Når de taler om MDM, som er Mobile Device Management, forestiller alle sig af en eller anden grund straks en kill-switch, som fjerntænder en tabt telefon på kommando af en informationssikkerhedsofficer. Nej, generelt er dette også der, kun uden de pyrotekniske effekter. Men der er en masse andre rutineopgaver, som kan udføres meget nemmere og mere smertefrit med MDM.
Virksomheden stræber efter at optimere og ensrette processer. Og hvis tidligere en ny medarbejder skulle i en mystisk kælder med ledninger og pærer, hvor kloge rødøjede ældre hjalp med at sætte firmapost op på hans Blackberry, er MDM nu vokset til et helt økosystem, der giver dig mulighed for at udføre disse opgaver i to klik. Vi vil tale om sikkerhed, agurk-ribs Coca-Cola og forskellene mellem MDM og MAM, EMM og UEM. Og også om, hvordan man får et job med at sælge tærter på afstand.
fredag i baren
Selv de mest ansvarlige mennesker tager en pause nogle gange. Og som det ofte sker, glemmer de rygsække, bærbare computere og mobiltelefoner på caféer og barer. Det største problem er, at tabet af disse enheder kan resultere i en kæmpe hovedpine for informationssikkerhedsafdelingen, hvis de indeholder følsomme oplysninger for virksomheden. Medarbejdere hos det samme Apple formåede at tjekke ind mindst to gange og tabte i starten , og så - . Ja, nu kommer de fleste mobiltelefoner med kryptering ud af æsken, men virksomhedens bærbare computere er ikke altid konfigureret med harddiskkryptering som standard.
Desuden begyndte trusler såsom målrettet tyveri af virksomhedsenheder for at udtrække værdifulde data at opstå. Telefonen er krypteret, alt er så sikkert som muligt og alt det der. Men lagde du mærke til overvågningskameraet, hvorunder du låste din telefon op, før den blev stjålet? I betragtning af den potentielle værdi af data på en virksomhedsenhed er sådanne trusselsmodeller blevet meget reelle.
Generelt er folk stadig sklerotiske. Mange virksomheder i USA er blevet tvunget til at behandle bærbare computere som forbrugsvarer, der uundgåeligt vil blive glemt på en bar, hotel eller lufthavn. Der er beviser for, at i de samme amerikanske lufthavne hver uge, hvoraf mindst halvdelen indeholder fortrolige oplysninger uden nogen beskyttelse.
Alt dette tilføjede en hel del gråt hår til sikkerhedsprofessionelle og førte til den indledende udvikling af MDM (Mobile Device Management). Så opstod behovet for livscyklusstyring af mobile applikationer på kontrollerede enheder, og MAM (Mobile Application Management) løsninger dukkede op. For flere år siden begyndte de at forene sig under det fælles navn EMM (Enterprise Mobility Management) - et enkelt system til styring af mobile enheder. Højdepunktet for al denne centralisering er UEM-løsninger (Unified Endpoint Management).
Skat, vi købte en zoologisk have
De første, der dukkede op, var leverandører, der tilbød løsninger til centraliseret styring af mobile enheder. Et af de mest berømte virksomheder, Blackberry, lever stadig og klarer sig godt. Selv i Rusland er det til stede og sælger sine produkter, primært til banksektoren. SAP og forskellige mindre virksomheder som Good Technology, senere opkøbt af den samme Blackberry, kom også ind på dette marked. Samtidig vandt BYOD-konceptet popularitet, da virksomheder forsøgte at spare på, at medarbejderne bar deres personlige enheder på arbejde.
Sandt nok blev det hurtigt klart, at teknisk support og informationssikkerhed allerede rykkede efter anmodninger som "Hvordan kan jeg konfigurere MS Exchange på min Arch Linux" og "Jeg har brug for en direkte VPN til et privat Git-lager og produktdatabase fra min MacBook. ” Uden centraliserede løsninger blev alle besparelserne på BYOD til et mareridt i forhold til at vedligeholde hele den zoologiske have. Virksomheder havde brug for, at al ledelse var automatisk, fleksibel og sikker.
