного доступа, построенного на технологиях виртуальных десктопов и терминальных служб, становится еще проще. Вместе с запуском приложения на устройство передается особый файл — описание того, как подключится к соответствующему ресурсу. Этот файл одноразовый и второй раз по нему подключиться будет невозможно. Подключившись к системам, которые размещены в ЦОДе, канал закрыт стандартной криптографией, и все данные находятся только в ЦОДе. Администратор применяет политики, которые регулируют процесс обмена данными с локальным устройством. Пользователь не ограничивается в выборе устройства, но существует возможность открыть буфер обмена между пользовательским устройством и ЦОД, в нужном направлении от устройства к ЦОДу, от ЦОДа к устройству или в обоих направлениях, а также регулировать, что через этот буфер можно передавать: только текст, либо только графику, либо другой формат данных. Эта часть целиком управляется со стороны дата-центра, и на клиентском устройстве по умолчанию ничего не хранится.
Говоря о терминальном доступе и VDI применительно к их использованию на мобильном устройстве, одним из важных технических параметров является размер экрана, определяющий, насколько пользователю будет комфортно работать на устройстве с малой диагональю. Проблема заключается в том, что мы подключаемся к традиционным приложениям, которые написаны с учетом особенностей ПК и клавиатурного ввода и выбора элементов меню с помощью мыши. У современных мобильных устройств хорошее графическое разрешение, но при этом экран имеет небольшую диагональ в 4-7 дюймов и попасть пальцем в его нужную область довольно трудно. При использовании мобильного устройства с приложениями, написанными специально под мобильную платформу, учитывается специфика устройства. Здесь технические характеристики (процессор/память) будут более важны, чем при использовании терминального доступа.
От мобильной ОС зависит очень много. В основном, что и как мы будем писать под эту платформу, какие возможности ОС предоставляет с точки зрения функционирования приложений. Плюс очень важны версии мобильной ОС, которые меняются достаточно часто, а вместе с ними меняются набор библиотек и доступных функций. У большинства производителей MDM-решений функционал их продуктов примерно одинаков по одной простой причине – они делают только то, что разрешает ОС и её интерфейсы прикладного программирования (API). Если у операционной системы есть функции блокирования тех или иных возможностей — отлично, если нет – MDM ничего не добавит. Поэтому, чем современнее версия «операционки», тем больше возможностей она предоставляет для MDM. Если взять относительно старое устройство, то технически оно сможет работать, можно доставить на него контейнер с данными, но с точки зрения защиты это будет гораздо более уязвимое устройство, нежели с последней версией ОС. Когда пишется приложение под мобильную платформу, то обязательно нужно учитывать объем оперативной памяти устройства, так как приложение выполняется локально. Может оказаться, что не каждое устройство способно полноценно работать в случае BYOD, потому что его характеристики не позволят работать корпоративным приложениям. В этом случае на организационном уровне компании вводится ограничение к техническим характеристикам личных устройств сотрудников: ОС старше определенной версии и технические характеристики не хуже определенного уровня.
С точки зрения канала передачи данных все также очень сильно зависит от самих приложений – как часто оно обменивается данными. Если говорить о первоначальной загрузке приложения на мобильное устройство, то это разовое действие, до момента последующего обновления приложения. Возможностей обычных сотовых сетей 3G/LTE вполне достаточно для наблюдения за устройством или выдачи команд на управление.
Когда перед ИТ-департаментом дополнительно к управлению мобильными устройствами и приложениями ставится задача обеспечения безопасного обмена документами, то программным решениям по управлению обменом информацией будет уделяться особое внимание. И здесь, заказчик либо решает эту задачу с помощью отдельного продукта (но тут возникает вопрос интеграции с существующими решениями), либо покупает редакцию XenMobile Enterprise, куда входит функционал безопасного обмена файлами, и где присутствует агент ShareFile, который способен удаленно на мобильном устройстве редактировать, осуществлять предварительный просмотр документа, сохранять его в защищенную область. В случае, когда администратору поступает сигнал, что устройство украдено/утеряно, он может удаленно зачистить память от тех файлов, которые пользователь хранил на своём устройстве. Приложения, поставляемые Citrix, уже написаны с учетом этой возможности. Во всех остальных случаях можно взять решение типа Google Drive или Microsoft OneDrive, но встанет вопрос, как мобильные бизнес приложения и файловые сервисы интегрировать между собой.
