Biztonsági keretrendszer és értékelési ellenőrzőlista
Mobil vállalattá válni minden vállalkozás számára új lehetőségeket jelent. A dolgozók elégedettebbek és hatékonyabbak, ha e-mailjeiket, alkalmazásaikat és adataikat mobileszközeikről – táblagépről és okostelefonról – is elérhetik. Azok a vállalatok, amelyek működésük során mobil munkastílusú megoldásokat alkalmaznak, versenyelőnyre tesznek szert, és bevételnövekedést érhetnek el.
Az Aberdeen Group tanulmánya rámutatott, hogy a piacvezető vállalatoknál a felhasználók az üzleti munkafolyamatokat a többi céghez képest háromszor nagyobb valószínűséggel végzik mobileszközökön. (“Mobility in ERP 2011”, Kevin Prouty, Aberdeen, May 2011).
Ugyanakkor szinte az összes elemzői tanulmány felhívja a figyelmet arra, hogy a vállalati mobilitást és a dolgozók saját mobileszközeinek céges használatát („Bring Your Own Device”, BYOD) legfőképpen a biztonság szempontja akadályozza. A CSO Magazine nemrégiben kiadott jelentése szerint a vállalatok 17 százaléka már tapasztalt visszaéléseket a mobileszközök használata terén. (“Global State of Information Security Survey”, CSO Magazine, 2012)
Mobilbiztonsági intézkedések
Miközben a mobilbiztonságot célzó intézkedések a kötelező jelkódhasználattól az eszközök titkosításáig terjedhetnek, a mobil munkavégzési programokat megvalósító cégek figyelmének homlokterében az adatokkal való visszaélések és az adatok kiszivárgása áll.
Jack Gold vállalatbiztonsági szakértő szerint a cégek által elveszített okostelefonok és táblagépek száma évente a három-négyszeresére nő. Gold az alábbi (retorikus) kérdést teszi fel: „eszközönként 32 vagy 64 GB memóriával számolva vajon hány elveszett adatrekordot tartalmaz egy elvesztett okostelefon vagy táblagép?” (“MDM is No Longer Enough”, Citrix webinar with enterprise security expert, Jack Gold, October 2011)
Mivel egy adatrekord becsült költsége meghaladja a 250 dollárt (“U.S. Cost of a Data Breach”, Ponemon Institute, March 2011) , az adatvesztés olykor igen drága mulatság. Egyes kutatások szerint az adatvesztések költsége nagyvállalatok esetén meghaladhatja a 400 000, kisvállalkozások esetén pedig a 100 000 dollárt (State of Mobility Survey, Symantec, February 2012), de a költségek olykor elérhetik akár a milliós nagyságrendet is. (In 2010 the average cost of a data breach was $7.2 million. Doug Drinkwater, Feb. 10, 2012, TABTIMES.COM) A helyzetet csak súlyosbítja, hogy az okostelefonok és táblagépek a vállalati hálózathoz való kapcsolódáson túl egyre nagyobb számban kapcsolódnak üzleti alkalmazásokhoz és tartalomtároló rendszerekhez is.
Az adatok kérdésén túlmenően a vállalati IT- és biztonsági részlegeket egyre jobban aggasztják azok a kockázatok, amelyeket a belső hálózatnak a legkülönbözőbb mobileszközök felé történő megnyitása hordoz. Az okostelefonokat és táblagépeket sok esetben nem felügyelik vagy ellenőrzik, vagyis az eszközök hálózati fenyegetéseket hordozhatnak, és negatív hatással lehetnek a vállalat biztonsági előírásoknak való megfelelésére.
A vállalatok biztonsági aggodalmaihoz három elsődleges tényező is hozzájárul.
1. A mobileszközök és -alkalmazások robbanásszerű elterjedése
Mivel a Center for Telecom Environment Management Standards jelentése szerint a vállalatok 78%-a engedélyezi, hogy a dolgozók saját mobileszközeiket használhassák üzleti környezetben (marketwatch.com/story/ctemsr-research-78-of-enterprises-allow-bring-your-own-device-byod-2012-07-24?siteid=nbkh), és csak az Apple® iPad® táblagépeket érintő vállalati IT-kiadások 2013-ban elérték a 16 milliárd dollárt (“Global Tech Market Outlook for 2012 and 2013” Andrew Bartels, Forrester, January 6, 2012), a mobileszközök száma a vállalatoknál nemcsak hogy ugrásszerűen nő, de a használatuk már korántsem korlátozódik a vezető beosztású munkatársakra.
Ezen kívül legyen szó akár céges tulajdonú, akár a dolgozó saját mobileszközeiről, azokon egyre több alkalmazás fut. Az Asymco mobilelemző cég jelentése szerint egy iOS® eszközön átlagosan 60 alkalmazás fut. (“More Than 60 Apps Have Been Downloaded for Every iOS Device”, Asymco, January 16, 2011)
Tekintettel arra, hogy a cégek több mint a fele egynél több eszköztípust támogat (“Market Overview: On-Premises Mobile Device Management Solutions”, Forrester, January 3, 2012), a vállalati hálózatok rendkívüli mértékben ki vannak téve a biztonsági előírásoknak potenciálisan nem megfelelő, illetve rosszindulatú alkalmazásoknak.
