USD 68 ЕВРО 76.76

Где лучше реализована мобильная безопасность — в iOS, Android, BlackBerry или Windows Phone?

Аналитика

Android for Work обещает серьезный уровень безопасности, но насколько он отличается от того, что предлагают Apple в iOS и остальные конкуренты?

iPhone и iPad давно вытеснили BlackBerry в качестве корпоративного стандарта для мобильных устройств везде, кроме тех мест, где требуется наивысший уровень безопасности. Платформа Google Android царит за пределами корпоративного мира, но сегодня компания пытается подвинуть Apple с помощью Android for Work.

Что делает и что не делает Android for Work

Эта технология пришла на рынок на прошлой неделе, добавляя новые возможности безопасности и управления, а также способность делать корпоративное развертывание приложений Android из Play Store.

Контейнеры Android for Work (в которых работают бизнес-приложения — в отдельно управляемом рабочем пространстве на устройстве) — это часть ОС Android 5 Lollipop и они поддерживаются любыми приложениями из Google Play, но Android версий от 4.0 Ice Cream Sandwich до 4.4 KitKat требуют установки приложения Android for Work, которое может использовать только те приложения, которые имеют реализованные API Android for Work.

Другой вариант реализации — вам нужен совместимый сервер мобильного управления, чтобы обрабатывать политики, применяемые к приложениям, работающим в контейнере — такие, как обязательное использование VPN или ограничения копирования и вставки. Производители решений мобильного управления, поддерживающие Android for Work, включают BlackBerry, Citrix Systems, Google, IBM, MobileIron, SAP, Soti и VMware AirWatch.

Android for Work лишь частично решает проблему вредоносных приложений среди приложений Android, не только из-за высокого количества инфицированных программ в Google Play Store, но и из-за файловой системы Android, которая позволяет вредоносным программам заражать приложения с помощью файлов данных. Например, ФБР заявила, что шпионские программы промышленного класса используются в постоянных угрозах повышенной сложности в Google Play. С помощью Android for Work администраторы могут запретить пользователям устанавливать несанкционированные приложения из Play Store в бизнес-окружении, чтобы лучше защитить корпоративную среду.

В отличие от Android, iOS использует жесткую песочницу, чтобы не дать приложениям получить доступ к другим приложениям, и это значительно ограничивает обмен документами для блокирования вредоносных программ. BlackBerry и Windows Phone имеют небольшие библиотеки приложений и половинчатый подход к песочнице, так что вредоносные программы не являются проблемой для них на сегодняшний день, хотя вредоносные программы для BlackBerry появлялись в прошлом.

Android for Work также не делает шифрования по умолчанию на существующих Android- устройствах (у многих моделей, особенно дешевых, не хватает мощности для обработки шифрования).

Google пообещала в октябре прошлого года, что новый Android 5.0 Lollipop будет включать шифрование по умолчанию на всех новых устройствах. (Состояние шифрования модернизированных устройств остается без изменений). Но нет никаких требований к тому, чтобы устройства использовали отдельный криптографический чип, так что пользователи могут испытать ухудшение производительности. Например, Nexus 6 просто ползает с включенным шифрованием.

Google тихо отступила от своего обещания, что новые устройства с Lollipop будут использовать шифрование по умолчанию.

Напротив, устройства с iOS использовали шифрование по умолчанию (без возможности отключения этой опции) с 2010 года, а устройства BlackBerry используют шифрование, по крайней мере, десять лет — и у обоих есть чип шифрования, чтобы избежать падения производительности. Устройства с Windows Phone 8.1 поставляются с отключенным по умолчанию шифрованием, и администратор должен включить его. (Windows 8.1 – первая мобильная платформа Microsoft с поддержкой шифрования устройства).

Управление мобильными устройствами существенно стабилизировалось

Android for Work наступает на пятки усилиям Microsoft по повышению уровня безопасности в Windows Phone, которая исторически была слабее в безопасности и управлении. Windows Phone 8.1, выпущенная осенью прошлого года, наконец, дала мобильной платформе Microsoft разумный уровень базовых возможностей, хотя они далеко позади тех, которые обеспечивают другие мобильные платформы.

