За последние несколько лет мобильные устройства основательно вошли в нашу жизнь, так что мы не представляем себе как раньше обходились без них. Каждый помнит то неуютное ощущение, когда телефон забыт дома или разрядился. Смартфоны и планшеты помогают нам во всех сферах жизни и теперь все больше бизнес-процессов оказываются связаны с использованием этих устройств. В то же время перед компаниями возникает довольно серьезная проблема — защита корпоративной информации. Представьте, что вы забыли свой смартфон на столике в кафе или оставили планшет в зале ожидания аэропорта, ваша почта, список контактов, удаленный доступ к внутренней сети компании, все это может оказаться в чьих угодно руках. И уж совсем печальные перспективы рисуются при мысли о том, что телефон у вас могут вытащить из кармана целенаправленно для получения этой информации.



При решении вопроса защиты мобильного устройства, возникает еще и вопрос удобства его защищенного использования. Например, сколько раз в день вам придется вводить пароль для доступа к телефону и что будет с личной информацией, если при потере требуется удалить конфиденциальные рабочие документы?

В этой статье мы рассмотрим как мобильная стратегия Oracle позволяет обеспечить защиту корпоративных приложений и конфиденциальных данных в мобильном окружении. Существуют несколько подходов к вопросу предоставления мобильного доступа сотрудникам и речь пойдет о двух основных вариантах — Mobile Device Management (MDM) и Mobile Application Management (MAM).

MDM и MAM


Не обязательно защищать весь смартфон, но основные данные и приложения защитить нужно. Необходимо дать сотрудникам удобные мобильные приложения, а не просто защищенный доступ к электронной почте.

Mobile Device Management – управление мобильным устройством, при этом подходе используется удаленное управление устройством целиком, включая управление аппаратными функциями. MDM нужен когда требуется запретить пользователю использовать камеру устройства или делать снимки с экрана. Устанавливая на мобильное устройство MDM, владелец соглашается передать полное управление устройством администратору MDM системы. Это не значит, что администратор получит доступ к личной информации, это означает, что в случае утери устройства будет возможность послать на него сигнал возврата к заводским настройкам и в этом случае сотрется вся информация, как корпоративная, так и личная. Проблема потери личной информации уменьшается, если у пользователя настроена облачная синхронизация, контакты, фотографии, заметки и даже прогресс прохождения некоторых игр могут быть восстановлены и облака.

Mobile Application Management – управление мобильными приложениями, при этом подходе не предоставляются права на все устройство, а управление ограничивается только приложениями и данными, относящимися к этим приложениям. В случае утери устройства администратор посылает сигнал на стирание только корпоративной информации с устройства или блокировку входа пользователя только в корпоративное рабочее пространство и корпоративные приложения. Если владелец найдет свой потерянный телефон или планшет, то в данном случае он не потеряет ничего личного. MAM позволяет с удобством использовать корпоративное устройство как личное, корпоративная информация и корпоративные приложения при этом находятся в так называемом «контейнере», а личная информация и личные приложения — вне контейнера.

Многие компании хотят использовать оба подхода одновременно, либо предоставляя сотрудникам самостоятельную возможность выбора способа подключения, либо разделяя сотрудников на группы в зависимости от должностных обязанностей, ведь не все сотрудники имеют доступ к конфиденциальной информации и не для всех требуется повышенный контроль.

Oracle Mobile Security Suite


Мобильная стратегия Oracle предоставляет возможность использовать оба подхода, как MAM, так и MDM. В обоих случаях у сотрудника на мобильном устройстве будет установлено приложение-контейнер – это рабочая область, содержащая в себе набор других корпоративных приложений, обеспечивающая единый вход в эти приложения и защиту содержимого. Только в случае установки MDM варианта придется поставить дополнительный профиль/сертификат, подтверждая тем самым, что вы согласны на удаленное управление устройством.

Oracle Mobile Security Suite выделяет контейнер, в котором изолируются корпоративные данные. Внутри контейнера — дисциплина и порядок, контейнер поддерживает удаленную очистку и обновление политик. Все корпоративные данные хранятся внутри контейнера, их передача в другие области запрещена.

После того, как вы устанавливаете контейнер, в нем появляется несколько готовых приложений:

корпоративный браузер предназначен для использования с внутренними ресурсами, администратор определяет что будет разрешено просматривать через этот браузер. Доступ к внутренним веб-ресурсам и веб-приложениям компании настраивается так, что бы можно было попасть туда только из корпоративной сети или из браузера внутри мобильного контейнера.

