Dum la nokto, fora laboro fariĝis populara kaj necesa formato. Ĉio pro COVID-19. Novaj rimedoj por malhelpi infekton aperas ĉiutage. Temperaturoj estas mezuritaj en oficejoj, kaj iuj kompanioj, inkluzive de grandaj, transdonas laboristojn al malproksima laboro por redukti perdojn de malfunkcio kaj malsanforpermeso. Kaj ĉi-sence, la IT-sektoro, kun sia sperto labori kun distribuitaj teamoj, estas venkinto.
Ni ĉe la Scienca Esplorinstituto SOKB organizas foran aliron al kompaniaj datumoj de porteblaj aparatoj dum pluraj jaroj kaj ni scias, ke fora laboro ne estas facila afero. Malsupre ni rakontos al vi kiel niaj solvoj helpas vin sekure administri dungitajn poŝtelefonojn kaj kial ĉi tio estas grava por fora laboro.
Kion bezonas dungito por labori malproksime?
Tipa aro da servoj, al kiuj vi devas disponigi malproksiman aliron por plenrajta laboro, estas komunikadservoj (retpoŝto, tujmesaĝilo), retresursoj (diversaj portaloj, ekzemple, servotablo aŭ projekt-administra sistemo) kaj dosieroj. (elektronikaj dokumentaj administradsistemoj, versio-kontrolo ktp.).
Ni ne povas atendi sekurecaj minacoj atendi ĝis ni finos batali kontraŭ koronavirus. Kiam oni laboras malproksime, ekzistas sekurecaj reguloj, kiujn oni devas sekvi eĉ dum pandemio.
Komercaj gravaj informoj ne povas simple esti senditaj al la persona retpoŝto de dungito, por ke li povu trankvile legi kaj prilabori ĝin per sia persona inteligenta telefono. Saĝtelefono povas esti perdita, aplikaĵoj kiuj ŝtelas informojn povas esti instalitaj sur ĝi, kaj, finfine, povas esti ludita de infanoj kiuj sidas hejme ĉiuj pro la sama viruso. Do ju pli gravas la datumoj kun kiuj laboras dungito, des pli bone ĝi devas esti protektita. Kaj la protekto de porteblaj aparatoj ne estu pli malbona ol tiu de senmovaj aparatoj.
Kial antiviruso kaj VPN ne sufiĉas?
Por senmovaj laborstacioj kaj tekkomputiloj kun Vindoza OS, instali antiviruson estas pravigita kaj necesa mezuro. Sed por porteblaj aparatoj - ne ĉiam.
La arkitekturo de Apple-aparatoj malhelpas komunikadon inter aplikaĵoj. Ĉi tio limigas la eblan amplekson de la sekvoj de infektita programaro: se vundebleco en retpoŝta kliento estas ekspluatata, tiam agoj ne povas iri preter tiu retpoŝta kliento. Samtempe, ĉi tiu politiko reduktas la efikecon de antivirusoj. Ne plu eblos aŭtomate kontroli dosieron ricevitan poŝte.
Sur la Android-platformo, kaj virusoj kaj antivirusoj havas pli da perspektivoj. Sed la demando pri oportuneco ankoraŭ staras. Por instali malware de la app-vendejo, vi devos permane doni multajn permesojn. Atakantoj akiras alirrajtojn nur de tiuj uzantoj, kiuj permesas ĉion al aplikaĵoj. En la praktiko, sufiĉas malpermesi al uzantoj instali aplikojn el nekonataj fontoj, por ke "piloloj" por libere instalitaj pagitaj aplikoj ne "traktu" kompaniajn sekretojn de konfidenco. Sed ĉi tiu mezuro superas la funkciojn de antivirus kaj VPN.
Krome, VPN kaj antiviruso ne povos kontroli kiel la uzanto kondutas. Logiko diktas, ke almenaŭ pasvorto estu metita sur la uzanta aparato (kiel protekto kontraŭ perdo). Sed la ĉeesto de pasvorto kaj ĝia fidindeco dependas nur de la konscio de la uzanto, kiun la kompanio neniel ne povas influi.
