Управление корпоративной мобильностью: взгляд из России.Часть 1

Терминология

Терминология в данной сфере не является устоявшейся, далее предлагается использовать систему понятий, принятых в компании Gartner.

Управление корпоративной мобильностью (Enterprise Mobility Management, EMM)
ЕММ предполагает рассмотрение комплекса вопросов интеграции мобильных средств коммуникации (МСК) в корпоративные бизнес-процессы, обеспечения ИБ, поддержки пользователей этих устройств. Это ПО, инфраструктура, технологии, обеспечивающие возможность интеграции МСК в корпоративные информационные бизнес-процессы.

С точки зрения бизнеса EMM-инструменты позволяют решать основные задачи:

• подготовка МСК к работе – конфигурирование и установка корпоративных приложений;
• обеспечение функционирования МСК в бизнес-процессах – управление данными и приложениями;
• обеспечение ИБ – управление правами доступа, установка и контроль политик ИБ, криптографическая защита, защита от специфических угроз;
• аудит, мониторинг событий безопасности;
• поддержка пользователей МСК.

Выделяются следующие категории EMM-инструментария:

1. Система управления МСК (Mobile Device Management, MDM). Система администрирования на уровне ОС МСК включает типовой функционал:

• управление конфигурациями ОС в соответствии с политикой ИБ;
• управление приложениями МСК (установка, удаление, очистка памяти, удаленный мониторинг и контроль за событиями безопасности);
• блокировка некоторых функций и интерфейсов МСК;
• безопасное совместное хранение личных и корпоративных данных;
• защита данных от кражи;
• защита телефонной связи.

2. Управление мобильными приложениями (Mobile Application Management, MAM). Система администрирования на уровне приложений.

Выделяются 2 варианта реализации MAM:

• приложения для МСК, предлагаемые производителями EMM с расширенными возможностями управления ими. Примеры – защищенные системы работы с электронной почтой, управление контактами, защищенные браузеры;
• приложения, специально разработанные для использования в корпоративных информационных системах (например, специализированные АРМ для МСК).

3. Управление мобильным контентом (Mobile Content Management, MCM). Система администрирования на уровне данных.

Позволяет организовать доступ к корпоративным информационным ресурсам пользователям МСК.

Концепции использования МСК

В настоящее время существуют две концепции использования МСК: BYOD и COPE.

BYOD

В соответствии с концепцией BYOD (Bring Your Own Device) работникам разрешено использовать свои собственные МСК для решения бизнес-задач. Пользователю нельзя запретить администрировать свое МСК и использовать любые приложения для своих личных целей. Схема информационных взаимодействий, соответствующая данной концепции, представлена на рис. 1.

Политика безопасности МСК устанавливается MDM – корпоративной системой управления МСК. Приложения могут загружаться как из корпоративного магазина приложений, так и из общедоступного магазина приложений (App Store). Кроме того, возможно неконтролируемое (пользователем, MDM) информационное взаимодействие МСК и служебных ресурсов производителей МСК. Это является следствием наличия НДВ системного ПО, предустановленного производителями МСК. С позиции обеспечения информационной безопасности с этим связаны риски.

COPE

В соответствии с концепцией COPE (Corporately Owned, Personally Enabled (or Empowered)) работникам выдаются корпоративные МСК, и только их разрешено использовать для решения бизнес-задач. При этом возможность использования МСК в личных целях определяется корпоративной политикой ИБ. В частности, может быть запрещено устанавливать приложения из магазина приложений, введены ограничения на возможности администрирования МСК. Кроме того, необходимо принять контрмеры, исключающие возможность несанкционированного использования НДВ системного ПО. Схема информационных взаимодействий, соответствующая данной концепции, представлена на рис. 2.

Концепция BYOD более комфортна для работников, но по ряду причин не приемлема в некоторых сферах деятельности.

Позицию службы ИБ по отношению к некоторым аспектам использования МСК можно представить в виде таблицы 1.

Характеристика продуктов, представленных на рынке ЕММ

В соответствии с периодически проводимыми исследованиями аналитической компании Garner рынок ЕММ-решений характеризуется ростом более 20% в год, в абсолютных цифрах – продажи в 2014 г. составили $1,4 млрд (оценка компании IDC). На рынке наблюдается значительная фрагментация, происходит активный передел данного сегмента рынка, состояние мирового рынка ЕММ приводится на рис. 3.

В соответствии с методикой Garner выделяются подмножества: лидеры рынка, претенденты на переход в категорию лидеров, визионеры, нишевые игроки.

Рассмотрим игроков с другой позиции:

1. "BrandName" – вендоры известных решений, выпустившие ЕММ-продукт, обеспечивающий возможность использования МСК в информационных системах, основанных на их решениях. Их популярность связана с распространенностью основных продуктов.
2. "Универсалы" – компании, для которых рынок EMM является основным, занимающие значимые позиции на этом рынке. Компании смогли предложить решения, имеющие преимущества с позиции потребителей разных категорий. Прежде всего, это совместимость с большим числом МСК разных типов и простота интеграции в различные информационные системы.
3. "Нишевые игроки" – учитывают специфику требований отдельных категорий потребителей.

BrandName Citrix
Известная компания, имеющая длинную историю развития и предлагающая приложения для множества платформ и устройств.

Citrix XenMobile EMM обеспечивает управление приложениями на МСК. Это комплексное решение, которое обеспечивает функционал MDM, MAM. Кроме того, имеется функционал для обеспечения безопасности приложений, данных, МСК. Возможно использование мультивендорных решений, масштабирование, балансировка нагрузки и т.д.

