Сегодня утром мы запустили в опытно-коммерческую эксплуатацию первую в России платформу для администрирования мобильных устройств из облака.
Можно подцепить туда девайсы сотрудников и получить следующие возможности:
- Отправлять сертификаты безопасности, включая данные для корпоративной почты, Wi-Fi, VPN и других настроек.
- Создать контейнер для корпоративных данных и при необходимости очищать его.
- Назначить политики безопасности вроде отключения камеры, отслеживания устройства и так далее.
- Назначать триггеры на различные события, например, вайпить корпоративные данные при попытке джейлбрейка.
Экран настроек ограничений смартфона
Ниже я подробно расскажу про всё это, а также про то, как за два дня внедрить нормальную безопасность у себя в компании. И если вам интересно, то можно получить бесплатный доступ к платформе до 1 января 2014 в рамках опытно-коммерческой эксплуатации.
Зачем всё это надо?
Последние года три, наверное, тема администрирования мобильных устройств сотрудников (смартфонов и планшетов с разными ОС) – одна из самых часто обсуждаемых как на конференциях по безопасности, так и среди сисадминов. Каждый раз на таких конференциях говорится про «безопасность и удобство пользователя», но будем честны – удобство заключается только в том, что у него не отбирают телефон на входе в компанию и могут без него настроить почту да VPN. Основные профиты в том, что снимается очень много нагрузки с IT-отдела и безопасников.
Как это делалось до облачного решения?
MDM-система разворачивалась на серверах компании или серверах интегратора. Обычно одно только внедрение для компании с более чем 1000 сотрудниками стоило от нескольких миллионов рублей и занимало от месяца. Есть примеры и полуторагодичных проектов по внедрению. Наше решение MDM позволяет подключиться и развернуться за сутки (самая долгая часть – подписание договора) и работать сразу здесь и сейчас.
Страница входа
Что получает пользователь?
На его устройство ставится несколько агентов (в зависимости от ОС) каждый со своим функционалом. После этого на девайс можно накатывать корпоративные приложения, например, систему электронного документооборота – а это уже как раз и есть отличный плюс к удобству. MDM-платформа (Mobile Device Management) сама по себе просто инструмент администрирования, но инструмент, который обеспечивает должную безопасность для того, чтобы на устройстве пользователя могли храниться критичные данные. И удобство, чтобы не делать это для каждого устройства руками.
Скриншот настроек, видно часть возможностей на вкладках.
Что получает IT-отдел?
Уменьшается поток бегающих за настройками. Теперь схема выглядит так:
- Cотрудник присылает вам номер своего телефона (и почту, если речь про iPad, который не умеет читать SMS),
- Вы подцепляете этот номер в платформу MDM и назначаете группу (к примеру – накатить настройки как всем сотрудникам колл-центра),
- Система сама отправляет юзеру SMS со ссылкой на заказчку приложения-агента,
- Юзер скачивает его, пару раз нажимает ОК на то, что ему прописывают в правах и получает все настройки.
Ещё раз: вы получили номер, прописали его и указали группу. Всё, дальше работает система. Вам даже не надо видеть устройство или самого сотрудника.
Что важно для ИБ?
Прекращается головная боль с возможностью выноса данных и утечек почты. Понятно, что кому нужно унести – так или иначе будет искать способ, но утечки из-за человеческой глупости прекратятся точно. Плюс можно будет не волноваться из-за потерянных или украденных устройств – их можно просто удаленно вайпить.
Что обычно настраивают первым?
- Блок типовых настроек Wi-Fi, параметров корпоративного VPN и так далее.
- Доступ к корпоративной почте.
- Если компания использует корпоративные приложения, то доступ к ним.
- Бекап на платформу на случай утери устройства, чтобы можно было поднять профиль за считанные минуты обратно на новый девайс.
- Вайп корпоративных данных по увольнению, попытке джейлбрейка и т.п.
Как выглядит настройка системы?
Вы подключаетесь к платформе на странице mdm.beeline.ru как администратор. Затем заводите группы, например, для разных отделов (можно работать на уровне отдельных устройств, но группами удобнее). Для каждой группы прописываете свои настройки и триггеры к событиям. Затем просто заносите устройства по телефонным номерам и назначаете группу. Причем на одно устройство может быть в разных группах.
Что делать, если сотрудник переходит из отдела в отдел?
Достаточно просто переназначить ему группы, платформа сделает остальное.
Какие устройство можно подключать?
Любые устройства с любыми SIM или без них. То есть любые личные и корпоративные телефоны и планшеты.
Какие поддерживаются ОС?
Поддерживаются все основные мобильные ОС: Android выше 2.3, iOS 5 и выше, а также Windows Phone (7+) и даже возможна интгерция с BlackBerry, но через их BES-сервер. Плюс есть отдельная часть системы, поддерживающая девайсы на Symbian (развёрнута у нас для совместимости со старыми устройствами Nokia, хотя в США уже не почти используется, у нас их доля ещё достаточно высока). Важно понимать, что возможности управления и настроек девайсов на Android зависят не только от версии самой ОС, но и от вендора конкретного девайса. Например, Samsung последних поколений имеет наибольшее число возможностей из Android-девайсов. Обычное распределение функционала: 2.3 — пароли, Exchange, коммуникации, wipe, геолокация. В 3+ добавляется управления камерами, VPN, шифрование устройства. В 4+ появляется управление картой, её шифрование, управление USB, управление GPS-модулем, управление настройками (запрещение изменения и так далее).
