Мобилизация без «головной боли»

Для выживания на высококонкурентном рынке современным компаниям нужно быстро привлекать клиентов, уметь предоставить им качественно новые и доступные услуги. Вдвойне выиграет тот, кто преуспеет сразу во всем. Не удивительно, что внутренняя организация работы претерпевает изменения: рабочий день редко проходит в одном месте, сотрудники становятся мобильнее, им нужен доступ к корпоративной информации и приложениям откуда угодно. Мобильность оптимизирует рабочее время сотрудников, увеличивает эффективность, минимизирует время ответа на запросы клиентов и повышает удовлетворенность заказчиков. В такой ситуации компактные и легкие планшетные ПК помогут быстро решить новые задачи, став незаменимыми рабочими инструментами. Они меньше, чем ноутбуки, и функциональнее фаблетов и обычных смартфонов. Последние исследования говорят о желании руководителей увеличить число используемых на предприятии планшетных компьютеров.

Инструмент для мобильной работы

В потребительском сегменте планшеты проигрывают крупноразмерным смартфонам. Но в корпоративной среде они остаются удобными и иногда незаменимыми устройствами. По данным исследования Dell International Tablet Survey, 80% руководителей компаний назвали планшет стандартным рабочим инструментом. Также руководители разрешают сотрудникам использовать личные устройства для решения рабочих задач. BYOD (от Bring Your Own Device – приноси свое собственное устройство) становится девизом работодателей в сфере современных технологий. В России сценарий BYOD пока ограничен работой с корпоративной электронной почтой, календарем, контактами, реже системой документооборота, но ситуация быстро меняется. Согласно опросу аналитической компании Nielsen, по заказу Dell EMC 51% российских ИТ-директоров включили планшет в стандартный набор рабочих ИТ-инструментов. 58% российских руководителей разрешают сотрудникам пользоваться собственными планшетами. По мнению ИТ-руководителей, мобильные компьютеры повышают продуктивность сотрудников. Они могут выполнять рабочие задачи во время поездок, получать доступ к данным вне офиса, вносить изменения в рабочие системы в режиме реального времени и быстро отвечать на запросы клиентов. Доступ к корпоративным данным и приложениям с мобильных устройств увеличивает продуктивность, облегчает обмен информацией, повышает лояльность сотрудников. Опрос Gartner показал, что 22% руководителей рассчитывают повысить эффективность бизнеса благодаря BYOD. Тем временем вендоры продолжают обновлять линейки планшетов. Одна из новинок – Dell Latitude 11 5175. Устройство работает под управлением Windows 10, построена на процессорах Intel Core M второго поколения (до 3,1 ГГц), оснащена 8 Гбайтами оперативной памяти и твердотельным накопителем емкостью 512 Гбайт. 10,8-дюймовый экран Dell Latitude 11 5175 совместим с активным пером и поддерживает разрешение 1920 х 1080. Планшет оснащен портами USB 3.0 Type-C и Type-A, видеовыходом Micro HDMI, слотом для карт памяти microSD, камерами с разрешением 5 и 8 Мпикс, адаптерами Wi-Fi 802.11ac и Bluetooth 4.1, а также аккумуляторной батареей емкостью 35 Втч. К планшету подключается опциональная клавиатура Latitude 11, которая наделяет его функциями ноутбука с возможностью длительной работы без подзарядки. Тандем планшета и клавиатуры делает устройство универсальным рабочим инструментом при весе всего в 0,72 кг. В идеале корпоративная мобильность включает целую экосистему для совместной работы: c расширенными средствами аутентификации, поддержкой корпоративных ОС и возможностью перехода от стационарного рабочего места к мобильному. Она включает также ПО для управления всеми рабочими местами с соблюдением информационной политики и бизнес-процессов. Стандартизация ОС и использование Windows 10 на настольных и планшетных ПК упрощают такие задачи. С концепцией BYOD связывают снижение TCO и рациональное использование ресурсов. Но для этого нужно решать вопросы управления, безопасности и конфиденциальности корпоративных данных.

