Профессиональное сообщество всерьез обеспокоено рисками утечки информации ограниченного доступа через корпоративную и личную почту с мобильных BYOD-устройств. Практически на каждой конференции по защите от утечек данных возникает актуальный для большинства участников вопрос о контроле корпоративной почты на мобильных устройствах под управлением наиболее распространенных платформ Android и iOS.


Попробуем разобраться с этим вопросом.


Безусловно, активное применение персональных мобильных устройств в рабочих целях, и прежде всего для оперативных коммуникаций по электронной почте, значительно упрощает практическое использование корпоративных данных в производственных процессах, повышает производительность труда сотрудников, их мобильность и работоспособность. Однако, с точки зрения обеспечения информационной безопасности, возникает дилемма между предоставлением доступа к служебной почте и корпоративной информации и обеспечением ее защиты при использовании на мобильных устройствах.


В качестве решения этой проблемы чаще всего на рынке предлагаются решения класса application wrapper, в которых технологии изолирующих контейнеров для мобильных приложений позволяют обеспечить защиту информации при утере мобильного устройства, а все почтовые коммуникации корпоративных приложений – перенаправить через VPN-туннель в офисную сеть организации, где для контроля контента «контейнерной» почты используется DLP-шлюз. Другой вариант, применимый в ограниченном сегменте критически важных ИС – дорогостоящие «защищенные телефоны», которые, по сути, есть специализированные программно-аппаратные MDM-решения на базе урезанной версии Android. Отмечаются также попытки создать DLP-подобный агент для мобильных устройств Android, где контроль трафика на самом деле сводится к его перенаправлению в VPN-туннель. Общим для всех этих вариантов защиты корпоративной почты является использование DLP-шлюза или сервера мониторинга почтового трафика, полученного с мобильных устройств по VPN-туннелям.


Важным фактором, влияющим на архитектуру решений по предотвращению утечек данных с мобильных персональных устройств, является то, что по разным причинам современные мобильные операционные системы не обеспечивают надежное функционирование DLP-агентов. Платформа iOS не предоставляет доступа приложениям к ядру ОС, тогда как Android, напротив, является открытой платформой, а значит, любой пользователь может путём несложной процедуры получить полный административный доступ к своему устройству Android и удалить приложение – в данном случае гипотетический DLP-агент, тем самым отключив контроль передаваемых данных и предотвращение утечек ценной информации. Наконец, нельзя забывать, что личные устройства всегда остаются личными, даже будучи предоставленными организацией – возникает масса ограничений как организационного, так и технического характера. Следует учитывать сложность доступа, невозможность автоматизированного централизованного развертывания, отсутствие административного контроля личного устройства службой ИТ и т.д.


Сетецентричные DLP-решения, стоящие за корпоративными шлюзами и VPN-туннелями, во многих отечественных продуктах ограничены функцией мониторинга почтовых коммуникаций, а для протоколов MAPI и Lotus и вовсе неприменимы – проприетарное шифрование в этих протоколах принципиально исключает возможность анализа содержимого почтовых сообщений после их отправки. В случае MAPI и Lotus анализ контента возможен только до момента отправки, что требует использования агентской DLP-архитектуры и перехвата сообщений посредством внедрения собственного кода в адресное пространство процессов почтового клиента.


Другим динамично развивающимся направлением ИБ является предоставление доступа к информационным активам компании через удаленное подключение к стерильной рабочей среде, созданной с помощью решений для виртуализации рабочих сред и приложений. Применительно к предотвращению утечек в почтовых коммуникациях на устройствах Android и iOS это реализуется посредством предоставления удаленного доступа к корпоративным серверам в целом и служебной почте в частности через терминальные сессии. При этом контроль почтовых коммуникаций каждой терминальной сессии осуществляется DLP-агентом, работающим на терминальном сервере. В данной модели почтовый клиент для работы с корпоративной почтой публикуется как виртуализованное приложение: например, в среде Citrix XenApp пользователь может работать с почтовым клиентом с любого устройства – включая мобильные устройства Android и iOS, а DLP-контроль реализуется непосредственно в корпоративной среде виртуализации на терминальном сервере. Для этого на личном устройстве самим пользователем или ИТ-подразделением организации устанавливается терминальный клиент (например, Citrix Receiver) или же вместо него может использоваться любой веб-браузер, поддерживающий HTML5.



