В решениях класса Mobile Application Management объектом управления являются не устройства (смартфоны и планшеты), а приложения, связанные с ними данные и мобильные услуги. В конце концов, для компаний и организаций важна не безопасность собственно устройства (об этом пусть заботится его владелец), а обеспечение защиты мобильных корпоративных приложений. Поэтому сегодня оказались востребованы средства, позволяющие компаниям определять политики безопасности на уровне приложений: кому следует предоставить доступ и на каком уровне, каким способом должна извлекаться информация с помощью этого приложения, как она может использоваться и т. п. Для управления устройствами требуется, чтобы сотрудник разрешил удаленное управление своим личным гаджетом и предоставил доступ к некоторым функциям и параметрам, на что, как правило, он редко дает согласие. Управление же мобильными приложениями затрагивает только приложения работы с корпоративными данными.

В 2012 году компания Symantec приобрела компанию Nukona, что позволило добавить в портфель продуктов первой решение Symantec AppCenter, поддерживающее функции MAM. Данное приобретение стало еще одним в череде аналогичных поглощений и анонсов новых продуктов с функционалом MAM: Good Technology приобрела компанию AppCentral, MobileIron анонсировала продукт Mobile App Persona, Citrix купила ZenPrise, а Airwatch в январе 2013 года выпустила серию продуктов класса MAM.

MDM на страже безопасности

Все больше организаций предоставляет своим сотрудникам доступ к корпоративным ресурсам с разнообразных мобильных устройств, однако в сценарии удаленного доступа для этих устройств еще много непонятного.

Михаил Савушкин

Следующим логичным шагом является интеграция MAM и MDM в единую систему управления мобильным предприятием — одним организациям требуется сочетание возможностей MAM и MDM, другим нужен весь спектр технологий по работе с конфиденциальной информацией, а кому-то достаточно лишь управлять доступом к определенным приложениям. Именно требования, предъявляемые компанией к реализации концепции BYOD, определят выбор в пользу полнофункционального решения для всех сотрудников, использующих мобильные устройства, или в пользу гибридного варианта, предполагающего классификацию сотрудников и функционала. Не последнюю роль в этом играет и человеческий фактор — не каждый сотрудник еще готов полностью предоставить свое мобильное устройство в распоряжение системного администратора компании.

Принципы работы решений MAM в разных продуктах могут различаться — при публикации (wrapping) корпоративного приложения одни требуют включить в исходный код свои компоненты (SDK), другие требуют выслать производителю дистрибутив приложения для интеграции в него нужного кода, а третьи выполняют такую интеграцию автоматически. В случае Symantec AppCenter процесс публикации выглядит следующим образом. Сначала описывается политика, в которой определяются параметры безопасности (рис. 1).

 

Рис. 1. Пример определения политики безопасности
Рис. 1. Пример определения политики безопасности

 

Затем, в зависимости от платформы, загружается установочный пакет (рис. 2).

 

Рис. 2. Загрузка установочного пакета
Рис. 2. Загрузка установочного пакета

 

После этого указывается, какая именно политика безопасности будет применяться для конкретного приложения, назначаются дополнительные параметры — и приложение доступно для загрузки (рис. 3). В случае изменения политики по работе с приложением ему будут автоматически переданы все изменения.

 

Рис. 3. Загрузка приложения с указанной политикой
Рис. 3. Загрузка приложения с указанной политикой

 

При интеграции в одном решении MDM и MAM из первого обычно берутся средства ограничения различных функций устройств, распространения настроек (например, электронной почты, Wi-Fi, VPN) и получения различной инвентаризационной информации. Список требуемых функций MAM обычно несколько шире. При работе с приложением прежде всего нужно уметь управлять аутентификацией при доступе именно к конкретному приложению. Далее требуется обеспечить контроль за потоками данных между приложениями и регламентировать их доступ к корпоративным серверам. Важнейшей функцией, например, Symantec AppCenter является удаление администратором данных и приложений при обнаружении факта вскрытия устройства («джейлбрейк») либо автоматическая очистка при отсутствии соединения с сервером больше указанного срока.

Автоматическое обновление приложений/документов может осуществляться при появлении новой версии. В случае невозможности установить приложение удаленно в автоматическом режиме, средства МАМ могут обеспечить рассылку уведомлений и пользователи постоянно будут получать напоминания о необходимости установки конкретного приложения. Кроме загрузки приложений, возможна также интеграция с различными каталогами пользовательских данных (LDAP, SAML и т. д.) и рассылка документов в соответствии с требованиями политики безопасности, например путем построения VPN-туннелей для передачи конкретных документов в зашифрованном виде.

Для защиты публичных мобильных приложений компания Symantec предлагает программу App Center Ready (ACR), позволяющую разработчикам мобильных приложений встраивать механизмы защиты Symantec в свои продукты без изменения их исходного кода. Данная программа обеспечивает проведение идентификации с помощью систем LDAP и SAML, шифрует данные на время их хранения с помощью алгоритмов FIPS 140-2, следит за процессами копирования и вставки любых данных в приложения, ограничивает пересылку любых материалов приложения на сторонние сайты или приложения. После встраивания технологии Symantec мобильное приложение получает сертификацию и право на глобальное распространение через каталог Symantec App Center Ready. На сегодняшний день этой программой воспользовались такие разработчики приложений и решений MDM/MAM, как Good, Moxier, Xavy, iKonic и Branchfire.

Решения MAM, как и MDM, являются клиент-серверными — управление осуществляется либо с сервера, либо из облака поставщика, а на мобильные устройства пользователей устанавливается агент с магазином приложений (документов), в котором пользователи могут выбирать нужные им для установки (рис. 4).

 

Рис. 4. Схема обновления приложений
Рис. 4. Схема обновления приложений

 

Для минимизации затрат, связанных с обслуживанием мобильных устройств, пользователи должны иметь доступ к порталу самообслуживания, позволяющему выполнять простые действия на своем устройстве — например, определить его местоположение или удалить всю информацию с устройства. Это может существенно снизить поток обращений к службе технической поддержки.

***

Бизнес требует сегодня более гибкого применения личных мобильных устройств пользователей для выполнения служебных функций, однако сотрудники не всегда готовы предоставлять свои устройства в управление администраторам компании, что инициировало процесс консолидации различных подходов к управлению устройствами. На рынке появились решения по контролю за перемещениями информации в приложениях и аутентификации при доступе к ним для блокирования несанкционированного доступа к ресурсам корпоративной сети. При этом, например, оказалось, что ни один из почтовых клиентов мобильных устройств на данный момент не предоставляет безопасный и контролируемый доступ к корпоративной почте. Технологии класса MDM и MAM еще только в стадии становления, хотя уже ясно, что они не только способны влиять на ИТ-инфраструктуру мобильного предприятий, но и, благодаря, например, функциям рассылки приложений, позволяющим организациям использовать приложения третьих компаний, помогут получать прямую коммерческую выгоду и создавать конкурентные преимущества.

Михаил Савушкин (mikhail_savushkin@symantec.com) — технический консультант компании Symantec (Москва).

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF