Možnosti vzdálené správy a zabezpečení mobilních OS

28. 3. 2011

Sdílet

Do podnikového prostředí proniká stále více chytrých telefonů odlišných od platformy BlackBerry, pro kterou byla tato oblast donedávna výsadou.

Uživatelé si zařízení od firmy RIM oblíbili pro jejich spolehlivost, snadnou e-mailovou komunikaci a přátelskou obsluhu. Jak však ukazují poslední měsíce, na trhu se objevují další mobilní systémy, které do výběru vhodného firemního mobilního přístroje výrazně promlouvají.

Pro výběr toho nejpřijatelnějšího zařízení si lze vymyslet samozřejmě různá kritéria. Mnoho lidí se například stále domnívá, že iPhone není pro většinu podniků dostatečné bezpečný. To ale už zdaleka neplatí. Operační systém iOS od verze 4 poskytuje řadu možností právě pro zajištění ochrany dat a správy, mnohdy i více, než je tomu u konkurence. Právě díky tomu se nové iPhony stále častěji zabydlujÍ v podnicích jako telefonY vhodnÉ pro byznys potřeby.

Jejich rozšiřování také podporují systémy pro správu podnikových mobilních zařízení různých platforem, které jsou nově na trhu. Telefony a tablety s různým mobilním OS tak mohou být jednotně spravovány prostřednictvím mobile management serveru, který umožňuje firemním IT nasadit bezpečnostní pravidla a nastavení přes všechny uživatele nebo jejich skupiny.

Mobilní platformy
Pojďme se tedy podívat na současné smartphony a posoudit jejich schopnosti v oblasti zabezpečení a firemní správy. Důležitou roli v tomto případě hraje protokol Exchange ActiveSync (EAS) od společnosti Microsoft. Ten se totiž pro správu mobilů rychle stává de facto standardním protokolem. Je podporován v různém rozsahu společnostmi Apple (iOS a OS X), Google (v Android OS 2,x a v korporátním Gmailu), HP (ve WebOS 1.1 a výše), IBM (ve vyšších verzích Lotus Notes), Nokia (v zařízeních s OS Symbian Series 60), Novell (v řešeních Groupwise) a samozřejmě Microsoft (ve Windows, Windows Mobile a Windows Phone 7). Pouze firma RIM nadále preferuje vlastní protokol, který s firemním poštovním serverem komunikuje prostřednictvím tzv. BES (BlackBerry Enterprise Server). Celkově EAS poskytuje 29 pravidel, která lze využívat podle druhu operačního systému a konkrétního typu mobilního zařízení.

·    RIM BlackBerry OS
Klíčem k zajištění bezpečnosti BlackBerry je využití serveru BES 5.0, který poskytuje správu prostřednictvím OTA (Over–The –Air) a dovoluje IT administrátorovi nastavit až 400 pravidel – od vynucení hesla po vzdálené vymazání dat v zařízení. RIM poskytuje bezplatnou verzi BES pro prostředí Microsoft Exchange a Lotus Notes. Novinkou je také možnost selektivního vymazání dat a aplikací z přístrojů BlackBerry, což umožňuje využívat i privátní zařízení uživatelů. To však platí pouze pro BlackBerry OS 6.0.

Některé modely BlackBerry podporují RSA SecurID, který je vyžadován například při nasazení v senzitivním prostředí, jako je třeba americká armáda. RIM připravuje na tento rok i speciální operační systém pro tablety – RIM BlackBerry Tablet OS, který bude využit v tabletu RIM PlayBook v letošním roce. Strategie RIM pro jeho zabezpečení je totožná s BlackBerry BES – RIM dokonce slibuje shodné zabezpečení u obou jeho operačních systémů.

·    Apple iOS
Varianta iOS 4 významně pozvedla možnosti správy mobilních zařízení společnosti Apple. Dovoluje například zajištěná a ověřitelná nastavení pravidel prostřednictvím EAS, ale také pomocí vlastních pravidel iOS přes OTA. Možné je rovněž vzdálené mazání, selektivní likvidace informací a aplikací, nastavení hesel, šifrování dat v zařízení a další.

Předchozí verze iOS 3.x podporovala 14 pravidel řízených prostřednictvím Exchange a nasazovaných prostřednictvím konfiguračních profilů, které jsou buď zaslány uživateli přes e-mail, nebo formou webového odkazu – provedení nastavení tímto způsobem ale nemůže být nijak zaručeno ani ověřeno. Počet podporovaných EAS pravidel se v iOS 4 nezměnil, třebaže může být nyní spravován prostřednictvím systémů pro vzdálenou správu, jako jsou Mobile Iron, Good Technology, Sybase Afaria, McAfee Trust Digital, Tangoe, Zenprise, Symantec Airwatch, Boxtone a další.

·    Microsoft Windows Mobile
Ačkoli je vývoj tohoto mobilního operačního systému již více než rok pozastaven, využívá jej spolu s množstvím vyvinutých aplikací a řešení stále relativně mnoho společností. OS Windows Mobile 6.x podporuje 29 EAS pravidel, které lze využít spolu s enterprise licencí MSCMDM (Microsoft System Center Mobile Device Management). Samotný Exchange podporuje 14 pravidel pro správu MS Windows Mobile, přičemž další různé systémy pro MDM rovněž pracují se zařízeními s Windows Mobile.

