Прошло время, когда контроль сетевой активности пользователей ограничивался только на уровне конечных рабочих станций, с помощью корпоративного прокси-сервера и межсетевого экрана. Сейчас у каждого сотрудника есть как минимум смартфон с мобильным интернетом (если не брать в расчет специализированные рабочие места, где это запрещено), которым он успешно может пользоваться на территории компании, как в безобидной форме, так и с менее доброжелательным умыслом — этого мы исключать не можем. Также мобильные устройства сотрудники повсеместно используют и для работы, не ограничиваясь только лишь звонками. Современные смартфоны позволяют обмениваться любым типом файлов с информацией, содержащей корпоративную тайну в том числе. В связи с этим, у руководителей давно встаёт вопрос о том, как с этим жить и что возможно предпринять.
Сегодня речь пойдёт о прогрессивном решении под названием Proget MDM, задача которого состоит не в ограничении сотрудников в пользовании их личными мобильными устройствами, а в расширении функционала и возможностей устройств, с выгодой для компании, заинтересованной в информационной безопасности.
Система Proget MDM предназначена для централизованного управления мобильными устройствами и предоставления защищенного соединения для передачи данных между серверами компании и устройствами пользователей. В системе возможно активировать как персональные смартфоны или планшеты сотрудников, так и корпоративные устройства, приобретенные организацией для выполнения должностных обязанностей. В первом и во втором случаях схема подключения в систему может быть разной. Например, в личные смартфоны сотрудников возможна мягкая интеграция продукта на уровне приложения, без искажения персонализации, когда как в корпоративные есть возможность встраиваться на уровне системы, с возможностью полного контроля над устройством.
На текущий момент система полноценно поддерживает интеграцию с ведущими мобильными операционными системами, такими как Android и iOS. Также есть поддержка и прочих ОС, но пока мы их затрагивать не будем по причинам, описанным ниже. Следует отдать должное разработчикам, постоянно и активно совершенствующим свой продукт.
Рассмотрим основной функционал системы Proget MDM:
Контроль мобильных устройств
Поддерживаются различные сценарии интеграции — от самого базового, до полного контроля над системой. К устройствам возможно применять политику безопасности, создающую как системные ограничения, так и аппаратные.
Управление приложениями
Возможность дистанционной установки и удаления приложений, выборочной блокировки, создание чёрных и белых списков. При определенной интеграции поддерживается изолированный контейнер в системе, не позволяющий переносить через буфер обмена данные или текст между изолированными и общесистемными приложениями.
Настройка корпоративной среды
Автоматическая настройка корпоративных сервисов, таких как электронная почта, календарь, контакты, сети Wi-Fi, подключения к VPN, передача файлов и прочего. К слову, Proget MDM позволяет передавать файлы корпоративным пользователям на их устройства по защищенному шифрованному каналу через собственное приложение.
Отслеживание местоположения
На основе данных геолокации, собираемых с устройств, система позволяет настраивать различные скрипты. Например, можно запретить снимать фотографии на территории организации, в тоже время за её пределами возможно ограничить доступ к корпоративным данным. В зависимости от операционной системы могут быть некоторые ограничения на использование функции отслеживания местоположения.
Удаленное подключение
Встроенные в приложение Proget MDM средства удаленного подключения позволяют специалистам ИТ-подразделения оперативно оказывать помощь сотрудникам компании и устранять любого рода проблемы, исключая трату времени на разъяснения по телефону.
Очистка корпоративных данных
При утере устройства или увольнении сотрудника, система позволяет своевременно произвести удаление корпоративных данных с мобильного устройства, вплоть до полного сброса системы, избегая попадания конфиденциальной информации третьим лицам.
Интеграция с Active Directory
Система Proget MDM с лёгкостью интегрируется с корпоративной службой каталогов Active Directory по протоколу LDAP, что значительно упрощает её внедрение. Мобильные устройства возможно привязать к текущим учётным записям, упрощая тем самым взаимодействие с пользователями.
Интерфейс системы Proget MDM выполнен в интуитивном и лаконичном виде, выгодно выделяющим его среди конкурентов. Дизайн панели управления разработан в концепции, позволяющей не тратить лишнего времени на изучение функционала. Достаточно лишь краткого экскурса по основным категориям меню, после которого практически любой сможет базово администрировать систему, не говоря уже о специалистах по безопасности, для которых система построена по максимально удобной модели.
Политика лицензирования Proget MDM такая же простая и интуитивная, как и интерфейс. Решение лицензируется по количеству устройств (не пользователей), на этом всё. Редакций нет, лицензий на серверную часть нет. Все, что нужно – знать количество устройств, которые будут управляться в системе. Всегда бы так, правда?