Контроль и безопасность

У корпоративной мобильности есть и отрицательные стороны. Сотрудники могут злоупотреблять свободой, устройства рискуют быть украденными или потерянными, а это создает угрозу для всей инфраструктуры. Проникновение в корпоративную среду мобильных устройств и облачных технологий меняет принципы информационной безопасности за пределами защищенной корпоративной сети и внутри ее. С появлением мобильных устройств в корпоративной среде возникает вопрос безопасности и соответствия нормативным требованиям. Поэтому корпоративная мобильность, BYOD, требует дополнительных решений для контроля и управления устройствами – систем MDM (Mobile Device Management). По данным опросов, 80% пользователей боятся потерять свои гаджеты вместе с данными. Безопасность – проблема №1 в процессе распространения планшетов как рабочих инструментов в компаниях. Большинство ИТ-руководителей (в России – 42% респондентов) указали в качестве причины недоверия к мобильным устройствам проблемы с безопасностью. Главный аргумент – риск утери и кражи. По данным опросов, 82% CIO относят информационную безопасность к приоритетным проблемам при организации работы пользователей с мобильными устройствами. Чтобы оставаться современными и эффективными, компаниям нужно обеспечить безопасность удаленной работы. Помочь в этом смогут передовые технологии централизованного управления портативными устройствами.

Что умеет MDM?

Решения класса MDM – средства управления мобильными гаджетами и защиты информации при работе с ними – главный элемент корпоративной мобильности. Факторами развития рынка MDM стали нормативы компаний об информационной безопасности, а также запрос на простое конфигурирование устройств и получение отчетности. Инструменты MDM позволяют снизить риски и затраты на администрирование. Согласно опросам BI Intelligence, у половины зарубежных компаний уже есть формальная стратегия управления мобильными устройствами. По информации 451 Research, таких компаний больше 40%. Выбор инструментов MDM зависит от того, какие устройства и данные будут применяться, кто ими будет пользоваться и какой будет защита приложений. Решения MDM есть у многих вендоров, но рынок мало знает о них. Кроме того, ряд систем MDM ориентирован на конкретные платформы и имеет ограниченную функциональность. Популярные продукты MDM – ПО VMware AirWatch, Blackberry/Good, MobileIron, Citrix XenMobile, Microsoft Enterprise Mobility Suite. Оценить поставщика и продукт для управления мобильными устройствами (MDM), мобильными приложениями (MAM) и данными непросто. Причина в быстром появлении новых устройств, росте числа и вариантов использования приложений. В отраслевых СМИ публикуются рейтинги программ со сравнительной оценкой функциональности. Вот, например, лучшие решения MDM 2016 года по версии PCmag: Аналитики прогнозируют рост этого рынка: Продукты MDM должны быть комплексными решениями для управления мобильностью предприятия, предлагая полный набор приложений для продуктивной, комфортной и безопасной работы. Управление мобильными устройствами предполагает:

• распространение политик безопасности;
• поддержку основных типов платформ и устройств;
• удаленную настройку и конфигурирование сервисов;
• назначение профилей на устройства на основании различных параметров;
• отчетность и аналитику.

В сумме решения MDM должны обеспечить простой и эффективный способ контролировать и управлять мобильными устройствами из единой консоли. При этом возможны разные подходы: использование программных средств, интегрированных в само устройство, установка на него специального ПО (агентов) или создание изолированных «контейнеров» для выполнения корпоративных задач. Последнее позволяет разделить личные и корпоративные данные. Практика подтверждает, что такие продукты востребованы. Например, в университете Southern Illinois University было развернуто 2500 планшетов Dell Latitude с ОС Windows и под управлением системы MDM. Она была выбрана, так как давала защиту информации, конфиденциальность и анализ тенденций применения планшетов. По мнению специалистов вуза, планшеты Dell Latitude лучше вписываются в ИТ-среду университета, чем iPad и планшеты на Android. Устройства позволяют снизить ТСО и повысить эффективность ИТ. Кроме того, планшеты Latitude 10 поддерживают унаследованные приложения Windows и периферийные устройства. По оценке университета, за четыре года экономия на ТСО по сравнению с iPad составит 3 млн долларов.

VMware AirWatch

Современные решения состоят из нескольких основных функциональных модулей: VMware AirWatch – это решение для управления мобильными устройствами, приложениями и контентом. По словам разработчиков, VMware AirWatch реализует «полный цикл корпоративной мобильности». Оно включает в себя целый ряд функциональных модулей:

