Прошло время, когда контроль сетевой активности пользователей ограничивался только на уровне конечных рабочих станций, с помощью корпоративного прокси-сервера и межсетевого экрана. Сейчас у каждого сотрудника есть как минимум смартфон с мобильным интернетом (если не брать в расчет специализированные рабочие места, где это запрещено), которым он успешно может пользоваться на территории компании, как в безобидной форме, так и с менее доброжелательным умыслом — этого мы исключать не можем. Также мобильные устройства сотрудники повсеместно используют и для работы, не ограничиваясь только лишь звонками. Современные смартфоны позволяют обмениваться любым типом файлов с информацией, содержащей корпоративную тайну в том числе. В связи с этим, у руководителей давно встаёт вопрос о том, как с этим жить и что возможно предпринять.
Сегодня речь пойдёт о прогрессивном решении под названием Proget MDM, задача которого состоит не в ограничении сотрудников в пользовании их личными мобильными устройствами, а в расширении функционала и возможностей устройств, с выгодой для компании, заинтересованной в информационной безопасности.
Система Proget MDM предназначена для централизованного управления мобильными устройствами и предоставления защищенного соединения для передачи данных между серверами компании и устройствами пользователей. В системе возможно активировать как персональные смартфоны или планшеты сотрудников, так и корпоративные устройства, приобретенные организацией для выполнения должностных обязанностей. В первом и во втором случаях схема подключения в систему может быть разной. Например, в личные смартфоны сотрудников возможна мягкая интеграция продукта на уровне приложения, без искажения персонализации, когда как в корпоративные есть возможность встраиваться на уровне системы, с возможностью полного контроля над устройством.
На текущий момент система полноценно поддерживает интеграцию с ведущими мобильными операционными системами, такими как Android и iOS. Также есть поддержка и прочих ОС, но пока мы их затрагивать не будем по причинам, описанным ниже. Следует отдать должное разработчикам, постоянно и активно совершенствующим свой продукт.
Рассмотрим основной функционал системы Proget MDM:
Контроль мобильных устройств
Поддерживаются различные сценарии интеграции — от самого базового, до полного контроля над системой. К устройствам возможно применять политику безопасности, создающую как системные ограничения, так и аппаратные.
Управление приложениями
Возможность дистанционной установки и удаления приложений, выборочной блокировки, создание чёрных и белых списков. При определенной интеграции поддерживается изолированный контейнер в системе, не позволяющий переносить через буфер обмена данные или текст между изолированными и общесистемными приложениями.
Настройка корпоративной среды
Автоматическая настройка корпоративных сервисов, таких как электронная почта, календарь, контакты, сети Wi-Fi, подключения к VPN, передача файлов и прочего. К слову, Proget MDM позволяет передавать файлы корпоративным пользователям на их устройства по защищенному шифрованному каналу через собственное приложение.
Отслеживание местоположения
На основе данных геолокации, собираемых с устройств, система позволяет настраивать различные скрипты. Например, можно запретить снимать фотографии на территории организации, в тоже время за её пределами возможно ограничить доступ к корпоративным данным. В зависимости от операционной системы могут быть некоторые ограничения на использование функции отслеживания местоположения.
Удаленное подключение
Встроенные в приложение Proget MDM средства удаленного подключения позволяют специалистам ИТ-подразделения оперативно оказывать помощь сотрудникам компании и устранять любого рода проблемы, исключая трату времени на разъяснения по телефону.
Очистка корпоративных данных
При утере устройства или увольнении сотрудника, система позволяет своевременно произвести удаление корпоративных данных с мобильного устройства, вплоть до полного сброса системы, избегая попадания конфиденциальной информации третьим лицам.
Интеграция с Active Directory
Система Proget MDM с лёгкостью интегрируется с корпоративной службой каталогов Active Directory по протоколу LDAP, что значительно упрощает её внедрение. Мобильные устройства возможно привязать к текущим учётным записям, упрощая тем самым взаимодействие с пользователями.
Интерфейс системы Proget MDM выполнен в интуитивном и лаконичном виде, выгодно выделяющим его среди конкурентов. Дизайн панели управления разработан в концепции, позволяющей не тратить лишнего времени на изучение функционала. Достаточно лишь краткого экскурса по основным категориям меню, после которого практически любой сможет базово администрировать систему, не говоря уже о специалистах по безопасности, для которых система построена по максимально удобной модели.
Политика лицензирования Proget MDM такая же простая и интуитивная, как и интерфейс. Решение лицензируется по количеству устройств (не пользователей), на этом всё. Редакций нет, лицензий на серверную часть нет. Все, что нужно – знать количество устройств, которые будут управляться в системе. Всегда бы так, правда?
