Система управления мобильными устройствами на базе IBM MaaS360

Проблематика

В России ежегодно реализуются десятки миллионов мобильных устройств: телефоны, планшеты, смартфоны… "Гаджеты" все чаще применяются для решения производственных задач. В ряде случаев (разъездной персонал, обходчики линейных активов и т.д.) используются корпоративные устройства, но многие организации допускают работу сотрудников с использованием личных мобильных устройств, практикуя, таким образом, подход BYOD (Bring Your Own Device (с англ. – "Принеси свое собственное устройство").

Однако в силу объективных факторов, мобильные устройства плохо вписываются в традиционную инфраструктуру обеспечения информационной безопасности. Отсутствие возможности надежно контролировать "гаджет" не позволяет работать на нем с конфиденциальной информацией, и, следовательно, серьезно ограничивает возможные сценарии использования таких устройств.

Системы MDM (Mobile Device Management) обеспечивают исполнение политик информационной безопасности на мобильных устройствах, тем самым позволяя применять их для работы с "чувствительными" данными.

Решение

Решение CSM построено на базе ПО IBM MaaS360 и собственных программных разработках компании, использующих для своей работы IBM WebSphere.

На мобильные устройства пользователей устанавливается агент IBM MaaS360, реализующий следующие основные функции:

  • Применение политик ИБ на устройстве, например: белый и черный списки приложений, запрет на использование отдельных функций ОС, удаление данных с украденного "гаджета".
  • Управление мобильным устройством, например, удаленная настройка почтового клиента или подключения к Wi-Fi сети.
  • Создание на мобильном устройстве защищенного контейнера для безопасной работы с корпоративными данными.
  • Сбор статистики об использовании устройства: "геоданные", лимиты расходования трафика, установка/удаление приложений и др.

Серверные компоненты решения предоставляют следующие сервисы:

  • Аутентификация пользователей при доступе к корпоративным ресурсам (электронная почта, файловые ресурсы, веб-приложения, порталы и др.). Процедура может производиться, например, с использованием каталога Microsoft Active Directory либо иных имеющихся у Заказчика средств аутентификации.
  • Micro VPN (VPN, работающий прозрачно для пользователя). Дает возможность организовать безопасный канал связи при работе с упоминаемыми выше корпоративными ресурсами.

Личный кабинет пользователя, позволяющий:

  • подавать запросы на возможность установки ПО из корпоративного магазина приложений;
  • подавать запросы на мобильный доступ к тем или иным корпоративным приложениям;
  • удаленно заблокировать/очистить (wipe) украденное устройство;
  • определить местонахождение потерянного устройства;
  • просматривать статистическую информацию об использовании устройства.
  • Движок, реализующий согласование подаваемых пользователями заявок, а также, при определенных условиях (например, в случае установки нелегитимного приложения) – отзыв возможности эксплуатировать те или иные ресурсы организации.
  • Интеграционные службы, позволяющие организовать автоматизированное взаимодействие с сопрягаемыми системами, например: по данным из кадровой системы произвести удаление корпоративных данных с мобильного устройства, принадлежащего увольняющемуся сотруднику; сгенерировать персонализированные учетные данные (имя пользователя и пароль либо сертификат), позволяющие подключиться к Wi-Fi сети организации.
  • Отчеты, содержащие, например, следующую информацию (конкретные наполнение и формат индивидуальны для каждого Заказчика и являются предметом проектирования):
    • перечень устройств, нарушающих политики безопасности;
    • активность пользователя;
    • список пользователей, имеющих доступ к тому или иному информационному ресурсу организации.

Основные преимущества решения

  • Масштабируемая отказоустойчивая архитектура, позволяющая обслуживать десятки тысяч мобильных устройств.
  • Возможность гибкой настройки маршрутов согласования заявок на доступ к корпоративным ресурсам и на установку ПО из корпоративного магазина приложений.
  • Возможность использования внешних средств аутентификации при доступе к корпоративным приложениям.
  • "Сквозная" автоматизация цикла эксплуатации мобильного устройства (подключение нового устройства в контур управления-> согласование/отзыв доступа к различным ресурсам компании -> вывод устройства из контура управления с удалением корпоративной информации).
  • Наличие безопасного контейнера для работы с конфиденциальными данными, работающего прозрачно для пользователя.
  • Поддержка основных мобильных платформ (iOS, Android, Windows).