Особенности VMware AirWatch: Мобильными приложениями (MАM) в AirWatch можно управлять в полной мере – распространять, обновлять и защищать, а также публиковать собственные приложения, пользоваться каталогом корпоративных программ и контейнеризацией (чтобы повысить безопасность). Пользователь получает доступ к приложениям из любого браузера или непосредственно с экрана своего устройства. Управляя мобильной почтой (MEM), пользователь может интегрировать ее с корпоративными почтовыми сервисами, настраивать почтовый клиент и политики безопасности, управлять сертификатами и контролировать действия над письмами. Вложения можно шифровать и принудительно открывать в безопасной среде AirWatch Content Locker, причем работа с документами из AirWatch Content Locker поддерживается и в других корпоративных приложениях. Для безопасного доступа в интернет есть защищенный AirWatch Browser. В нем можно задавать списки разрешенных сайтов и блокировать использование встроенных браузеров. Открывать загруженные файлы лучше в изолированной среде AirWatch Content Locker. Решение предусматривает и различные ограничения, включая запреты на копирование данных, доступ к корпоративной среде со скомпрометированных устройств, использование данных сторонними приложениями, печать и скриншоты. Также здесь есть функции защиты от утечек данных (DLP). Важную роль играет не только безопасность, но и управление – планшетами, конфигурациями, установкой приложений и доступом к корпоративным данным. Администратор может просматривать состояние устройства и статус пользователя, получать отчеты, устанавливать ограничения и следить за соответствием политикам безопасности. С AirWatch пользователи могут сохранять собственные файлы в защищенном хранилище данных. Удаленная поддержка и портал самообслуживания снижают затраты на администрирование. Упрощается управление устройствами, их развертывание и настройка. Можно удаленно послать сообщение, сбросить пароль, заблокировать пользователя, проверить соответствия политикам безопасности, получить информацию об установленных приложениях и даже определить местонахождение устройства по данным GPS. Отчеты, графики и аналитика – задачи компонентов AirWatch Hub и AirWatch Analytics. Здесь можно посмотреть отчеты, получить информацию об устройствах, убедиться в их соответствии политикам, профилям, приложениям и сертификатам, сгенерировать исторические данные и сравнительные графики с поддержкой детализации. Если этого недостаточно, то решение можно интегрировать с системами BI. Теперь на базе AirWatch развертываются и облачные сервисы MDM. С марта 2017 года операторы связи могут предлагать услуги VMware AirWatch в рамках программы VMware vCloud Air Network Managed Services Provider (MSP). Так они помогают корпоративным заказчикам решать задачи, связанные с мобильностью.