Kompreneble, ekzistas administraj metodoj. Ekzemple, internaj dokumentoj laŭ kiuj dungitoj respondecos persone pri la foresto de pasvortoj en aparatoj, instalado de aplikaĵoj de nefidindaj fontoj, ktp. Vi eĉ povas devigi ĉiujn dungitojn subskribi modifitan laborpriskribon enhavantan ĉi tiujn punktojn antaŭ ol iri al laboro malproksime. . Sed ni alfrontu ĝin: la kompanio ne povos kontroli kiel ĉi tiuj instrukcioj estas efektivigitaj en la praktiko. Ŝi estos okupata urĝe restrukturante la ĉefajn procezojn, dum dungitoj, malgraŭ la efektivigitaj politikoj, kopios konfidencajn dokumentojn al sia persona Google Drive kaj malfermas aliron al ili per ligilo, ĉar estas pli oportune kunlabori pri la dokumento.
Tial, la subita fora laboro de la oficejo estas provo de la stabileco de la kompanio.
Enterprise Mobility Management
De informsekureca vidpunkto, porteblaj aparatoj estas minaco kaj ebla breĉo en la sekureca sistemo. EMM (entreprena movebleca administrado) klassolvoj estas dizajnitaj por fermi ĉi tiun breĉon.
Entreprena movebleca administrado (EMM) inkluzivas funkciojn por administrado de aparatoj (MDM, poŝtelefona administrado), iliaj aplikoj (MAM, poŝtelefona administrado) kaj enhavo (MCM, poŝtelefona administrado).
MDM estas necesa "bastono". Uzante MDM-funkciojn, la administranto povas reagordi aŭ bloki la aparaton se ĝi estas perdita, agordi sekurecajn politikojn: la ĉeeston kaj kompleksecon de pasvorto, malpermesante sencimigajn funkciojn, instali aplikojn de apk, ktp. Ĉi tiuj bazaj funkcioj estas subtenataj en porteblaj aparatoj de ĉiuj. produktantoj kaj platformoj. Pli subtilaj agordoj, ekzemple, malpermesantaj la instaladon de kutimaj reakiroj, estas disponeblaj nur ĉe aparatoj de iuj fabrikantoj.
MAM kaj MCM estas la "karoto" en la formo de aplikoj kaj servoj al kiuj ili disponigas aliron. Kun sufiĉa MDM-sekureco en la loko, vi povas provizi sekuran malproksiman aliron al kompaniaj rimedoj uzante aplikaĵojn instalitajn sur porteblaj aparatoj.
Unuavide, ŝajnas, ke aplika administrado estas pure IT-tasko, kiu rilatas al bazaj operacioj kiel "instali aplikaĵon, agordi aplikaĵon, ĝisdatigi aplikaĵon al nova versio aŭ refari ĝin al antaŭa." Fakte, ankaŭ ĉi tie estas sekureco. Necesas ne nur instali kaj agordi la aplikaĵojn necesajn por funkciado en aparatoj, sed ankaŭ protekti kompaniajn datumojn kontraŭ alŝutado al persona Dropbox aŭ Yandex.Disk.
Por apartigi kompaniajn kaj personajn, modernaj EMM-sistemoj proponas krei ujon sur la aparato por kompaniaj aplikoj kaj iliaj datumoj. La uzanto ne povas senrajte forigi datumojn de la ujo, do la sekureca servo ne bezonas malpermesi la "personan" uzon de la poŝtelefono. Male, ĉi tio estas utila por komerco. Ju pli la uzanto komprenas sian aparaton, des pli efike li uzos la laborajn ilojn.
Ni revenu al IT-taskoj. Estas du taskoj, kiuj ne povas esti solvitaj sen EMM: refunkciigi aplikaĵversion kaj malproksime agordi ĝin. Retiro necesas kiam la nova versio de la aplikaĵo ne taŭgas por uzantoj - ĝi havas gravajn erarojn aŭ estas simple maloportuna. En la kazo de aplikoj en Google Play kaj la App Store, restarigo ne eblas - nur la plej nova versio de la aplikaĵo ĉiam haveblas en la vendejo. Kun aktiva interna disvolviĝo, versioj povas esti publikigitaj preskaŭ ĉiutage, kaj ne ĉiuj rezultas stabilaj.
