Мобильные сотрудники под контролем
Мобильные устройства, смартфоны и планшеты, все шире применяются в корпоративной среде. В крупных компаниях и корпорациях парк мобильных устройств может насчитывать многие тысячи единиц. И все внушительное хозяйство нуждается в координации и управлении из единой консоли. Подобную задачу позволяют решить системы класса MDM (Mobile Device Management), которая представляет собой часть более широкой концепции корпоративной мобильности (EMM, Enterprise Mobility Management).
В каких отраслях и сценариях, прежде всего, может быть востребовано управление мобильными устройствами? Это логистические компании, банки и страховые агентства, розничная торговля, медицинская сфера, а также образование, где на основе управляемых мобильных решений можно создавать компьютеризированные классы.
Защита от дурака и от злоумышленника
Какими возможностями обладают подобные продукты? В первую очередь они позволяют удаленно настроить на мобильных устройствах правила и политики безопасности, пользовательские профили, сконфигурировать необходимые сервисы, получать различные виды отчетов и аналитику. При этом MDM-решение должно быть кросс-платформенным, поддерживающим как минимум три господствующие на рынке платформы — Android, Windows и iOS. Сегодня программные платформы для мобильных устройств развиваются достаточно быстрыми темпами, поэтому и MDM-разработчики должны оперативно готовить обновления своих продуктов для совместимости с новыми версиями. Не менее важна и возможность развертывания MDM как в облаке в виде сервиса, так и на ИТ-инфраструктуре заказчика (on premise).
Все тенденции на рынке ведут к тому, что в скором будущем MDM станет таким же неотъемлемым программным компонентом на мобильном устройстве, каким сегодня является антивирус. Ведь и то и другое предназначено для защиты данных. В случае потери или кражи устройства, содержащего критически важную для бизнеса информацию, всегда существует риск, что она попадет не в те руки.
Еще один пример — предотвращение утечки данных в связи с увольнением или злоупотреблением служебным положением со стороны сотрудника, пользовавшегося корпоративным смартфоном или планшетом. Здесь MDM-решения предоставляют различные технические сервисы: передача данных по защищенному VPN-каналу, работа корпоративных приложений в специально указанном разделе, не допускающем установки постороннего ПО или добавления не относящихся к делу файлов, равно как и их отправка несанкционированным способом, скажем, по личной почте. В
Возможности MDM-систем также позволяют ограничить подключение мобильных устройств к определенным Wi-Fi-сетям, закрывать другие почтовые клиенты, кроме корпоративного, запретить открытие тех или иных интернет-сайтов или разрешить открывать сайты только из белого списка. Таким образом, обеспечивается дополнительная безопасность устройства от вредоносного кода, который может содержаться в устанавливаемом пользователем ПО. Следует сказать, что и потребность в антивирусе у мобильных устройств, защищенных правильно сконфигурированной MDM-системой, будет сведена к минимуму.
Мобильные девайсы часто теряются, но для организации не столь ощутима потеря гаджета, как данных, находящихся на нем. Системы MDM умеют не только удаленно стирать всю информацию из памяти устройства, но и хранить ее в зашифрованном виде. Поэтому, даже овладев смартфоном или планшетом сотрудника, злоумышленник получит лишь голое «железо». Впрочем, при необходимости администратор может удаленно установить на мобильник пользователя любое приложение и подключить к любому корпоративному сервису. Предусмотрена и защита от «умельцев», пытающихся получить root-права, отключить или вмешаться в системные сервисы или рабочие приложения. В таком случае на консоль администратора системы поступает оповещение, после чего устройство может быть автоматически заблокировано.
Свое или корпоративное?
В сфере корпоративной мобильности обычно имеются две модели: выдача сотруднику корпоративного устройства либо разрешение использовать его личную модель для рабочих задач (Bring Your Own Device, BYOD). В первом случае администратор имеет возможность полностью управлять аппаратными функциями устройства: удаленно выключать его и полностью удалять данные, включать и выключать отдельные узлы (сетевые подсоединения, геопозиционирование, камера и т. д.). Есть вариант, когда компания выдает сотруднику устройство, но для рабочих задач на нем выделяется определенная область, в то время как остальной объем внутреннего накопителя доступен пользователю для личных целей: установки любимых программ, игр и почты. Если же в компании применяется модель BYOD, такой же рабочий раздел создается на собственном устройстве сотрудника. Здесь главное — за что отвечает MDM, прежде всего, это защита корпоративных данных и приложений, сосредоточенных в специальном разделе. Средствами MDM администратор способен ограничить доступ к такому разделу в нерабочее время, выходные дни либо при нахождении за пределами организации, города, страны и т. д. Однако можно разрешить пользователю заходить в офисные приложения, если он находится дома в вечерние или утренние часы. При обновлении тех или иных корпоративных данных и ПО они также будут синхронизированы с мобильными устройствами через MDM-систему.
Выбор и внедрение MDM
Сегодня на рынке MDM-решений наметилось несколько лидеров. Одним из наиболее продвинутых можно назвать Air-Watch, перспективный стартап, приобретенный компанией VMware в 2014 году. Также в лидерах можно увидеть продукты Citrix, IBM и BlackBerry. Все они вполне соответствуют задачам современных компаний по управлению мобильными устройствами. Проект по внедрению MDM лучше начинать не сразу во всей организации, а в определенной группе пользователей, чьи данные необходимо защитить в первую очередь. Требуется выбрать конкретное устройство, приложения, которые следует на него установить, и решить, в какой степени компания станет контролировать девайс (полный аппаратный доступ либо специально размеченный раздел). Очень рекомендуется провести пилотное тестирование, прежде чем начать промышленную эксплуатацию системы с реальными данными. В ходе такого процесса исследуется и работа самого устройства, и установленных на него приложений. В этом случае от системного интегратора, ведущего проект по внедрению MDM-решения, требуется проверить аппаратную совместимость девайсов, правильность реализации сценариев защиты и доступность для администратора всех необходимых функций по удаленному управлению. В случае успешного пилотного тестирования MDM-систему можно постепенно развернуть на всю компанию. В ходе проекта системный интегратор решает соответствующие вопросы, подключает те или иные корпоративные сервисы к MDM, настраивает аутентификацию и многое другое. Что же касается мотивации пользователей, лучшим способом будет запрет работы с корпоративной почтой для тех сотрудников, которые не подключились к MDM-системе.
С выходом операционной системы Windows 10 и инструментов Google EMM API наметилась тенденция по охвату MDM-системами не только смартфонов и планшетов, но и обычных ноутбуков, хотя на Apple MacBook подобная функция существовала и раньше. Эта возможность очень полезна для организаций, чьи сотрудники много времени проводят в командировках со своими ноутбуками. Такой ноутбук можно спокойно «потерять», причем убытки будут сопоставимы только со стоимостью «железа».
MDM меняет мир
Компания ПИРИТ в середине прошлого года первой на Северо-Западе получила статус VMWare для On-Premise развертывания лидера MDM-решений на сегодняшний день AirWatch. Для сравнения в Финляндии, население которой чуть меньше населения Санкт-Петербурга, на тот момент уже существовало шесть партнеров с таким статусом. Многие западные компании давно свыклись с этим классом решений, как с чем-то само себе разумеющимся. Надеюсь мы от них не отстанем.
Автор: Иван Сливка, исполнительный директор ООО «Пирит»
Опубликовано 12.05.2017