Если мы говорим про обычные корпоративные «файловые сервисы», FTP-каталоги, файловые серверы либо SharePoint – все это также легко интегрировать в XenMobile Enterprise, где к закрытой области пользователя можно подключить внешний ресурс. Причем внешний не только относительно ShareFile, но и внешний относительно компании. Сюда же можно завести и Microsoft OneDrive и еще ряд систем, которые выполняют похожие функции. Но нужно понимать, что внешние облачные ресурсы хранения данных не обеспечивают того уровня безопасности, что ShareFile, входящий в редакцию Enterprise.
Выбор редакции XenMobile зависит от поставленных задач. Редакция MDM обеспечивает исключительно функционал управления мобильным устройством. Когда необходимо дать пользователям возможность подключения к внутреннему Wi-Fi, с использованием цифровых сертификатов, эти сертификаты необходимо автоматически разослать на устройство. Если мы хотим понимать, где находится пользователь, и если это не запрещено законодательством, существует возможность осуществлять трекинг его передвижения. Для того чтобы пользователи на своем устройстве обязательно применяли сложные пароли необходимо настроить политики безопасности. По сути, это основные задачи, решаемые с помощью XenMobile MDM. Чаще всего, когда речь идет о корпоративной мобильности, нужно сделать следующий шаг, в сторону активного использования мобильных приложений. В этом случае рекомендуется редакция Advanced, куда входит функционал MDM и добавляется функционал MAM – Mobile Application Management. Помимо SDK с набором политик, которые можно применить к соответствующему приложению, появляется ряд стандартных мобильных приложений, которые Citrix разработал и поставляет в рамках собственного решения: защищенная почта, защищенный веб-браузер и ряд дополнительных решений. Они предназначены для обеспечения безопасной работы с внутренними ресурсами корпорации, и дальше все зависит от требований и возможностей заказчика – будет ли он писать бизнес-приложения для своих задач под мобильную платформу или его основные задачи это предоставление доступа к почте, к календарю и внутренним порталам.
Enterprise-редакция включает в себя ряд дополнительных приложений, плюс самая весомая часть – возможность использования ShareFile. Это корпоративное облачное хранилище, которое интегрируется с Active Directory и используется сотрудниками компании для обмена файлами с внешними контрагентами и между собственными устройствами. При использовании ShareFile на устройство устанавливается агент, который создает особый раздел в системе, и если файл сохраняется в этот раздел, то он передается в дата-центр и уже оттуда реплицируется на все подключенные устройства пользователя. Суммировав всё выше описанное, процесс выбора необходимой редакции можно свести к следующему алгоритму. Если задача связана только с учетом, регистрацией и обеспечением физической безопасности пользовательских устройств, возможности удаленной очистки, блокировки, то достаточно MDM редакции XenMobile, если добавляется задача распространения и управления мобильными приложениями, их защита, работа с внутрикорпоративными ресурсами в защищенном виде, то правильный выбор – Advanced-редакция. Если же ко всему этому дополнительно нужно обеспечить защищенный обмен файлами не только внутри компании, но и с внешними контрагентами – требуется Enterprise-редакция.
XenMobile может поставляться как отдельное решение в одной из трех редакций, но если компании нужно использовать не только управление корпоративной мобильностью, но и обеспечить удалённый доступ к виртуальному десктопу или терминальным приложениям для всех пользователей организации, то в этом случае рекомендуется воспользоваться пакетом Citrix Workspace Suite, где все эти возможности присутствуют изначально. Но, предположим, ситуация выглядит по-другому: для ста пользователей нужно обеспечить возможность корпоративной мобильности, а полторы тысячи сотрудников работают с терминальными приложениями с тонких клиентов. В этом случае Workspace Suite будет не самым экономически оправданным вариантом, дешевле будет просто купить отдельные лицензии XenApp или XenDesktop для этих полутора тысяч человек и дополнительно сто лицензий на XenMobile.
