facebook LinkedIN LinkedIN - follow
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přihlášení SystemNEWSPřehledy
 
Tematické seriály

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 
Nové!

RPA - automatizace procesů

Softwaroví roboti automatizují obchodní procesy.

články >>

 
Nové!

IoT – internet věcí

Internet věcí a jeho uplatnění napříč obory.

články >>

 
Nové!

VR – virtuální realita

Praktické využití virtuální reality ve službách i podnikových aplikacích.

články >>

 
Nové!

Bankovní identita (BankID)

K službám eGovernmentu přímo z internetového bankovnictví.

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
 
Partneři webu
IT SYSTEMS 6/2014 , IT Security

Centrální správa mobilní bezpečnosti



AECRychlý nástup mobilních technologií do firemního prostředí spolu s fenoménem zvaným BYOD (bring your own device) způsobily mnoha bezpečnostním manažerům neklidné spaní. Velké množství nových zařízení, která jsou mnohdy vlastněna zaměstnancem, nutí firmy k implementaci centrální správy bezpečnosti mobilních zařízení.


Trendem posledních pár let jsou zcela jistě mobilní technologie. Produktivita práce s pomocí těchto všudypřítomných zařízení stoupá, a tak i ti zaměstnavatelé, kteří se tomu doposud všemožně bránili, jsou čím dál více vystavováni tlaku začlenit mobilní technologie do procesu fungování společnosti. Ačkoliv mobilní zařízení přinášejí beze sporu mnoho výhod, jejich integrace do firemního prostředí může přinést mnohé komplikace.

Že je oblast správy mobilních zařízení aktuálně v kurzu, značí i fakt, že v poslední době došlo k akvizicím některých výrobců MDM se známými technologickými giganty. IBM se na konci minulého roku sloučilo s FiberLink, na začátku tohoto roku koupil VMware společnost AirWatch a v dubnu došlo ke sloučení GoodTechnology a BoxTone. Všechny jmenované firmy byly podle společnosti Gartner lídry v oblasti Magic Quadrant MDM pro rok 2013.

Jaké jsou tedy aktuální trendy v oblasti centrální správy mobilní bezpečnosti? Většině lidí se při vyslovení termínu správa mobilních technologií vybaví zkratka MDM (mobile device management). Tato technologie díky neustálému vývoji mobilních zařízení prochází od svého vzniku téměř nepřetržitými změnami. Její hlavní funkce však zůstává víceméně stejná – zajistit bezpečnost životního cyklu mobilního zařízení ve firemním prostředí. Mezi nejdůležitější funkcionality MDM patří:

  • registrace zařízení a jejich inventarizace,
  • aplikace bezpečnostních politik,
  • patch management,
  • kontrola přístupu,
  • zálohování,
  • vzdálené vymazání obsahu zařízení (remote wipe),
  • reporting.

Ačkoliv je nasazení MDM dozajista přínosem ve správě mobilních technologií, není samospasitelné. Jak již vyplívá ze samotného názvu, zajišťuje správu mobilních zařízení jako takových. Aktuálním trendem v oblasti bezpečnosti je však chránit především data, se kterými uživatel pracuje. MDM se tak především díky vzrůstajícím požadavkům na zavedení BYOD přeměnilo ze samotného produktu spíše na vlastnost, kterou obsahuje nově vznikající komplexní řešení podnikové správy mobilních technologií tzv. EMM (enterprise mobility management). V tomto případě se nejedná o produkt jako takový, jedná se spíše o spojení lidí, procesů a technologií uvedených na obrázku 1.

Obr. 1: Základní komponenty komplexního řešení podnikové správy mobilních technologií tzv. EMM (enterprise mobility management)
Obr. 1: Základní komponenty komplexního řešení podnikové správy mobilních technologií tzv. EMM (enterprise mobility management)


Funkce MDM byly uvedeny již dříve. Pro lepší pochopení následuje popis zbylých částí:

  • MAM – umožňuje kontrolu nad aplikacemi instalovanými do mobilního zařízení. Uživatel má povoleno instalovat pouze schválené aplikace, které jsou vystavené na tzv. firemním obchodu s aplikacemi (často označován jako firemní app store). Ten může obsahovat jak interně vyvinuté, tak veřejně dostupné aplikace.
  • MCM – často označován také jako EFSS (enterprise file synchronization and sharing) se zabývá řízením samotného obsahu, se kterým mohou jednotlivé aplikace pracovat. Definuje postupy, jakým způsobem bezpečně sdílet či synchronizovat firemní data mezi různými zařízeními.
  • IAM – technologie používaná pro správu a ověření uživatelských identit a s nimi souvisejících přístupových práv. Přístupová práva se udělují podle jednotné bezpečnostní politiky a všechny osoby (případně služby) jsou řádně autentizovány, autorizovány a auditovány.
  • Korporátní kontejner – oddělení privátních a firemních dat na jednom zařízení byl zásadní problém při příchodu strategie BYOD, v mnoha případech to byl hlavní důvod jejího nepřijetí. Aktuálně existuje několik přístupů, jak tato data oddělit – viz tabulka.
  • Komunikace/PIM (personal information manager) – zabezpečení firemní komunikace, především e-mailů (šifrování, správa příloh, …), kontaktů, kalendáře apod.
Technologie  Výhody Nevýhody Výrobce
VDI/HDV – virtual desktop infrastructure na mobilním zařízení nejsou ukládána žádná firemní data, přístup k desktop aplikacím není možné pracovat offline Citrix, VMware
webový prohlížeč jednoduché, levné, dostupné není možné pracovat offline, není uživatelsky přívětivé Safari, Chrome
integrovaný kontejner (nativní SDK) řízení bezpečnostní politikou, využívá API OS; levné, použitelné, bezpečné závislé na OS a jeho verzi AirWatch, MobileIron, Citrix
aplikačně-neutrální kontejner (pseudo-nativní SDK) levné, použitelné limitováno různým typem aplikačního obsahu Mocana
aplikačně-specifický kontejner vysoká míra customizace nutnost sestavení aplikace se specifickým API, nákladné řešení AirWatch, OpenPeek, Good Technology
mobilní hypervisor úplná separace privátních a firemních dat poměrně mladá technologie, není dostupná na všech OS/zařízeních, nákladné řešení VMware, ARM