Кроме того, мы постоянно будем постоянно обновлять возможности нашей MDM-платформы. На конечных пользователях такая миграция не скажется.
Сколько стоит?
Всё просто – только 200 рублей за устройство в месяц с подневной тарификацией. Плата берется только за активированные устройства, то есть если вы отправляете мобильное устройство на Урал, а активируете его в системе только через полгода, то оплата пойдёт с момента его активации.
Сейчас есть возможность можно получить бесплатный доступ к MDM-платформе до января 2014 года в рамках тестирования – в самом конце топика написано, куда для этого писать.
Где хранятся корпоративные данные?
Бекапы конфигураций хранятся на наших серверах платформы в облаке. Почта и другие данные, которые могут иметь отношение к понятию «коммерческая тайна» не сохраняются на промежуточных серверах. Грубо говоря, мы обеспечиваем транспорт для управления, но не храним ваши данные.
Есть ли шифрование данных?
Кроме базовых средств вроде SSL вашей почты – нет. Все данные передаются так, как вы их отправляете. Сервиса дополнительного шифрования нет: так сделано, чтобы вам не пришлось получать соответствующие разрешения в надзорных органах. При этом 95% вопросов на практике закрываются правильной настройкой VPN.
Может ли администратор получить доступ к личной почте на смартфоне?
Нет. Максимум – он может увидеть подсчёт трафика почты, но сами сообщения никак не попадут ни в приложения-агенты, ни в систему. Решение не трогает персональные данные на устройстве.
Можно ли развернуть всё серверное у себя?
Теоретически да, существуют такие решения для размещения в своих ЦОДах, их предлагают различные интеграторы. Как я уже писал выше, на практике получается довольно дорого на стадии внедрения и долго по времени. Это явно не подходит малому и среднему бизнесу. Наше же решение очень удобно даже для компаний из 35 сотрудников с 30 смартфонами и 20 планшетами
Как быстро подключается новый девайс?
Около двух минут.
Знает ли сотрудник про приложения MDM, видит следы его активности?
Приложения видно на девайсе как обычные мобильные приложения. При установке нужно пару раз согласиться со всеми условиями. Ему нужен канал в интернет для получения управляющих команд. На практике – пользователь в среднем раз в месяц нажимает «ОК» на произошедшие изменения.
Как админу управлять устройствами?
Из единого интерфейса (отдельный только для Symbian) можно настраивать параметры устройства, ограничения, корпоративный маркет приложений, триггеры событий и т.д. Веб-интерфейс работает, кстати, и на популярных мобильных браузерах на планшетах.
Что видит ИБ?
Все зависит задачи. Например, специалист ИБ может видеть лог времени и длительности звонков (но не слышать их сами), лог времени отправки SMS (но не сами сообщения), системные события, срабатывания триггеров, данные геолокации (если они включены), искать по корпоративному контенту.
«Не слушают ли они мои личные разговоры»?
Голосовые данные MDM-приложением никоим образом не затрагиваются, равно как и личная почта. Но не забывайте, что при этом можно увидеть детализацию звонков по времени и номерам, время отправки SMS/MMS и если включена функция сохранения геопозиции (по требованиям отдела безопасности вашей компании) – эти данные можно будет сопоставить.
Какая квалификация сотрудников и для чего требуется?
Для внедрения – знать что такое «облако» или SaaS. Для поддержки – прочитать инструкцию 1-2 раза. Для установки у себя на телефоне – уметь нажимать «ОК».
Насколько точно планируются затраты?
Плата взимается по активированным на платформе устройствам за месяц. То есть, если вы знаете, сколько у вас трубок и планшетов в управлении, то планировать затраты можно с точностью до рубля.
Можно ли детектировать «джейлбрейк» на девайсе?
Да. Вы можете настроить триггеры, по которым делаются определённые последовательности команд. В частности, в триггеры собраны разные угрозы корпоративным данным. Вот пример настройки события:
А вот пример настройки реакции на него:
Можно ли администрировать одно отдельно взятое устройство?
Да, каждый отдельный девайс принадлежит какой-то группе и им можно управлять. Вот, например, экран очистки данных для одного из устройств:
Как быстро можно получить доступ к документу у себя на рабочем столе десктопа, сидя в кафе в Амстердаме?
Это один из частых вопросов журналистов. Поясню, что платформа не даёт возможность получать RDP или аналоги для удалённых рабочих мест. Платформа позволяет именно администрировать устройства, обеспечивает политики безопасности и много других функций. С помощью MDM можно ставить любые приложения, включая решения для RDP-доступа к своей рабочей станции или виртуальной машине. Эти приложения можно прописать на платформе как корпоративные, и юзер будет получать их вместе с пакетом настроек.
Как внедрить MDM у себя в компании?