С точки зрения MDM решений – все игроки на рынке приблизительно одинаковы. Основные отличия будут в основном заключаться в том, насколько комфортно администратору обслуживать систему, насколько легко происходит регистрация и управление устройствами, внесение изменений в существующие политики. Если заказчик рассматривает только MDM, то необходимо определиться, какой из продуктов его администраторам ближе, понятнее, насколько быстро они могут начать работать в той или иной системе. Фактически, это и будет ключевое отличие. С точки зрения управления приложениями (MAM) начинаются нюансы – работа со сторонними вендорами, поддерживается ли «обертывание» их приложений в контейнер, есть ли возможность интеграции с DLP-системами, IRM-системами, что еще поставляется кроме систем управления, доступен ли SDK, есть ли возможность строить микро-VPN туннели.
Дополнительные возможности Citrix XenMobile – это богатый функционал политик безопасности, а также поставляемый SDK и дополнительные мобильные приложения.
В зависимости от того, какая редакция выбрана, есть некий базис, на который можно опираться при расчетах. С точки зрения расчета стоимости внедрения XenMobile стоит смотреть на два основных его параметра – то, что выполняется в ЦОДе, и что находится на пользовательском устройстве. Все, что доставляется на пользовательское устройство, уже включено в лицензию или разрабатывается компанией-заказчиком самостоятельно? Как в системе появляются устройства: компания раздает их сотрудникам или же применяется подход BYOD? Как используются внешние каналы? Если это склад или часть подразделения, использующая только внутреннюю сеть компании – затраты на сеть в принципе можно не учитывать, она и так уже есть, добавляется только новый трафик. Если же сотрудник работает в «полях» то необходимо также заложить компенсацию расходов на мобильный интернет.
Если мы говорим про MDM, то там нужен только XenMobile MDM, который лицензируется либо по пользователям (тогда пользователь может применять неограниченное количество устройств), либо по устройствам (неограниченное количество пользователей). Если происходит многосменная работа с передачей устройств от смены к смене, то использовать схему лицензирования по пользователям не имеет смысла. С точки зрения затрат на инфраструктурную часть, это одна виртуальная машина, которая включена в Citrix-лицензию. Ее можно установить на уже существующую платформу виртуализации либо скачать бесплатный XenServer и развернуть ее там. Это минимальные затраты.
Когда мы переходим к MAM, то в обязательном порядке появляется NetScaler – это дополнительный компонент, который нужно купить, он обеспечивает SSL микро-VPN подключение. Если NetScaler нет в системе и не планируется его покупать, то теряется часть возможностей MAM. У ряда заказчиков есть VPN-концентратор, который обеспечивает полноценный VPN доступ, но без построения микро-VPN тоннеля. В данном случае несколько уменьшается уровень безопасности передачи данных. NetScaler может поставляться в качестве аппаратного или виртуального устройства. Одна виртуальная машина NetScaler при использовании с XenMobile обеспечивает работу до 500 сотрудников. Для больших масштабов – тысячи и десятки тысяч пользователей рекомендуется аппаратное решение. Кроме того, необходимо помнить о затратах на обучение администратора. Важно, чтобы он понимал общую логику системы: как можно регистрировать пользователей, устройства, управлять ими и распространять приложения. И, скорее всего, большая часть затрат будет связана с созданием или адаптацией приложений или их закупкой. Так что расчет стоимости доставки одного мобильного рабочего места вполне предсказуем. Остальное – это специфика компании.
Предпосылки бизнеса к внедрению средств доставки мобильных рабочих мест
Начнем с того, что разделим технологии: есть мобильные рабочие места с точки зрения организации бизнеса как такового. Если у компании есть сотрудники, которые большую часть времени вынуждены проводить вне офиса, и при этом им нужен доступ к корпоративным данным – это главная предпосылка для внедрения корпоративной мобильности. Самый простой пример – большое складское помещение, где сотрудник производит инвентаризацию, и если при этом у него нет средств мобильности, то все данные ему придется записывать на листок бумаги, а уже потом с листа заносить в стационарный компьютер эту информацию. В этой ситуации должно появиться мобильное рабочее место, специализированное устройство, которое позволяет ему считывать метки с соответствующей коробки. Указав ее точное местоположение на складе, система автоматически обновит сведения в базе данных.