Устройства BlackBerry уже давно предлагают управление мобильными устройствами (MDM) в операционной системе и в ключевых приложениях для управления разрешениями пользователей. В iOS добавили такие возможности в 2010 году. Android последовал за ними спустя несколько лет, а осенью 2014 года Windows 8.1 стала последней крупной мобильной ОС, обеспечивающей сильный набор API-интерфейсов для управления устройствами. (Устройства BlackBerry также обеспечивают безопасную сеть и антиспуфинг на уровне чипа, чего нет у конкурентов и это являются основной причиной использования BlackBerry в средах с высокой безопасностью).

С постепенным исчезновением с рынка устройств BlackBerry, компания BlackBerry сосредоточилась на изменении ранее предназначенного только для BlackBerry BES-инструмента в единый мобильный инструмент управления — BlackBerry Enterprise Service (BES) 12 для управления устройствами с iOS, Android и Windows Phone 8 – всеми, которые широко поддерживаются другими средствами MDM — в дополнение к своим BlackBerry 10 и BlackBerry 5 и 7 устройствам.

Кроме того, iOS, Android, Windows Phone 8 и BlackBerry 10 поддерживают политики Microsoft Exchange ActiveSync (EAS), что обеспечивает простое, но общее кроссплатформенное управление для менее строгих условий безопасности, которые ИТ-специалисты могут администрировать с сервера Exchange, Office 365, Google at Work, Lotus Notes или Microsoft System Center, а также из любого сервера MDM. Таблица 1 показывает, какие политики поддерживаются каждой крупной мобильной платформой.

Таблица 1: Сравнение поддержки политик Exchange ActiveSync (EAS)
(«MDM» означает, что требуется отдельный сервер мобильного управления)

* Управляемые с помощью BES, а не EAS. ** только Windows Phone 8.1. ***Только области хранения.

Контент и управление приложениями – вот где в настоящее время сосредоточена мобильная безопасность

В наши дни, фокус вендоров мобильного менеджмента сосредоточен на контенте и безопасности приложений, поскольку в управлении устройствами уже все решено. API iOS 7 первой рассматривает этот вопрос на уровне платформы, обеспечивая стандартные интерфейсы приложений для управления их контентом и использованием.

Apple в прошлом сделала большой скачок в мобильной безопасности и менеджменте в 2013 году, когда iOS 7 продвинула управление и безопасность Apple в новые области, включая менеджмент приложений и лицензирование. В недавно вышедшей iOS 8 есть только несколько дополнений.

Подход Apple заключается в работе с приложениями и их контентом напрямую, что означает, что разработчики приложений должны реализовать интерфейсы для сервера управления, чтобы иметь возможность работать с ними. Кроме того, iOS позволяет только один экземпляр приложения на устройстве, так что пользователи не смогут установить персональную копию, а бизнес-копия управляется ИТ-подразделением.

Apple не изобрела понятие API-управляемого приложения; в 2011 несколько стартапов предложили технологии управления мобильными приложениями, которые требовали от разработчиков приложений реализации проприетарных API и проприетарных инструментов управления. Это ничем не закончилось. Подход Apple в iOS 7 делает технологию доступной для всех приложений и всех серверов управления, устраняя барьер проприетарности.

С тех пор, большинство производителей используют подход контейнеризации, который по сути разделяет управляемые ИТ-отделом приложения и данные, которые работают в отдельном рабочем пространстве, недоступном персональным приложениям пользователя. Пользователям приходится переключаться между двумя рабочими областями, как если бы они использовали два устройства.

В течение многих лет, некоторые провайдеры, такие как Divide, предлагали контейнеры для iOS и Android, но они требовали, чтобы приложения, работающие в них, были связаны с их проприетарными API, которые в свою очередь привязаны к специфическому серверу мобильного управления. Таким образом, они получили небольшое распространение.

В 2013 году Samsung анонсировала контейнерную технологию под названием Knox, которая была доступна для небольшого количества смартфонов Galaxy и поддерживалась несколькими серверами мобильного управления, так что она тоже не получила большого принятия.

Кроме того, в 2013 году, BlackBerry представила BlackBerry Balance, первый подход к контейнеризации уровня платформы для устройств BlackBerry 10. Она также имеет приложение балансировки контейнера, под названием Secure Work Space для iOS и Android.