Bár e tények jól jelzik a rosszindulatú programok által hordozott kockázatokat, nem szabad figyelmen kívül hagynunk a Wall Street Journal „Az alkalmazásai önt is figyelik” (Your Apps are Watching You) c. cikkének megállapítását sem, miszerint 101 vizsgált mobilalkalmazásból 56 az eszközazonosítót, 47 a földrajzihely-adatokat, és 5 pedig a személyes adatokat is továbbküldte külső szerverek felé. (“Your Apps are Watching You”, The Wall Street Journal, section, December 17, 2010) Bár a tanulmány a felhasználói alkalmazásokra koncentrált, rámutat arra, hogy az eszközök és a vállalati hálózatok mennyire sebezhetők az eszközökre telepített alkalmazásokkal szemben.
Még a nem rosszindulatú alkalmazások is gyűjthetnek és továbbíthatnak bizalmas adatokat a vállalati biztonsági irányelvek rendelkezései ellenére; akár olyan módokon is, amelyek megkerülik a hagyományos vállalati biztonsági ellenőrzési mechanizmusokat.
2. A mobilhozzáférés egyre magasabb aránya
A vállalatok minden szintjén erős szándék mutatkozik arra, hogy a dolgozókat mobileszközökkel és a vállalati alkalmazásokhoz és adatokhoz való mobilhozzáféréssel lássák el.
A cégek horizontális – különféle üzletágakon átívelő – mobilizálódása ugyancsak megfigyelhető. A Citrix® egyik tanulmánya szerint 2013-ban a vállalatoknak több mint a háromnegyede állít üzembe üzletági célú mobilalkalmazásokat, amelyeknek több mint a fele létfontosságú üzleti alkalmazás. Sőt, a cégek 80%-a fejleszt saját alkalmazást. (‘Mobile Gets a Promotion’ infographic, Citrix, October 2012)
Ilyenek lehetnek az étteremláncok pincérei és konyhai személyzete által használt iPad táblagépek, vagy egyes légitársaságoknál a gépek személyzete által használt Samsung Galaxy Tab eszközökön lévő ún. „flight bag”-ek, elektronikus repülőgép-kézikönyvek, repülési tervek és biztonsági dokumentumok. Az ilyen jellegű mobilhozzáférés ígéretes jövőt vetít előre, de azt is jelenti, hogy a felhasználók egyre szélesebb köre egyre nagyobb számú eszközön keresztül fér majd hozzá a vállalati adatokhoz és hálózatokhoz, ami a kockázatokat is megsokszorozza.
3. A fogyasztói stílusú fájlmegosztó eszközök burjánzása
Habár azok a vállalati mobileszközökhöz kifejlesztett biztonsági megoldások, amelyekről rendszerint hallani lehet, az elvesztett vagy ellopott eszközökön lévő adatok zárolását vagy törlését célozzák, a legnagyobb fenyegetést mégis az ellenőrizetlen adatmegosztások jelentik. Felhasználók milliói osztanak meg adatokat a felhőszolgáltatások által összekapcsolt végpontok végeláthatatlan hálózatában, így az adatok kiszivárgásának esélye mellett eltörpül az eszköz elvesztésének/lopásának valószínűsége.
A sokszorozó hatás miatt a fogyasztói stílusú fájlmegosztó eszközök különösen aggodalmat keltőek, mivel a vállalati hálózaton kívül elmentett adatok nemcsak egy eszközzel kerülnek megosztásra, hanem a fájlmegosztó szolgáltatás által virális módon összekapcsolt összes eszközzel. A „Citrix Mobile Device Management Cloud Report” szerint a leggyakrabban rendszerbe állított alkalmazások némelyike, például a Dropbox vagy az Evernote egyszersmind a vállalati feketelisták leggyakoribb szereplői, ami az alkalmazások hasznossága mellett jól mutatja az azokkal járó kockázatokat is. (Citrix Mobile Device Management Cloud Report, Q3 2012)
Egy teljes körű mobilbiztonsági keretrendszer
Az IT-biztonsági szakértők egyre inkább a mobileszköz-menedzsment (mobile device management, MDM), vagy a vállalati mobilitásmenedzsment (enterprise mobility management, EMM) megoldásai felé fordulnak. A mobilhasználat által támasztott fenti kihívások azonban egy új, még átfogóbb biztonsági keretrendszert tesznek szükségessé; olyat, amely túlmegy az MDM-megoldások által kínált egyszerű zárolási-törlési szolgáltatásokon.
A vállalatoknak ma olyan megoldásra van szüksége, amely eszközöket, alkalmazásokat, adatokat, valamint az egész hálózatot átfogó proaktív felügyeletet, szabályozást és védelmet biztosít.
A tíz nélkülözhetetlen szempont a biztonságos vállalati mobilitáshoz
Az alábbiakban tíz olyan kérdés olvasható, amelyeket a vállalkozásoknak fel kell tenniük, amikor vállalati mobilitásvédelmi szolgáltatót készülnek választani.