Когда у предприятия есть соответствующие предпосылки для внедрения мобильных рабочих мест, встает вопрос выбора путей реализации данной концепции. Одна из возможностей реализации – это XenMobile. Основной нюанс использования данного ПО заключается в том, что выполнение приложения осуществляется локально на пользовательском устройстве. Следовательно, у компании должны либо уже быть приложения, написанные под эту платформу, либо обязательным условием должна быть поддержка рабочими приложениями той программной платформы, на которую устанавливается XenMobile. Есть второй вариант: можно взять планшет и удаленно подключиться к виртуальным рабочим столам. В этом случае мобильное пользовательское устройство — это своего рода «телевизор», устройство отображения тех процессов, которые выполняются в дата-центре. И то, и другое — удаленный доступ. Главное отличие заключается в том, что в случае XenMobile мы можем работать с приложением даже тогда, когда временно отсутствует подключение к сети (при условии что программисты предусмотрели такую возможность).
Для мобильной платформы есть жесткие ограничения: обязательно должна быть установлена поддерживаемая ОС, при этом список функций будет сильно зависеть от версионности (Android 6 – очень хорошо, а вот версия 2.2. – теоретически и в нее можно интегрировать старые версии XenMobile, но их поддержка со стороны Citrix уже не ведется). Если в компании нет бизнес-приложения под имеющуюся платформу – его нужно будет специально писать. Возможно, придется менять бизнес-процессы, которые были изначально построены из расчета того, что пользователь сидит на своем рабочем месте. Потребуется поменять какое-либо оборудование (самый простой вариант – у пользователя был ПК+сканер, теперь же сканер должен быть встроен в мобильное рабочее место, чтобы существовала возможность автоматически одним устройством и сканировать, и заносить данные в систему). Необходимо тщательно проанализировать, какой из путей внедрения мобильных рабочих мест выбрать. Если идти, отталкиваясь от варианта использования XenMobile в качестве основного средства обеспечения мобильности сотрудника, с точки зрения нагрузки на канал рекомендуется предусмотреть при разработке приложения функцию накопления информации в буфер. Так, если некоторое время канал передачи данных недоступен, то при разработке приложения можно сделать так, что система будет способна работать в офлайн-режиме.
В случае терминального доступа к любым удаленным приложениям или виртуальным десктопам по каналу постоянно что-то передается, как минимум — рабочие пакеты открытой сессии. В случае, когда приложение работает локально, по каналу может вообще ничего не передаваться до тех пор, пока не начнется принудительная отправка данных. С точки зрения виртуальных десктопов и терминальных приложений объем передаваемых данных сильно зависит от приложения. Если в нем заложены какие-либо мультимедийные функции (Flash, обучающие видеоролики), то нагрузка на канал будет весьма существенной. Хорошо, если пользователь достаточно грамотен, чтобы во время работы в терминальном режиме зря не водить пальцем по экрану, когда любое перемещение курсоров фактически должно дать обратную реакцию перерисовки этого курсора на стороне дата центра. В результате, в случае виртуальных десктопов и терминального доступа нагрузка на канал может быть больше. На практике же все зависит от конкретной реализации: как написано приложение, требуется ли обмен больших объемов данных и проч.
Защита корпоративных данных при доставке мобильных рабочих мест
При обсуждении этого вопроса, отталкиваемся от того, раздаем ли мы сотрудникам корпоративные устройства или же они используют свои собственные. На складе, скорее всего, раздаем, потому что устройство должно быть совмещено со сканером или считывателем штрих-кодов, RFID-меток. Если же у мобильного сотрудника больше офисных функций, он вполне может использовать собственное мобильное устройство. И на этом устройстве нужно будет провести грань между личными данными пользователя и тем, что ему доставляется с корпоративного сервера. Говоря об устройстве, выдаваемом компанией, у работодателя больше юридических и этических возможностей по полному управлению устройством и запрету определенных действий. В случае с BYOD такие ограничения функциональности всего устройства делать нельзя, так как это будет влиять на личные данные и приложения пользователей.
