Решение мобильной безопасности AnyOffice
Решение безопасного мобильного офиса BYOD компании Huawei, ориентированное на требования, функции и трудности BYOD, не только гарантирует простой и безопасный доступ сотрудников мобильного офиса к корпоративной сети, но и обеспечивает отличный пользовательский опыт.
Общая информация
В 2012 году уже 20% сотрудников мировых компаний использовали в рабочих целях свои собственные мобильные устройства, такие как iPhone, iPad или устройства на базе платформы Android. Наряду с огромным потреблением ИТ-услуг, явление, получившее название BYOD (Bring Your Own Device), постепенно становится новой нормой. Изначально никто не предполагал, что концепция BYOD станет глобальной тенденцией, которая изменит стиль работы людей и будет способом привлечения специалистов. Собственные устройства позволяют сотрудникам более свободно обмениваться электронными письмами с коллегами, получать доступ к нужной информации и осуществлять мероприятия, связанные с потенциальными возможностями продаж, способствовать управлению информацией по предприятию, применять удобные пользовательские интерфейсы, увеличивать время отклика и повышать эффективность принятия решений. В то же время, бездумное и бесконтрольное использование BYOD связано с огромными рисками безопасности и управления. Ваше предприятие готово к проблемам, связанных с BYOD, на сегодняшний день?
Тенденции и задачи
Концепция BYOD стирает границы между работой и частной жизнью людей. Сотрудники компании могут одновременно работать и играть в веб-игры на тех же мобильных устройствах. Переход от персональных приложений к офисным приложениям предприятия становится более быстрым. Для большинства предприятий запрет на использование BYOD является просто не целесообразным. На сегодняшний день многие из сотрудников (особенно новые сотрудники) хорошо знакомы с мобильными технологиями обработки информации и хотят получить поддержку от предприятий на использование BYOD. Данная потребность вынуждает группы ИТ-поддержки предприятий не только применять технологии BYOD, но и изменить способ ведения бизнеса и осуществления деятельности на рабочем месте. В то же время, внедрение BYOD связано с различными проблемами и рисками. Открытая и интеллектуальная мобильная платформа может стать источником таких злободневных проблем, как вредоносные вложения в электронной почте, утечка данных, перемешивание личных и корпоративных приложений, а также необходимость поддержки множества мобильных платформ с разными структурами.
В затруднительном положении оказываются ИТ-отделы, когда корпоративные стандарты и правила конфигурации противоречат стандартам и правилам мобильных устройств. Более того, довольно трудно перенести политики безопасности и управления, предназначенные для традиционных ПК, на мобильные устройства, особенно на мобильные устройства, принадлежащие сотрудникам. Предприятиям необходимо внедрять стратегии для BYOD, включая стратегии определения и управления политиками, а также стратегии определения мобильных устройств, которым разрешен доступ к корпоративной информации, или уровней доступа.
Функционально интеллектуальные мобильные устройства очень похожи на компьютеры. Однако при обращении с веб-страниц к корпоративной информации, загрузке приложений и отправке сообщений по электронной почте они не обеспечивают никакой защиты. На сегодняшний день существует более 20 000 видов программ, наносящих вред мобильным устройствам, 30% из них это программы типа Троянского коня, предназначенные для кражи частной и конфиденциальной информации. С развитием хакерских технологий и неправомерным использованием доступа мобильные устройства становятся новым очагом рисков, связанных с безопасностью. 71% предприятий считают мобильные устройства, особенно устройства на платформе Android, ключевой угрозой безопасности.
Для ИТ-отделов перемещение корпоративных приложений на различные мобильные устройства является очень сложной задачей. Основные проблемы заключаются в том, как легко и быстро перевести бизнес в мобильную среду, как избежать высокой стоимости разработки собственными силами, а также как удовлетворить требования очень сложной мобильной среды.
В связи с популярностью использования мобильных приложений предприятиям не хватает соответствующих мер по управлению. Загрузка и установка сотрудниками любых приложений по их желанию может привести к снижению доступности системы, появлению огромных рисков безопасности и даже отключению устройств.