почтовый клиент для корпоративной почты;

редактор документов и файловый менеджер для работы с корпоративными документами;

бизнес-приложения предприятия — любые приложения, которые помещены в контейнер;

корпоративный каталог приложений — для того, чтобы получить на смартфон контейнеризированные приложения, существует отдельный каталог, не похожий на App Store или Play Market.

Но при этом в распоряжении пользователя остается браузер для обычных интернет-ресурсов; обычный почтовый клиент для личной почты; привычные приложения и доступ в App Store или Play Market.

Все корпоративные документы сохраняются на устройство в зашифрованном виде. Злоумышленник или случайный человек, которому достался смартфон под управлением Oracle Mobile Security Suite, не сможет получить доступ к приложениям и документам в контейнере. И даже если смартфон не подключен к сети и не поддается удаленной очистке, то взломав его и получив документы, прочитать их не получится, они будут открываться в нечитаемом виде.

Политики


Политики определяют множество параметров: способ авторизации для данной группы пользователей, на каких устройствах и операционных системах разрешено использовать контейнер, какие приложения будут доступны в каталоге у пользователя, разрешать ли доступ из определенной геопозиции и в определенное время, какой будет таймаут у сессии и т.д. Также политики управляют всеми функциями при передаче данных между контейнером и незащищенной областью телефона — сохранением данных, копированием-вставкой, электронной почтой, мгновенными сообщениями, видеоконференциями, социальными сетями, печатью, запуском программ, перетаскиванием данных из одного приложения в другое (AirDrop), медиа-галереей, контактами. Каждый авторизованный пользователь входит в ту или иную группу, к группе применяется одна или несколько политик.

Если нужно удаленно стереть данные, когда смартфон потерян, сотрудник обращается к администратору, администратор отправляет на смартфон push-уведомление, и при использовании MAM варианта — данные, относящиеся к контейнеру и его приложениям, удаляются с устройства. В случае использования MDM — все устройство возвращается к заводским настройкам.

Oracle Mobile Security Suite использует различные механизмы для определения Jailbreak- и root-устройств. При помощи политик администратор определяет, разрешает ли он пользователям со взломанными устройствами устанавливать контейнер. Кроме того, можно разрешить пользователям видеть определенные приложения только с определенных устройств или при помощи определенных версий iOS и Android, что будет полезно, если приложение может работать не на всех версиях операционной системы.

Туннель приложения


Один из способов предоставления доступа к внутренним ресурсам – это организация VPN соединения с мобильного устройства. Oracle Mobile Security Suite не использует VPN-соединение — вместо этого от приложения или от контейнера к серверной части открывается взаимно аутентифицированный SSL-туннель. Доступ к внутренней сети при этом открывается только для приложений из «белого» списка — а в случае VPN-соединения любые приложения, скачанные пользователем, получили бы доступ со смартфона в корпоративную сеть.

Туннель приложения оптимизирован для мобильного трафика, и решение поддерживает прозрачное переключение между Wi-Fi и 3G — то есть, если вы, работая с документом «на ходу», покинули зону Wi-Fi и ваш смартфон переключился на 3G, вы можете спокойно продолжать работу, связь не прервется и сессия не потеряется.

Контейнеризация приложений


Oracle Mobile Security Suite сразу предоставляет вам все, что нужно, чтобы безопасно работать с веб-приложениями — а именно, безопасный браузер. Если же в информационной системе вашего предприятия нужно использовать автономные приложения, то их придется провести через процесс контейнеризации.

Чтобы контейнеризовать приложение, его нужно подписать специальным сертификатом — в случае iOS это официальный сертификат разработчика Apple. Для этого в Oracle Mobile Security Suite входит инструмент для контейнеризации, у которого всего две функции: подписать приложение и внедрить в него свой код – создать так называемую обертку для приложения. Перед тем, как приложение сделает вызов к операционной системе, эта обертка перехватит этот вызов и проверит политику – можно ли это действие выполнять данному пользователю? Чтобы контейнеризовать приложение независимого разработчика, нужно с ним связаться и получить неподписанную версию приложения без сертификата. Подписанное приложение администратор загружает в корпоративный каталог, после чего любой сотрудник с правом доступа сможет установить приложение к себе на устройство — и не просто на устройство, а в защищенный контейнер.

