Свобода применения сотрудниками собственных мобильных устройств, выражающаяся в возможности приобретать и использовать предпочтительные гаджеты для доступа к корпоративным системам, вызвала в ИТ-сообществе неоднозначную реакцию. Чтобы оценить противоречивую картину, достаточно свести вместе частые заголовки сообщений на эту тему, опубликованных в СМИ за минувшие полгода: «Проблемы BYOD», «BYOD — четыре буквы, от которых ИТ-директора бегут в панике», «BYOD игнорируют, но не везде», «BYOD: внеурочная неоплачиваемая работа без потери лояльности», «Реалии BYOD: счета сотрудников за мобильную связь могут шокировать работодателей», «С BYOD смирились». ИТ-руководители в конце концов вынужденно смирились с неизбежностью BYOD и постепенно налаживают систему поддержки этой группы технологий, начиная с обеспечения информационной безопасности. Еще до прихода BYOD сформировалась группа решений для управления мобильными устройствами (Mobile Device Management, MDM), однако MDM не единственное возможное решение проблем безопасности мобильных пользователей. Сложились и еще два подхода — управление мобильными приложениями (Mobile Application Management, MAM), предполагающее защиту приложений, и управление мобильными данными (Mobile Information Management, MIM) для защиты данных.

Что защищать?

 

Серьезная консьюмеризация

Сегодня практически все отраслевые аналитики в своих прогнозах рассматривают BYOD как одно из самых перспективных направлений развития ИТ.

Леонид Черняк

На данный момент более распространены методы MDM, нацеленные на защиту устройства в целом, и хотя в этом сегменте работают несколько десятков компаний, суть большинства предлагаемых ими решений сводится к тому, что ИТ-служба накладывает те или иные ограничения на использование ПО, установленного на устройствах сотрудников. Средствами централизованного управления можно контролировать все типы устройств, принадлежащие пользователям, задавая уровень защищенности, соответствующий корпоративным правилам, однако при этом неизбежно вторжение в личное устройство, что противоречит самой идеологии BYOD. В ряде случаев это неудобно — например, когда средства обеспечения безопасности отстают от обновления рынка, а пользователь хочет купить новейшее устройство, но не может этого сделать, поскольку для него еще нет защитного ПО. Таким образом, из-за MDM владелец устройства становится заложником ИТ-службы. Кроме того, при использовании MDM теряется строгое разделение между корпоративными и персональными данными — пользователь не может быть уверен в сохранности и конфиденциальности его личных данных.

С подобными ограничениями можно было мириться лет пять или десять назад, когда технологии MDM в основном применялись к устройствам Blackberry, первому по-настоящему популярному корпоративному смартфону, который корпорация давала своему сотруднику со словами: «Это твое, владей», а к дареному коню, как известно, отношение иное, чем к приобретенному. Раздача Blackberry была распространенным явлением для североамериканских корпораций, что в сочетании с уникальным собственным почтовым сервером позволило компании RIM добиться успеха в роли поставщика для корпоративного сегмента с его специфическими задачами. Но с появлением iPhone и платформ Android, а затем и Windows Phone, ориентированных на персональные потребности, ситуация изменилась — нынешние смартфоны позволяют их владельцу, в отличие от образцов десятилетней давности, делать множество операций, не связанных с работой. Представьте, вы купили некое устройство, оно является вашей собственностью, но прежде чем начать работать на нем, вы обязаны передать его в руки ИТ-специалистов, они установят на него то, что считают нужным, но что именно, вы можете и не знать. После такого внедрения вы с неизбежностью начинаете испытывать дополнительные затруднения. Тем не менее у MDM есть неплохие перспективы на обозримое будущее: по оценкам аналитиков Gartner, в ближайшие пять лет 65% предприятий будут использовать MDM, однако теперь предприятие контолирует не устройства, а только приложения, устанавливаемые на них.