Мобильные устройства в основном имеют небольшой размер, поэтому их можно легко потерять или украсть. Согласно опросу у сотрудников 47% компаний на мобильных устройствах хранятся большие объемы данных, включая конфиденциальную информацию клиентов и секретные данные из электронной почты. Потеря одного офисного мобильного устройства означает не только возможную утечку конфиденциальной коммерческой информации, но и влечет за собой нарушение закона.
Обзор решения мобильной безопасности AnyOffice компании Huawei
Компания Huawei предоставляет сбалансированное решение, ориентированное на устранение конфликта между потребностями сотрудников и соблюдением политики компании. Решение не только позволяет сотрудникам подключаться к внутренней сети своей компании в любое время, в любом месте и с любого устройства, но и обеспечивает надежную защиту безопасности. Huawei стремится обеспечить комплексное решение мобильной безопасности и гибкое внедрение приложений. Компания Huawei предлагает уникальное решение, в котором учтены высокие требования к безопасности мобильных устройств, сетевой передачи, приложений, конфиденциальной информации и к управлению безопасностью, а также обеспечивается баланс между высокой эффективностью и безопасностью мобильного офиса. В основе решения Huawei лежит простая платформа, поддерживающая миграцию всех приложений, с отличной расширяемостью и низкой стоимостью, которая позволит компаниям справиться со сложностями мобилизации.
Архитектура и ключевые компоненты
В области мобильной безопасности и управления, главным образом, должны рассматриваться три вопроса: идентификация пользователей, конфиденциальность информации и соответствие стандартам. Учитывая эти ключевые компоненты, компания Huawei предоставляет корпоративным клиентам наиболее безопасное и удобное решение управления в отрасли на сегодняшний день.
Интеллектуальный клиент мобильного доступа AnyOffice
AnyOffice является мобильным клиентом, предоставляющим пользователям только доступ к сети или приложениям. Простой клиент обладает упрощенными функциями управления и обслуживания.
AnyOffice - это безопасная платформа для мобильного офиса. В режиме одного агента она объединяет ряд приложений безопасности, включая тестовую среду безопасности, безопасный клиент электронной почты, безопасный браузер, программное обеспечение MDM, клиент L3VPN и виртуальный рабочий стол. Это соответствует универсальным требованиям мобильного офиса и позволяет сотрудникам получить надежный, удобный и эффективный доступ к внутренней корпоративной сети.
Кроме того, AnyOffice распознает режим доступа. При взаимодействии с корпоративным шлюзом мобильного безопасного доступа SVN (SVN имеет функции SSL VPN и Radius Proxy), AnyOffice может интеллектуальным образом менять политику безопасности в зависимости от местоположения пользователя (Интранет или Интернет), предоставляя голосовой интерфейс для пользователя.
Управление мобильными устройствами на протяжении всего жизненного цикла
Система Huawei MDM позволяет управлять мобильным устройством на протяжении всего его жизненного цикла. Обнаружив новое устройство, система регистрирует его. На этапе развертывания проверяется статус безопасности устройства, включая сложность пароля, статус джейлбрейка и т.д. На этапе использования обеспечивается безопасность корпоративных данных. На этапе вывода из эксплуатации осуществляется перерегистрация устройства и удаление корпоративных данных. Обеспечивается безопасность корпоративных данных на устройствах BYOD.
Безопасный доступ VPN
Шлюз мобильного безопасного доступа VPN серии SVN2000/5000 выполнен на базе высоконадежной аппаратной платформы компании Huawei со специализированной операционной системой, работающей в режиме реального времени. Шлюз отличается лидирующей в отрасли производительностью, безопасностью и доступностью, обеспечивает клиентам гибкую и управляемую систему шифрования каналов E2E и безопасность доступа VPN.