Код основных механизмов защиты Oracle Mobile Security Suite обфусцирован, чтобы его сложно было декомпилировать. Ключи, которыми шифруется защищенный контент и приложения, управляются и хранятся только в оперативной памяти устройства и безопасно удаляются, когда в них отпадает необходимость.

Интеграция с Oracle Access Manager и Oracle Identity Governance


В новом релизе OMSS тесно интегрирован с другими продуктами Oracle. Интерфейсы управления Oracle Mobile Security Suite и Oracle Access Manager объединили в единую консоль управления политиками.

Такая интеграция позволяет централизовано администрировать продукты и использовать возможности OAM на мобильных устройствах. Например, OMSS может использовать Oracle Access Manager для выполнения контекстной пошаговой аутентификации на основе рисков во время регистрации пользователя или во время его входа в защищенное приложение. Пошаговая аутентификация это дополнение к основному паролю, она может быть выполнена в виде ответов на контрольные вопросы или в виде дополнительного ввода одноразового пароля. Эта функция доступна если защищаемое приложение настроено на использование OAuth2.

Oracle Mobile Security Suite может быть установлен совместно с консолью самоуправления Oracle Identity Governance. При использовании такой интеграции в одном интерфейсе видно кто к каким системам компании имеет доступ, какими мобильными устройствами пользуется сотрудник и какие приложения на них установлены.

Сертификация


Решения по информационной безопасности Oracle проходят сертификацию Федеральной службой по техническому и экспортному контролю (ФСТЭК России), вы увидите их по ссылке — это блог Oracle по информационной безопасности.

Комментарии (5)


  1. xnike
    15.07.2015 18:20

    А чем данный продукт лучше / отличается от BlackBerry BES 12(.2) и того же предложения Касперского?
    ИМХО, если сменить имя продукта на любое из указанных мною раннее и обновить скриншоты, то даже текст этой статьи менять почти не придется.


    1. Rathil
      15.07.2015 23:59

      Согласен. Много контор уже выпустило подобный функционал.


    1. warlog Автор
      17.07.2015 11:24

      xnike концепт с BES12 одинаковый, разница в деталях. OMSS устанавливается вместе с Access Manager и тесно с ним интегрирован, это расширяет возможности аутентификации и авторизации. Во многих крупных конторах уже стоит оракловый IdM, для них будет удобно управлять всеми полномочиями сотрудников из единой консоли. А остальным придется выбирать насколько хорошо каждое решение ложится именно в их инфраструктуру. Или например такой момент, OMSS работает под Weblogic, который в свою очередь обеспечивает масштабируемость, кластеризацию, отказоустойчивость, единую консоль мониторинга через Enterprise Manager и т.д., это будет важно если в компании много сотрудников и/или она территориально большая. А так статья архитектуру не описывает, а скорее рассказывает что вот такой продукт есть в линейке безопасности оракл.


  1. forketyfork
    15.07.2015 22:50

    Перед тем, как приложение сделает вызов к операционной системе, эта обертка перехватит этот вызов и проверит политику – можно ли это действие выполнять данному пользователю?


    А предусмотрена ли защита данных, которые такое контейнеризованное приложение сохраняет на устройство или передаёт наружу, скажем, в веб-сервисы предприятия? Есть ли end-to-end-шифрование этой информации между локальным хранилищем и удалёнными сервисами? Нужно ли пользоваться какими-то специальными API контейнера для работы с данными, или всё автоматически и прозрачно?


    1. warlog Автор
      16.07.2015 13:26

      Передаваемые данные и данные, сохраняемые локально на мобильное устройство, шифруются. К шифруемым хранилищам относятся кеш, файловое хранилище, пользовательские настройки и данные базы данных. Шифрование сертифицировано FIPS140-2 Level 1.

      При передачи данных от каждого контейнеризированного приложения открывается взаимно аутентифицируемый SSL «туннель приложения», со стороны сервера первой точкой входа для соединения выступает Mobile Security Access Server — шлюз, выступающий в роли прокси и посредника при аутентификации. Все что передается шифруется используя OpenSSL FIPS.

      API не нужны, есть только тулза для контейнеризации, она умеет подписывать приложение сертификатом и делать «inject» (как бы внедрение/добавление своего кода к приложению). Берет она на вход уже готовую библиотеку приложения, не код.