Прошлой весной, Google приобрела вендора контейнеризации Divide и сказала, что реализует контейнеризацю в Android. Технология Android for Work стала доступна на прошлой неделе.
Политики контейнеров отличаются друг от друга, что делает трудным менеджмент. Однако сейчас, когда популярные серверы мобильного управления поддерживают интерфейсы API контейнеров iOS и Android, ИТ-администраторы должны быть в состоянии создать последовательную политику, которая в значительной степени совместима с двумя платформами — насколько возможно с помощью API для расширенного управления устройствами в iOS и Android.

Обратите внимание, что BES12 BlackBerry еще не поддерживает API менеджмента приложений iOS 7, в отличие от, например, Citrix, MobileIron и VMware AirWatch. Вместо этого, BES12 предлагает использовать контейнеры на поддерживаемых клиентских устройствах, в то время как конкурирующие инструменты предлагают оба подхода для iOS: родной API Apple, и собственные контейнеры вендора.

BES12 поддерживает некоторые API управления приложениями для устройств BlackBerry, но политики широко варьируются в зависимости от типа управляемых приложений: Java, перекомпилированные или Fire OS-совместимые Android, нативные для BlackBerry 5 или 7, нативные для BlackBerry 10. Честно говоря, это беспорядок.

Сравнение возможностей нативной безопасности и API управления

Как отмечалось ранее, интерфейсы платформ широко варьируются в зависимости от основных мобильных операционных систем, и каждый требует инструмент управления. Большинство инструментов MDM поддерживает несколько мобильных операционных систем, обеспечивая единую консоль для ИТ-администраторов.

Некоторые из них также предлагают клиентские приложения — в основном, проприетарный контейнер с проприетарными бизнес- и коммуникационными приложениями, которые добавляют возможности, которых нет в родных API. Таблица 2 показывает некоторые из наиболее часто запрашиваемых функций управления, как правило, реализуемых через API.

Тур по iOS API. Apple, например, имеет несколько десятков API для управления устройствами, которые используют дистанционно установленные профили конфигурации не только для настройки различных параметров iOS (например, предварительной конфигурации VPN или разрешенных точек доступа), но также для управления поведением приложения (например, запрет на пересылку корпоративных сообщений через личные аккаунты в Mail). Политики, касающиеся приложений, включают в себя способность предотвращать удаление приложений, блокировку пользователя в определенном приложении (например, для киоска или розничной точки продажи), и предотвращение покупки платных приложений. Все они являются частью того, что iOS называет контролируемой средой, в которой iPhone или iPad рассматриваются как устройства.

API iOS для управления приложениями включают управляемое открытие, VPN для каждого приложения, настраиваемое копирование и вставку между приложениями, и единый вход в систему, а также настоящее управление лицензиями и установку приложений на основе профиля. iOS 8 также имеет интерфейсы, чтобы отключать новую возможность Handoff, синхронизацию iCloud для управляемых приложений, резервное копирование корпоративных книг и аннотации к корпоративным книгам. Управляемые устройства также получают возможность отключения стирания всего содержимого и настроек, ограничения конфигурации, и представления результатов поиска в Интернете. iOS 8 поддерживает S/MIME для каждого сообщения, а также IKEv2 и всегда включенный VPN.

Тур по API Android. Хотя Google не опубликовала подробности своего Android at Work API на сайтах для Android-разработчика или ИТ-администратора, пройдемся кратко по ним.

Для решения проблем с вредоносными программами, Android at Work может позволить ИТ-отделу ограничить предоставление приложений в бизнес-пространстве, кроме одобренных ими. Это означает, что пользователи не могут устанавливать приложения самостоятельно в защищенном рабочем месте, если ИТ-отдел использует эту политику. ИТ-отдел также может устанавливать, обновлять и удалять приложения в бизнес-среде без участия пользователя.

Существуют политики для отключения копирования и вставки из бизнес-среды в личную (но не наоборот), и для предотвращения скриншотов в бизнес-пространстве. ИТ-отдел также может определять – какие настраиваемые приложения используют VPN-доступ, а также отказать в связи персональным приложениям через корпоративный VPN.

Google также говорит, что Google Play теперь может предоставлять приложения устройствам Android на основании бизнес-лицензий, аналогично корпоративному лицензированию Apple, введенному в iOS 7. Google Play for Work представляет собой пересмотренный магазин приложений с поддержкой бесплатных приложений, а скоро будет и поддержка платных приложений.