Kérdés | Megfontolandó szempontok | |
1 | Bármilyen vállalati vagy privát mobileszköz menedzselhető? | Sok nagyvállalatnak van szüksége alapvető eszközmenedzsmentre. Arra van szükségük, hogy képesek legyenek központilag beállítani olyan biztonsági összetevőket, mint a jelkódok, a titkosítás, a nem biztonságos eszközök észlelése és tiltása, pl. a függetlenített („jailbreakelt”), illetve olyan eszközök esetén, amelyre feketelistás alkalmazásokat telepítettek. Olyan funkcionalitásra van szükségük, amellyel visszavonhatják egyes eszközök belső engedélyeit pl. lopás vagy a dolgozónak a cégtől való távozása esetén. Mivel a vállalatok egyre nagyobb hányadánál használnak céges környezetben dolgozói és vállalati tulajdonú eszközöket is, a megoldásnak lehetővé kell tennie az IT-részlegek számára, hogy egyszerűen megadhassák a mobileszköz tulajdonviszonyait, valamint az ezekhez tartozó biztonsági irányelveket. |
2 | Bármilyen mobil- vagy webalkalmazás biztonságossá tehető és menedzselhető? |
Sokféle alkalmazás létezik, és a hozzájuk tartozó biztonsági keretrendszerek nem egyformák. Az IT-részlegeknek képeseknek kell lenniük bármely mobil- vagy webalkalmazás, illetve intranet központilag történő biztonságossá tételére oly módon, hogy hozzáférési irányelveket, biztonságos kapcsolódást és adatszabályozást alkalmazzanak, akár a fejlesztés alatt, akár azt követően. |
Lehetséges-e biztonságos alternatívát kínálni a felhasználók szuper irodai alkalmazásai helyett a felhasználói élmény feláldozása nélkül? |
És mi van a szuper irodai alkalmazásokkal, amelyek a felhasználók mindennapi munkájához kellenek: az e-mail-alkalmazással, a webböngészővel vagy az adathozzáféréssel? A felhasználók alapvetően az eszköz saját alkalmazásait részesítik előnyben, vagy amelyeket már megszoktak. Ám mi lenne, ha a vállalat biztonságos, ún. „sandboxolt” működésű, mégis tetszetős alternatívákat nyújtana a felhasználó által ismert és kedvelt natív e-mail-kliens, böngésző és fájlmegosztó eszköz helyett? | |
4 | Lehet-e biztonságos mobilhasználatot kínálni, és megóvni a felhasználók személyes adatait? |
Míg számos vállalat dönt úgy, hogy a mobilitási kihívásokra mindenre kiterjedő nagyvállalati mobilitáskezelési megoldásokkal válaszol, addig a felhasználók személyes adatait szigorúbb szabályokkal védő cégek olykor az egyszerűbb megoldások mellett döntenek. Ez jelentheti mindössze egy e-mail kliens vagy egy biztonságossá tett alkalmazás telepítését az eszközre. A megoldásnak elég rugalmasnak kell lennie ahhoz, hogy bármelyik forgatókönyvre, illetve kevert helyzetekre is alkalmazható legyen; például ha egy multinacionális cég az amerikai dolgozóinak mobileszközeit szeretné menedzselni, de a német alkalmazottak eszközeire csak egy sandboxolt működésű e-mail-klienst kíván telepíteni. |
5 | Lehetséges-e egypontos bejelentkezést nyújtani, és azt biztosítani, hogy bármely alkalmazás használható legyen bármilyen eszközön? |
Az egypontos bejelentkezés (single sign-on, SSO) egyike azon kevés biztonsági szolgáltatásoknak, amelynek mindenki élvezheti valamilyen előnyét. A segítségével az IT-részlegek egyszerűen tudnak alkalmazásokat rendszerbe állítani vagy törölni, illetve a cégtől távozó dolgozók mobilalkalmazásainak hozzáférését azonnal visszavonni. A felhasználók egyszerű hozzáférést kapnak anélkül, hogy ehhez a kis képernyőn kellene hitelesítést végezniük. A mobil vállalatok számára ez egy nélkülözhetetlen eszközt nyújt. Ha a vállalatnak valóban célja a mobilitás, akkor igen valószínű, hogy az IT-részlegnek nemcsak mobil-, de webalkalmazások, szoftverszolgáltatások, Windows-alapú, valamint adatközpont-alkalmazások telepítéséről is gondoskodnia kell. Az informatikának mindezeket egyetlen helyen, egy egységes alkalmazásboltban kell elérhetővé tennie. |
6 | Lehet-e forgatókönyv-alapú hálózat-hozzáférést biztosítani? | Mivel a hálózathoz immár mobileszközök garmadája kapcsolódik, az informatika feladata az is, hogy végpontelemzések és a felhasználói szerepkörök segítségével átfogó hozzáférési és szabályozási irányelveket határozzon meg, amelyek révén eldönthető, hogy mely alkalmazások és adatok használatára, és milyen szintű tartalom-hozzáférésre van szükség. |
7 | Biztosítható-e a felhasználók számára a tartalom elérhetősége és egyszersmind az adatok védelme? |
A mobilfelhasználóknak hozzá kell férniük a vállalati tartalmakhoz, azonban alig van olyan eszköz, amelyekkel a számítástechnikusok e hozzáférés kezelését és az adatok szabályozását elvégezhetik. Akár Microsoft® SharePoint® kiszolgálón, akár valamilyen adatmegosztó és -szinkronizációs alkalmazás segítségével tároljuk az adatokat, az informatikusoknak olyan adatbiztonsági szabályokat kell tudniuk kialakítani és érvényre juttatni, amelyek eldöntik, hogy a felhasználók mit tehetnek meg az adott tartalommal, és mit nem – legyen az mentés, e-mailben való küldés, másolás/beillesztés stb. |