I detailhandlen udfoldede historien sig lidt anderledes. For omkring 10 år siden indså virksomhederne pludselig, at mobile enheder var på vej. Det plejede at være, at medarbejdere sad bag varme lampemonitorer, og et sted i nærheden var den skæggede ejer af sweateren usynligt til stede, hvilket fik det hele til at fungere. Med fremkomsten af fuldgyldige smartphones kan funktionerne i sjældne specialiserede PDA'er nu overføres til en almindelig, billig seriel enhed. Samtidig kom forståelsen af, at denne zoologiske have skulle administreres på en eller anden måde, da der er mange platforme, og de er alle forskellige: Blackberry, iOS, Android og derefter Windows Phone. På størrelse med en stor virksomhed er alle manuelle bevægelser et skud i foden. Denne proces vil æde værdifuld it og understøtte mandetimer.
Leverandører tilbød i begyndelsen separate MDM-produkter til hver platform. Situationen var ret typisk, når kun smartphones på iOS eller Android blev styret. Da smartphones mere eller mindre var sorteret fra, viste det sig, at dataindsamlingsterminalerne på lageret også skulle styres på en eller anden måde. Samtidig skal du virkelig sende en ny medarbejder til lageret, så han blot kan scanne stregkoderne på de nødvendige kasser og indtaste disse data i databasen. Hvis du har lagre over hele landet, så bliver support meget vanskelig. Du skal tilslutte hver enhed til Wi-Fi, installere applikationen og give adgang til databasen. Med moderne MDM, eller mere præcist, EMM, tager du en admin, giver ham en administrationskonsol og konfigurerer tusindvis af enheder med skabelonscripts fra ét sted.
Terminaler på McDonald's
Der er en interessant tendens i detailhandlen - et skridt væk fra stationære kasseapparater og kasseapparater. Hvis du tidligere i den samme M.Video kunne lide en kedel, så var du nødt til at ringe til sælgeren og trampe med ham gennem hele hallen til den stationære terminal. Undervejs lykkedes det klienten at glemme ti gange, hvorfor han gik, og ombestemte sig. Den samme effekt af et impulsivt køb gik tabt. Nu giver MDM-løsninger mulighed for, at sælger straks kan komme med en POS-terminal og foretage en betaling. Systemet integrerer og konfigurerer lager- og sælgerterminaler fra én administrationskonsol. På et tidspunkt var en af de første virksomheder, der begyndte at ændre den traditionelle kassemodel, McDonald's med sine interaktive selvbetjeningspaneler og piger med mobile terminaler, der tog imod bestillinger lige midt i køen.
Burger King begyndte også at udvikle sit økosystem og tilføjede en applikation, der gjorde det muligt at bestille eksternt og få det forberedt på forhånd. Alt dette blev kombineret til et harmonisk netværk med kontrollerede interaktive stande og mobile terminaler til medarbejderne.
Din egen kasserer
Mange dagligvarehypermarkeder reducerer byrden for kasserere ved at installere selvbetjeningskasser. Globus gik videre. Ved indgangen tilbyder de at tage en Scan&Go-terminal med integreret scanner, hvormed du blot scanner alle varerne på stedet, pakker dem i poser og går af sted efter betaling. Der er ingen grund til at tømme mad pakket i poser ved kassen. Alle terminaler er desuden centralt styret og integreret med både lagre og andre systemer. Nogle virksomheder prøver lignende løsninger integreret i vognen.
Tusind smag
Et særskilt spørgsmål vedrører automater. På samme måde skal du opdatere firmwaren på dem, overvåge resterne af brændt kaffe og mælkepulver. Desuden synkronisering af alt dette med servicepersonalets terminaler. Af de store virksomheder udmærkede Coca-Cola sig i denne henseende og annoncerede en præmie på $10 for den mest originale drinksopskrift. I den forstand tillod det brugere at blande de mest vanedannende kombinationer i brandede enheder. Som et resultat dukkede versioner af ingefær-citron-cola uden sukker og vanilje-fersken Sprite op. De har endnu ikke nået smagen af ørevoks, som i Bertie Botts Every Flavour Beans, men de er meget beslutsomme. Al telemetri og populariteten af hver kombination overvåges nøje. Alt dette integreres også med brugernes mobile applikationer.
