Når de snakker om MDM, som er Mobile Device Management, ser alle av en eller annen grunn umiddelbart for seg en kill-switch, som eksternt detonerer en tapt telefon på kommando av en informasjonssikkerhetsoffiser. Nei, generelt er dette også der, bare uten de pyrotekniske effektene. Men det er mange andre rutineoppgaver som kan utføres mye enklere og mer smertefritt med MDM.
Virksomheten streber etter å optimalisere og forene prosesser. Og hvis en ny ansatt tidligere måtte gå til en mystisk kjeller med ledninger og lyspærer, hvor kloke rødøyde eldste hjalp til med å sette opp bedriftspost på Blackberryen sin, har MDM nå vokst til et helt økosystem som lar deg utføre disse oppgavene i to klikk. Vi skal snakke om sikkerhet, agurk-rips Coca-Cola og forskjellene mellom MDM og MAM, EMM og UEM. Og også om hvordan du får jobb med å selge paier eksternt.
Fredag i baren
Selv de mest ansvarlige tar en pause noen ganger. Og, som ofte skjer, glemmer de ryggsekker, bærbare datamaskiner og mobiltelefoner på kafeer og barer. Det største problemet er at tap av disse enhetene kan resultere i en enorm hodepine for informasjonssikkerhetsavdelingen dersom de inneholder sensitiv informasjon for selskapet. Ansatte i samme Apple klarte å sjekke inn minst to ganger, og tapte først , og så - . Ja, nå kommer de fleste mobiltelefoner med kryptering ut av esken, men bedriftens bærbare datamaskiner er ikke alltid konfigurert med harddiskkryptering som standard.
I tillegg begynte trusler som målrettet tyveri av bedriftsenheter for å trekke ut verdifulle data å dukke opp. Telefonen er kryptert, alt er så sikkert som mulig og alt det der. Men la du merke til overvåkingskameraet som du låste opp telefonen under før den ble stjålet? Gitt den potensielle verdien av data på en bedriftsenhet, har slike trusselmodeller blitt veldig reelle.
Generelt er folk fortsatt sklerotiske. Mange selskaper i USA har blitt tvunget til å behandle bærbare datamaskiner som forbruksvarer som uunngåelig vil bli glemt på en bar, hotell eller flyplass. Det er bevis for at på samme amerikanske flyplasser hver uke, hvorav minst halvparten inneholder konfidensiell informasjon uten noen beskyttelse.
Alt dette tilførte en god del grått hår til sikkerhetseksperter og førte til den første utviklingen av MDM (Mobile Device Management). Da oppsto behovet for livssyklusstyring av mobile applikasjoner på kontrollerte enheter, og MAM-løsninger (Mobile Application Management) dukket opp. For flere år siden begynte de å slå seg sammen under fellesnavnet EMM (Enterprise Mobility Management) – et enkelt system for å administrere mobile enheter. Høydepunktet for all denne sentraliseringen er UEM-løsninger (Unified Endpoint Management).
Kjære, vi kjøpte en dyrehage
De første som dukket opp var leverandører som tilbød løsninger for sentralisert administrasjon av mobile enheter. Et av de mest kjente selskapene, Blackberry, lever fortsatt og gjør det bra. Selv i Russland er det til stede og selger produktene sine, hovedsakelig for banksektoren. SAP og forskjellige mindre selskaper som Good Technology, senere kjøpt opp av samme Blackberry, kom også inn på dette markedet. Samtidig ble BYOD-konseptet stadig mer populært, da bedrifter prøvde å spare på at ansatte hadde med seg sine personlige enheter på jobb.
Riktignok ble det raskt klart at teknisk støtte og informasjonssikkerhet allerede rykket etter forespørsler som "Hvordan kan jeg sette opp MS Exchange på Arch Linux" og "Jeg trenger en direkte VPN til et privat Git-lager og produktdatabase fra min MacBook. ” Uten sentraliserte løsninger ble alle besparelsene på BYOD til et mareritt i forhold til å vedlikeholde hele dyrehagen. Bedrifter trengte at all administrasjon skulle være automatisk, fleksibel og sikker.