8 | Lehet-e rugalmas, a helyzethez igazodó biztonságot nyújtani? | A biztonság és a személyes adatok védelmének egyensúlyba hozásához hasonló kihívást jelent, hogy mindig az adott helyzetnek megfelelő biztonsági szintet lehessen alkalmazni. Olyan rugalmas megoldásokra van szükség,amelyek a „jó, jobb, legjobb” logikája mentén közelítik meg a biztonság kérdését, ezáltal segítenek megfelelő kompromisszumot találni a biztonság és a használhatóság között. |
álható-e a mobilhasználat a meglévő IT-erőforrásokhoz? | Az informatika számára ma már világosak a technológiai silók biztonsági veszélyei. A vállalati mobilitási megoldásoknak zökkenőmentesen kell illeszkedniük a meglévő informatikai környezetbe. Ez közvetlen integrált működést jelent a vállalati címtárakkal, nyilvánoskulcs-alapú infrastruktúrákkal, a vállalati levelezéssel, az olyan hozzáférési technológiákkal, mint a WiFi vagy a VPN, valamint a virtuális asztalokkal és alkalmazásokkal. Ugyancsak magában foglalja a biztonsági adatokkal, eseménykezelési megoldásokkal és eseménynapló-kezelő rendszerekkel való integrált működést, hogy egyebek mellett a mobil infrastruktúrákról is lehessen kimutatásokat készíteni. | |
10 | Vajon az ön vállalati architektúrája biztonságos, méretezhető és magas szintű rendelkezésre állást nyújt? |
A nagyvállalati mobilitáskezelő megoldásoknak nagyvállalati szintűeknek kell lenniük. Ez annyit jelent, hogy úgy kell őket megtervezni, hogy a bizalmas felhasználói adatokat tűzfal mögött, és ne az internetről elérhető helyen tartsák. A vállalatoknak tehát a telepített rendszereket a komplexitás növelése nélkül kell tudniuk bővíteni. Ugyanakkor azt is jelenti, hogy technológiai zavar esetén iparági szabványos, magas rendelkezésre állású konfigurációknak kell biztosítaniuk a rendszerfeladatok átvételét és a helyettesítő rendszerek zökkenőmentes működésbe lépését. |
Teljes körű mobilbiztonság
A nagyvállalati szintű mobilitást megcélzó szervezeteknek a mobileszköz-menedzsmentnél nagyobb távlatokban kell gondolkodniuk, és a mobilbiztonságról átfogó – mobileszközökön, alkalmazásokon, hálózaton, adatokon átívelő – módon kell gondolkodniuk.
Mobilbiztonsági kihívások és követelmények
Az eszközbiztonság központi kezelése
Eszközöket kell konfigurálnom, és be kell tartatnom az irányelveket. Sok nagyvállalatnak központilag kell konfigurálnia az olyan eszközbiztonsági összetevőket, mint pl. a jelkódokat és a titkosítást, illetve érvényesítenie a biztonsági irányelveket. Amint a mobil munkavégzési stílus mind jobban elterjed, és mind több felhasználó éri el a hálózatot egynél több eszközről, sürgető igény jelentkezik ezeknek az eszközöknek a központi kezelésére, valamint a szerepköralapú biztonsági irányelvek érvényesítésére.
Amikor az eszközt elvesztik vagy ellopják, vagy a felhasználó távozik a cégtől, biztonsági és jogszabályi okokból az eszközt központilag le kell tiltani, vagy törölni kell róla a céges adatokat.
A mobilplatformok széttagoltsága
Segítség! Nincs két egyforma eszköz! Az alkalmazottak ragaszkodnak hozzá, hogy maguk választhassanak mobilkészüléket, és sok cég számára ez vonzó stratégia, mivel segíthet a tehetséges munkaerő vonzásában és megtartásában, illetve a mobileszközök költségeinek csökkentésében. Azonban a szabványos kiadású, biztonsági szempontból zárt PC-kkel és a szigorúan szabályozott BlackBerry® telefonokkal ellentétben napjaink vállalati mobileszközei igen sokfélék, különféle mértékű biztonsági sebezhetőséggel rendelkeznek, és nem kínálnak egységes módszereket még az alapvető biztonsági előírások kezelésére sem.
Az Aberdeen Research szerint egy átlagos piacvezető cég 3,3 mobilplatformot támogat, (“The Need for Mobility Management”, Aberdeen blog, February 2010) így pl. az iOS, az Android®, a Windows® és a BlackBerry platformokat.
A széttagoltság számítástechnikai szempontból egyedülálló biztonsági kihívást jelent, ide értve például a különféle platformokon futó alkalmazások felügyeletét, beszerzését, támogatását és biztonságossá tételét, vagy annak biztosítását, hogy a dolgozók feltétlenül telepítsék az adott operációs rendszer biztonsági javításait és frissítéseit.
Saját mobil – céges mobil
Cégünknél a dolgozók saját mobilkészülékeiket használják, és most vezetünk be egy céges iPad kezdeményezést. A vállalati tulajdonú mobilok mellett a cégek egyre nagyobb arányban menedzselik a dolgozók saját tulajdonú mobileszközeit is. A készülék tulajdonjogát pontos és az előírásoknak megfelelő módon kell meghatározni; minden típust az arra vonatkozó irányelveknek és folyamatoknak megfelelő módon kell menedzselni, és azokról folyamatos kimutatásokat készíteni.
