Zařízení Android ve firemním prostředí

Prezentace na téma: "Zařízení Android ve firemním prostředí"— Transkript prezentace:

1 Zařízení Android ve firemním prostředí
STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU Zařízení Android ve firemním prostředí Edward Plch prosinec 2013 Verze 1.0

2 Agenda Různé edice OS Android, problematika důvěryhodnosti operačního systému Hlavní metody zabezpečení a správy zařízení Android Bezpečná metoda správy zařízení Android - oddělené soukromé a firemní prostředí Přístup mobilních zařízení do firemní sítě Samsung KNOX System4u a mobilní řešení STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

3 Různé edice OS Android, problematika důvěryhodnosti operačního systému
STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

4 Operační systém Android
Nejrozšířenější a nejvíce rostoucí operační systém pro mobilní zařízení Zatím není nativně připraven pro použití ve firmách Pro použití ve firmě není OS Android sám o sobě důvěryhodný Za pomoci některých MDM lze Android bezpečně ve firmě používat Dva hlavní důvody pro nasazení zařízení Android ve firmě: Výběr z mnoha modelů, cenová dostupnost V případě modelu BYOD je nutné přítomnost OS Android akceptovat Základní druhy distribucí OS Android Původní verze vydaná výrobcem Google Upravené verze výrobců hardware Upravené verze mobilních operátorů STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

5 Sandboxing – základní principy
Operační systém poskytuje aplikacím pro jejich běh vymezený prostor v paměti, pevné i operační = sandbox Každá aplikace běží ve vlastním sandboxu, je v němu uložený programový kód i data Zásady Aplikace mají dostupné jen pevně definované funkce a metody Aplikace nemůže otevřít sandbox jiné aplikace Výjimky Aktivní aplikace může poslat data do jiné aplikace = zejména „Otevřít v…“ Povolení přístupu k systémem definovaným aplikacím, je nutné povolení uživatele (přístup aplikací ke kontaktům, kalendáři apod.) File system operačního systému, pokud je dostupný (u Androidu ano) Výhody a nevýhody Výhodou je zejména bezpečnost, nevýhodou obtížné sdílení dat mezi aplikacemi STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

6 Root zařízení Android Root operačního systému Hlavní důvody pro root
Nahrazení části kódu operačního systému Získání root přístupu k OS S každou verzí další OS je root složitější Hlavní důvody pro root Odstranění omezení daných výrobci hardwaru a mobilními operátory Možnost spouštět aplikace s vysokými právy ==> získání nových funkcí, které OS nepovoluje S novými verzemi OS a s přibývajícími funkcemi se počet rooted zařízení snižuje Detekce root s pomocí systémů MDM Při zjištění rooted zařízení by mělo dojít ke kompletnímu vymazání dat – full wipe Detekce root je běžná součást většiny řešení MDM Detekce maskování rooted device (např. aplikace HideMyRoot) STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

7 Hlavní rizika při použití Android ve firmě
Roztříštěnost platformy Android Mnoho výrobců hardwarů Velké množství edicí OS Android Messaging klient Velké množství ActiveSync klientů na různých zařízeních, náročný support Kontrola dokumentů Přílohy ů, dokumenty z webmeetings, síťové disky apod. Při opuštění sandboxu nebo při uložení do file systému je dokument mimo kontrolu (možnost pouze odebrat dokument z u na ActiveSync serveru Riziko uložení citlivých dokumentů do cloudových úložišť Velké množství aplikací a malware Možnost instalace z cizích zdrojů, otevřenost platformy …. Pouze strojová kontrola kódu aplikací na Google Play Riziko použití VPN VPN je navazována pro celé zařízení, nikoliv pro jednu aplikaci STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

8 STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

9 Nejčastější požadavky na firemní Android
Zabezpečený messaging Kontakty a kalendáře – otázky šifrování těchto položek Zabezpečený browser do intranetu Požadavek na per application VPN Zabezpečený přístup k souborům, kontrola dokumentů Požadavek na kontrolu úniku dokumentů Správa a distribuce aplikací Přístup aplikací do interní sítě Vlastní aplikace, aplikace třetích stran STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

10 Hlavní metody zabezpečení a správy zařízení Android
STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

11 ActiveSync policies Jak fungují Výhody Nevýhody
Nativní součást protokolu ActiveSync Konfigurují se přímo na serveru ActiveSync (Exchange, Traveler) Výhody Není nutno kupovat další licence Nevýhody Velmi omezená funkcionalita Politiky musí být podporovány na straně klienta Nízká úroveň zabezpečení STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

12 Správa celého zařízení pomocí MDM
Jak funguje Na mobilním zařízení je instalován klient MDM, se zařízením komunikuje pomocí API MDM klient komunikuje se serverem a vynucuje na zařízení požadovaná nastavení Výhody Uživatel má jedno společné prostředí, může využívat nativní klienty ( , browser apod.) Smazání firemních dat i v případě ztráty kontaktu se serverem MDM Nevýhody Náročná kontrola pohynu dokumentů na zařízení Je velmi obtížné zabránit úniku dat (cloudové služby) Není možné komunikovat mezi aplikacemi navzájem STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

