NÄr de snakker om MDM, som er Mobile Device Management, ser alle av en eller annen grunn umiddelbart for seg en kill-switch, som eksternt detonerer en tapt telefon pÄ kommando av en informasjonssikkerhetsoffiser. Nei, generelt er dette ogsÄ der, bare uten de pyrotekniske effektene. Men det er mange andre rutineoppgaver som kan utfÞres mye enklere og mer smertefritt med MDM.
Virksomheten streber etter Ä optimalisere og forene prosesser. Og hvis en ny ansatt tidligere mÄtte gÄ til en mystisk kjeller med ledninger og lyspÊrer, hvor kloke rÞdÞyde eldste hjalp til med Ä sette opp bedriftspost pÄ Blackberryen sin, har MDM nÄ vokst til et helt Þkosystem som lar deg utfÞre disse oppgavene i to klikk. Vi skal snakke om sikkerhet, agurk-rips Coca-Cola og forskjellene mellom MDM og MAM, EMM og UEM. Og ogsÄ om hvordan du fÄr jobb med Ä selge paier eksternt.
Fredag ââi baren
Selv de mest ansvarlige tar en pause noen ganger. Og, som ofte skjer, glemmer de ryggsekker, bÊrbare datamaskiner og mobiltelefoner pÄ kafeer og barer. Det stÞrste problemet er at tap av disse enhetene kan resultere i en enorm hodepine for informasjonssikkerhetsavdelingen dersom de inneholder sensitiv informasjon for selskapet. Ansatte i samme Apple klarte Ä sjekke inn minst to ganger, og tapte fÞrst , og sÄ - . Ja, nÄ kommer de fleste mobiltelefoner med kryptering ut av esken, men bedriftens bÊrbare datamaskiner er ikke alltid konfigurert med harddiskkryptering som standard.
I tillegg begynte trusler som mÄlrettet tyveri av bedriftsenheter for Ä trekke ut verdifulle data Ä dukke opp. Telefonen er kryptert, alt er sÄ sikkert som mulig og alt det der. Men la du merke til overvÄkingskameraet som du lÄste opp telefonen under fÞr den ble stjÄlet? Gitt den potensielle verdien av data pÄ en bedriftsenhet, har slike trusselmodeller blitt veldig reelle.
Generelt er folk fortsatt sklerotiske. Mange selskaper i USA har blitt tvunget til Ä behandle bÊrbare datamaskiner som forbruksvarer som uunngÄelig vil bli glemt pÄ en bar, hotell eller flyplass. Det er bevis for at pÄ samme amerikanske flyplasser hver uke, hvorav minst halvparten inneholder konfidensiell informasjon uten noen beskyttelse.
Alt dette tilfĂžrte en god del grĂ„tt hĂ„r til sikkerhetseksperter og fĂžrte til den fĂžrste utviklingen av MDM (Mobile Device Management). Da oppsto behovet for livssyklusstyring av mobile applikasjoner pĂ„ kontrollerte enheter, og MAM-lĂžsninger (Mobile Application Management) dukket opp. For flere Ă„r siden begynte de Ă„ slĂ„ seg sammen under fellesnavnet EMM (Enterprise Mobility Management) â et enkelt system for Ă„ administrere mobile enheter. HĂžydepunktet for all denne sentraliseringen er UEM-lĂžsninger (Unified Endpoint Management).
KjĂŠre, vi kjĂžpte en dyrehage
De fÞrste som dukket opp var leverandÞrer som tilbÞd lÞsninger for sentralisert administrasjon av mobile enheter. Et av de mest kjente selskapene, Blackberry, lever fortsatt og gjÞr det bra. Selv i Russland er det til stede og selger produktene sine, hovedsakelig for banksektoren. SAP og forskjellige mindre selskaper som Good Technology, senere kjÞpt opp av samme Blackberry, kom ogsÄ inn pÄ dette markedet. Samtidig ble BYOD-konseptet stadig mer populÊrt, da bedrifter prÞvde Ä spare pÄ at ansatte hadde med seg sine personlige enheter pÄ jobb.
Riktignok ble det raskt klart at teknisk stÞtte og informasjonssikkerhet allerede ristet av forespÞrsler som «Hvordan kan jeg sette opp MS Exchange pÄ Arch-en min?» Linux«og» «Jeg trenger en direkte VPN til et privat Git-arkiv og en produktdatabase fra MacBook-en min.» Uten sentraliserte lÞsninger ble alle besparelsene pÄ BYOD til et mareritt for Ä vedlikeholde hele dyrehagen. Bedrifter trengte at alt skulle vÊre automatisert, fleksibelt og sikkert.