MDM на практике

По данным VMware, в России открывается немало пилотных проектов с использованием AirWatch. Два из четырех крупнейших российских телеком-операторов используют это решение, причем один выступает в роли провайдера AirWatch. Его применяют многие отечественные горнодобывающие компании, банки, где особенно высоки требования к безопасности, а также российские филиалы зарубежных компаний. AirWatch используется для управления мобильными устройствами не только на базе iOS и Android, но и Windows 10 – например, с новейшими планшетами Dell Latitude. В московском офисе VMware развернут стенд, где тестируется работа AirWatch с последними изменениями в ОС Microsoft Windows. Эти изменения нацелены на разделение личной и корпоративной среды. Одна из таких функций – Windows Information Protected (WIP). Она показывает, какие корпоративные приложения установлены на планшеты или ноутбуки, какие файлы получены из корпоративного репозитория, а какие пользователь установил для личных нужд. Корпоративные файлы специальным образом помечаются и шифруются. В «постороннем» приложении их открыть нельзя. Сейчас многие заказчики интересуются ОС Windows 10 и считают переход на нее оправданным и целесообразным. Результаты тестирования помогают убедить их в безопасности мобильных устройств в корпоративной среде и показать, как эта безопасность достигается. В будущем VMware и Dell планируют развернуть совместный демо-стенд, чтобы знакомить заказчиков со своими решениями. Корпоративные клиенты могут узнать о продуктах Dell, обратившись к партнерам компании. В VMware считают, что такие решения будут интересными для финансового сектора, телекоммуникационной отрасли и других сегментов рынка, где на рабочих местах используют ОС Windows. С AirWatch операторы могут предоставлять клиентам облачные сервисы MDM, чтобы управлять приложениями и политиками безопасности для мобильных устройств. AirWatch подойдет для компаний с разным количеством сотрудников. Для руководителей среднего звена и топ-менеджеров, которые пользуются планшетами, решение сделает работу с файлами удобной и безопасной. Даже если в инсталляции не больше сотни устройств, это значительно снизит риски скомпрометировать данные при потере одного из них. Интересные проекты можно реализовать на базе MDM в сочетании с системами геолокации или геотрекинга. Вот пара примеров. В одной российской компании водитель на рабочем самосвале перевозил в будни песок по территории стройки, а на выходных подрабатывал на стороне.  К неудовольствию водителя система трекинга эту активность пресекла. Отдельная категория «пострадавших» – дальнобойщики, у которых подобные решения отнимают весомую часть незаконных доходов (из-за слива бензина или «левых» рейсов). Бывает, что с введением системы мониторинга штат водителей существенно меняется. В России MDM и AirWatch можно с выгодой использовать для управления защищенными мобильными и специализированными устройствами – например, сканерами штрих-кодов на базе Android. Такие решения применяются в ритейле и логистике. Масштаб инсталляции может достигать десятков тысяч устройств, а самая крупная в мире система под управлением AirWatch состоит из нескольких миллионов. Пилоты авиакомпании Delta Airlines используют планшеты, которые управляются AirWatch, для работы с полетной документацией. С AirWatch можно пользоваться защищенными веб-браузером и почтовым клиентом, а также аналогом корпоративного DropBox. Разработчики VMware тесно сотрудничают с производителями операционных систем, обеспечивая «жизненный цикл» программного агента AirWatch для мобильных устройств. AirWatch может быть единым центром администрирования мобильных устройств, ноутбуков и настольных ПК. Решение интегрируется со средствами ИБ и антивирусной защиты (Palo Alto, Check Point и другими), а с помощью корпоративного портала VMware Workspace ONE можно обеспечить централизованный доступ к приложениям. VMware Workspace ONE – безопасная корпоративная платформа. Она предоставляет доступ к любым приложениям на любых устройствах и позволяет ими управлять. Доступ к ней можно получить через «облако» или установив локально. Уже сейчас AirWatch и другие продукты MDM успешно применяют для управления парком клиентских устройств Dell: это подтверждают результаты независимого тестирования и «истории успеха» заказчиков. В октябре 2016 года на конференции Dell EMC World было объявлено о планах интеграции технологий Dell, RSA, VMware и Mozy с решением Dell Endpoint Data Security and Management. Это поможет унифицировать управление клиентскими устройствами (ПК, планшетами, смартфонами) на базе MDM VMware AirWatch, обнаруживать и предотвращать угрозы, идентифицировать пользователей и устройства. Унифицированная платформа должна появиться в этом году.

В разработанном, американской компанией VMware, программном обеспечении виртуализации для Андроид AirWatch были обнаружены проблемы с безопасностью хранения данных. В офис фирмы об найденных уязвимостях сообщение поступило от Финн Стеглич из SySS GmbH.

Обнаруженные проблемы

Оперативные действия позволили проинформировать пользователей ПО. Внести изменения, предупреждающие проникновение злоумышленников в хранилища конфиденциальной информации владельцев гаджетов. Секюрити VMware вскрыты две серьезные уязвимости.

Недостаточная защита AirWatch Agent

Первая брешь в безопасности, идентифицированная как CVE-2017/4895, представляет собой уязвимость AirWatch Agent в Андроиде. Агент предоставляет пользователям сервис установления подлинности, регистрацию своих устройств в системе.

Мнение представителей VMware: недостаток позволяет иметь безграничный доступ устройств в базу данных AirWatch.

При этом он проверяет прохождение смартфоном рутинга. Процесс представляет собой получение прав root пользователем на устройстве под управлением OS Android. Уязвимость состоит в возможности обойти устройством рутинговую проверку при регистрации. Это открывает возможность несанкционированного попадания в хранилища данных. Проблема решена уже в версии 7.0.

Ненадежность в AirWatch почтового клиента Inbox и Console

Следующая уязвимость оказывает влияние на безопасность почтового клиента АирВотч Инбокс и Кансоул для Андроида. Ее идентификатор получил название CVE-2017/4896. Проблема заключается в том, что устройства могут расшифровать местные данные приложения.

Уязвимость приводит к раскрытию конфиденциальных данных. Ее устранение производится дополнительным обновлением от VMware. Представители компании заметили, что пользователи должны устанавливать функцию PBE (Pin-BasedEncryption) в положение «ON». Включение предотвратит возможность проникновения к личной информации.

В обеих недостатках специалисты компании оперативно исключили уязвимости. Пользователям необходимо установить соответствующие обновления, грамотно их настроить. Это предупредит опасное проникновение неблагожелателей в хранилища используемого владельцем смартфона.