13 Rozšíření možností správy zařízení Android jako celku
Samsung SAFE Rozšířené API na některých modelech Samsung Možnosti jsou analogické k možnostem iOS device restrictions HTC PRO API Zatím jsou dostupné pouze základní možnosti (vynucení hesla apod.) HUAWEI AnyOffice Poměrně sofistikované řešení Správa zařízení i síťového připojení Malý počet zařízení STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

14 Bezpečná metoda správy zařízení Android - oddělené soukromé a firemní prostředí
STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

15 Oddělené soukromé a firemní prostředí
Jak funguje „Super“ aplikace, ve které běží další, speciálně upravené (wrapped) aplikace Samsung KNOX MobileIron AppConnect/AppTunnel, Citrix Xenmobile WORX Výhody Nejvyšší možná bezpečnost Možnost komunikace mezi zabezpečenými aplikacemi, není omezení sandboxingu Smazání firemních dat i v případě ztráty kontaktu se serverem MDM Nevýhody Dvě oddělená prostředí v mobilním zařízení STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

16 STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

17 MobileIron Secure Apps container
AppConnect AppConnect Policy & Config Share- point Doc Viewer In- house Secure inter-app communications bus AppTunnel Secure Storage & DB Secure Network I/O System Storage and Network Stack Secure apps Only trusted apps get in Support 3rd party & in-house apps Secure access Provision with enterprise identity Password authentication Single sign-on for all applications Secure data AES encryption Secure IPC Secure network i/o* Lock and wipe STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

18 AppConnect – enabled Komunikace mezi aplikacemi - AppConnect
AppConnect SDK AppConnect Wrapping AppConnect – enabled STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

19 AppConnect policies STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

20 Komunikace mezi aplikacemi - AppConnect
STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

21 Přístup mobilních zařízení do firemní sítě
STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

22 Hlavní metody přístupu mobilních zařízení do firmy
Publikace aplikačního serveru do internetu Bezpečnostní riziko (DoS, Man in the Middle atd.) Centrální spojovací server BlackBerry NOC, Good Operation Center, Apple APNS, Google GCM atd. Závislost na třetí straně Vysoká bezpečnost při šifrování end-to-end VPN Velké riziko – VPN je navázána pro celé zařízení, ne pro konkrétní aplikace Je nutné centrálně spravovat Nepohodlné pro uživatele MDM per application VPN Nativní šifrovaný tunel, endpoint v DMZ Kompletní kontrola, která aplikace může do interní sítě přistupovat, kam a za jakých podmínek STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

23 Řízení přístupu do firemní sítě
STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

24 VPN a AppTunnel Klasická VPN VPN Per App VPN Apptunnel FIREWALL SENTRY
STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

25 Samsung KNOX STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

26 Samsung KNOX = virtuální zařízení ve fyzickém zařízení Android
Rozšíření programu Samsung SAFE Přináší novou funkcionalitu: Platform security Secure boot ARM Trustzone-based Integrity Measurement Architecture (TIMA) Kernel se zabudovanou technologií Security Enhancements for Android (SE for Android) – řízení přístupu k datům Rozšířené zabezpečení aplikací Šifrování a správa firemních dat Izolace firemních aplikací od zbytku systému Licencováno per device STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

27 Samsung KNOX Application Security Platform Security STŘEDNÍ PRŮMYSLOVÁ
ŠKOLA NA PROSEKU

28 MobileIron a Samsung KNOX
Správa licencí KNOX Prodej a distribuce licencí Vytvoření a smazání kontejneru Knox Vynucení a nastavení hesla ke kontejneru Konfigurace u v prostředí Knox Konfigurace zabezpečeného prohlížeče Instalace aplikací do kontejneru Konfigurace VPN z prostředí KNOX Povolení/zakázání kontejneru KNOX STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

29 System4u a mobilní řešení
STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

30 System4u a mobilní zařízení
Práce s firemními mobilními řešeními od roku 2007 Detailní znalost hlavních mobilních platforem Centrum podpory 24/7/365 Komplexní služby Enterprise mobility (konzultace, návrh, licence, implementace, školení, podpora, vývoj mobilních aplikací) Máme mezi námi mobilní nadšence Jsme pružná firma Zákazníkovi navrhneme optimální MDM dle jeho potřeb Jsme partnerem MobileIron, Citrix, BlackBerry a dalších STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU

31 Edward Plch, System4u, listopad 2013
STŘEDNÍ PRŮMYSLOVÁ ŠKOLA NA PROSEKU Děkujeme za pozornost! Edward Plch, System4u, listopad 2013