Innen detaljhandelen utviklet historien seg litt annerledes. For omtrent 10 Är siden innsÄ bedrifter plutselig at mobile enheter hadde kommet. Tidligere satt ansatte foran varme, rÞrbelyste skjermer, med en skjeggete, genserkledd mann usynlig i nÊrheten som sÞrget for at alt fungerte. Med fremveksten av fullverdige smarttelefoner kunne funksjonene til sjeldne, spesialiserte PDA-er nÄ overfÞres til en standard, rimelig, masseprodusert enhet. Samtidig ble det klart at denne dyrehagen mÄtte administreres pÄ en eller annen mÄte, ettersom det fantes mange forskjellige plattformer: Blackberry, iOS, Android, deretter - Windows Telefon. I et stort selskap er enhver manuell innsats et skudd i foten. En slik prosess vil ta opp verdifulle arbeidstimer fra IT-avdelingen og support.
Helt i starten tilbÞd leverandÞrene separate MDM-produkter for hver plattform. Det var ganske vanlig Ä kun administrere smarttelefoner som kjÞrte iOS eller AndroidDa vi mer eller mindre hadde funnet ut hvordan vi skulle bruke smarttelefoner, ble det klart at datainnsamlingsterminalene pÄ lageret ogsÄ mÄtte administreres pÄ en eller annen mÄte. Og du mÄ virkelig sende en ny ansatt til lageret for Ä skanne strekkodene pÄ de riktige boksene og legge inn dataene i databasen. Hvis du har lagre over hele landet, kan support vÊre ganske utfordrende. Du mÄ koble hver enhet til Wi-Fi, installere en app og gi tilgang til databasen. Med moderne MDM, eller mer presist, EMM, ansetter du en administrator, gir dem en administrasjonskonsoll og konfigurerer tusenvis av enheter med forhÄndsdefinerte scenarier fra ett enkelt sted.
Terminaler pÄ McDonald's
Det er en interessant trend i detaljhandelen â et trekk bort fra stasjonĂŠre kasseapparater og utsjekkingssteder. Hvis du tidligere i samme M.Video likte en vannkoker, mĂ„tte du ringe selgeren og trampe med ham over hele hallen til den stasjonĂŠre terminalen. Underveis klarte klienten Ă„ glemme ti ganger hvorfor han skulle og ombestemme seg. Den samme effekten av et impulskjĂžp gikk tapt. NĂ„ lar MDM-lĂžsninger selgeren umiddelbart komme med en POS-terminal og foreta en betaling. Systemet integrerer og konfigurerer lager- og selgerterminaler fra Ă©n administrasjonskonsoll. PĂ„ et tidspunkt var et av de fĂžrste selskapene som begynte Ă„ endre den tradisjonelle kassamodellen McDonald's med sine interaktive selvbetjeningspaneler og jenter med mobilterminaler som tok imot bestillinger midt i kĂžen.
Burger King begynte ogsÄ Ä utvikle sitt Þkosystem, og la til en applikasjon som gjorde det mulig Ä bestille eksternt og fÄ det forberedt pÄ forhÄnd. Alt dette ble kombinert til et harmonisk nettverk med kontrollerte interaktive stands og mobile terminaler for ansatte.
Din egen kasserer
Mange dagligvarehypermarkeder reduserer belastningen pÄ kasserere ved Ä installere selvbetjente kasser. Globus gikk videre. Ved inngangen tilbyr de Ä ta en Scan&Go-terminal med integrert skanner, som du enkelt skanner alle varene med pÄ stedet, pakker dem inn i poser og drar etter Ä ha betalt. Det er ikke nÞdvendig Ä slÞye mat pakket i poser i kassen. Alle terminaler er ogsÄ sentralt administrert og integrert med bÄde lager og andre systemer. Noen selskaper prÞver lignende lÞsninger integrert i vognen.
Tusen smaker
En egen sak gjelder automater. PÄ samme mÄte mÄ du oppdatere fastvaren pÄ dem, overvÄke restene av brent kaffe og melkepulver. Dessuten synkroniserer alt dette med terminalene til servicepersonellet. Av de store selskapene utmerket Coca-Cola seg i denne forbindelse, og kunngjorde en premie pÄ $10 000 for den mest originale drinkoppskriften. I den forstand tillot det brukere Ä blande de mest vanedannende kombinasjonene i merkede enheter. Som et resultat dukket det opp versjoner av ingefÊr-sitron-cola uten sukker og vanilje-fersken Sprite. De har ennÄ ikke nÄdd smaken av Þrevoks, som i Bertie Botts Every Flavour Beans, men de er veldig bestemte. All telemetri og populariteten til hver kombinasjon overvÄkes nÞye. Alt dette integreres ogsÄ med brukernes mobilapplikasjoner.
