Мобильная безопасность — что лучше: iOS, Android, BlackBerry или Windows Phone?

23.09.2014 | 00:43 Аналитика

iOS 8 и Windows Phone 8.1 поднимают стандарты мобильного управления, но iOS 8 также имеет множество возможностей, помимо инструментов MDM.

Феномен BYOD уже не новшество, его поддерживают большинство компаний. Для ИТ-организаций, реальная проблема заключается в обеспечении надлежащей безопасности и управления мобильными устройствами сотрудников, вне зависимости — являются ли они BYOD или собственностью корпорации. Apple iPhone и iPad стали новыми корпоративными стандартами в связи с высокой удовлетворенностью пользователей и превосходными возможностями безопасности. Однако растет заинтересованность и в поддержке Android, в связи с сильным присутствием на рынке персональных устройств.
Большие изменения в мобильном управлении

В прошлом году iOS 7 продвинула управление и безопасность от Apple в новые области, в том числе управление приложениями и лицензирование. Новая iOS 8 имеет только несколько дополнений. Но iOS 8 поднимает новые вопросы, выходящие за рамки того, что может сделать инструмент управления мобильными устройствами, отмечает Оджас Риджи, вице-президент по стратегии мобильного управления провайдера MobileIron. Например, из-за того, что Apple, не позволяет хранение на iCloud персональных медицинских данных из приложений, использующих HealthKit API, полное удаление данных устройства может быть неприемлемым для пользователей, особенно если резервное копирование iTunes также отключено по внутренним правилам компании. Каковы последствия появления новых расширений по управлению приложений и влияние на разработку приложений?

Microsoft Windows Phone 8.1 добавляет несколько ключевых управленческих функций и функции безопасности, в том числе возможность отключения Wi-Fi и поддержку S/MIME для безопасности электронной почты. Но новая ОС находится на медленном пути к развертыванию. Поставщики устройств не торопятся развернуть обновление 8.1 для пользователей Windows Phone 8. В результате, ИТ-отделам приходится иметь дело как с версиями Windows 8, так и с Windows 8.1.

При разработке мобильной стратегии управления, ИТ-отдел должен понимать, что технология управления мобильной безопасности делится на две основных формы: EAS-политики Microsoft и нативные API.

Сравнение политик поддержки Exchange ActiveSync

Microsoft Exchange, Microsoft System Center 2012, Google at Work, а также различные сторонние инструменты управления поддерживают политики EAS прямо из коробки. Согласно информации аналитика Криса Хейзелтона из 451 Group, основные EAS-политики охватывают потребности большинства предприятий. Но, как указано в Таблице 1, различные мобильные операционные системы поддерживают различные EAS политики. Сама по себе поддержка EAS не говорит о том — какой уровень безопасности вы получите.

Apple iOS 4.2 в 2010 году стала первой крупной современной мобильной ОС, поддерживающей EAS-политики, и это помогло занять iPhone и iPad корпоративный сегмент. С тех пор, Google увеличивал поддержку EAS с каждой версией Android. В Android 4 есть поддержка самого большого количества политик EAS, чем когда-либо. Ведущий производитель Android-устройств компания Samsung добавила политику поддержки, а также интерфейсы API для Android 4 во многие свои устройства. (В приведенной ниже таблице сравнивается поддержка EAS мобильными ОС). Microsoft Windows Phone 8 была первой версией, обеспечивающей значительную поддержку EAS, а BlackBerry 10 была первой ОС BlackBerry, поддерживающей EAS напрямую, а не через BES, которая стоит дополнительных денег.

Таблица 1: Сравнение поддержки EAS-политики

(«MDM» означает, что требуется отдельный сервер управления мобильными устройствами)

 Сравнение возможностей нативной безопасности и управления API

Другая форма мобильной безопасности основана на API мобильных ОС. Эти API широко варьируются в зависимости от ОС, и каждый требует инструмента управления. Многие инструменты MDM поддерживают множество мобильных ОС, предлагая единую консоль для IT-администраторов. Некоторые из них также предлагают клиентские программы, добавляющие возможности, которых нет в нативных интерфейсах, хотя это, как правило, вынуждает пользователей выбирать для проприетарные приложения для электронной почты и для других бизнес-целей. Таблица 2 показывает некоторые из наиболее часто востребованных функций управления, которые, как правило, осуществляются через API.

 Apple, например, имеет несколько десятков таких API, которые используют дистанционно установленные конфигурации профилей не только для настройки различных параметров iOS (например, для предварительной конфигурации VPN или разрешенных точек доступа), но и для управления поведением приложения (например, запрета на пересылку корпоративных сообщений через личный аккаунты электронной почты). Политики приложений включают в себя возможности предотвращения удаления приложений, блокировки доступа пользователя к определенному приложению (например, для использования в розничной торговле), и предотвращения покупки платных приложений. Все они являются частью того, что iOS называет контролируемой средой, в которой iPhone или iPad рассматриваются как устройства.

В iOS 7 добавлен набор API-интерфейсов для управления приложениями, в том числе управляемых запусков, VPN для каждого приложения, управляемых копирований и вставок между приложениями, единого входа, а также настоящего управления лицензиями и установки приложений на основе профиля. В iOS 8 теперь есть API, чтобы отключить новую функцию Handoff, синхронизация iCloud для управляемых приложений, резервное копирование корпоративных книг и аннотации к корпоративным книгам. Управляемые устройства также получили возможность отключения стирания всего содержимого и настроек, ограничение конфигурации, и представления результатов поиска в Spotlight. iOS 8 поддерживает S/MIME для каждого сообщения, а также IKEv2 и всегда включенный VPN.