I detaljhandelen utfoldet historien seg litt annerledes. For rundt 10 år siden skjønte bedrifter plutselig at mobile enheter kom. Det pleide å være at ansatte satt bak varme lampemonitorer, og et sted i nærheten var den skjeggete eieren av genseren usynlig til stede, noe som fikk det til å fungere. Med bruken av fullverdige smarttelefoner, kan funksjonene til sjeldne spesialiserte PDA-er nå overføres til en vanlig, rimelig seriell enhet. Samtidig kom forståelsen av at denne dyrehagen måtte administreres på en eller annen måte, siden det er mange plattformer, og de er alle forskjellige: Blackberry, iOS, Android, så Windows Phone. På skalaen til et stort selskap er eventuelle manuelle bevegelser et skudd i foten. Denne prosessen vil spise opp verdifull IT og støttearbeidstimer.
Leverandører helt i begynnelsen tilbød separate MDM-produkter for hver plattform. Situasjonen var ganske typisk da kun smarttelefoner på iOS eller Android ble kontrollert. Da smarttelefonene ble mer eller mindre sortert ut, viste det seg at også datainnsamlingsterminalene på lageret måtte administreres på en eller annen måte. Samtidig må du virkelig sende en ny ansatt til lageret slik at han ganske enkelt kan skanne strekkodene på de nødvendige boksene og legge inn disse dataene i databasen. Hvis du har varehus over hele landet, så blir support veldig vanskelig. Du må koble hver enhet til Wi-Fi, installere applikasjonen og gi tilgang til databasen. Med moderne MDM, eller mer presist, EMM, tar du en admin, gir ham en administrasjonskonsoll og konfigurerer tusenvis av enheter med malskript fra ett sted.
Terminaler på McDonald's
Det er en interessant trend i detaljhandelen – et trekk bort fra stasjonære kasseapparater og utsjekkingssteder. Hvis du tidligere i samme M.Video likte en vannkoker, måtte du ringe selgeren og trampe med ham over hele hallen til den stasjonære terminalen. Underveis klarte klienten å glemme ti ganger hvorfor han skulle og ombestemme seg. Den samme effekten av et impulskjøp gikk tapt. Nå lar MDM-løsninger selgeren umiddelbart komme med en POS-terminal og foreta en betaling. Systemet integrerer og konfigurerer lager- og selgerterminaler fra én administrasjonskonsoll. På et tidspunkt var et av de første selskapene som begynte å endre den tradisjonelle kassamodellen McDonald's med sine interaktive selvbetjeningspaneler og jenter med mobilterminaler som tok imot bestillinger midt i køen.
Burger King begynte også å utvikle sitt økosystem, og la til en applikasjon som gjorde det mulig å bestille eksternt og få det forberedt på forhånd. Alt dette ble kombinert til et harmonisk nettverk med kontrollerte interaktive stands og mobile terminaler for ansatte.
Din egen kasserer
Mange dagligvarehypermarkeder reduserer belastningen på kasserere ved å installere selvbetjente kasser. Globus gikk videre. Ved inngangen tilbyr de å ta en Scan&Go-terminal med integrert skanner, som du enkelt skanner alle varene med på stedet, pakker dem inn i poser og drar etter å ha betalt. Det er ikke nødvendig å sløye mat pakket i poser i kassen. Alle terminaler er også sentralt administrert og integrert med både lager og andre systemer. Noen selskaper prøver lignende løsninger integrert i vognen.
Tusen smaker
En egen sak gjelder automater. På samme måte må du oppdatere fastvaren på dem, overvåke restene av brent kaffe og melkepulver. Dessuten synkroniserer alt dette med terminalene til servicepersonellet. Av de store selskapene utmerket Coca-Cola seg i denne forbindelse, og kunngjorde en premie på $10 000 for den mest originale drinkoppskriften. I den forstand tillot det brukere å blande de mest vanedannende kombinasjonene i merkede enheter. Som et resultat dukket det opp versjoner av ingefær-sitron-cola uten sukker og vanilje-fersken Sprite. De har ennå ikke nådd smaken av ørevoks, som i Bertie Botts Every Flavour Beans, men de er veldig bestemte. All telemetri og populariteten til hver kombinasjon overvåkes nøye. Alt dette integreres også med brukernes mobilapplikasjoner.