Mobilbiztonsági követelmények
A fenti biztonsági keretrendszer mellett az alábbiakban a vállalati mobilitási megoldásokhoz kínálunk néhány eszközszempontú követelményt.
Felügyelet | Szabályozás | Védelem |
Eszközök tulajdonviszonyai (dolgozói vagy céges tulajdon) szerinti auditálások és kimutatások készítése. | Az irányelvek érvényesítése a különféle eszközplatformokon és operációs rendszereken ugyanúgy történjék. | Lehetővé kell tenni, hogy az eszköz elvesztése vagy ellopása esetén a dolgozó maga járhasson el. |
Készülékadatok szerinti jelentések (típus, operációs rendszer, verzió, eszközintegritás stb.) | A vállalati biztonsági, valamint a jogszabályok által előírt megfelelőségi irányelveket (pl. jelszavak) minden eszközön érvényre kell juttatni. | Az elveszett vagy ellopott eszközök helyét meg kell határozni, illetve zárolni és törölni kell azokat. |
Telepített leltári alkalmazások. | Meghatározott időközönként auditálni kell az eszközöket annak ellenőrzésére, hogy az informatikai részlegek által kötelezővé tett biztonsági szabályok egyikét sem iktatták ki. |
Ha a dolgozó elhagyja a vállalatot, az eszközön lévő információkat törölni vagy részlegesen törölni kell. |
Készülékhasználati módok feltérképezése (pl. az eszközön aktív a roamingszolgáltatás). |
A megfelelőségi előírásokat nem teljesítő eszközök hálózati hozzáférését le kell tiltani. | |
Az eszköz földrajzi helyének figyelése (és a megfelelő lépések megtétele, ha a felhasználó egy meghatározott földrajzi területen kívülre viszi az eszközt). | Biztonsági irányelveket kell kialakítani annak megakadályozására, hogy a dolgozók hozzáférjenek a mobileszközök erőforrásaihoz és alkalmazásaihoz. | |
Az eszköz biztonsági megfelelőségi státuszának rögzítése (pl. függetlenített, feketelistás alkalmazás van rajta). |
Mobilalkalmazás-biztonsági kihívások és követelmények
Bármely alkalmazást bármely eszközre
Minden alkalmazást, amelyet a felhasználó mobilon akar használni, nyomon kell követnem és menedzselnem kell. A felhasználók szeretik az alkalmazásaikat, és használni is akarják azokat a munkához. A különféle üzletágak saját alkalmazásokat fejlesztenek a dolgozóknak. Ám a számítástechnikai részlegeknek mindegyik alkalmazás menedzselését meg kell oldaniuk – legyen az központi telepítésű mobil- vagy webalkalmazás, szoftverszolgáltatás, Windows- vagy adatközpont-alkalmazás –, és meg kell könnyíteniük, hogy a felhasználók egyetlen helyről szerezhessék be az appokat.
Központi, egységes alkalmazásbiztonság
Hogyan lehet bármilyen egységes biztonsági szintet fenntartani az ingyenes alkalmazásoknak ebben a dömpingjében? A sok ezernyi kezelendő alkalmazás mellett az informatika folyamatos lépéshátrányban van az alkalmazások és intranet-környezetek központi, egységesített biztonságossá tételében. A vállalatoknak állandó versenyfutást kell folytatniuk az egyedi, külső fejlesztésű alkalmazások seregével, amelyek mind teljesen eltérő fejlesztési keretrendszert, biztonsági szolgáltatásokat, hitelesítési módszereket és adathozzáférést használnak. Ugyanakkor mégis szükség van arra, hogy közös szabálykészleteket alkalmazzanak minden egyes alkalmazásra.
A szuper irodai alkalmazások biztonsága
A felhasználóim a megszokott e-mail, böngésző és dokumentumkezelő alkalmazásukat akarják használni. A legtöbb felhasználó ragaszkodik egy kisszámú szuper mobilalkalmazáshoz; ez jellemzően az e-mail klienst, a böngészőt és az adathozzáférést jelenti. A számítástechnikusok feladata ezeknek az alkalmazásoknak a biztonságossá tétele, ami ma még nem teljesül. A számítástechnikusok ma már nem foglalkozhatnak az e-maileken keresztüli adatszivárgással, az intranethez való nem biztonságos hozzáféréssel, vagy azzal, ha a felhasználó a bizalmas vállalati pénzügyi adatokat valamilyen fogyasztói stílusú fájlmegosztó szolgáltatásra tölti fel. A felhasználók ugyanakkor hozzászoktak a fantasztikus natív felhasználói élményhez, és ennél kevesebbel aligha érik be. Amire szükség van, az tehát a szuper alkalmazások helyett használható elfogadható alternatívák készlete.