По большому счету, защита данных в обоих случаях будет изменяться не сильно, кроме того факта, что у устройства выдаваемого компанией, политиками заблокирована часть потенциальных возможностей, которые есть у пользователя. Если мы пишем приложение самостоятельно с использованием того SDK, которое Citrix поставляет в составе XenMobile, то там можно «завернуть» данные и приложение в контейнер. При использовании личных устройств это обязательное условие. При удалённой работе, не в рамках внутренней сети компании, нужно подумать о защите внешнего подключения пользователя к внутрикорпоративным ресурсам.
Citrix рекомендует ставить перед «входом» в дата-центр решение NetScaler, тогда при использовании XenMobile от конкретного приложения строится микро-VPN туннель только к тому ресурсу, который нужен приложению. В рамках мобильного устройства могут работать десятки приложений, которые выходят наружу, и если это приложение корпоративное, то, как только появляется необходимость, оно «стучится» в направлении дата-центра. NetScaler определяет, какой внутренний ресурс нужен этому приложению, и строит туннель только для этого приложения до ресурса. Все обычные пользовательские приложения пользуются привычным каналом передачи данных и их траффик во внутреннюю сеть не попадает. Можно быть спокойным, что неправомерное либо вредоносное пользовательское ПО не попадет в корпоративную сеть. Администратор сети имеет возможность привязать к контейнеру определенные политики: к примеру, разрешать ли операции Copy-Paste с внешними приложениями или нет. В случае business critical-приложений, которые крайне чувствительны к обрабатываемой информации, разрешать такую операцию будет не самой лучшей идеей. Банальный пример: внутри компании делают почтовую рассылку, поздравляющую сотрудников с выигрышем крупного тендера. Официально об этом еще не объявлено, договор не подписан, но сотрудников уже известили. Во многих компаниях, найдутся люди, которые не подумав, готовы поделиться со своими друзьями этой информацией в соцсетях. Однако раз официально это не подтверждено, то публикация таких сведений может нарушить некие обязательства компании. Сотрудники же сделали это не из злых намерений, а по глупости.
Конечно, в случае целенаправленной атаки или же просто при большом желание украсть данные – никто не мешает переписать их с экрана мобильного устройства ручкой на бумагу. Однако применение политик очень сильно помогает нам убрать огромное количество простых пользовательских ошибок, связанных с невнимательностью, небрежностью и т.д. Противостоять направленной атаке только лишь одним приложением XenMobile — это несерьезно и рассчитывать, что не специализированное приложение защитит вас от целенаправленной атаки невозможно. При таких сценариях требуется эшелонированная оборона.
При хранении данных на мобильном устройстве стоит исходить из того, кому принадлежат эти данные. В случае корпоративных данных, при локальном хранении они должны находиться в защищенном контейнере и быть недоступны для других неавторизованных приложений. Это позволяет избежать ситуации, когда мы открываем стандартный почтовый клиент и пытаемся отправить корпоративные документы как вложение. Такую функцию можно заблокировать изначально. При передаче данных между клиентом и дата центром все данные шифруются. XenMobile использует стандартные протоколы шифрования, контейнер и данные при передаче шифруются с помощью AES256, решение сертифицировано в рамках NIST для использования в зарубежных госорганах. Российским пользователям необходимо учесть, что в системе не используются ГОСТ алгоритмы шифрования. Если заказчику нужна именно такая возможность (например, передача персональных данных по публичному каналу), то в этом случае можно использовать совместное решение с компаниями-партнерами, такими как S-Terra, Digital Design — у которых есть решения для защиты канала передачи данных с использованием российских криптографических алгоритмов.
В случае нахождения мобильного устройства во внутренней сети компании (закрытый периметр), ограничений на криптографию почти нет, поэтому можно использовать штатную криптографию XenMobile. При разработке приложения, понимая специфику работы, есть возможность изначально полностью запретить какие-то функциональные возможности или ограничить их использование – запретить снятие скриншота при работе с финансовым приложением, запретить использование камеры, когда пользователь находится внутри приложения, запретить открывать ссылки внешним браузером и т.п.