Vi venter på nye smaker.
Vi selger paier
Det fine med MDM/UEM-systemer er at du raskt kan skalere virksomheten din ved å koble til nye ansatte eksternt. Du kan enkelt organisere salget av betingede paier i en annen by med full integrasjon med systemene dine med to klikk. Det vil se noe slikt ut.
En ny enhet leveres til en ansatt. I esken ligger det et stykke papir med strekkode. Vi skanner - enheten er aktivert, registrert i MDM, tar fastvaren, bruker den og starter på nytt. Brukeren legger inn dataene sine eller et engangstoken. Alle. Nå har du fått en nyansatt som har tilgang til bedriftspost, data på lagersaldo, nødvendige applikasjoner og integrasjon med mobil betalingsterminal. En person kommer til lageret, henter varene og leverer dem til direkte kunder, og aksepterer betaling med samme enhet. Nesten som i strategier for å ansette et par nye enheter.
Hvordan ser det ut?
Et av de mest dyktige UEM-systemene på markedet er VMware Workspace ONE UEM (tidligere AirWatch). Den lar deg integrere med nesten og med ChromeOS. Til og med Symbian eksisterte inntil nylig. Workspace ONE støtter også Apple TV.
Et annet viktig pluss. Apple tillater bare to MDM-er, inkludert Workspace ONE, å fikle med API-en før de slipper en ny versjon av iOS. For alle, i beste fall om en måned, og for dem om to.
Du setter ganske enkelt inn nødvendige bruksscenarioer, kobler til enheten, og så fungerer den, som de sier, automatisk. Retningslinjer og begrensninger kommer, nødvendig tilgang til interne nettverksressurser er gitt, nøkler lastes opp og sertifikater installeres. I løpet av få minutter har den nyansatte en enhet som er helt klar for arbeid, hvorfra nødvendig telemetri kontinuerlig strømmer. Antallet scenarier er enormt, fra blokkering av et telefonkamera i en bestemt geolokasjon til SSO ved hjelp av et fingeravtrykk eller ansikt.
Administratoren konfigurerer startprogrammet med alle applikasjonene som kommer til brukeren.
Alle mulige og umulige parametere er også fleksibelt konfigurert, slik som størrelsen på ikoner, forbud mot bevegelse, forbud mot anrop og kontaktikoner. Denne funksjonaliteten er nyttig når du bruker Android-plattformen som en interaktiv meny i en restaurant og lignende oppgaver.
Fra brukerens side ser det omtrent slik ut
Andre leverandører har også interessante løsninger. For eksempel leverer EMM SafePhone fra Scientific Research Institute SOKB sertifiserte løsninger for sikker overføring av tale og meldinger med kryptering og opptaksmuligheter.
Rootede telefoner
En hodepine for informasjonssikkerhet er rootede telefoner, hvor brukeren har maksimale rettigheter. Nei, rent subjektivt er dette et ideelt alternativ. Enheten din må gi deg full kontrollrett. Dessverre strider dette mot bedriftens mål, som krever at brukeren ikke har noen innflytelse på bedriftens programvare. Han skal for eksempel ikke kunne komme inn i en beskyttet minnedel med filer eller skli inn en falsk GPS.
Derfor prøver alle leverandører på en eller annen måte å oppdage mistenkelig aktivitet på en administrert enhet og blokkere tilgang hvis rotrettigheter eller ikke-standard fastvare oppdages.
Android er vanligvis avhengig av . Fra tid til annen lar Magisk deg omgå sjekkene, men som regel fikser Google dette veldig raskt. Så vidt jeg vet, begynte den samme Google Pay aldri å fungere igjen på rotfestede enheter etter våroppdateringen.
I stedet for produksjon
Hvis du er et stort selskap, bør du tenke på å implementere UEM/EMM/MDM. Nåværende trender tyder på at slike systemer får stadig større bruk – fra låste iPads som terminaler i en konfektbutikk til store integrasjoner med lagerbaser og budterminaler. Et enkelt kontrollpunkt og rask integrasjon eller endring av medarbeiderroller gir svært store fordeler.
Min mail - [e-postbeskyttet]
Kilde: www.habr.com