Артемий Терехов: EMM-системы в мобильной разработке: что это и каким бизнесам они нужны?
Например, в ретейле используются терминалы сбора данных, прайс-чекеры, планшеты, сканеры этикеток, устройства по типу принтеров. Таких устройств много даже в одном магазине, на их настройку и обслуживание может уйти много времени. Потому важна автоматизация и возможность удаленного доступа к корпоративной технике.
Артемий занимается разработкой программного обеспечения более 15 лет, а последние 3 года – именно DevOps процессами в сфере корпоративных систем управления мобильными устройствами организации и их информационной безопасностью. Сейчас отвечает за разработку EMM-системы в X5 Group для управления устройствами на базе ОС Android.
Какие функции выполняют ЕMM-системы и в каких сферах без них не обойтись?
EMM (Enterprise Mobility Management) системы – это комплексное решение для удаленного управления парком мобильных устройств предприятия или компании. Такая система позволяет осуществлять удаленный просмотр экранов мобильных устройств, управлять файлами на устройстве. С помощью EMM-систем можно управлять установкой/удалением/обновлением приложений через собственный магазин приложений или сторонний, такой как Google Play. Кроме того, она предоставляет возможность управлять доступами и системами коммуникации между сервисами компании, обеспечивает защиту мобильных устройств от проникновения злоумышленников и безопасный доступ к информационным ресурсам компании. Также EMM-системы помогают в автоматизации сбора метрик и отслеживании событий безопасности, использования мобильных устройств сотрудниками компании, облегчают мониторинг производительности мобильных устройств. Сферы, где уже применяются EMM-решения для оптимизации работы, а также, где они могут быть потенциально полезны: в банках, компаниях, занимающихся финансовыми услугами и страхованием. Я как раз в сфере розничной торговли и eCommerce занимаюсь разработками EMM. В области здравоохранения и лабораторной диагностики EMM-системы тоже облегчат работу руководителям и персоналу. Кроме того, EMM-системы могут найти применение на промышленных предприятиях, в правительственных организациях, в сфере транспорта и логистики, в HoReCa (рестораны, отели). Такие системы становятся все популярнее благодаря широким возможностям, которые позволяют компаниям лучше управлять их бизнесом и сокращать риски, связанные с безопасным доступом к ресурсам организации. Внедрение систем EMM помогает решить следующие проблемы: защищает корпоративные данные от утечек и кражи, разделяет пользовательские и корпоративные данные, обеспечивает возможность удаленной работы сотрудников. Кроме того, EMM обеспечивает централизованное управление устройствами, позволяет оперативно реагировать на инциденты в сфере безопасности, создает условия для непрерывности бизнес-процессов компании.
Из чего обычно состоят EMM-системы, как они устроены и функционируют?
Системы данного класса, как правило, состоят из нескольких основных модулей: Mobile Device Management (MDM), Mobile Application Management (MAM), Mobile Content Management (MCM), Identity and Access Management (IAM). Могут быть и другие модули, в зависимости от развития системы.
Прошу подробнее о каждом модуле.
Mobile Device Management (MDM): данный модуль позволяет управлять настройками устройства посредством применения политики управления. Политика управления представляет собой набор правил для активации/деактивации различных функций устройства, таких, например, как доступ к камере (разрешение/запрещение создания снимков экрана), возможность сброса устройства к заводским настройкам, управление микрофоном, управление Wi-Fi и мобильными сетями, управление Bluetooth подключениями, управление паролями, управление сертификатами безопасности. Данный модуль также позволяет удаленно выполнять блокировку/разблокировку устройства, очистку устройства в случае потери или кражи, перезагрузку. В функции модуля входит также сбор различных метрик с устройства, таких как серийный номер, модель, производитель, imei, ip адрес, mac адрес, перечень установленных приложений, системные логи.
Mobile Application Management (MAM): модуль позволяет удаленно управлять доступным набором приложений на устройстве, а также управлять конфигурациями приложений. Этот модуль позволяет выполнять удаленно следующие операции над приложениями: «тихая» установка и удаление (без вмешательства пользователя); «тихое» обновление, удалять данные и менять настройки приложений. Кроме того, этот модуль обеспечивает удаленное сокрытие приложений и блокировку запуска приложений, в случае если это необходимо.
Mobile Content Management (MCM): модуль позволяет удаленно управлять файловой системой мобильного устройства и поддерживает такие операции, как: просмотр структуры каталогов и файлов системы; создание каталогов; удаление каталогов и файлов; копирование каталогов и файлов.
