便携式电子产品,特别是智能手机和平板电脑的快速发展,给企业信息安全带来了许多新的挑战。 事实上,如果以前所有的网络安全都是基于创建安全边界及其后续保护,那么现在,当几乎每个员工都使用自己的移动设备来解决工作问题时,控制安全边界变得非常困难。 对于大型企业来说尤其如此,其中每个员工都有电子邮件和其他公司资源的登录名和密码。 通常,在购买新的智能手机或平板电脑时,企业员工会在其上输入自己的凭据,而常常忘记在旧设备上注销。 即使企业中这种不负责任的员工只有5%,如果没有管理员的适当控制,移动设备访问邮件服务器的情况很快就会变得一团糟。
此外,移动设备经常丢失或被盗,随后被用来搜索犯罪证据以及访问公司资源和商业秘密数据。 通常,对企业网络安全的最大危害来自攻击者获取员工电子邮件的访问权限。 因此,他们可以访问全球地址和联系人列表、不幸员工应该参加的会议时间表以及他的信件。 此外,获得公司电子邮件访问权限的攻击者能够从受信任的电子邮件地址发送网络钓鱼电子邮件或感染恶意软件的电子邮件。 所有这些加在一起为攻击者提供了几乎无限的机会来进行网络攻击,并利用社会工程来实现他们的目标。
为了监控安全范围内的移动设备,可以使用 ABQ 技术,即允许/阻止/隔离。 它允许管理员控制允许与邮件服务器同步数据的移动设备列表,并在必要时阻止受感染的设备并隔离可疑的移动设备。
然而,正如 Zimbra Collaboration Suite 开源版免费版的任何管理员都知道的那样,它与移动设备交互的能力非常有限。 严格来说,Zimbra 免费版的用户只能通过 POP3 或 IMAP 协议接收和发送电子邮件,而没有内置与服务器同步日记、通讯录和笔记数据的功能。 ABQ 技术也没有在 Zimbra Collaboration Suite 的免费版本中实现,它会自动结束所有在企业中创建封闭信息边界的尝试。 在管理员不知道哪些设备连接到他的服务器的情况下,企业中可能会出现信息泄露,并且根据前面描述的场景遭受网络攻击的可能性急剧增加。
Zextras Mobile 模块化扩展将有助于在 Zimbra Collaboration Suite 开源版中解决这个问题。 此扩展允许您向 Zimbra 免费版本添加对 ActiveSync 协议的全面支持,并且因此为移动设备和邮件服务器之间的交互提供了很多可能性。 除了各种其他功能外,Zextras Mobile 扩展还提供完整的 ABQ 支持。
我们立即警告您,由于 ABQ 配置不正确可能会导致某些用户无法将其移动设备上的数据与服务器同步,因此您需要极其谨慎地处理设置问题。 ABQ 是从 Zextras 命令行配置的。 Zimbra 中的 ABQ 操作模式是在命令行上配置的,并且还管理设备列表。
其实现如下:用户在移动设备上登录企业邮件后,向服务器发送授权数据以及设备的识别数据,遇到ABQ形式的障碍,该障碍会查看识别信息数据并与允许、隔离和阻止设备列表中的设备进行检查。 如果该设备不在任何列表中,则 ABQ 根据其运行模式对其进行处理。
Zimbra 中的 ABQ 提供三种操作模式:
宽容的:在此操作模式下,用户身份验证后,会根据移动设备的第一个请求自动执行同步。 在这种操作模式下,可以阻止单个设备,但其他人将能够自由地与服务器同步数据。
交互的:在此操作模式下,用户通过身份验证后,安全系统会立即请求设备标识数据并将其与允许的设备列表进行比较。 如果设备位于允许列表中,同步会自动继续。 如果该设备不在白名单中,则会自动隔离,以便管理员稍后决定是允许该设备与服务器同步还是阻止它。 在这种情况下,将会向用户发送相应的通知。 管理员会在可配置的时间段内定期收到通知。 在这种情况下,每个新通知将仅包含新的隔离设备。
严格的:在此操作模式下,用户身份验证后,立即检查设备的标识数据是否在允许列表中。 如果在那里列出,同步会自动继续。 如果设备不在允许列表中,则会立即转到阻止列表,并且用户会通过邮件收到相应的通知。
此外,如果需要,Zimbra 管理员可以在其邮件服务器上完全禁用 ABQ。
ABQ 操作模式使用以下命令进行配置:
zxsuite config 全局设置属性 abqMode 值 Permissive
zxsuite config全局设置属性abqMode值交互
zxsuite config 全局设置属性 abqMode 值 Strict
zxsuite config 全局设置属性 abqMode 值已禁用
您可以使用以下命令查看ABQ当前的运行模式 zxsuite配置全局获取属性abqMode.
如果您使用交互式或严格的 ABQ 操作模式,您通常必须使用允许、阻止和隔离的设备列表。 假设有两台设备连接到我们的服务器:一台 iPhone 和一台 Android 设备,并具有相应的识别数据。 后来发现,该企业的总经理最近购买了一部iPhone,并决定在其上使用邮件工作,而Android属于普通经理,出于安全原因,他无权在智能手机上使用工作邮件。
在交互模式下,所有设备都将被隔离,管理员需要将 iPhone 移至允许的设备列表,将 Android 移至阻止的设备列表。 为此,他使用命令 zxsuite mobile abq 允许 iPhone и zxsuite 移动 abq 块 Android。 此后,首席执行官将能够完全通过他的设备处理邮件,而经理仍然必须仅通过他的工作笔记本电脑查看邮件。
值得注意的是,使用交互模式时,即使管理员在 Android 设备上正确输入了用户名和密码,他仍然无法访问他的帐户,而是会进入一个虚拟邮箱,在该邮箱中他会收到一条通知:他的设备已被添加到隔离区,他将无法使用其中的邮件。
在严格模式下,所有新设备都会被阻止,在查明它们属于谁后,管理员只需使用命令将CEO的iPhone添加到允许的设备列表中即可 zxsuite 移动 ABQ 设置 iPhone 允许,留下经理的电话号码。
宽松的操作模式与企业的任何安全规则的兼容性都很差,但是,如果仍然需要阻止任何允许的移动设备,例如,如果经理因丑闻而突然辞职,则可以使用命令 zxsuite 移动 ABQ 设置 Android 被阻止.
如果企业为员工提供处理邮件的服务小工具,那么下次其所有者发生变化时,该设备可以从 ABQ 列表中完全删除,以便稍后再次决定是否允许其与服务器同步。 这是使用命令完成的 zxsuite移动ABQ删除Android.
因此,正如您所看到的,借助 Zimbra 中的 Zextras Mobile 扩展,您可以实施一个非常灵活的系统来监控所使用的移动设备,适合对办公室外企业资源的使用有相当严格政策的企业,以及对于那些在使用移动设备方面相当自由的公司来说。
来源: habr.com