В случае удаленного доступа, построенного на технологиях виртуальных десктопов и терминальных служб, становится еще проще. Вместе с запуском приложения на устройство передается особый файл — описание того, как подключится к соответствующему ресурсу. Этот файл одноразовый и второй раз по нему подключиться будет невозможно. Подключившись к системам, которые размещены в ЦОДе, канал закрыт стандартной криптографией, и все данные находятся только в ЦОДе. Администратор применяет политики, которые регулируют процесс обмена данными с локальным устройством. Пользователь не ограничивается в выборе устройства, но существует возможность открыть буфер обмена между пользовательским устройством и ЦОД, в нужном направлении от устройства к ЦОДу, от ЦОДа к устройству или в обоих направлениях, а также регулировать, что через этот буфер можно передавать: только текст, либо только графику, либо другой формат данных. Эта часть целиком управляется со стороны дата-центра, и на клиентском устройстве по умолчанию ничего не хранится.
Требования к техническим параметрам мобильного устройства и каналу передачи данных
Говоря о терминальном доступе и VDI применительно к их использованию на мобильном устройстве, одним из важных технических параметров является размер экрана, определяющий, насколько пользователю будет комфортно работать на устройстве с малой диагональю. Проблема заключается в том, что мы подключаемся к традиционным приложениям, которые написаны с учетом особенностей ПК и клавиатурного ввода и выбора элементов меню с помощью мыши. У современных мобильных устройств хорошее графическое разрешение, но при этом экран имеет небольшую диагональ в 4-7 дюймов и попасть пальцем в его нужную область довольно трудно. При использовании мобильного устройства с приложениями, написанными специально под мобильную платформу, учитывается специфика устройства. Здесь технические характеристики (процессор/память) будут более важны, чем при использовании терминального доступа.
От мобильной ОС зависит очень много. В основном, что и как мы будем писать под эту платформу, какие возможности ОС предоставляет с точки зрения функционирования приложений. Плюс очень важны версии мобильной ОС, которые меняются достаточно часто, а вместе с ними меняются набор библиотек и доступных функций. У большинства производителей MDM-решений функционал их продуктов примерно одинаков по одной простой причине – они делают только то, что разрешает ОС и её интерфейсы прикладного программирования (API). Если у операционной системы есть функции блокирования тех или иных возможностей — отлично, если нет – MDM ничего не добавит. Поэтому, чем современнее версия «операционки», тем больше возможностей она предоставляет для MDM. Если взять относительно старое устройство, то технически оно сможет работать, можно доставить на него контейнер с данными, но с точки зрения защиты это будет гораздо более уязвимое устройство, нежели с последней версией ОС. Когда пишется приложение под мобильную платформу, то обязательно нужно учитывать объем оперативной памяти устройства, так как приложение выполняется локально. Может оказаться, что не каждое устройство способно полноценно работать в случае BYOD, потому что его характеристики не позволят работать корпоративным приложениям. В этом случае на организационном уровне компании вводится ограничение к техническим характеристикам личных устройств сотрудников: ОС старше определенной версии и технические характеристики не хуже определенного уровня.
С точки зрения канала передачи данных все также очень сильно зависит от самих приложений – как часто оно обменивается данными. Если говорить о первоначальной загрузке приложения на мобильное устройство, то это разовое действие, до момента последующего обновления приложения. Возможностей обычных сотовых сетей 3G/LTE вполне достаточно для наблюдения за устройством или выдачи команд на управление.
