Samsung vyrábí a konfiguruje svá zařízení ve vlastních továrnách. Má tak plnou kontrolu nad stavem softwaru v zařízeních, která továrnu opouštějí. Navíc, každý smartphone dostane specifická šifrovací data, na kterých závisí téměř všechny bezpečnostní procesy vyšší úrovně. Patří mezi ně Device Root Key (unikátní pro každé zařízení) a Samsung Secure Boot Key (unikátní pro Samsung, ale stejný pro všechna jeho zařízení). Ostatní výrobci, kteří si obstarávají hardware externě, nemohou takovou kontrolu kritických bezpečnostních prvků zajistit.
Z hlediska designu Samsung KNOX plně čerpá z možností hardwarové ochrany Trusted Execution Environment (TEE), která používá ARM TrustZone. Součástí je také bezpečnostní pojistka KNOX Waranty Bit, která detekuje zásahy do zavaděče nebo jádra a znemožňuje spuštění kontejneru KNOX, a tedy i přístup k podnikovým datům.
Ochranné prvky KNOX při používání mobilního zařízení
Jedním ze základních požadavků pro mobilní bezpečnost je zajistit pravost a integritu softwaru. To zahrnuje legální operační systém, stejně jako všechny ostatní moduly, které je výrobce povinen poskytnout. Bezpečnostní platforma Samsung KNOX využívá funkce Secure Boot a Trusted Boot k ověřování jak autentičnosti a integrity modulů zavaděče, tak i jádra Androidu.
1. Ochrana při spuštění
Smartphony a tablety mají velké množství předinstalovaných systémových softwarů mimo jádro operačního systému. Jejich velikost však ztěžuje ověřování integrity a autentičnosti při spouštění (bootu) zařízení. Stejně jako všechny ostatní nástroje Android Lollipop používá i KNOX k zajištění integrity systémového softwaru techniku DM-Verity. Liší se však v několika ohledech. Například je upravena tak, aby zařízení přijímalo firmwarové over-the-air (FOTA) aktualizace softwaru.
2. Ochrana při používání
Některé sofistikovanější kyberútoky se snaží napadnout systém nebo zachytit data během chodu zařízení. Jako ochrana slouží v případě Samsung KNOX funkce pro kontinuální periodické monitorování jádra Periodic Kernel Measurement (PKM) v rámci architektury TrustZone-based Integrity Measurement Architecture (TIMA). Tato funkce zjišťuje, zda kód či data jádra nebyly neočekávaně změněny. Dále funkce Real-time Kernel Protection (RKP) v TIMA provádí v reálném čase průběžné sledování operačního systému uvnitř TrustZone, aby zabránila neoprávněným zásahům do jádra. Součástí ochrany je také funkce atestace (Attestation).
3. Ochrana při updatování
Bezpečnostní mobilní platforma Samsung KNOX chrání zařízení i před potenciálně nebezpečnými updaty. Prostřednictvím funkce Rollback Prevention je zařízení blokováno proti načítání schválených, ale zastaralých komponent během spouštění Trusted Boot. Starší verze softwaru totiž mohou obsahovat již známé slabiny, které by mohli útočníci zneužít. Nejnižší přijatelná verze zavaděče je uložena v zabezpečených hardwarových pojistkách již v době výroby a nejnižší přijatelná verze jádra je uložena v zavaděči samotném.
Implementace Samsung KNOX
Samsung KNOX lze jednoduše integrovat se stávajícími řešeními MDM (např. MobileIron, Airwatch, Good, Citrix, BlackBerry BES 12), VPN a Microsoft Exchange ActiveSync. Kompletní funkce správy obsahují více než 500 podporovaných zásad IT dostupných v rámci platformy KNOX a více než 1 000 rozhraní API řešení MDM. Navíc se jejich počet každý den zvyšuje. Nejnovější aktualizace platformy Samsung KNOX zahrnuje například přihlášení několika kroky, generování one-time-pass či schopnost účtování (vytvoření platební brány) a oddělení nákladů spojených se soukromým a pracovním využíváním telefonu.
Více na www.samsungknox.com.
PŘEDPLATNÉ
ČLÁNKY DO MAILU