Vi venter på ny smag.
Vi sælger tærter
Det smukke ved MDM/UEM-systemer er, at du hurtigt kan skalere din virksomhed ved at forbinde nye medarbejdere eksternt. Du kan nemt organisere salget af betingede tærter i en anden by med fuld integration med dine systemer med to klik. Det kommer til at se sådan ud.
En ny enhed leveres til en medarbejder. I æsken er der et stykke papir med en stregkode. Vi scanner - enheden er aktiveret, registreret i MDM, tager firmwaren, anvender den og genstarter. Brugeren indtaster sine data eller et engangs-token. Alle. Nu har du fået en ny medarbejder, som har adgang til firmapost, data på lagersaldi, de nødvendige applikationer og integration med en mobil betalingsterminal. En person ankommer til lageret, afhenter varerne og leverer dem til direkte kunder og accepterer betaling med samme enhed. Næsten som i strategier for at ansætte et par nye enheder.
Hvad det ser ud til
Et af de mest dygtige UEM-systemer på markedet er VMware Workspace ONE UEM (tidligere AirWatch). Det giver dig mulighed for at integrere med næsten og med ChromeOS. Selv Symbian eksisterede indtil for nylig. Workspace ONE understøtter også Apple TV.
Endnu et vigtigt plus. Apple tillader kun to MDM'er, inklusive Workspace ONE, at pille ved API'en, før de frigiver en ny version af iOS. For alle, i bedste fald om en måned, og for dem om to.
Du indstiller blot de nødvendige brugsscenarier, tilslutter enheden, og så virker den, som man siger, automatisk. Politikker og begrænsninger ankommer, den nødvendige adgang til interne netværksressourcer leveres, nøgler uploades og certifikater installeres. På få minutter har den nye medarbejder en enhed, der er helt klar til arbejde, hvorfra den nødvendige telemetri løbende strømmer. Antallet af scenarier er enormt, fra blokering af et telefonkamera i en specifik geolocation til SSO ved hjælp af et fingeraftryk eller ansigt.
Administratoren konfigurerer starteren med alle de programmer, der kommer til brugeren.
Alle mulige og umulige parametre er også fleksibelt konfigureret, såsom størrelsen af ikoner, forbud mod deres bevægelse, forbud mod opkald og kontakt ikoner. Denne funktionalitet er nyttig, når du bruger Android-platformen som en interaktiv menu i en restaurant og lignende opgaver.
Fra brugerens side ser det sådan ud
Andre leverandører har også interessante løsninger. For eksempel leverer EMM SafePhone fra det videnskabelige forskningsinstitut SOKB certificerede løsninger til sikker transmission af tale og beskeder med kryptering og optagelsesmuligheder.
Rootede telefoner
En hovedpine for informationssikkerheden er rootede telefoner, hvor brugeren har maksimale rettigheder. Nej, rent subjektivt er dette en ideel mulighed. Din enhed skal give dig fulde kontrolrettigheder. Desværre strider dette imod virksomhedens mål, som kræver, at brugeren ikke har indflydelse på virksomhedens software. For eksempel skal han ikke kunne komme ind i en beskyttet hukommelsessektion med filer eller smutte en falsk GPS ind.
Derfor forsøger alle leverandører på den ene eller anden måde at opdage enhver mistænkelig aktivitet på en administreret enhed og blokere adgang, hvis der opdages rodrettigheder eller ikke-standard firmware.
Android er normalt afhængig af . Fra tid til anden giver Magisk dig mulighed for at omgå sine kontroller, men som regel løser Google dette meget hurtigt. Så vidt jeg ved, begyndte den samme Google Pay aldrig at fungere igen på rootede enheder efter forårsopdateringen.
I stedet for output
Hvis du er en stor virksomhed, så bør du overveje at implementere UEM/EMM/MDM. Aktuelle tendenser tyder på, at sådanne systemer finder stadig bredere anvendelse - fra låste iPads som terminaler i en konfekturebutik til store integrationer med lagerbaser og kurerterminaler. Et enkelt kontrolpunkt og hurtig integration eller ændring af medarbejderroller giver meget store fordele.
Min mail - [e-mail beskyttet]
Kilde: www.habr.com