На стороне пользователя в организационном плане модель доступа к почтовому клиенту через терминальную сессию реализуется достаточно просто – Citrix Receiver доступен и в App Store, и в Play Market и без каких-либо сложностей устанавливается на любые версии iOS и Android, а инструкция по подключению к корпоративному почтовому клиенту как виртуализованному приложению будет довольно компактной.



Последняя, самая важная часть описываемой модели – это DLP-система, контролирующая почтовые коммуникации в среде виртуализации. Агент программного комплекса DeviceLock DLP, будучи установленным на терминальном сервере, обеспечивает контроль контекста и контентную фильтрацию сетевых коммуникаций каждой сессии виртуальной корпоративной среды. Технология DeviceLock Virtual DLP позволяет перехватывать почтовые сообщения непосредственно из опубликованного в Citrix XenApp приложения-почтового клиента, доступ к которому пользователь получает через терминальную сессию, и в режиме реального времени осуществлять проверку контекста сообщения (наличие вложений, проверку почтовых идентификаторов) и контента (содержимого контента) сообщений и вложений на их соответствие DLP-политикам, заданным для этого пользователя. В случае выявления нарушения операция передачи данных ограниченного доступа блокируется в целях предотвращения их утечки, при этом создается соответствующая запись в журнале и теневая копия передаваемого сообщения с вложениями, а также генерируется тревожное оповещение для обработки в рамках процедуры менеджмента инцидентов ИБ.



Отличие Virtual DLP от описанных выше вариантов решения задачи c перенаправлением трафика в VPN-туннель и анализом почтовых коммуникаций на уровне DLP-сервера прежде всего состоит в том, что пользователь получает доступ не к данным в почтовых клиентах как таковым, а их графическому представлению в терминальной сессии. Кроме того, Virtual DLP использует агентский вариант контроля сетевых коммуникаций, когда функции контроля выполняются непосредственно в точке возникновения трафика. Только в такой архитектуре возможны перехват данных до их шифрования проприетарными протоколами как в почте, такой, например, как MAPI, так и в мессенджерах (например, Private Conversations в Skype). Кроме того, в режиме реального времени обеспечивается проверка содержимого данных, передаваемых через буфер обмена и съемные накопители, перенаправленные с личного устройства в терминальную сессию рабочего стола или приложения, что не менее важно для защиты от утечек корпоративных данных с BYOD-устройств, чем контроль почты.



Стоит отметить, что DeviceLock DLP позволяет контролировать все распространенные почтовые протоколы – SMTP/SMTP over SSL, MAPI и IBM/Lotus Notes, а на мобильное устройство пользователей потребуется установить и настроить только приложение для терминального доступа. Более того, благодаря использованию технологии DeviceLock Virtual DLP обеспечивается полный контроль разнообразных вариантов использования персональных мобильных устройств в различных моделях использования решений виртуализации (BYOD, «домашний офис», тонкие клиенты), построенных на платформах виртуализации и терминального доступа от Microsoft, Citrix, VMware и других производителей – компании могут полностью контролировать не только почтовые коммуникации, но и в целом корпоративные среды виртуализации, передаваемые на любые персональные устройства сотрудников, включая мобильные, равно как и любые другие удаленные устройства на любых операционных системах.


Nota bene: разумеется, следует учитывать, что работа с полноценным почтовым клиентом на смартфоне с крошечным экраном будет совершенно невозможной, и говорить всерьез о применении Outlook, особенно старых версий, на 4х-дюймовых экранах в разрешении 800х480 несерьезно. Но если взять в качестве виртуализованного почтового клиента более «компактное» в плане насыщенности разными интерфейсными элементами приложение, вооружиться устройством с качественным экраном большей диагонали – ситуация резко изменяется. Опять же, не стоит забывать и организационно-технический аспект – если сотруднику по роду деятельности нужен мобильный доступ к почтовым коммуникациям, почему бы не обеспечить его планшетом или легким ультрабуком?


На экране планшета даже полноценный Outlook становится действительно пригодным для использования, в чем можно убедиться на этом рисунке.



В следующей статье мы планируем более подробно рассказать, как устроен контроль потоков данных в терминальных сессиях в технологии Virtual DLP. Оставайтесь на связи!

Комментарии (0)