Fora aplika agordo povas esti efektivigita sen EMM. Ekzemple, faru malsamajn konstruojn de la aplikaĵo por malsamaj servilaj adresoj aŭ konservu dosieron kun agordoj en la publika memoro de la telefono por poste ŝanĝi ĝin permane. Ĉio ĉi okazas, sed ĝi apenaŭ povas esti nomata plej bona praktiko. Siavice, Apple kaj Google ofertas normigitajn alirojn por solvi ĉi tiun problemon. La programisto nur bezonas enigi la postulatan mekanismon unufoje, kaj la aplikaĵo povos agordi ajnan EMM.
Ni aĉetis zoon!
Ne ĉiuj poŝtelefonaj uzkazoj estas kreitaj egalaj. Malsamaj kategorioj de uzantoj havas malsamajn taskojn, kaj ili devas esti solvitaj laŭ sia maniero. La programisto kaj financisto bezonas specifajn arojn de aplikoj kaj eble arojn de sekurecpolitikoj pro la malsama sentemo de la datumoj kun kiuj ili laboras.
Ne ĉiam eblas limigi la nombron de modeloj kaj fabrikantoj de porteblaj aparatoj. Unuflanke, rezultas pli malmultekosta fari kompanian normon por porteblaj aparatoj ol kompreni la diferencojn inter Android de malsamaj fabrikistoj kaj la funkciojn de montri poŝtelefonan UI sur ekranoj de malsamaj diagonaloj. Aliflanke, aĉeti kompaniajn aparatojn dum la pandemio fariĝas pli malfacila, kaj kompanioj devas permesi la uzon de personaj aparatoj. La situacio en Rusio estas plue pligravigita de la ĉeesto de naciaj moveblaj platformoj, kiuj ne estas subtenataj de okcidentaj EMM-solvoj.
Ĉio ĉi ofte kondukas al la fakto, ke anstataŭ unu centralizita solvo por administrado de entreprena movebleco, estas funkciigata diversa zoo de EMM, MDM kaj MAM-sistemoj, ĉiu el kiuj estas prizorgata de sia propra personaro laŭ unikaj reguloj.
Kio estas la trajtoj en Rusio?
En Rusio, kiel en iu ajn alia lando, ekzistas nacia leĝaro pri informa protekto, kiu ne ŝanĝiĝas laŭ la epidemiologia situacio. Tiel, registaraj informsistemoj (GIS) devas uzi sekurecajn mezurojn atestitajn laŭ sekurecaj postuloj. Por plenumi ĉi tiun postulon, aparatoj alirantaj GIS-datumojn devas esti administritaj de atestitaj EMM-solvoj, kiuj inkluzivas nian SafePhone-produkton.
Longa kaj neklara? Ne vere
Entreprenaj iloj kiel EMM ofte rilatas al malrapida efektivigo kaj longa antaŭproduktada tempo. Nun simple ne estas tempo por tio - limigoj pro la viruso estas enkondukitaj rapide, do ne estas tempo por adaptiĝi al fora laboro.
Laŭ nia sperto, kaj ni efektivigis multajn projektojn por efektivigi SafePhone en kompanioj de diversaj grandecoj, eĉ kun loka deplojo, la solvo povas esti lanĉita en semajno (sen kalkuli la tempon por interkonsenti kaj subskribi kontraktojn). Ordinaraj dungitoj povos uzi la sistemon ene de 1–2 tagoj post efektivigo. Jes, por fleksebla agordo de la produkto necesas trejni administrantojn, sed trejnado povas esti efektivigita paralele kun la komenco de funkciado de la sistemo.
Por ne malŝpari tempon pri instalado en la infrastrukturo de la kliento, ni ofertas al niaj klientoj nuban SaaS-servon por fora administrado de porteblaj aparatoj uzante SafePhone. Krome, ni provizas ĉi tiun servon de nia propra datumcentro, atestita por plenumi la maksimumajn postulojn por GIS kaj personaj datumoj informsistemoj.
Kiel kontribuo al la batalo kontraŭ koronavirus, la SOKB-Esplorinstituto senpage ligas malgrandajn kaj mezgrandajn entreprenojn al la servilo. certigi la sekuran operacion de dungitoj laborantaj malproksime.
fonto: www.habr.com