Вторую часть следует начать с небольшой преамбулы. Дело в том, что как в предыдущей, так и сегодняшней заметке мы не будем говорить о теории, коей на просторах интернета много. Мы будем отталкиваться от конкретной задачи – чем обеспечить безопасность при использовании мобильных устройств сотрудниками компании? В первой части мы говорили про реализацию VPN. Очевидно, что VPN – это далеко не все, но именно с криптографии у нас все начинается и ей же заканчивается ;-) .
Тема сегодняшней заметки - MDM (Mobile Device Management). Именно «MDM-подход», как некий тренд, набирает популярность во всем мире. Но, как будет видно из заметки, на российском рынке у него есть принципиальная проблема, которую непонятно как решать.
Начнем с отечественной разработки от НИИ СОКБ. Это единственное известное решение класса MDM, произведенное в РФ. Основным заказчиком в настоящий момент является ОАО «Газпром». Учитывая, что мы традиционно отстаем от западного рынка на несколько лет, логичным является тот факт, что разработка НИИ СОКБ по своим свойствам напоминает первые западные MDM решения. В чем это проявляется? Во-первых, решение работает только под Symbian. Во-вторых, отсутствует гибкость в использовании устройства, в частности пользователь не может удалить приложение безопасности и получить полный контроль над устройством с потерей функционала по работе с внутренней сетью предприятия (уф… ;-) ). В-третьих, в решении не реализована российская криптография. Получается, что решение рассчитано на компании, которые выдают своим сотрудникам рабочие мобильные устройства Nokia и хотят их контролировать. Планируется версия решения под iOS. Версии под Android пока в планах нет. Планируется сертификация во ФСТЭК.
Теперь поговорим о 2-х западных решениях, которые уже продаются на нашем рынке:
- Mobile Iron (целый комплекс решений для контроля мобильных устройств)
- McAfee Enterprise Mobility Management
Что касается Mobile Iron и McAfee, то имеет смысл рассматривать их вместе, т.к. это глобальные конкуренты и в рамках столь короткого обзора детальные отличия значения не имеют.
Итак, эти решения - мировые лидеры в MDM-мире. Заточены под работу со всеми популярными платформами: iOS, Android, BlackBerry, webOS, WindowsPhone. Условно решения состоят из 3 частей (приложение на мобильном устройстве, приложение на стороне компании и облачный сервис от производителя).
При установке клиентского приложения, которое штатно скачивается из Android Market’а или Apple Store, на мобильном устройстве реализуются ряд политик, которые позволяют создать на устройстве некое подобие доверенной среды. Например, может быть закрыт доступ к некоторым приложениям и разделам. По факту установки клиентского приложения предоставляется доступ к корпоративным сервисам. Приложение на стороне компании получает заданные полномочия по контролю устройства. Не будем перечислять какие ;-) . Преимущество в том, что пользователь может в любой момент удалить приложение и восстановить полный контроль над своим устройством, при этом сервисы компании для него окажутся закрытыми.
В общем, решения современные и вполне отвечают современным задачам безопасности. Можно долго спорить о том, как работать с пользователями, чтобы они таки устанавливали приложения на свои устройства ;-) , но в целом решения более чем применимы.
И тут возникает ключевой вопрос, а как с сертификацией криптографии? А все очень просто – ее нет. Более того, в любом западном решении отсутствует даже возможность реализации российской криптографии. Проблема технологическая, и как ее решать пока непонятно.
В любом случае проблема по контролю мобильных устройств есть и с каждым днем становится все более и более острой. Поэтому логично предположить, что в ближайшее время участники рынка не будут обращать внимания на вопрос криптографии для защиты мобильных устройств. Свежо в памяти появление первых систем ДБО, долгие споры о реализации криптографии в УЭК и на сайте gosuslugi.ru.
Тут, как говорится, все покажет время, а пока каждый выбирает СВОЕ решение СВОЕЙ проблемы.
Я руковожу упомянутым здесь проектом в НИИ СОКБ (safephone). Хотел бы прокомментировать:
1. Решение уже не только под Symbian. В настоящий момент идет бета-тестирование решения под iOS.
2. Возможность удалить приложение безопасности есть. После чего подсоединиться к внутренней сети предприятия (при условии, что соединение устанавливается через тот же сервер и нет «дыр») будет невозможно.
3. В решении под Symbian российская криптография ожидается в следующей версии продукта. В решении под iOS будет использоваться сертифицированный vpn клиент от Инфотекс.
1) В статье об этом говорится
2) Хорошая новость))
3) А вот тут поподробнее. Когда ожидается следующая версия? Каким образом будет обеспечена корректность встраивания? Как будет устанавливаться сертифицированный vpn, через jb?
посмотрел презентации… — поделка. Хотя и приятно запретить бабке-пользователю Adobe Reader!
так и хочется сказать, если хотите снять расположение камер на предприятии на свой мобильный, то возьмите устройство с iOS/Sym/And, установите приложение и просите админа разрешить приложения для съемки… Абсурд.
Аналогия с презервативами: если мало одного, то возьмите 2,3 и тд., но все равно вероятность защиты по риску будет не более 90% :-)
Сомневаюсь, что даже в идеальных условиях до 90% дойдет.
Евгений,
При работе с устройствами есть один большой нюанс, на которые обычно люди не обращают внимания, пока с ним не столкнутся — есть разработчик платформы, который и определяет что и как можно делать.
В частности «Можно долго спорить о том, как работать с пользователями, чтобы они таки устанавливали приложения на свои устройства ;-)» — на самом деле спорить бесполезно ) Как Apple и Google скажут, так и будет. То же касается и обвеса в виде криптографии по-русски. С экономической точки зрения ни один вендор не будет пилить свое решение под нашу суровую реальность, если это не будет приносить ему гарантированной мегаприбыли на протяжении длительного периода времени.
Я это к тому, что сохраняется старый принцип, что если ты хочешь получить именно то, что нужно тебе, то делать это нужно самому )
Евгений, спасибо за пост, а что скажите про решения MDM+MAM от AirWatch (VMware) и XenMobile (Citrix)?