Široké možnosti mobilní správy (2)

Existují osvědčené postupy, jak snížit rizika mobilního zabezpečení, aniž se připravíte o výhodu konzumerizace IT.

Široké možnosti mobilní správy (2)


Lze-li označit rok 2010 za období legitimizace fenoménu používání vlastních zařízení pro pracovní účely (BYOD), můžeme hovořit o roku 2011 jako o období, kdy došlo k přijetí nástrojů MDM (správa mobilních zařízení) jako způsobu zajištění bezpečného provozu BYOD. Není tedy divu, že nástroje MDM dnes už nabízejí desítky dodavatelů.

V současné době dochází k nasazování nástrojů MDM v oblasti finančních služeb, obrany, vládních úřadů i ve zdravotnictví – tedy v prostředích, kde nejvíce záleží na zabezpečení informací.

MDM ale není novinka – podniky ho používaly roky v podobě platformy BlackBerry Enterprise Serveru (BES) pro správu přístupových práv a oprávnění zařízení pro komunikátory BlackBerry.

Microsoft Exchange, nejpoužívanější e-mailový server, také podporuje soubor zásad prostřednictvím protokolu Exchange ActiveSync (EAS). Pravidla EAS mohou vyžadovat zašifrování zařízení, použití silných hesel nebo blokování fotoaparátu.

Oddělení IT tyto zásady spravuje pomocí produktů Microsoft Exchange, Office 365 a Systems Center nebo korporátní verze Google Apps stejně jako pomocí nástrojů MDM. E-mailový server například komunikuje se serverem podnikové identity (obvykle MS Active Directory), aby určil, jaké zásady se vztahují na konkrétní uživatele.

Pokud zařízení neodpovídá pravidlům přidruženým k jeho uživateli, dojde k odepření určitého nebo veškerého přístupu pro toto zařízení.

Tyto servery také umožňují IT pracovníkům vzdáleně uzamknout nebo nevratně vymazat obsah ztraceného nebo ukradeného zařízení. Současné mobilní platformy už podporují velký počet zásad EAS stejně jako e-mailový klient Microsoft Outlook pro počítače Windows a Mac a klient Apple Mail pro Mac OS X.

Většina dodavatelů produktů MDM však nabízí mnohem více, než poskytuje Exchange a další e-mailové servery. Lze používat zásady i mimo EAS, které případně podporuje daný operační systém. Například Apple iOS má pravidlo, které umožňuje IT pracovníkům deaktivovat službu iCloud pro synchronizaci souborů.

Někteří dodavatelé MDM jdou dále, než je využití dalších pravidel na různých mobilních platformách – nabízejí například detekci modifikované verze operačního systému. Je také možné využívat mobilní aplikaci (kontejner) a v ní další aplikace.

Vše, co se v takovém aplikačním kontejneru nachází, může využívat veškeré speciální MDM zásady dodavatele, a poskytovat tak zabezpečenou zónu v zařízení uživatele. Tyto aplikační kontejnery lze přitom nastavit tak, aby nesdílely informace mimo tuto bezpečnou zónu, takže v podstatě dojde k separaci podnikových informací od zbytku zařízení.

Někteří dodavatelé MDM také nabízejí funkce, které umožňují technickou podporu mobilních uživatelů a kontrolu nad telekomunikačními výdaji, například upozorní zaměstnance na zahraniční roaming.

Výzvou pro dodavatele MDM a stejně tak pro oddělení IT pak je, že různé mobilní platformy mají rozdílné schopnosti, a proto je v podstatě nemožné zajistit jednotný přístup ke správě všech těchto zařízení.

Dodavatelé MDM tento obtížný problém řeší udržováním kroku se všemi měnícími se možnostmi platforem, ale oddělení IT musí navíc čelit realitě tím, že musejí přizpůsobovat požadavky svých pravidel, aby se zajistila podpora alespoň nejpopulárnějších zařízení podnikové třídy.

Je zde také problém s podporou zařízení se systémem iOS: Apple vyžaduje po firmách, aby si pořídily její oprávnění APNS (Apple Push Notification Service), které umožní správu MDM – tento certifikát poskytuje nástroji MDM oprávnění přistupovat vaším jménem k zařízením s iOS prostřednictvím serverů Apple.

 

Příště se podíváme na problematiku správy mobilních aplikací.

Předchozí díl najdete zde.

Úvodní foto: Fotolia © stryjek



Vyšlo v Computerworldu 2/2015








Komentáře