A felhasználók személyes adatainak védelme
Nemcsak a vállalati biztonságról van szó, de a felhasználóim személyes adatairól is. A mindenre kiterjedő nagyvállalati mobilitáskezelési megoldások olyan alapvető szolgáltatásokat is tartalmaznak, mint az eszközök GPS-alapú helymeghatározása, vagy a felhasználó eszközeire telepített alkalmazások listázása. Bár az ilyen szolgáltatások sok megoldás esetén kikapcsolhatók, a vállalatok közül sokan nem akarják, hogy a magánszféra megsértése felmerüljön. Az olyan vállalatoknál, amelyeknél a felhasználói magánszféra magasabb szintű védelmet élvez, vagy amelyeknél szigorúbb személyiadat-védelmi előírások vannak érvényben, úgy kell megoldani a mobilfelhasználók hozzáférését a vállalati erőforrásokhoz, hogy eközben a cég ne a teljes eszközt felügyelje. Egyes vállalatoknál például csak egy sandboxolt működésű e-mail-klienst telepítenek a klienseszközökre, hogy a felhasználók elérjék a céges levelezésüket, de a cég nem felügyeli az eszköz egészét.
Központi személyazonosítás és egypontos bejelentkezés
Legyen egyszerű a hozzáférés nekem is és a felhasználóimnak is. Azok a szervezetek, ahol mobilról végezhető projekteken dolgoznak, appok sokaságát biztosítják a felhasználók számára. Mivel az alkalmazások és azok típusai rendkívül sokfélék, a számítástechnikusok csak nagyon nehezen tudnak szerepkör-alapú hozzáférést biztosítani. Sőt, még ennél is nehezebb feladat az olyan alkalmazások nyomon követése, amelyektől a dolgozónak a cégtől való távozása után meg kell vonni az engedélyeket. Ez különösen igaz a szoftverszolgáltatás-alkalmazásokra, amelyekről gyakran megfeledkeznek, mivel a felhasználói jogosultságok kezelése külön történik, és az alkalmazás ily módon kieshet az informatikusok látóköréből. Másfelől nehézséget jelenthet az ilyen alkalmazásokba külön-külön bejelentkezni minden egyes alkalommal, amikor a felhasználónak szüksége van a hozzáférésre. Két alkalmazás esetén ez még nem probléma. Öt alkalmazás esetén már elég fárasztó. 10 alkalmazás esetén pedig már számolni kell azzal is, hogy a felhasználók tiltakozásul az utcára vonulnak.
A mobilalkalmazások biztonsági követelményei
Az alábbiakban a biztonsági keretrendszerünknek megfelelő, vállalati mobilitási megoldásokra vonatkozó eszközszempontú követelmények olvashatók.
Felügyelet | Szabályozás | Védelem |
Nyilvántartást kell vezetni az eszközökre telepített mobilalkalmazásokról. | Minden alkalmazást, legyen az mobil-, webalkalmazás, szoftverszolgáltatás, Windows-alapú vagy adatközpont-alkalmazás, elérhetővé kell tenni egy egységes alkalmazásboltból bármely eszközre. | A biztonságos alkalmazás- és intranetkapcsolódást mindent átfogó VPN-megoldások nélkül kell biztosítani. |
Biztosítani kell (és előírásos kimutatásokat kell készíteni arról), hogy a felhasználók alkalmazásengedélyei teljes mértékben visszavonásra kerüljenek, amikor a dolgozó távozik a cégtől. | Az egyedi, külső fejlesztésű alkalmazásokat központilag kell biztonságossá tenni, és a fejlesztés alatt vagy azt követően részletes irányelvi szabályozást kell alkalmazni. |
A bizalmas vállalati adatokat egységes, alkalmazásokon belüli adatszabályozással kell védeni. |
A szuper irodai alkalmazások helyett tetszetős, de sandboxolt alternatívákat kell kínálni. | Meg kell akadályozni, hogy a dolgozók a cégtől való távozás után hozzáférjenek az alkalmazásokhoz és az adatokhoz. | |
Az alkalmazásokhoz való felhasználói hozzáférést minden alkalmazástípus esetében egypontos bejelentkezéssel kell szabályozni. | Úgy kell megvédeni a felhasználó személyes adatait, hogy a dolgozó hozzáférjen a céges leveleihez, az intranethez, illetve az alkalmazásokhoz, de anélkül, hogy a mobileszköz teljesen céges felügyelet alatt állna. |
Mobilhálózat-biztonsági kihívások és követelmények
Ha nem lehet felügyelni a hozzáférést
Egyes mobilos felhasználóim az irodában, a biztonsági előírásoknak megfelelő eszközökről dolgoznak, mások függetlenített eszközöket használnak, megint mások pedig kávézókból dolgoznak, általam nem ismert eszközökről. Ha hozzáférésről van szó, a konfekciómegoldások nem alkalmazhatók. Mivel a hálózathoz immár mobileszközök garmadája kapcsolódik, az informatika feladata az is, hogy végpontelemzések és a felhasználói szerepkörök segítségével átfogó hozzáférési és szabályozási irányelveket határozzon meg, amelyek révén eldönthető, hogy mely alkalmazások és adatok használatára, és milyen szintű tartalom-hozzáférésre van szükség.
Ha a mobilhálózati forgalomigények nem elégíthetők ki
Azt hiszem, a mobilhálózatom nem tudja kezelni a forgalommennyiséget, különösen csúcsidőben. Bár nem közvetlenül a biztonságot érintő kérdés, a mobilbiztonsággal kapcsolatos alapvető szempont a mobilhálózat méretezhetősége.