Защита от мобильных угроз операторского класса
На границе корпоративной сети брандмауэры USG операторского класса компании Huawei обеспечивают всестороннюю защиту со стороны сети. Благодаря интеграции передовых технологий предотвращения вторжений и антивирусной защиты компании Symantec и применению ведущей в отрасли технологии идентификации приложений, брандмауэры USG предоставляют функции обеспечения безопасности контента, включая антивирусную защиту, IPS, Anti-DDoS и фильтрацию контента.
Унифицированное управление политикой безопасности
В основе решения AnyOffice Huawei использована унифицированная и удобная платформа управления политикой безопасности, которая упрощает эксплуатацию и управление (O&M) и существенно сокращает ИТ-затраты. Выбор политики безопасности зависит от пользователя, вида устройства, местоположения и часового пояса, таким образом реализуется управление безопасным доступом с высокой степенью детализации.
Простая платформа для корпоративных мобильных приложений
Предприятия сталкиваются с проблемами переноса и запуска мобильных приложений. Платформа для корпоративных мобильных приложений (MEAP) Huawei позволяет выполнить плавное перемещение корпоративных приложений, предоставляя более простую и удобную интегрированную среду разработки и поддержки различных видов приложений, включая HTML5, Native или Hybrid, а также реализуя мультиплатформенный запуск на одну разработку. Это значительно упрощает процесс разработки и снижает затраты.
* Функции, поддерживаемые последними версиями (4 квартал 2013 года) решения мобильной безопасности AnyOffice Huawei.
Список продуктов
Компонент | Продукт |
---|---|
Мобильный клиент | Агент AnyOffice |
Шлюз мобильного безопасного доступа | AnyOffice SVN 2000/5000 |
Интеллектуальный мобильный терминал | Huawei MediaPad и телефон Ascend |
Унифицированный шлюз управления угрозами (UTM) | USG 2000/5000 |
Сервер данных MDM | Рабочий сервер MDM |
Унифицированная платформа управления политиками* | AnyOffice Manager |
Типичный сценарий применения AnyOffice
Решение безопасного мобильного офиса BYOD компании Huawei, ориентированное на требования, функции и трудности BYOD, не только гарантирует простой и безопасный доступ сотрудников мобильного офиса к корпоративной сети, но и обеспечивает отличный пользовательский опыт.
Применение в офисе
В случае офисного применения неавторизованные мобильные устройства получают доступ к ограниченным ресурсам, включая сервер DHCP, шлюз SVN и сервер RADIUS. Данные ресурсы размещаются в "зоне предварительной авторизации". В то же время авторизованные мобильные устройства получают доступ к ресурсам внутренней корпоративной сети, включая файл-сервер и веб-сервер. Эти ресурсы расположены в домене аутентификации.
На Рис. 2-1 показана схема сети для сценария офисного применения.
SACG размещается на стороне брандмауэра в автономном режиме. Сконфигурированная на основе политик маршрутизация гарантирует, что передача всего трафика, направленного в домен аутентификации, будет осуществляться, в первую очередь, через SACG.
Шлюз SVN размещается на стороне брандмауэра в автономном режиме и выполняет функции шлюза доступа VPN. В случае офисного применения SVN и SACG взаимодействуют посредством COPS (Common Open Policy Service) для выполнения таких операций, как доставка политик разрешения доступа и аутентификация пользователей.
Схема сети для сценария офисного применения
Доступ мобильного терминального устройства к внутренней корпоративной сети осуществляется в два этапа. Сначала терминалу необходимо подключиться к беспроводной сети. Затем терминал проходит аутентификацию и авторизацию в SVN, и только после этого он получает доступ к внутренней корпоративной сети.
На первом этапе:
Мобильное терминальное устройство устанавливает соединение с точкой доступа (AP)/контроллером доступа (AC).
Терминал проходит аутентификацию 802.1X в AP/AC и устанавливает туннель TLS с сервером RADIUS для защиты последующих пакетов аутентификации. До успешного прохождения аутентификации 802.1X AP/AC может передавать только пакеты аутентификации.