Идея защиты приложений материализуется в решениях MAM, суть которых такова: внутри мобильных устройств создаются области защищенных контейнеров, и, в отличие от MDM, действие пароля и прочих защитных инструментов распространяется не на все устройство в целом, а только на эти контейнеры. То есть пространство хранения в мобильном устройстве разделено на две области — на открытую и на закрытую. На стороне MAM целый ряд преимуществ: регламентирующие корпоративные правила распространяются только на контейнер, во всем остальном пользователь ничем не ограничен. То обстоятельство, что защищается контейнер, а не устройство, упрощает распространение MAM на новые типы устройств. Совмещение кодов и данных в одном контейнере упрощает реализацию технологии единого входа (Single Sign-On, SSO) для перехода в разные разделы портала без повторной аутентификации.

Если смартфон защищен в соответствии с принципами MAM, то в своих ежедневных потребностях пользователь ничем не ограничен, он может звонить, отправлять SMS, слушать музыку и т. п. Однако почему MAM не вытесняет MDM? Имеющиеся защищенные приложения пока невозможно загрузить примерно так, как это делается в Apple App Store или Android Marketplace, — защищенные приложения пишутся с нуля либо существующие заключаются в защитную оболочку. В MDM осуществляются традиционные действия: доставка программ (Software Distribution), управление устройствами (Inventory Management), контроль выполнения правил безопасности (Policy Management), управление безопасностью (Security Management) и сервисами (Service Management). Для MAM вся работа ограничена приложениями: доставка (App Delivery), защита (App Security), обновление (App Updating), авторизация и аутентификация пользователей (User Authentication & Authorization).

MAM

Управление приложениями было еще на мэйнфреймах, мини-компьютерах, в клиент-серверных и веб-средах — во все времена, включая классический набор процедур, поддерживающих жизненный цикл приложений от развертывания до снятия с эксплуатации. С появлением мобильных устройств, выдаваемых сотрудникам, преимущество было отдано средствам для управления этими устройствами (MDM), но как только сотрудники стали приносить на работу собственные устройства, желая совместить использование корпоративных приложений с другими привычными им функциями, наметился возврат к управлению приложениями.

Рынок MAM пребывает пока в процессе становления, на нем доминируют стартапы, но часть их уже скуплена. Так, Nukona перешла во владение компании Symantec, а WorkLight оказалась собственностью корпорации IBM. Наибольшую известность приобрели компании AirWatch, App47, AppBlade, AppCentral, Apperian, Better MDM, Kony, Nukona, Partnerpedia, WorkLight и Terra Mobile.

Итак, система MAM должна поддерживать работу приложений во всех популярных мобильных операционных средах, управлять только приложениями, а не оборудованием или встроенными программами устройства. Поставка корпоративных приложений в форме безопасных контейнеров, а также абстрагирование приложений и данных от конкретных устройств и операционных систем позволяют разделить сферы влияния: корпоративные ИТ-подразделения делают свое дело, а владелец волен делать все, что ему угодно. Управление основано на правилах и ролях с возможностью их изменения в процессе эксплуатации.

Для доставки приложений могут использоваться два способа: принудительный (ИТ-службы пересылают в устройство требуемые приложения) и по выбору (сотруднику предоставляется доступ к корпоративному хранилищу приложений наподобие Apple App Store или Android Marketplace).

Для того чтобы система MAM могла манипулировать приложениями, они упаковываются в безопасный управляемый контейнер, доступ к которому разрешен только тем, кто находится в «белом» списке, знает пароль и наделен соответствующим профилем. Все данные, относящиеся к приложениям, хранятся в зашифрованном виде, и в случае хищения устройства они не доступны злоумышленнику. Передача данных по сети также шифруется. Контейнеры привязаны к определенному устройству и не могут быть скопированы на другое. Кроме того, при необходимости администратор может поместить контейнер в «черный» список или уничтожить его.

Функционирование MAM поддерживается тремя группами специалистов. Разработчики, используя соответствующие платформы (Mobile Application Development Platform, MADP), пишут приложения, включающие в себя правила и роли безопасности, а также средства интерактивного взаимодействия. Специалисты по безопасности отвечают за технологии аутентификации и авторизации, криптозащиту и правила безопасности. Администраторы обеспечивают жизненный цикл мобильных приложений, централизованно управляя ими с единой консоли.

Пользователь в начале работы получает письмо с указаниями, как скачивать и устанавливать приложения из корпоративного хранилища приложений. Для него эта процедура не отличается от работы с Apple App Store и его аналогами.