Proget MDM предоставляется в двух версиях: в облаке и так называемом “on-premise”. В первом случае система размещена на мощностях производителя, и всё, что вам необходимо – это пройти регистрацию, после которой вы получаете доступ к демо-стенду, готовому к настройке, лицензированию, и последующей работе. Преимуществом данного подхода является простота развёртывания и сроки запуска, а также отсутствие головной боли по поводу отказоустойчивости сервиса. Недостаток здесь только один – хранение корпоративной информации у третьих лиц. Ни для кого не секрет, что размещение сервисов на собственных ресурсах обеспечивает больший контроль над сохранностью конфиденциальной составляющей данных. Наши специалисты на личном опыте прошли все этапы подготовки и развертывания системы и готовы помочь спроектировать необходимые ресурсы и внедрить Proget MDM.
На подконтрольные устройства Proget MDM ставится по-разному, в зависимости от выбранного типа интеграции. Например, на личном смартфоне сотрудника можно быстро установить приложение Proget MDM прямо из Play Market, ввести учётные данные и готово. В случае с корпоративным смартфоном, настройка может заключаться в полном сбросе устройства с последующей неразрывной интеграцией Proget MDM. Для более прозрачного понимания взаимодействия системы с устройствами пройдёмся по типам интеграции (активации) доступных в решении Proget MDM:
Android MDM
Базовый вид активации, предоставляющий ограниченное управление мобильным устройством через консоль управления администратора. Есть возможность считывать информацию об устройстве, обмен��ваться сообщениями, передавать файлы по защищенному каналу, оказывать техподдержку, инициировать установку и удаление приложений на устройстве, деактивировать агент Proget. Не поддерживается изоляция рабочей среды (контейнер) и бизнес-документов. Также не видоизменяет персонализацию устройства пользователя.
Android Enterprise - Work Managed Device
Данный тип интегрируется при первом включении устройства, либо при восстановлении заводских настроек. Системная среда мобильного устройства неразрывно связывается с Proget, что позволяет получить максимальные возможности управления операционной системой устройства из консоли управления администратора. Деактивация агента Proget равносильна полному уничтожению информации на устройстве.
Android Enterprise - Work Managed Device
В отличие от предыдущего типа, данная активация встраивается в мобильную операционную систему, не сбрасывая текущие настройки и данные пользователя, обеспечивая при этом поддержку настройки корпоративной среды, о которой мы упоминали ранее. Отличительной особенностью является использование контейнеризации. Proget создает во время установки отдельную область в памяти устройства - контейнер. Эта область является независимой и полностью изолированной от остальной памяти устройства. Относится это как к файлам, так и к приложениям, способным распознавать эти самые файлы. Переносить информацию с помощью буфера обмена из контейнера невозможно, что является большим преимуществом в плане безопасности. Следует обратить внимание, что данный тип активации видоизменяет (сбрасывает по умолчанию) персонализацию устройства при первоначальной настройке Proget.
К типам активаций, использующих аналогичный метод контейнеризации, относятся также Samsung Knox MDM и Samsung Knox Container. Данные интеграции максимально раскрывают богатые возможности Proget на устройствах компании Samsung.
iOS MDM
Тип активации, близкий по концепции к Android MDM, но при этом обладающий меньшим функционалом по воздействию на мобильное устройство. Обусловлено это политикой Apple, с чем разработчикам и пользователям приходится лишь смириться. При этом, iOS MDM предоставляет более расширенные возможности в плане тонких настроек системы и профилей безопасности. Контейнеризация не поддерживается. Интеграция не видоизменяет персонализацию устройства пользователя.
Windows MDM
На текущий момент (декабрь 2020 года) позволяет считывать информацию об устройстве, устанавливать обновления, настраивать политику подключения к Wi-Fi, задавать требования к уровню сложности паролей, дистанционной перезагрузке. Основной функционал, сравнимый с вышеперечисленными интеграциями, пока не реализован.
В завершение, хотел бы поделиться собственными впечатлениями. На мой взгляд, Proget MDM — это качественное, исправно работающее в рамках своих возможностей решение. На всех этапах внедрения, от инсталляции до презентации заказчику, система отрабатывает согласно своей документации, без «сюрпризов» и «подводных камней». Но при всех описанных преимуществах, считаю, что на текущий момент решение лучше использовать с Android устройствами, так как именно с этой ОС Proget MDM раскрывает весь свой потенциал. Но повторюсь, ситуация может измениться стремительно. Возможно, и Apple когда-либо изменит свою политику касательно MDM технологий.