Особенности реализации функционала безопасности

Обширный функционал, включая ShareFile, обеспечивает отслеживание событий безопасности и для безопасного хранения, отслеживания сроков хранения и уничтожения данных в "облаке", StorageZone Connectors обеспечивает защищенный канал между пользователем и данными.

IBM
Лидер почти каждого Gartner Magic Quadrant report. Использует обширные связи с поставщиками других ИT-решений, предлагает хорошо интегрируемое с другими продуктами решение.

MaaS360 Mobile Device Management имеет клиентское ПО для устройств iOS, Android, Blackberry, Windows.

Имеется хорошее обучающее программное обеспечение, позволяющее пользователям быстро начать работу. MaaS360, переименованный в IBM Mobile-First, обеспечивает расширенный функционал MDM. Качественное приложение, рассчитанное на поклонников IBM.

Особенности реализации функционала безопасности

Продукт имеет обширный функционал для обеспечения безопасности, использует облачную архитектуру управления МСК, приложениями, контентом. Имеются средства для реализации политик безопасности и быстрого развертывания системы. В системе управления имеются средства для интеграции МСК с AD/LDAP, доступу к E-mail, безопасному доступу к совместно используемым документам.

SAP
SAP поставляет решения для корпоративного сектора, и решения класса EMM ориентированы на потребителей, их использующих.

SAP Afaria поддерживает iOS, Android, Windows Phone, Blackberry, Windows. Имеются средства интеграции с AD/LDAP, портал самообслуживания для мобильных клиентов.

Предоставляется возможность установки доверенных приложений других компаний из банка доверенного ПО Afaria App. Продукт включает функционал для поддержки пользователей (удаление, обновление, подключение новых функций).

Особенности реализации функционала безопасности

Имеются средства усиленной аутентификация (L/P и Enrollment Code). Пользовательские и корпоративные данные логически разделены и криптографически защищены. Установка ПО допустима только из банка доверенного ПО после аутентификации в системе.

Symantec
Известный производитель продуктов в части ИБ – антивирусы, криптография, резервное копирование. Компания более 30 лет в сфере ИБ, Symantec’s Mobility предлагает примерно тот же функционал, что и другие производители EMM, подходит потребителям, не предъявляющим повышенные требования по ИБ. EMM-решение поддерживает МСК под ОС Android, iOS, Windows Phone. Система управления подходит как для COPE, так и BYOD и интегрирует функционал MDM, MAM, MCM, защиту от угроз. Реализовано управление с единой консоли.

Особенности реализации функционала безопасности

Компания делает упор на удобство системы управления. Предлагается универсальное решение, поддерживающее единые стандарты безопасности, не ограничивающие частное использование МСК.

Sophos
Известна антивирусными и криптографическими продуктами. В настоящее время предлагает продукты, обеспечивающие ИБ канала связи, включая ноутбуки, виртуальные машины, серверы, МСК, E-mail, Web-browsing.

Sophos’ Mobile Control может функционировать с устройствами, работающими под iOS, Android (включая Samsung SAFE), Windows Phone 8 и другими ОС. Реализована возможность удаленного конфигурирования МСК, криптографическая защита, защита от потери МСК, задание политик для групп пользователей. Имеется функционал MAM, E-mail Management, интеграция в систему антивирусной защиты и Web-protection для МСК под ОС Android.

По сравнению со штатным функционалом безопасности для ОС Android добавлено антивирусное сканирование устанавливаемого ПО, помещение в карантин, защита от вредоносных сайтов. Дополнительный функционал безопасности является бесплатным для пользователей Android.

Особенности реализации функционала безопасности

Обеспечивается защита доступа к облачному хранилищу (парольная фраза) файлов в дополнение к криптографии, интеграция с широко используемыми средствами Dropbox, iTunes, SD-cards.

Tangoe
Известный поставщик ПО класса Connection Lifecycle Management для крупных компаний и сервис-провайдеров. Их флагманский продукт – Matrix. Для EMM компания предлагает MatrixMobile с функционалом MDM, Mobile Support, Mobile Device Logistics, Mobile Telecom Expense Management.

Имеется клиентское ПО для МСК под iOS, Android, Blackberry, Windows Phone.

MatrixMobile MDM обеспечивает комплексный мониторинг, управление и средства поддержки мобильных устройств, единую консоль управления, средства установки политик для разных групп, разделение личных и корпоративных данных, удаленная установка ПО.

Добавлен функционал, обеспечивающий контроль трафика и управление расходами МСК в реальном времени, средства консалтинговой поддержки пользователей.

Особенности реализации функционала безопасности

MatrixMobile предоставляет средства предотвращения утечки данных (DLP), криптографическую защиту корпоративных данных, защиту от кражи и несанкционированного доступа к устройству, удаленной блокировки устройства и уничтожению данных, VPN, правила доступа к Wi-Fi.

Более подробно "Универсалов" и "Нишевых игроков" мы рассмотрим в части 2 данной статьи, которая будет опубликована в журнале "Информационная безопасность/Information Security" № 1/2016.

Литература

1. Колесов А. Управление корпоративной мобильностью. Взгляд Gartner (14.07.2015) [online]. Доступ через http://www.pcweek.ru/mobile/article/detail.php?ID=17 5881
2. MDM. EMM. Управление мобильными устройствами [online]. Доступ через http://www.tadviser.ru/index.php/Статья:Mobile_Device_Man agement_(MDM)_Управление_мобильными_устройствами_Enterprise_Mobility_Management_(EMM)
3. Hess K. 10 Enterprise Mobility Management Solutions: Beyond MDM [online]. Доступ через
   http://mobile.datamation.com/mobile-wireless/10-enterprise-mobility-management-solu-tions-beyond-mdm-1.html Posted 2015. – April, 22.