Сервер RADIUS проверяет подлинность пользовательской информации, отправленной с терминального устройства. После успешного прохождения аутентификации AP/AC дает разрешение терминальному устройству на подключение к серверу DHCP и шлюзу SVN.
Клиент получает уведомление от AP/AC об успешной аутентификации.
Терминальное устройство четыре раза подтверждает установление связи с AP/AC по протоколу 802.11i для согласования ключа беспроводной связи, обеспечивающего безопасность соединения.
Терминальное устройство запрашивает IP-адрес у сервера DHCP.
В заключение, на первом этапе, терминальное устройство получает доступ к корпоративной беспроводной сети и IP-адрес. ИТ-администратор настраивает и отправляет имя пользователя и пароль для доступа на терминальное устройство. Во время аутентификации имя пользователя и пароль автоматически отправляются терминальным устройством на сервер RADIUS. В данном процессе сотрудник не знает пароль, а посетителю сотрудника требуется учетная запись от сотрудника компании.
На втором этапе:
На втором этапе сотрудник предприятия и посетитель подключаются к внутренней корпоративной сети двумя различными способами.
Если сотрудник предприятия ещё не прошел аутентификацию в SVN, то ему необходимо запустить клиент AnyOffice на мобильном терминале. На экране откроется страница входа AnyOffice.
Сотрудник вводит аккаунт и пароль.
AnyOffice устанавливает соединение HTTPS с SVN и отправляет ID сотрудника в SVN.
SVN проверяет ID сотрудника, и клиент AnyOffice получает политику проверки доступа MDM для дальнейшей проверки MDM, включая проверку сложности пароля, проверку соответствия приложения и проверку джейлбрейка.
AnyOffice отправляет результаты проверки доступа MDM шлюзу SVN.
SVN подтверждает успешную проверку доступа MDM и инструктирует SACG о разрешении доступа для терминального устройства к домену аутентификации.
Если сотрудник предприятия запустил AnyOffice и прошел аутентификацию, выполняется следующий процесс:
AnyOffice обнаруживает, что текущей сетью является внутренняя корпоративная сеть.
AnyOffice пытается переподключиться к SVN. Исходное соединение VPN между сетью Интернет и сетью Интранет разрывается из-за изменения IP-адреса.
SVN проверяет подлинность данных пользователя и подтверждает повторное соединение. Далее SVN инструктирует SACG о разрешении доступа для терминального устройства к домену аутентификации.
Так как на терминальных устройствах посетителей предприятия не установлено приложение AnyOffice, они используют веб-портал для прохождения аутентификации. Процесс выглядит следующим образом:
Посетитель предприятия пытается подключиться к внутренней корпоративной сети через браузер. Трафик HTTP посетителя сначала поступает в SACG. SACG обнаруживает, что у посетителя нет прав доступа к домену аутентификации. Тогда SACG выступает в качестве IP-адреса назначения для установления соединения TCP с терминальным устройством и отправки ему пакета перенаправления HTTP, чтобы перенаправить его в SVN.
После получения пакета перенаправления HTTP терминальное устройство устанавливает соединение HTTPS с SVN для перехода на страницу аутентификации портала.
На странице портала посетитель вводит аккаунт и пароль.
SVN проверяет подлинность данных посетителя и инструктирует SACG о разрешении доступа для терминала посетителя к домену аутентификации. Как правило, доступ посетителей строго контролируется.
Применение вне офиса
Когда сотрудники предприятия находятся вне офиса, они подключаются к SVN через AnyOffice, вводят аккаунт и пароль или указывают сертификат клиента для установления туннеля VPN с SVN, и только после этого получают доступ к ресурсам внутренней корпоративной сети в соответствии с предоставленными полномочиями.