Mivel a felhasználók egyre szélesebb köre egyre nagyobb számú eszközön keresztül éri el a hálózatot, a vállalatok pedig egyre több kritikus fontosságú mobilalkalmazást adnak ki, az IT-megoldásokat úgy kell méretezni, hogy kezelni tudják a megnövekedett mobilforgalmat, és nagy teljesítményű mobilalkalmazásokat kell biztosítaniuk.
Mobilhálózat-biztonsági követelmények
Az alábbiakban a biztonsági keretrendszerünknek megfelelő, vállalati mobilitási megoldásokra vonatkozó hálózatszempontú követelmények olvashatók.
Felügyelet | Szabályozás | Védelem |
A mobilvégpontokat a biztonsági megfelelési státusz szempontjából elemezni kell. | A hálózati hozzáférést az eszközkonfiguráció, az eszköz státusza, a felhasználói szerepkör és egyéb tényezők (pl. melyik mobilszolgáltatónál van a felhasználó) alapján kell szabályozni. | A mobilhálózatot védeni kell a mobil fenyegetésektől, pl. a rosszindulatú szoftverektől. |
Meg kell felelni a hálózati forgalmi igényeknek, pl. a mobilról érkező kérelmek között terheléselosztást kell végezni, valamint nagy teljesítményű mobilalkalmazásokat kell biztosítani. |
Mobil-adatbiztonsági kihívások és követelmények
A Dropbox-probléma
Van egy kis problémám a Dropboxszal. A fogyasztói stílusú fájlmegosztó eszközök egyre népszerűbbek vállalati körökben, mivel a használatuk egyszerű, és azt a valós problémát oldják meg, hogy a legfrissebb adatok bármilyen eszközről elérhetők legyenek. Bár ezek az alkalmazások igen hasznosak, jelentős adatszivárgási kockázatot is hordoznak. Az ilyen alkalmazásokban tárolt adatokat a cégek nem tudják felügyelni, és noha magát az alkalmazást feketelistára lehet helyezni, ezzel a felhasználók problémája még nem oldódik meg.
A vállalatoknak olyan biztonságos alternatívát kell kínálniuk ezek helyett az eszközök helyett, amely megoldja a felhasználók problémáit, és részletes adatkezelési szabályok révén lehetővé teszi az adatok titkosítását, valamint a hozzáférés és a használat szabályozását.
Az alkalmazáskonténerek elszigetelt adatsilókat eredményeznek
A sandboxolt alkalmazások megnehezítik a felhasználóimnak, hogy hozzáférjenek a szükséges adatokhoz. Az alkalmazás- vagy adatkonténerek – amelyeknél jobb választ a vállalatimobil-iparág a mai napig nem adott az adatok kiszivárgására – aggasztóan akadályozzák a használhatóságot.
A felhasználók gyakran nem érik el a dokumentumokat azon az alkalmazáson belül, amelyben szeretnék, és nem tudják a tartalmakat az alkalmazások között megosztani. Ez igen körülményessé teszi, vagy akár ellehetetleníti a tartalmak felülvizsgálatát, szerkesztését és az azokkal való közös munkát.
Felügyelet | Szabályozás | Védelem |
Nyomon kell követni a mobilfelhasználók adathozzáférését, és riasztásokat kell beállítani azokhoz. | Minden eszközről elérhető adattárolási szolgáltatást kell biztosítani mobilra. | A mobiladatokat nyugalmi állapotban és átvitel közben egyaránt titkosítani kell. |
Lehetővé kell tenni a mobilfelhasználók számára, hogy mobileszközre és -eszközről tudjanak biztonságosan szinkronizálni és megosztani adatokat. | Az adatok kiszivárgását biztonságos, titkosított adatkonténerrel kell megakadályozni. | |
Részletes adatszabályozási irányelveket kell kialakítani. | Az adatokat a konténer törlésével kell védeni a felhasználónak a cégtől való távozása vagy az eszköz elvesztése, valamint bizonyos egyéb események (pl. az eszköz függetlenítése) esetén. | |
Az alkalmazásoknak közös adatszabályozással és egymás közt átjárható hozzáféréssel kell rendelkezniük. |
További biztonsági megfontolások és követelmények
Alkalomhoz illő biztonság
Főállású alkalmazottaim és alvállalkozóim vannak, akikre különböző biztonsági szinteket szeretnék érvényesíteni. A személyes adatokról szóló példához hasonlóan az IT-megoldásnak itt is rugalmasan kell a megfelelő biztonsági intézkedéseket az adott helyzethez igazítania. A vállalati felhasználók nagyon sokfélék. Ezek között vannak olyan szellemi dolgozók, akik munkához és személyes tevékenységekhez egyaránt céges mobileszközt használnak. Mások váltott műszakban dolgoznak, és kollégáikkal közös mobilkészüléket használnak.
Megint mások alvállalkozóként dolgoznak, és saját tulajdonú mobiljukat használják. A mobilbiztonság terén nem lehet mindenkire ugyanazokat a konfekciómegoldásokat alkalmazni. A fenti helyzetben rugalmas számítástechnikai megoldásra van szükség, amely teljes körű vállalati mobilhozzáférést és -biztonságot nyújt a szellemi állománynak, a közösen használt készülékeket felügyeli és egy-két feladatspecifikus alkalmazást futtat rajtuk (de e-mail klienst nem), az alvállalkozók mobiljaira pedig csak egy e-mail alkalmazást telepít.
