Корпоративная модель мобильных приложений

Сергей Воропаев, системный инженер представительства Citrix в России и СНГ, рассказал об архитектуре Enterprise Mobility Management.

 — Сергей, что в о бщем виде представляет собой архитектура Enterprise Mobility Management (EMM) и каково ее назначение?

— EMM — это актуальное в настоящее время направление, которое призвано сделать работу офисных сотрудников комфортной на наиболее популярных сегодня мобильных устройствах. Приэтом основным требованием является соответствие корпоративной политике и стандартам безопасности компаний и обеспечение защищенности портативных устройств на том же уровне, что и при использовании стационарных персональных компьютеров в офисе.

— Что входит в стандартный комплект данного программного обеспечения?

— EMM в базовой версии состоитиз трех подсистем — Mobile Device Management (MDM), Mobile Application Management (MAM) и Mobile Information Management (MIM).

Минимальный функционал для конкретного устройства

— Давайте кратко дадим харак теристику каждой из подсистем. Начнем с MDM, в чем заключаются особенности ее использования?

— MDM (XenMobile MDM Edition стоимостью примерно $50 за пользователя или устройство) предусматривает управление мобильными устройствами в целом. Как правило, такой подход используется, если компания сама закупает мобильные устройства и выдает их своим сотрудникам. MDM позволяет прописать на устройстве корпоративную политику безопасности, установить необходимое программное обеспечение, удалить потенциально опасные программы, отслеживать использование мобильного устройства вплоть до его геолокации, отображать уровень заряда батареи, использование роуминга и т.д. Наиболее распространенный вариант применения — комплексно установить блокировку экрана с паролем, зашифровать флэш-карту и разрешить чтение почты только с тех устройств, которые находятся под управлением IТ-службы. Следует отметить, что такой подход является относительно недорогим, однако, он имеет свои недостатки.

— Не могли бы вы рассказать о них более подробно?

— Безусловно, первым из недостатков является ограничение функционала такого решения возможностями продукции компаний-производителей мобильных устройств. MDM-вендор, в том числе компания Citrix, использует только тот набор API, который опубликовал и разрешил использовать производитель устройства. То есть, например, существует API для установки пароля на блокировку экрана, в то время как API на автоматическую фотосъемку камерой каждые 10 секунд с передачей готовых изображений на корпоративный портал отсутствует, следовательно, делать фотографии с помощью MDM не представляется возможным. Также отсутствует API на настройку firewall для всего траффика телефона. Вместе с тем, этот недостаток частично нивелируется тем, что ключевые вендоры, как, например, Samsung, начали выпуск мобильных устройств с расширенным списком API, которые востребованы именно для корпоративной среды.

Второй недостаток связан с тем, что пользователь часто не доверяет свое персональное окружение IТ службе, и, не желая ограничения своей свободы коммуникаций, вынужден использовать два мобильных устройства — личное и корпоративное. Кроме того, пользователь не хочет быть привязан только к выдаваемым телефонам, рассчитывая иметь доступ к корпоративным ресурсам с любого мобильного устройства.

С точки зрения обеспечения безопасности MDM-решения представляют собой минимальный и ограниченный производителем мобильного устройства функционал. Так, например, самое распространенное мобильное бизнес приложение — это почтовый клиент. MDM позволяет производить шифрование вложений, включая шифрование самих писем, а также имеет функцию установления запрета на сохранение приложения. Однако хотя MDM и позволяет просматривать вложения документа в формате MS Word, он не может запретить мобильной версии MS Word сохранять документ на внешний носитель или передать его по сети представляющим возможную угрозу третьим лицам.

Акцент на безопасность и расширенные возможности

— Исходя из того, что вы сказали, можно утверждать, что MDM при всех своих плюсах не может гарантировать пользователю главного — безопасности бизнес-процессов. А ведь этот аспект в современных условиях имеет ключевое значение. Какие решения в данном направлении может предложить EMM?

— Для этих целей был разработан другой подход — Mobile Application Management (XenMobile App Edition стоимостью примерно $120 за пользователя или устройство), предназначенный для управления мобильными приложениями. При такой концепции EMM пользователь может использовать свой собственный телефон или планшет. Ему больше не придется придумывать и вводить сложный 10-символьный пароль из заглавных и строчных букв и цифр каждый раз, когда он собирается сделать обычный звонок. Вместо этого на устройство устанавливаются только корпоративные приложения, и их защищенность позволяет исключить утечку данных и нарушение требований безопасности.