Identity and Access Management (IAM): модуль позволяет управлять пользователями системы, интеграцией с различными системами контроля доступа к ресурсам компании. EMM-системы могут содержать дополнительные модули, такие как, например, удаленное управление устройством с одновременным просмотром экрана – как будто пользователь держит устройство в руках.
Как EMM-системы работают и что нужно для их разработки?
Пользователь EMM-системы заходит на web-портал управления системой, создает политику управления и специальный enrollment токен для регистрации нового устройства. Enrollment токен может быть представлен в виде QR-кода. В процессе регистрации устройства по этому токену на устройство устанавливается специальное приложение Device Policy Conroller (DPC), которое имеет права администратора устройства и использует системный API для реализации функционала модулей системы, а также API для получения данных с сервера и взаимодействия с ним. DPC получает привязанную к токену политику управления и применяет ее на устройстве.
Приложение Device Policy Conroller (DPC) может работать в нескольких режимах:
- Device owner mode – устройство полностью управляется компанией и принадлежит ей;
- Dedicated mode/COSU (Company Owned, Single Use)/KIOSK – устройство полностью управляется компанией и принадлежит ей, но работает в режиме единственного приложения на экране;
- Profile mode/BYOD (Bring Your Own Device) – устройство принадлежит пользователю, но при этом на нем создается защищенный контейнер для корпоративного профиля пользователя.
Для внедрения систем такого класса необходимы разработки на уровне frontend (web-портал управления); backend (сервисы на веб серверах), а также система для отправки на устройство различных сообщений, так называемые push-уведомления; Device Policy Controller – приложение, которое получает права администратора устройства в процессе регистрации – provisioning; магазин приложений, который управляет набором доступных для установки на устройство приложений.
Расскажите про импортозамещаемые решения в разработке EMM-систем?
Сейчас для российского рынка особенно актуальна разработка подобных систем, поскольку с рынка ушли многие зарубежные вендоры. Из-за огромного количества хакерских атак в настоящее время, подобные импортозамещаемые системы важны для бизнеса, как никогда. Я занимаюсь разработкой EMM-системы для управления устройствами на базе операционной системы Android для крупнейшего ретейлера – компании X5 Group. Например, в импортозамещении нуждаются сервисы компании Google, которые используются для построения собственных корпоративных EMM-систем. К ним относится, в частности, Cloud Messaging Service, который обеспечивает двусторонний обмен данными сервера с мобильными устройствами, а также позволяет отправлять push-уведомления. В корпоративных EMM-системах также бывают задействованы Managed Play Market, который обеспечивает хранение приложений, управление обновлениями и их версиями, и Android Management API, который позволяет управлять политиками безопасности на устройстве и предоставляет набор различных команд для отправки на устройство. Например, заблокировать или стереть устройство.
Приложение Google Device Policy Controller, которое взаимодействует со всеми сервисами и занимается применение политик безопасности, контролирует приложения и обрабатывает поступающие от сервера команды. Эти сервисы требуют постоянного доступа в Интернет и хранения данных в облачных сервисах Google, что создает большой риск для российских компаний, поскольку некоторые сервисы попадают под блокировку по различным причинам. Идеальным вариантом была бы EMM-система, которая не использует предоставляемые компанией Google сервисы и работает как on-premise решение внутри организации максимально независимо. В X5 Group я и занимаюсь разработкой такой независимой EMM-системы с нуля. Это очень большой объем работы для замещения таких масштабных сервисов, которые предоставляет Google в помощь разработчикам. Мы разрабатываем и собственный сервер для хранения данных, и систему push-уведомлений, и собственное приложение Device Policy Controller для управления политиками безопасности, и собственный магазин приложений. Российских аналогов магазина приложений, который бы имел нужный функционал для работы с EMM-системами, пока не существует на рынке. Наш магазин приложений встроен непосредственно в Application Device Policy Controller, поэтому имеет практически неограниченные права на работу с приложениями на устройстве. Например, ни один из российских магазинов приложений не может установить приложение без взаимодействия с пользователем. Это доступно только для системных приложений, к которым можно отнести Device Policy Controller. Собственная разработка позволяет гибко управлять бизнес-потребностями компании и добавлять дополнительный функционал для обеспечения безопасности системы, который подходит под внутреннюю инфраструктуру компании.
Ольга Черных
Опубликовано 04.01.2023