AirWatch – это была частной компанией со штаб квартирой в Атланте и офисами в Северной Америке, Европе, Индии, Австралии. Продукт для управления мобильными устройствами, который был разработан в AirWatch уже был внедрен и успешно работал в таких секторах как, авиакомпании, фармацевтика, энергетика, розничной торговле. Компания показывает уверенный рост, так например, с 2012 года количество заказчиков выросло в два раза. Одним из преимуществ является возможность приобретения решения  по подписке (SaaS) в облаке производителя,  без наращивания собственных мощностей в ЦОД, таких клиентов у компании большинство. Продукт был справедливо первым номером на рынке MDM решений, в том числе и поэтому его купила компания VMware и интегрировала в свой продукт VMware Workspace ONE.

Основной функционал VMware AirWatch позволяет привязывать корпоративные мобильные устройства к серверу управления, в принудительном порядке применять на мобильных устройствах политики компании по защите информации, контролировать набор приложений на мобильном устройстве и оперативно обновлять  приложения. Через сервер управления также настраивается корпоративный портал приложений. Это могут быть  приложения собственной разработки, приложения из AppStore или GooglePlay, SaaS приложения, например, набор Office360.

AirWatch интегрируется в существующую инфраструктуру компании через набор программных коннекторов. Почтовая система, корпоративные порталы, работа над общими документами — все это становится доступно на корпоративном мобильном устройстве. Политиками можно установить настройки, по полному удалению данных с устройстве в том случае, если оно будет скомпрометировано.

Основные мобильные платформы, на которые нацелена разработка программных продуктов из состава AirWatch — это iOS, Android и Windows 10.

Функционал решения в лучших традициях современных систем по управлению мобильными устройствами включает в себя: MDM, MAM, MIM компоненты и расширенное решение по безопасности контента, через внедрение в свое решение стороннего ПО:

• NitroDesk’s TouchDown – коммерческий многофункциональный почтовый клиент для Android платформы полностью совместимый с Microsoft Exchange, разрабатываемый с 2008 года. Поддерживает работу не только с электронной почтой, но и с календарями, контактами, задачами.  Заслуженно считается решением Enterprise уровня, т.к. умеет соединяться с сервером почты по ActiveSync, получать и исполнять его политики, такие как доступ к почте по PIN коду, полное удаление почтовых данных с устройства, шифрование корпоративных данных. Компания NitroDesk утверждает, что если заказчик использует их продукт, то он может быть уверен в полной сохранности и конфиденциальности данных. Со стороны пользователей продукт очень удобен и не дает администратору компании доступа к персональной информации сотрудника.

Многие MDM решения используют TouchDown как часть для эффективного управления почтой. Для этого даже существует отдельный термин MEM – mobile email management.

• Enterproid Divide – корпоративное решение, которое реализует на Android и iOS устройствах полное разделение рабочих сред. Если пользователь вводит рабочие логин и пароль, то попадает на экран, который полностью контролируется и защищается администраторами компании. Для личного использования существует вторая область, к которой представители компании не имеют доступа. Помимо этого продукт умеет шифровать данные, управлять файлами, подключаться к корпоративной телефонии Cisco и Avaya, применять настройки VPN, другими словами встроен собственный MDM.
• Samsung Knox – корпоративное решение от Samsung, которое будет встраиваться в новые устройства начиная с Samsung Galaxy S4. Это шаг компании в сторону корпоративного сектора и стратегии работы BYOD. Непосредственно в прошивку встроены следующие функции: безопасная загрузка, контроль целостности, изолированные KNOX контейнеры для корпоративных приложений, шифрование, удаленная загрузка настроек VPN, встроенный MDM.

В AirWatch есть компонент MIM, называется Secure Content Locker, (корпоративный Dropbox), который отвечает за синхронизацию файлов и их совместное использование. Можно настроить правила манипуляции файлами в облаке и хранящимися локально.

Продукт распространяется не единым пакетом, а по модулям которые в данный момент требуются заказчику, из-за этого достигается уровень цен, который гораздо ниже чем у конкурентов. SaaS модель распространения тоже пришлась по душе заказчикам, у основных конкурентов такого нет. Компания делает акцент на технической поддержке пользователей и высокой доступности сервиса. В AirWatch трудится 400 инженеров, а это больше чем в любом другом MDM вендоре.

Управление тремя основными корпоративными мобильными платформами (Android, iOS и Windows), контейнеризация приложений и данных, разделение сред на рабочую и личную – вот основные приоритеты развития на ближайшее время.