Предположим, пользователь использует свои приложения без паролей, но как только он нажимает на ярлык корпоративной почты, его просят ввести пароль или аутентифицироваться в системе любым другим способом. Вместе с тем, кроме доступа по паролю необходимо также исключить контакт корпоративных данных с личной информацией. Так, например, недовольство генерального директора, которое было явно выражено в его распоряжении, не может быть вынесено за рамки корпоративной почты, и уж тем более данное распоряжение не может быть сохранено на флэш-накопитель, а затем выложено в сети Facebook для всеобщего просмотра. В то же время, нельзя позволить вирусу, подхваченному пользователем на сайтах с сомнительным контентом, получить доступ к корпоративной информации.

— Как же реализуется на практике данное решение?

— Для всего этого корпоративные приложения преобразовываются в специальный формат, в контейнеры. У Citrix данная технология называется MDX. Корпоративное приложение работаетв изолированной виртуальной среде, и исключается какой-либо контакт личных приложений и данных пользователя с корпоративными приложениями на этом устройстве.

С точки зрения обеспечения безопасности, MAM-решения имеют вторую после MDM степень защиты. Связано это с тем, что корпоративные мобильные приложения находятся в контейнере, функционал которого можно сделать любым в зависимости от задумки вендора MAM, например, есть возможность установить ввод пароля каждые 10 секунд, и в случае неверного пароля или если пользователь не успевает его ввести за определенное время, приложение будет удалено. Уязвимым местом этого решения является то, что данные, хоть и в шифрованном виде, тем не менее, физически хранятся на устройстве, что делает их доступными для злоумышленников. Данная угроза может возникнуть в случае ненадлежащей или преднамеренно вредительской работы системного администратора.

Третьей и самой высокой степенью защиты обладают терминальные приложения, то есть XenApp и XenDesktop. На мобильное устройство передается только картинка, все данные и сам исполняемый код приложения находятся в дата-центре. Иногда клиенты недоумевают, зачем им нужен MAM/MDM Citrix XenMobile, если они могут просто установить на свои портативные устройства Citrix Receiver и получить сверхзащищенный доступ к своим бизнес-приложениям. Ответ на этот вопрос лежит на поверхности.

Во-первых, терминальный доступ функционирует только при наличии интернета. Для защищенной работы в режиме offline (в самолете, поезде, в местах со слабым/нестабильным сигналом, за рубежом) нужен XenMobile.

Во-вторых, ребром стоит вопрос комфорта работы. Терминальный доступ предполагает доставку на мобильные устройства программного обеспечения W indows, а не приложений для мобильных операционных систем.

Различия между ними вполне очевидны для пользователей. Стандартный почтовый клиент Outlook содержит 5 полей на экране, до 20 иконок в верхнем меню, что вызывает сложности в работе с программой на 5-дюймовом сенсорном экране. Именно поэтому для пользователя важно видеть на дисплее приложение с привычным мобильным интерфейсом — крупные значки/иконки и не более 4-5 штук.

Для заказчиков, которые предъявляют высокие требования к обеспечению безопасности, вплоть до третьего уровня, для бизнес-приложений на мобильных устройствах, предполагается использование терминального доступа XenApp/XenDesktop. В то же самое время, понимая возможное недовольство VIP-пользователей, что в конечном итоге может привести к премиальным удержаниям для системных администраторов, Citrix предлагает дополнительные решения. Компания производит так называемые Hosted Mobile Applications. Они представляют собой приложения, которые технически работают на Windows серверах в дата-центре, но имеют мобильный интерфейс — с большими иконками и другой спецификой тачскрин-устройства.

Разделяй и властвуй

— Что можно сказать о последней составляющей EMM — Mobile Information Management? Какие возможности открываются пользователю при использовании этого подхода?

— Mobile Information Management отвечает за управление данными на мобильных устройствах. MIM имеет наиболее маркетингово-ориентированную природу и не обладает четко сформулированным функционалом. В этом отношении Citrix предлагает защищенный доступ к корпоративным данным, при этом уровень доступа для одного и того же пользователя должен быть диверсифицированным, т.е. с одной стороны — полноценный доступ с одного устройства, а для другого, неблагонадежного аппарата доступ должен быть ограничен. В случае если пользователь теряет свой телефон, нашедший его не должен иметь возможность прочитать корпоративные данные, для чего должно обеспечиваться шифрование документов. Помимо этого, Citrix Share File позволяет получить доступ с мобильных устройств к документам пользователя, хранящимся в корпоративном SharePoint или в обычных файловых ресурсах общего доступа (CIFS).

По материалам каталога программных и аппаратных решений и IT-услуг Softline direct.