Olyan rugalmas megoldásokra van szükség, amelyek a „jó, jobb, legjobb” logikája mentén, a vállalat kockázati profiljára alapozva közelítik meg a biztonság kérdését. Az e-mail kliens példájánál maradva egy magas fokon szabályozott vállalatnál megfontolandó lehet a teljesen sandboxolt működésű, szigorú adatszabályozással ellátott e-mail kliens használata.
Egy kevésbé szabályozott, de a biztonságra érzékeny vállalat dönthet esetleg az eszköz saját e-mail alkalmazásának használata mellett, a csatolt fájlok titkosításával. Egy ilyen jellegű szabályozással nem rendelkező cégnél elegendő lehet a natív e-mail kliens használata, úgy, hogy eszközlopás vagy elvesztés, illetve a dolgozó távozása esetén egyszerűen törlik az eszközről a vállalati levelezést.
Vállalati integráció
Épp elég silót kell így is menedzselnem, semmi szükségem még egyre. Az informatika számára ma már világosak a technológiai silók biztonsági veszélyei. Az olyan mobilitási megoldások, amelyek nem integrálódnak közvetlenül a vállalat meglévő informatikai rendszerébe, kezelési és biztonsági nehézségekkel is járnak.
Az olyan mobilitási megoldások például, amelyek nem működnek együtt a vállalati LDAP-kiszolgálóval, hanem ehelyett bizonyos időközönként gyorsítótárazzák a felhasználói adatokat, azzal a veszéllyel fenyegetnek, hogy a kilépett dolgozók még egy ideig hozzáférhetnek mobileszközeikről a vállalati alkalmazásokhoz és adatokhoz, a kilépés időpontjától egészen addig, amíg a címtáradatok következő szinkronizációja le nem zajlik. Hasonlóan, az olyan megoldások, amelyek nem működnek együtt a SIEM- és eseménynapló-kezelő eszközökkel, megakadályozzák, hogy a számítástechnikusok teljes biztonsági és megfelelőségi képet kapjanak.
Nagyvállalati szintű architektúra
Mi haszna a biztonsági szolgáltatásainknak, ha az ügyvezető igazgatónk személyes adatai az internetről is hozzáférhetők? Sok esetben nem a biztonság szem előtt tartásával építik ki a vállalati mobilitási megoldásokat. Ahelyett, hogy a bizalmas adatokat tűzfal mögött tartanák és proxyn keresztül érnék el azokat a DMZ-n belül, ehelyett átmeneti gyorsítótárakat hoznak létre a felhasználói adatokról a DMZ-ben, ahol azok az internetről is hozzáférhetők. Ezen kívül sok megoldás méretezése nem felel meg a növekvő mobilmennyiség kapacitásigényének. Egyes megoldásokból külön silókban több példányt kell kezelnie az informatikusoknak.
A magas szintű rendelkezésre állás ugyancsak olyan tulajdonság, amelyet a számítástechnikusok elvárnak, de amelyet csak igen kevés megoldás képes teljes mértékben biztosítani. Némelyik megoldás nem rendelkezik beépített iparági szabvány funkcióátvételi fürtözéssel ellátott redundanciával, illetve helyettesítő rendszerekkel. Amint a mobil munkavégzési stílus még jobban elterjed, és a felhasználók több létfontosságú mobilalkalmazást használnak, az informatika számára úgy válik egyre fontosabbá a vállalat mobilmegoldásokra való nyitottsága.
További követelmények
Az alábbiakban vállalati mobilitási megoldásokkal kapcsolatos további biztonsági követelmények olvashatók.
Felügyelet | Szabályozás | Védelem |
A mobiladatokat a biztonság jobb átláthatósága és a megfelelőségi kimutatások érdekében integrálni kell a SIEM-mel és eseménynapló-kezelő eszközökkel. | A helyzetnek megfelelő biztonságot kell alkalmazni (pl. a szigorú szabályozású iparágakban a felhasználók levelezésének szabályozása, az alvállalkozóknál alkalmazásszintű biztonság az eszköz felügyelete nélkül). | A személyes adatokat a felhasználók adatainak tűzfal mögött tartásával kell védeni. |
A hozzáférést mindenkor a vállalati címtárakkal való közvetlen integrációval kell szabályozni. | A mobilfelhasználók számára a leállásokat iparági szabványú, magas szintű elérhetőséggel kell megelőzni. | |
A hozzáférés szabályozása mellett lehetővé kell tenni a PKI-integrációs egypontos bejelentkezést. |
A mobil nagyvállalatokat olyan méretezhető megoldások rendszerbe állításával kell felkészíteni a jövőbeli kihívásokra, amelyek további komplexitás nélkül is képesek lépést tartani a mobileszközök gyarapodásával. | |
A levelezéshez való hozzáférést a vállalati levelezéssel integráltan kell megoldani. | ||
A vállalati hozzáférést VPN- és WiFi-megoldásokkal integráltan kell megoldani. |
Összefoglalás
A vállalati mobilitás nemcsak lehetőségeket, de kockázatokat is hordoz a vállalatok és a felhasználók számára.
A vállalatok jelen műszaki ismertetőt mobilbiztonsági keretrendszerként és ellenőrzőlistaként is használhatják, amikor vállalati mobilitási megoldások beszállítóit értékelik.