·    Microsoft Windows Phone 7
Nový systém Windows Phone 7 od Microsoftu má v současné době méně možností, jak zajistit bezpečnost a správu zařízení, než tomu je u předchůdce, tedy Windows Mobile, ale třeba i iOS – v některých případech prostě proto, že tyto funkčnosti Windows Phone 7 ani neumožňuje. Kupříkladu nepodporuje výměnné paměti, a tedy nedovoluje šifrování paměťových karet.

Pro správu využívá Windows Phone 7 rovněž MS Exchange nebo další EAS kompatibilní servery jako management konzoli. Největším opomenutím je ale nedostatek podpory pro šifrování zařízení a vyžadování komplexních hesel. Proto nebude zatím spolupracovat s bezpečnostními politikami v mnoha podnicích. Plná podpora těchto funkcí bude zajištěna v plánovaných aktualizacích tohoto operačního systému.

·    Microsoft Windows 7 Compact Embedded
Není zatím jasné, zda bude Windows 7 Compact Embedded OS for tablets podporovat stejná EAS pravidla a zda bude mít stejnou podporu pro nasazení hesel a šifrování zařízení, jakou doposud má OS Windows Mobile.

·    Google Android OS
Ačkoli je Google Android jedním z nejpopulárnějších operačních systémů současnosti, a to zejména ve Spojených státech, v tuto chvíli poskytuje minimální možnosti zabezpečení. Neumožňuje například šifrování paměti zařízení ani nasazení a správu hesel. Podporuje také velmi malý rozsah pravidel prostřednictvím EAS.

Podniková sféra je tedy v současné době poněkud znepokojena možnostmi zabezpečení a správy Androidu. Ostatně není v tuto chvíli známa ani roadmapa pro doplnění funkcí, které jsou nutné pro dostatečné zabezpečení podnikových přístrojů. Nedobře také působí množství variant OS, které vznikají podle toho, jak si který výrobce OS pro určitý model upraví.

Android se jistým způsobem podobá iPhonu na jeho začátku. Uživatelé si sami svým přístupem vynutili nasazení v podnikovém prostředí a následné doplnění dostatečné úrovně bezpečnosti a možností správy. Uživatelé zařízení s OS Android dělají v podstatě to samé. V řadě podniků jsou již nyní ochotni nasadit Android a spravovat jej například se systémy od společností Mobile Iron nebo Good Technology. Také řešení Lotus Notes od společnosti IBM má již doplněny bezpečnostní prvky pro nasazení zařízení s OS Aneroid, podobné těm, které například poskytuje aplikace TouchDown firmy NitroDesk uživatelům MS Exchange.

Časem bude Android jistě bezpečnější. Záleží samozřejmě na Googlu jako na dodavateli tohoto OS. Více by se ale zřejmě měli snažit samotní výrobci zařízení, kteří zmíněný operační systém ve svých mobilních zařízeních využívají. Podobným způsobem například doplnila operační systém Motorola, když v telefonu Droid Pro doplnila ve verzi 2.2 podporu pro současné využívání několika kanálů VPN…

·    Hewlett-Packard WebOS
Ačkoliv se o WebOS poměrně hodně hovořilo a nasazen byl již před 18 měsíci v přístroji Palm Pre, dosud si moc příznivců nezískal. V létě 2010 oznámil HP přepracování OS a jeho inovovanou verzi 2.0. Tato aktualizace bude v Evropě k dispozici v zařízení Pre 2.

WebOS nabízí nejslabší ochranu ze všech současných mobilních OS. Ačkoli poskytuje správu hesel, neumožňuje šifrování dat v zařízení. Spolupráce s EAS je na úrovni pěti pravidel: čtyři pro device management a jedno pro vzdálené smazání dat. Ve WebOS 2.0 je z bezpečnostních a řídicích funkcí doplněna pouze podpora VPN.

·    Nokia Symbian
Ačkoliv je Symbian doposud celosvětově nejoblíbenější operační systém, je ve Spojených státech prakticky neviditelný. Jeho obliba po nástupu nových zařízení a operačních systémů iOS a Android celosvětově klesá. Padá rovněž podíl Symbianu na mobilním internetovém provozu.

OS Symbian existuje v řadě variant, které více či méně umožňují zabezpečení a správu zařízení. Největší podpora v S60 3th a 5th Edition, která se využívá v telefonech Nokia E a N Series a nyní nově v řadách N, C a X. Z bezpečnosti a správy zařízení je možné využít šifrování dat, správu hesel a vzdálené smazání. Není znám přesný počet EAS pravidel, které lze nasadit pro správu zařízení s OS Symbian, nicméně je jich méně než v případě iOS. Správu Symbianu podporuje řada systémů pro vzdálenou správu mobilních zařízení (MDM).

Závěrem
V současné době je celá oblast mobilních operačních systémů je velice živá a velice rychle se objevují nové verze, aktualizace a úpravy původních operačních systémů. Další výrobci mají také ambice jít v oblasti mobilních OS svou vlastní cestou. Částečně sjednocujícím prvkem, kromě RIM BlackBerry, je možnost vzdálené správy prostřednictvím protokolu MS Exchange ActiveSync. To by zřejmě mělo být  jedním z faktorů, podle kterého volit firemní mobilní platformu.

Autor působí jako senior system engineer v Ness Technologies v České republice.