Samsung имеет свой собственный набор API-интерфейсов устройства для Android 4 под названием SAFE API, которые позволяют ИТ-администраторам отключать камеры, Bluetooth, модем, диктофон, SD-карты и Wi-Fi. Вы должны использовать SAFE-совместимые устройства и серверы управления. Samsung пока не заявила о своих планах для SAFE и Knox в Android 5.

Тур по API Windows Phone. В Windows Phone 8 Microsoft поддерживает возможность отозвать приложения, ограничивать пересылку электронной почты, удаленной регистрации или отмены регистрации устройства, а также дистанционного обновления бизнес-приложений.

Одной из возможностей в Windows Phone 8, не доступной для других мобильных ОС, является ее интеграция с Active Directory. Это означает, что совместимые инструменты MDM могут получить доступ к группам Active Directory, а затем назначать политики для этих групп, а не поддерживать отдельный набор групп в MDM-инструменте из набора Active Directory. Функция снижает риск нахождения сотрудников в неправильных группах применяемых политик.

Microsoft использует центральный менеджер в Windows Phone 8, под названием DM Client, который содержит все релевантные пользователю и корпоративные профили (как реестр Windows), а не полагается на набор отдельных, установленных конфигурационных профилей (как OS X System Folder).

Таблица 2: Сравнение других возможностей нативного менеджмента

* Добавлен некоторыми производителями смартфонов. ** Только в Windows Phone 8.1 (и поддержка VPN частичная). *** Только В Android for Work.

Как думать об управления мобильными устройствами

Независимо от того, какие платформы вы поддерживаете, существует три группы требований менеджмента, о которых должен подумать ИТ-отдел, советует Оджас Риджи, вице-президент по стратегии в MobileIron.

Первый набор требований касается конфигурации и защиты потерянных или скомпрометированных устройств. Это, как правило, требует усиления пароля, соблюдения шифрования, удаленной блокировки и стирания, удаленной настройки электронной почты, сертификатов для идентификации, удаленной настройки подключения (например, для Wi-Fi и VPN, хотя Риджи говорит, что эта возможность конфигурации не является необходимой, если устройство используется только для электронной почты и в сотовых сетях), и обнаружения скомпрометированных ОС (будь-то джейлбрейк, root-доступ или вредоносная программа).

Второй набор требований касается предотвращения потери данных (DLP), что охватывает управление конфиденциальностью (например, местоположения пользователя), контроль облачного использования (например, iCloud, SkyDrive и Google Docs) и контроль DLP электронной почты (например, возможность ограничения пересылки электронной почты и защиту вложений). «Более регулируемые условия могут потребовать дальнейших уточнений, и эта политика все еще подлежит определению для Windows Phone», отмечает Риджи. Напротив, iOS, BlackBerry и Android поддерживают большинство из этих потребностей, начиная с версий (соответственно) iOS 4, BES 5 и Android 3, хотя некоторые — например, управление пересылкой электронной почты — обрабатываются вне операционной системы, приложением MDM, таким как MobileIron.

Третий набор требований касается приложений, таких как предоставления и защиты данных. Apple и Microsoft имеют механизмы, чтобы сделать, по крайней мере базовое управление приложениями — iOS может скрыть приложение так, чтобы оно больше не было доступно пользователю, а Windows Phone 8 может обновлять корпоративные приложения дистанционно — и Google теперь предлагает эту возможность для контейнеров Android for Work. Но возможности менеджмента мобильных приложений (МАМ) в основном зависят от вендоров мобильного менеджмента говорит Риджи.

Все четыре платформы обеспечивают механизмы для предприятий, желающих размещать свои собственные приложения непосредственно у пользователей, так что они могут развертывать и управлять корпоративным приложениям отдельно от тех, которые пользователи получают из App Store. (Только у компании Apple, а теперь и у Google есть механизмы лицензирования и дистрибуции на месте.) Мобильные инструменты управления могут подключать эти механизмы к групповым политикам и контролю управления контентом.

У iOS и BlackBerry OS есть то, что нужно для нужд безопасности любого бизнеса. Android, особенно с Android for Work, работоспособная платформа, если вы не беспокоитесь о вредоносном потенциале. Windows Phone, которая уже давно держится позади, становится все более подходящей для средних требований безопасности.