1) Для начала надо понять, для чего вам MDM. Чтобы это оценить, нужно:
- Оценить, кто и что делает с мобильных устройств. Скорее всего, речь в первую очередь о почте. Если есть что-то критичное к «сливу», надо защищать.
- Если у вас есть корпоративные приложения, то с MDM будет в разы проще.
- Понять, сколько людей в компании пользуются своими личными устройствами и как часто они просят помощи по настройкам Wi-Fi и VPN
- Если у вас раздаются свои планшеты или телефоны (часто важно для, например, мерчендайзеров), MDM будет очень полезен в работе IT-отдела для управления ими.
- Узнать, есть ли задача сбору статистики для гендира или коммерческого о рабочем дне сотрудников или по увеличению производительности. Если да, то это MDM поможет это сделать.
2) Подписаться на бета-тест ниже, найти три-четыре устройства, разобраться, что можно сделать, а что нельзя. И как решаются конкретно ваши задачи на практике.
3) Затем нужно запастись примерами на пальцах, что это даст, чтобы объяснять остальным отделам. Безопасники накидают вам своих, если надо. Обычно они убедительно приводят пример последнего инцидента с потерей важных данных.
4) Дальше самое важное – пройти финансовый отдел. Они будут счастливы узнать, что затраты не капитальные (куча денег сразу – и только потом заработает), а операционные (по факту использования).
5) После этого надо собрать руководителей IT-подразделения, ИБ, финансовый отдел и тех, кто занимается мобильными сотрудниками (возможно, кадры), если они есть, и рассказать про возможное внедрение. Скорее всего, у каждого будут свои пожелания. Кстати, АХО тоже будут заинтересованы – с MDM очень просто делать инвентаризацию как софта, так и железа.
6) В результате надо будет собрать у себя:
- Список юзеров и их контакты.
- Список устройств.
- Политики безопасности (что разрешено какому отделу, что делать при приёме сотрудника, что делать при увольнении).
- Сертификаты для авторизации на ваших почтовых серверах.
7) Подписать допсоглашение (нужен новый документ, если вы с нами не работаете или простое допсоглашение к корпоративному договору на связь, если вы уже наш корпоративный клиент). Новый договор можно взять в любом офисе продаж или заказать по телефону +7-499-277-77-77.
8) После этого можно заводить юзеров на платформе, можно вместе с кадровиками. Подключать лучше не всех сразу, а по отделам. На одном отделе (лучше – на своём) стоит обкатать процедуру до широкого внедрения.
9) Первыми настройками традиционно делают:
- Накатку корпоративных приложений и обнаружение «джейлбрейка».
- VPN для связи с корпоративными системами.
- Почту (например, Exchange).
- Корпоративный Wi-Fi.
- Настройку вайпа корпоративных данных.
- Настройку полного вайпа при звонке сотрудника в техподдержку с инцидентом «украли телефон».
- Жесткую политику пароля на железку (решает 95% случаев кражи устройств).
- Бекапы настроек девайсов.
- Определение геопозиции для сотрудников «в полях», например, курьеров.
Дальше уже идут всякие локальные особенности вроде «выключить камеру при входе на территорию производства» и так далее.
Как интуитивно понять, что решение нужно компании?
Обычно до IT-подразделения задача спускается либо от руководства, либо через ИБ. Если же такого запроса нет, но вам просто надоело работать вручную с очень большим парком мобильных устройств то наша платформа тоже для вас. В такой ситуации надо подсчитать возможные профиты от внедрения для всех (см. выше) и запуститься.
Что надо помнить?
- Оплата – 200 рублей за устройство в месяц, но сейчас можно бесплатно работать несколько месяцев.
- Услуга доступна для юрлиц и ИП (и недоступна физлицам).
- Для подключения услуги достаточно заключить допсоглашение, если вы уже наш корпоративный клиент. Или договор на подвижную связь Билайн с одной SIM, если еще не наш клиент.
- В конце каждого месяца выставляется единый счет на все услуги связи, где будет и абонентская плата за MDM, который нужно оплатить в течение 25 дней. Если счёт не оплачивается – платформа переходит в режим заморозки (сохраняя на время все настройки и данные). Можно настроить автоматические уведомления админам о состоянии счёта.
- В допсоглашении прописываются реквизиты администратора для доступа к платформе (почта, телефон, ФИО). Их можно будет сменить сразу после первого входа в систему.
Что бывает при отключении?
Можно «чисто» удалить все данные с платформы. Кроме того, каждый из пользователей может сам убрать сертификаты и деинсталлировать MDM-приложения с девайса. При отключении платформы без дополнительных действий происходит отзыв сертификата.
Как получить бесплатный доступ к системе?
Написать запрос на почту services@beeline.ru с заголовком «Заявка на тест MDM с Хабра». Обратите внимание, услуга доступна только для ИП или юрлиц, поэтому в письме нужно указать полное наименование компании, ИНН компании, ФИО и почту админа для получения пароля плюс сотовый телефон админа для связи.
В ответ я очень прошу вас расcказать обо всех нужных вам фичах и отправлять багрепорты, если на глаза попадётся что-то странное.
Автор: IgorVV