Взаимодействие с файловыми ресурсами заказчика и сторонними сервисами при управлении мобильностью
Когда перед ИТ-департаментом дополнительно к управлению мобильными устройствами и приложениями ставится задача обеспечения безопасного обмена документами, то программным решениям по управлению обменом информацией будет уделяться особое внимание. И здесь, заказчик либо решает эту задачу с помощью отдельного продукта (но тут возникает вопрос интеграции с существующими решениями), либо покупает редакцию XenMobile Enterprise, куда входит функционал безопасного обмена файлами, и где присутствует агент ShareFile, который способен удаленно на мобильном устройстве редактировать, осуществлять предварительный просмотр документа, сохранять его в защищенную область. В случае, когда администратору поступает сигнал, что устройство украдено/утеряно, он может удаленно зачистить память от тех файлов, которые пользователь хранил на своём устройстве. Приложения, поставляемые Citrix, уже написаны с учетом этой возможности. Во всех остальных случаях можно взять решение типа Google Drive или Microsoft OneDrive, но встанет вопрос, как мобильные бизнес приложения и файловые сервисы интегрировать между собой.
Если мы говорим про обычные корпоративные «файловые сервисы», FTP-каталоги, файловые серверы либо SharePoint – все это также легко интегрировать в XenMobile Enterprise, где к закрытой области пользователя можно подключить внешний ресурс. Причем внешний не только относительно ShareFile, но и внешний относительно компании. Сюда же можно завести и Microsoft OneDrive и еще ряд систем, которые выполняют похожие функции. Но нужно понимать, что внешние облачные ресурсы хранения данных не обеспечивают того уровня безопасности, что ShareFile, входящий в редакцию Enterprise.
Функциональные различия в редакциях XenMobile: MDM, Advanced и Enterprise Edition
Выбор редакции XenMobile зависит от поставленных задач. Редакция MDM обеспечивает исключительно функционал управления мобильным устройством. Когда необходимо дать пользователям возможность подключения к внутреннему Wi-Fi, с использованием цифровых сертификатов, эти сертификаты необходимо автоматически разослать на устройство. Если мы хотим понимать, где находится пользователь, и если это не запрещено законодательством, существует возможность осуществлять трекинг его передвижения. Для того чтобы пользователи на своем устройстве обязательно применяли сложные пароли необходимо настроить политики безопасности. По сути, это основные задачи, решаемые с помощью XenMobile MDM. Чаще всего, когда речь идет о корпоративной мобильности, нужно сделать следующий шаг, в сторону активного использования мобильных приложений. В этом случае рекомендуется редакция Advanced, куда входит функционал MDM и добавляется функционал MAM – Mobile Application Management. Помимо SDK с набором политик, которые можно применить к соответствующему приложению, появляется ряд стандартных мобильных приложений, которые Citrix разработал и поставляет в рамках собственного решения: защищенная почта, защищенный веб-браузер и ряд дополнительных решений. Они предназначены для обеспечения безопасной работы с внутренними ресурсами корпорации, и дальше все зависит от требований и возможностей заказчика – будет ли он писать бизнес-приложения для своих задач под мобильную платформу или его основные задачи это предоставление доступа к почте, к календарю и внутренним порталам.
Enterprise-редакция включает в себя ряд дополнительных приложений, плюс самая весомая часть – возможность использования ShareFile. Это корпоративное облачное хранилище, которое интегрируется с Active Directory и используется сотрудниками компании для обмена файлами с внешними контрагентами и между собственными устройствами. При использовании ShareFile на устройство устанавливается агент, который создает особый раздел в системе, и если файл сохраняется в этот раздел, то он передается в дата-центр и уже оттуда реплицируется на все подключенные устройства пользователя. Суммировав всё выше описанное, процесс выбора необходимой редакции можно свести к следующему алгоритму. Если задача связана только с учетом, регистрацией и обеспечением физической безопасности пользовательских устройств, возможности удаленной очистки, блокировки, то достаточно MDM редакции XenMobile, если добавляется задача распространения и управления мобильными приложениями, их защита, работа с внутрикорпоративными ресурсами в защищенном виде, то правильный выбор – Advanced-редакция. Если же ко всему этому дополнительно нужно обеспечить защищенный обмен файлами не только внутри компании, но и с внешними контрагентами – требуется Enterprise-редакция.