В том же ключе, Windows Phone 8 поддерживает возможности отзыва прав приложения, ограничение пересылки электронной почты, удаленной установки или удаления приложений со устройства, и удаленного обновления бизнес-приложений. Одной из возможностей в Windows Phone 8, не доступных для других мобильных операционных систем, является ее интеграция с Active Directory, отмечает Ахмед Дату, вице-президент мобильного подразделения в Citrix. Это означает, что MDM-инструменты, такие как Citrix, могут получить доступ к группам Active Directory, а затем назначить политику для этих групп, а не устанавливать отдельный набор групп в MDM-инструменте из набора в Active Directory. Это экономит время ИТ-персонала, отмечает он. Это снижает риск того, что сотрудники будут в неправильных группах для политик, которые должны применяться, или «провалятся в трещины», когда будут удалены, скажем, в Active Directory, но не в базе данных пользователей MDM-инструмента.

Microsoft и Google предоставляют гораздо меньше таких возможностей в своих API, хотя Samsung и подразделение Lenovo Motorola Mobility добавили свои собственные API-интерфейсы безопасности в свои устройства на Android 4. Например, API-интерфейсы Samsung SAFE позволяют ИТ-администраторам отключать камеры, Bluetooth, модем, диктофон, SD карты и Wi-Fi.

Microsoft использует центральный менеджер в Windows Phone 8 под названием DM Client, который содержит все необходимые пользовательские и корпоративные профили (как в реестре Windows), а не полагается на набор отдельных установленных конфигураций профилей (как OS X System Folder). Год назад Microsoft наконец получила сертификацию FIPS 140-2, присоединившись к BlackBerry 10, iOS 6 и более поздним, и устройствам Samsung SAFE Android в поддержке этого ключевого федерального стандарта безопасности.

BlackBerry — крестный отец мобильной безопасности и управления. Его BES предлагает сотни возможностей контроля, а его технология Balance позволяет IT-персоналу создать раздел на устройстве BlackBerry 10, чтобы держать отдельно личные и рабочие приложения.

Таблица 2: Сравнение других нативных возможностей управления
(Обычно требуется сервер управления мобильными устройствами)
 

*Добавлено некоторыми производителями смартфонов **Только в Windows Phone 8.1 (и с частичной поддержкой VPN)

Как планировать управление мобильными устройствами

Rege MobileIron предлагает три направления требований к управлению для планирования ИТ-отделом.

Первый набор требований касается конфигурации и защиты потерянных или взломанных устройств. Это, как правило, требует усиления паролей, усиление шифрования, возможности удаленной блокировки и удаления информации с устройства, удаленной настройки электронной почты, сертификатов идентичности, удаленной настройки подключения (например, для Wi-Fi и VPN, хотя, эта возможность конфигурации не является существенной, если используется только для электронной почты и в сотовых сетях), и обнаружения взломанных ОС (например, с джейлбрейком, с рутом, или инфицированных вредоносным ПО).

Второй набор требований касается предотвращения потери данных (DLP), которая охватывает управление конфиденциальностью (например, определение местоположения пользователя), управление облачного использования (например, для iCloud, OneDrive и Google Docs) и управления DLP электронной почты (как возможность ограничивать пересылку электронной почты и защита вложений). «Более регулируемое окружение требует второго набора, и эта политика все еще уточняется для Windows Phone», отмечает Риджи. iOS, BlackBerry и Android поддерживают большинство из этих потребностей еще с версий iOS 4, BES 5 и Android 3, хотя некоторые — например, управление пересылкой электронной почты — обрабатываются вне ОС, такими клиентами MDM, как MobileIron.

Третий набор требований касается приложений для обеспечения безопасности данных. Хотя и Apple и Microsoft имеют базовые механизмы управления приложениями — iOS может скрыть приложение так, чтобы оно больше не было доступно пользователю, а в Windows Phone 8 можно обновлять корпоративные приложения удаленно — возможности по управлению мобильными приложениями (МАМ) в основном зависят от вендоров ПО для мобильного управления, говорит Риджи.

Все магазины приложений, кроме Google, тщательно проверяются. Для своих мобильных ОС, Microsoft и BlackBerry скопировали кураторский подход Apple, которая бережет iOS от вредоносного ПО. Android не имеет такого строгого контроля, и хотя Google сейчас делает усилия для анализа приложений, Google Play полон вредоносных программ. Сотрудники ФБР, например, заявляют, что шпионское ПО промышленного класса, используемое в постоянных угрозах повышенной сложности попали на Google Play.

Все четыре платформы предоставляют механизмы для бизнеса, позволяющие развернуть свои собственные приложения непосредственно на устройствах пользователя, чтобы управлять корпоративными приложениями отдельно от тех, которые пользователи скачивают из магазина приложений. Мобильные средства управления могут подключать эти механизмы для групповых политик и управления контентом.

Очевидно, что у iOS и BlackBerry есть все, что нужно для почти всех потребностей безопасности любого бизнеса. Android, особенно если вы используете устройства Samsung или Motorola, является возможной платформой, если вас не беспокоит вредоносный потенциал. И Windows Phone, которая уже давно отстала по количеству устройств, становится более подходящей для требований безопасности среднего уровня.