Схема сети для сценария применения вне офиса
В качестве примера рассмотрим обмен сообщениями электронной почты. После аутентификации и авторизации в SVN мобильные сотрудники получают сообщения электронной почты через клиент AnyOffice. AnyOffice инкапсулирует и шифрует электронную почту и отправляет пакеты в SVN по туннелю SSL. SVN дешифрует, декапсулирует и передает пакеты обратно в USG. USG выполняет проверку пакетов на наличие потенциальных угроз, таких как вирусы, программы взлома и атаки DDoS прикладного уровня, а затем отправляет очищенный трафик во внутреннюю корпоративную сеть.
Соответственно, когда почтовый интранет-сервер отправляет пакеты обратно в USG, пакеты проходят проверку и фильтрацию, а затем USG отправляет их в SVN для инкапсуляции и шифрования VPN. Далее пакеты отправляются в AnyOffice по туннелю SSL, и с помощью локального алгоритма шифрования декапсулируются, дешифруются и сохраняются на терминальном устройстве.
Если пользователь работает с файлами в AnyOffice, включая загрузку документов из внутренней сети и открытие шифрованных файлов, сохраненных в AnyOffice, то AnyOffice запрашивает ключи у SVN для шифрования или дешифрования фалов.
Примеры внедрения AnyOffice
Проект мобильных рабочих мест для большого предприятия в Китае
Проблемы
1. Система электронного документооборота недоступна для руководителей или сотрудников, находящихся в командировке; документы, необходимые для срочной подготовки Декларации о соответствии (SOC), не сразу доступны на сайте заказчика; срочно требующиеся документы недоступны на сайтах заказчиков.
2. Мобильные угрозы и проблемы безопасности являются самым большим препятствием перед реализацией проекта мобильных рабочих мест.
Решения
1. Предоставить сотрудникам стандартные устройства или BYOD для передачи сообщений по push-почте и обработки электронной документации, а также установить eSpace для быстрой связи.
2. Предоставить комплексное решение обеспечения мобильной безопасности и управления безопасностью, охватывающее устройства, сети, данные, приложения и управление.
3. Внедрить систему мобильной "песочницы" для обеспечения изоляции корпоративных данных от персональных данных и соблюдения требований конфиденциальности информации. Кроме того, предоставить решение MDM для управления мобильными устройствами, приложениями и данными.
Преимущества для заказчика
1. Решение предоставит доступ любому устройству в любом месте и в любое время, повысит производительность менеджеров на 9,4% и производительность сервисных представителей на 12,5%.
2. Решение обеспечит высокую безопасность и сбалансирует корпоративные политики безопасности с эффективностью администрирования офиса.
3. Решение отличается простотой и легкостью использования MDM, а также интеграцией с традиционным управлением конечными точками, что значительно упрощает управление и снижает затраты.
Мобильное обслуживание крупного поставщика электроэнергии
Проблемы
1. Сотрудникам необходимо вручную записывать данные о состоянии устройств или о неисправностях во время профилактического обслуживания, а затем вернуться к себе в офис, чтобы внести собранные данные в систему. Это огромный объем работы, который является трудоемким, а также приводит к различным ошибкам.
2. Записанную вручную информацию также необходимо хранить. Для обработки информации требуется большое количество людских ресурсов, в результате чего повышаются затраты.
Решения
1. Предоставить сотрудникам планшеты или смартфоны и установить на них клиент мобильной безопасности AnyOffice, а также профессиональное программное обеспечение для профилактического обслуживания.
2. Развернуть брандмауэр, шлюз SVN, платформу MDM и мобильную систему профилактического техобслуживания в информационном центре.
3. Провести проверку, что сотрудники выполняют операции с помощью мобильных терминалов, для сбора и выгрузки данных о состоянии устройств в режиме реального времени или для составления отчета о неисправностях.
Преимущества для заказчика
1. Решение поддерживает более 2000 сотрудников для профилактического обслуживания.
2. Решение значительно повышает эффективность обработки услуг, позволяет осуществлять сбор данных в режиме реального времени и предоставлять отчеты о неисправностях.
3. Решение значительно экономит рабочую нагрузку, необходимую для записи и передачи большого объема информации, и, следовательно, экономит расходы.