MADP

Термин MADP был предложен аналитиками Gartner вместо ранее использовавшихся MEAP (Mobile Enterprise Application Platform) и MCAP (Mobile Consumer Application Platform), чем подчеркивается различие между разработкой и управлением. Рынок MADP уже достаточно велик и активно развивается, на нем работают такие игроки, как Adobe, Microsoft, Apple и IBM, хотя в квадранте лидеров Gartner помещает небольшие компании: Syclo (недавно куплена SAP), Antenna и Kony.

В реализациях MADP с открытыми кодами лидируют веб-разработки, использующие HTML5, JavaScript и каскадные таблицы стилей CSS, которые дешевле, но менее эффективно задействуют технические возможности конкретных устройств. В гибридных решениях, сочетающих проприетарный подход с использованием открытых кодов, программа на HTML5 упаковывается внутри специальных оболочек.

В качестве примера MADP можно привести открытую комплексную систему IBM Worklight (см. рисунок) разработки мобильных программ для смартфонов и планшетников, обеспечивающую создание многофункциональных кросс-платформных приложений без использования трансляции кода, сторонних интерпретаторов и специфических языков сценариев. Эта платформа позволяет разрабатывать и запускать приложения HTML5, гибридные и «родные» приложения с помощью стандартизированных технологий, связующего ПО, оптимизированного для мобильных устройств, механизмов обеспечения безопасности и встроенных средств управления и аналитики. IBM Worklight состоит из четырех основных компонентов: IBM Worklight Studio (интегрированная среда разработки на основе Eclipse, поддерживающая все задачи по написанию кода и интеграции, необходимые для создания полнофункциональных приложений); IBM Worklight Server (связующее ПО, оптимизированное для мобильных устройств и представляющее собой Java-сервер, играющий роль шлюза между приложениями, серверными системами и облачными сервисами); IBM Worklight Device Runtime (клиентские программные интерфейсы среды исполнения, предназначенные для расширения функций сервера); IBM Worklight Console (веб-интерфейс администрирования серверов, адаптеров, приложений и сервисов доставки).

 

Платформа IBM Worklight
Платформа IBM Worklight

 

MPM, MOM, MEM и другие

Ошибочно противопоставлять MDM и MAM — одно не исключает другого, более того, они взаимодополняют друг друга. Столь же ошибочно думать, что этими двумя группами технологий все исчерпывается — обнаружилось еще несколько родственных. MPM (Mobile Policy Management) — управление политикой безопасности в условиях мобильности, включающее изменение размера и сложности паролей с целью повышения защищенности, вариации уровней секретности по отношению к группам пользователей, отдельным пользователям или типам устройств. MOM (Mobile Operations Management) — частично включает в себя элементы MDM, MAM и MPM, касающиеся управления затратами на поддержку работы мобильного предприятия. Иногда в том же смысле применяют аббревиатуру MEM (Mobile policy Expense Management) для обозначения систем, использующих учетные данные устройств и сведения об их использовании для управления как устройством, так и приложениями.

MEM имеет и вторую интерпретацию — Мobile Enterprise Management, объединяя MAM и MDM. Иногда в данную группу решений включают и MCM (Mobile Content Management). Другая важная тенденция — усиление взаимосвязи между MEM и MEAP.

По оценке аналитиков IDC, все эти направления так или иначе объединятся, а их конвергенция дает молодому сегменту рынка решений для мобильных предприятий хорошие перспективы. Однако окончательно лицо этого сегмента оформится не раньше 2014 года, и он будет расти со скоростью свыше 30% в год, достигнув к 2016 году двухмиллиардного рубежа. Крупнейшими игроками будут SAP (компании сейчас принадлежит 16,4% рынка) и быстро развивающиеся MobileIron, AirWatch, Good Technology, Fiberlink и Zenprise. К числу наиболее заметных событий 2012 года следует отнести выход на рынок MEM тяжеловесов, переживших обычный для них период «поживем, посмотрим» и начинающих осваивать площадку, подготовленную небольшими компаниями и стартапами. Открыла это движение SAP со своей мобильной платформой SAP Mobility Platform, а затем IBM и HP анонсировали свои платформы построения и поддержки работы мобильных предприятий — HP Intelligent Management Center и MultiService Mobility, IBM Worklight.