Vi venter pÄ nye smaker.
Vi selger paier
Det fine med MDM/UEM-systemer er at du raskt kan skalere virksomheten din ved Ă„ koble til nye ansatte eksternt. Du kan enkelt organisere salget av betingede paier i en annen by med full integrasjon med systemene dine med to klikk. Det vil se noe slikt ut.
En ny enhet leveres til en ansatt. I esken ligger det et stykke papir med strekkode. Vi skanner - enheten er aktivert, registrert i MDM, tar fastvaren, bruker den og starter pÄ nytt. Brukeren legger inn dataene sine eller et engangstoken. Alle. NÄ har du fÄtt en nyansatt som har tilgang til bedriftspost, data pÄ lagersaldo, nÞdvendige applikasjoner og integrasjon med mobil betalingsterminal. En person kommer til lageret, henter varene og leverer dem til direkte kunder, og aksepterer betaling med samme enhet. Nesten som i strategier for Ä ansette et par nye enheter.
Hvordan ser det ut?
Et av de mest dyktige UEM-systemene pÄ markedet er VMware Workspace ONE UEM (tidligere AirWatch). Den lar deg integrere med nesten og med ChromeOS. Til og med Symbian eksisterte inntil nylig. Workspace ONE stÞtter ogsÄ Apple TV.
Et annet viktig pluss. Apple tillater bare to MDM-er, inkludert Workspace ONE, Ä fikle med API-en fÞr de slipper en ny versjon av iOS. For alle, i beste fall om en mÄned, og for dem om to.
Du setter ganske enkelt inn nÞdvendige bruksscenarioer, kobler til enheten, og sÄ fungerer den, som de sier, automatisk. Retningslinjer og begrensninger kommer, nÞdvendig tilgang til interne nettverksressurser er gitt, nÞkler lastes opp og sertifikater installeres. I lÞpet av fÄ minutter har den nyansatte en enhet som er helt klar for arbeid, hvorfra nÞdvendig telemetri kontinuerlig strÞmmer. Antallet scenarier er enormt, fra blokkering av et telefonkamera i en bestemt geolokasjon til SSO ved hjelp av et fingeravtrykk eller ansikt.
Administratoren konfigurerer startprogrammet med alle applikasjonene som kommer til brukeren.
Alle mulige og umulige parametere, som ikonstÞrrelse, begrensning av bevegelse og deaktivering av anrops- og kontaktikoner, er ogsÄ fleksibelt konfigurert. Denne funksjonaliteten er nyttig nÄr du bruker Android- plattformer som interaktive menyer pÄ restauranter og lignende oppgaver.
Fra brukerens side ser det omtrent slik ut 
Andre leverandÞrer har ogsÄ interessante lÞsninger. For eksempel leverer EMM SafePhone fra Scientific Research Institute SOKB sertifiserte lÞsninger for sikker overfÞring av tale og meldinger med kryptering og opptaksmuligheter.
Rootede telefoner
En hodepine for informasjonssikkerhet er rootede telefoner, hvor brukeren har maksimale rettigheter. Nei, rent subjektivt er dette et ideelt alternativ. Enheten din mÄ gi deg full kontrollrett. Dessverre strider dette mot bedriftens mÄl, som krever at brukeren ikke har noen innflytelse pÄ bedriftens programvare. Han skal for eksempel ikke kunne komme inn i en beskyttet minnedel med filer eller skli inn en falsk GPS.
Derfor prÞver alle leverandÞrer pÄ en eller annen mÄte Ä oppdage mistenkelig aktivitet pÄ en administrert enhet og blokkere tilgang hvis rotrettigheter eller ikke-standard fastvare oppdages.
РAndroid vanligvis stole pÄ . Fra tid til annen lar Magisk deg omgÄ sjekkene, men som regel fikser Google dette veldig raskt. SÄ vidt jeg vet, begynte den samme Google Pay aldri Ä fungere igjen pÄ rotfestede enheter etter vÄroppdateringen.
I stedet for produksjon
Hvis du er et stort selskap, bĂžr du tenke pĂ„ Ă„ implementere UEM/EMM/MDM. NĂ„vĂŠrende trender tyder pĂ„ at slike systemer fĂ„r stadig stĂžrre bruk â fra lĂ„ste iPads som terminaler i en konfektbutikk til store integrasjoner med lagerbaser og budterminaler. Et enkelt kontrollpunkt og rask integrasjon eller endring av medarbeiderroller gir svĂŠrt store fordeler.
Min e-postadresse er SVinogradskiy@croc.ru
Kilde: www.habr.com