XenMobile может поставляться как отдельное решение в одной из трех редакций, но если компании нужно использовать не только управление корпоративной мобильностью, но и обеспечить удалённый доступ к виртуальному десктопу или терминальным приложениям для всех пользователей организации, то в этом случае рекомендуется воспользоваться пакетом Citrix Workspace Suite, где все эти возможности присутствуют изначально. Но, предположим, ситуация выглядит по-другому: для ста пользователей нужно обеспечить возможность корпоративной мобильности, а полторы тысячи сотрудников работают с терминальными приложениями с тонких клиентов. В этом случае Workspace Suite будет не самым экономически оправданным вариантом, дешевле будет просто купить отдельные лицензии XenApp или XenDesktop для этих полутора тысяч человек и дополнительно сто лицензий на XenMobile.
Особенности ПО Citrix XenMobile по сравнению с аналогами
С точки зрения MDM решений – все игроки на рынке приблизительно одинаковы. Основные отличия будут в основном заключаться в том, насколько комфортно администратору обслуживать систему, насколько легко происходит регистрация и управление устройствами, внесение изменений в существующие политики. Если заказчик рассматривает только MDM, то необходимо определиться, какой из продуктов его администраторам ближе, понятнее, насколько быстро они могут начать работать в той или иной системе. Фактически, это и будет ключевое отличие. С точки зрения управления приложениями (MAM) начинаются нюансы – работа со сторонними вендорами, поддерживается ли «обертывание» их приложений в контейнер, есть ли возможность интеграции с DLP-системами, IRM-системами, что еще поставляется кроме систем управления, доступен ли SDK, есть ли возможность строить микро-VPN туннели.
Дополнительные возможности Citrix XenMobile – это богатый функционал политик безопасности, а также поставляемый SDK и дополнительные мобильные приложения.
Расчет стоимости доставки мобильного рабочего места
В зависимости от того, какая редакция выбрана, есть некий базис, на который можно опираться при расчетах. С точки зрения расчета стоимости внедрения XenMobile стоит смотреть на два основных его параметра – то, что выполняется в ЦОДе, и что находится на пользовательском устройстве. Все, что доставляется на пользовательское устройство, уже включено в лицензию или разрабатывается компанией-заказчиком самостоятельно? Как в системе появляются устройства: компания раздает их сотрудникам или же применяется подход BYOD? Как используются внешние каналы? Если это склад или часть подразделения, использующая только внутреннюю сеть компании – затраты на сеть в принципе можно не учитывать, она и так уже есть, добавляется только новый трафик. Если же сотрудник работает в «полях» то необходимо также заложить компенсацию расходов на мобильный интернет.
Если мы говорим про MDM, то там нужен только XenMobile MDM, который лицензируется либо по пользователям (тогда пользователь может применять неограниченное количество устройств), либо по устройствам (неограниченное количество пользователей). Если происходит многосменная работа с передачей устройств от смены к смене, то использовать схему лицензирования по пользователям не имеет смысла. С точки зрения затрат на инфраструктурную часть, это одна виртуальная машина, которая включена в Citrix-лицензию. Ее можно установить на уже существующую платформу виртуализации либо скачать бесплатный XenServer и развернуть ее там. Это минимальные затраты.
Когда мы переходим к MAM, то в обязательном порядке появляется NetScaler – это дополнительный компонент, который нужно купить, он обеспечивает SSL микро-VPN подключение. Если NetScaler нет в системе и не планируется его покупать, то теряется часть возможностей MAM. У ряда заказчиков есть VPN-концентратор, который обеспечивает полноценный VPN доступ, но без построения микро-VPN тоннеля. В данном случае несколько уменьшается уровень безопасности передачи данных. NetScaler может поставляться в качестве аппаратного или виртуального устройства. Одна виртуальная машина NetScaler при использовании с XenMobile обеспечивает работу до 500 сотрудников. Для больших масштабов – тысячи и десятки тысяч пользователей рекомендуется аппаратное решение. Кроме того, необходимо помнить о затратах на обучение администратора. Важно, чтобы он понимал общую логику системы: как можно регистрировать пользователей, устройства, управлять ими и распространять приложения. И, скорее всего, большая часть затрат будет связана с созданием или адаптацией приложений или их закупкой. Так что расчет стоимости доставки одного мобильного рабочего места вполне предсказуем. Остальное – это специфика компании.