Proget MDM предоставляется в двух версиях: в облаке и так называемом “on-premise”. В первом случае система размещена на мощностях производителя, и всё, что вам необходимо – это пройти регистрацию, после которой вы получаете доступ к демо-стенду, готовому к настройке, лицензированию, и последующей работе. Преимуществом данного подхода является простота развёртывания и сроки запуска, а также отсутствие головной боли по поводу отказоустойчивости сервиса. Недостаток здесь только один – хранение корпоративной информации у третьих лиц. Ни для кого не секрет, что размещение сервисов на собственных ресурсах обеспечивает больший контроль над сохранностью конфиденциальной составляющей данных. Наши специалисты на личном опыте прошли все этапы подготовки и развертывания системы и готовы помочь спроектировать необходимые ресурсы и внедрить Proget MDM.
На подконтрольные устройства Proget MDM ставится по-разному, в зависимости от выбранного типа интеграции. Например, на личном смартфоне сотрудника можно быстро установить приложение Proget MDM прямо из Play Market, ввести учётные данные и готово. В случае с корпоративным смартфоном, настройка может заключаться в полном сбросе устройства с последующей неразрывной интеграцией Proget MDM. Для более прозрачного понимания взаимодействия системы с устройствами пройдёмся по типам интеграции (активации) доступных в решении Proget MDM:
Android MDM
Базовый вид активации, предоставляющий ограниченное управление мобильным устройством через консоль управления администратора. Есть возможность считывать информацию об устройстве, обмениваться сообщениями, передавать файлы по защищенному каналу, оказывать техподдержку, инициировать установку и удаление приложений на устройстве, деактивировать агент Proget. Не поддерживается изоляция рабочей среды (контейнер) и бизнес-документов. Также не видоизменяет персонализацию устройства пользователя.
Android Enterprise - Work Managed Device
Данный тип интегрируется при первом включении устройства, либо при восстановлении заводских настроек. Системная среда мобильного устройства неразрывно связывается с Proget, что позволяет получить максимальные возможности управления операционной системой устройства из консоли управления администратора. Деактивация агента Proget равносильна полному уничтожению информации на устройстве.
Android Enterprise - Work Managed Device
В отличие от предыдущего типа, данная активация встраивается в мобильную операционную систему, не сбрасывая текущие настройки и данные пользователя, обеспечивая при этом поддержку настройки корпоративной среды, о которой мы упоминали ранее. Отличительной особенностью является использование контейнеризации. Proget создает во время установки отдельную область в памяти устройства - контейнер. Эта область является независимой и полностью изолированной от остальной памяти устройства. Относится это как к файлам, так и к приложениям, способным распознавать эти самые файлы. Переносить информацию с помощью буфера обмена из контейнера невозможно, что является большим преимуществом в плане безопасности. Следует обратить внимание, что данный тип активации видоизменяет (сбрасывает по умолчанию) персонализацию устройства при первоначальной настройке Proget.
К типам активаций, использующих аналогичный метод контейнеризации, относятся также Samsung Knox MDM и Samsung Knox Container. Данные интеграции максимально раскрывают богатые возможности Proget на устройствах компании Samsung.
iOS MDM
Тип активации, близкий по концепции к Android MDM, но при этом обладающий меньшим функционалом по воздействию на мобильное устройство. Обусловлено это политикой Apple, с чем разработчикам и пользователям приходится лишь смириться. При этом, iOS MDM предоставляет более расширенные возможности в плане тонких настроек системы и профилей безопасности. Контейнеризация не поддерживается. Интеграция не видоизменяет персонализацию устройства пользователя.
Windows MDM
На текущий момент (декабрь 2020 года) позволяет считывать информацию об устройстве, устанавливать обновления, настраивать политику подключения к Wi-Fi, задавать требования к уровню сложности паролей, дистанционной перезагрузке. Основной функционал, сравнимый с вышеперечисленными интеграциями, пока не реализован.
В завершение, хотел бы поделиться собственными впечатлениями. На мой взгляд, Proget MDM — это качественное, исправно работающее в рамках своих возможностей решение. На всех этапах внедрения, от инсталляции до презентации заказчику, система отрабатывает согласно своей документации, без «сюрпризов» и «подводных камней». Но при всех описанных преимуществах, считаю, что на текущий момент решение лучше использовать с Android устройствами, так как именно с этой ОС Proget MDM раскрывает весь свой потенциал. Но повторюсь, ситуация может измениться стремительно. Возможно, и Apple когда-либо изменит свою политику касательно MDM технологий.