Různé možnosti řešení korporátního kontejneru pro oddělení privátních a firemních dat na jednom zařízení

V současné době neexistuje žádný produkt, který by obsahoval všechny výše uvedené technologické komponenty. Jakým způsobem tedy vybrat tu správnou sadu produktů?

Definujte vaše potřeby

Při výběru technologií pro EMM není až tak důležitý jejich rozsah funkcionality. Důležitým faktorem je, aby řešení obsahovala ty funkcionality, které jsou požadovány vaší společností. Každá organizace má svůj specifický případ užití mobilních zařízení, proto je důležité vydefinovat, které funkcionality jsou pro vás důležité, a kterých se naopak bez dopadu na bezpečnost můžete vzdát. Základním prvkem při rozhodování je strategie výběru mobilního zařízení. Jsou zařízení zaměstnanců vlastněny vaší organizací? Máte zavedenou strategii COPE (corporate owned, personally enabled), kdy uživatelům povolujete využívání zařízení k osobním účelům? Či jste benevolentní a používáte strategii BYOD, případně striktnější CYOD (choose your own device), kdy dáváte zaměstnanci možnost výběru pouze z omezeného množiny zařízení? Odpovědí na tuto otázku získáte zásadní informace pro výběr řešení. Jaké mobilní operační systémy musí řešení podporovat? Potřebujete řešení pro oddělení firemních a personálních dat? Budete potřebovat správu aplikací a obsahu?

Dívejte se do budoucnosti

Trh s mobilními technologiemi se velmi rychle vyvíjí, a proto je důležité mít na paměti, že za pár let může (a s velkou pravděpodobností i bude) vypadat diametrálně odlišně. Zatímco technologie MDM jsou již poměrně vyspělé, ostatní komponenty jako kontejnerizace, správa aplikací či správa obsahu jsou poměrně nové. V současné době jsou mobilní technologie ve firemní infrastruktuře spravovány separátně. Budoucím trendem bude sloučení mobilního a desktopového světa pod jednu správu, jak to již některé produkty nabízejí. Při volbě řešení je tedy dobré volit výrobce, který má dostatek kapacit a dokáže se velmi rychle přizpůsobit aktuálním změnám na trhu.

Myslete na zaměstnance

Přestože prioritou číslo jedna při výběru jednotlivých komponent správy mobilních technologií bude u většiny společností zabezpečení citlivých firemních dat, je důležité myslet i na ostatní faktory, jakým je například použitelnost ze strany uživatelů, a tedy spokojenost vašich zaměstnanců. Pokud vyberete řešení, které bude bezpečné, avšak jeho nasazení bude zaměstnancům přinášet komplikace při vykonávání jejich práce, což se mimo jiné odrazí i na vytíženosti vašeho helpdesku, přinese to více starostí než užitku. Než se rozhodnete pro některé řešení, nebojte se ho nejdříve vyzkoušet v pilotním PoC (proof of concept) provozu, do kterého zahrnete vybranou skupinku zaměstnanců. Důležité je vybrat uživatele na všech firemních pozicích. Top management pracuje s mobilními technologiemi rozdílně než například zaměstnanec v terénu.

Vyberte tu správnou sadu

EMM není v současné době definován, jedná se spíše o sadu produktů než o jeden ucelený produkt. Proto je při výběru důležité hledat především ucelenou sadu a nesoustředit se jen na nejlepší nástroje svého druhu. Vyberte řešení, která budou vynikat ve vámi definovaných klíčových oblastech a zároveň budou dostatečná i v těch okrajových. Myslete také na IT oddělení, které se o vybraná řešení bude starat. Ideální je kompatibilita všech produktů a jejich napojení do jedné centralizované konzole pro správu.

Lukáš Bláha, AEC Lukáš Bláha
Autor působí jako senior IT security consultant ve společnosti AEC. Jeho pracovní náplní jsou penetrační testy všeho druhu, především mobilních a webových aplikací. Dále se věnuje auditům a implementaci různorodých bezpečnostních technologií.

 

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

idGuard je přesnější než lidské oko

Ověří identitu klientů během 2 minut

idGuardŘada firem musí ze zákona ověřo­vat identitu svých zákazníků. Přes­tože jde především o finanční insti­tuce, s identifikací zákazníků se musí v dnešním digitálním světě po­týkat spousta dalších společností. To vše za vás přitom už dnes může obstarat aplikace. Není potřeba posílat klienty na pobočku, všechno jde vyřešit z pohodlí domova.