Workspace ONE – vaarantuneiden laitteiden yleiskatsaus

Tuotteet, joita asia koskee:

• Workspace ONE

Mobiililaitteiden avulla voi olla jatkuvassa tietoliikenneyhteydessä, ja yrityssisältöä voi käyttää missä tahansa. Samalla kun mobiililaitteet vauhdittavat liiketoiminnan tärkeiden tietojen siirtämistä, verkkoon voi tunkeutua myös haittaohjelmia ja vioittunutta sisältöä. Näiden potentiaalisten tietoturvauhkien myötä mobiililaitteiden hallintastrategian (Mobile Device Management, MDM) on oltava kaikkien haasteiden varalta valmiina. Yksi turvallisuushaaste vaarantunut mobiililaite muiden yritysten laitteiden joukossa.

Ei sovellettavissa

Yleiskuvaus

Vaarantuneita laitteita ovat esimerkiksi "jailbreakatut" iOS- ja "rootatut" Android-laitteet, joiden valmistajan esiasetuksia käyttäjä on muuttanut. Tällaiset laitteet poistavat käytöstä tärkeitä suojausasetuksia, päästää haittaohjelmia yrityksen verkkoon ja päästä käsiksi yrityksen resursseja. MDM-ympäristössä kokonaisketju on yhtä vahva kuin sen heikoin lenkki. Yksittäinen vaarantunut laite voi vuotaa arkaluontoisia tietoja tai vioittaa palvelimia. Vaarantuneiden laitteiden valvonta ja havaitseminen käy entistä haastavammaksi BYOD (Bring Your Own Device) -ympäristössä, jossa on erilaisia laiteversioita ja käyttöjärjestelmiä. Vaarantuneet laitteet muodostavat yrityksille merkittävän turvallisuusongelman, johon on puututtava välittömästi.

Jailbreakatut ja rootatut laitteet luopuvat perussuojauksista ja tekevät laitteista haavoittuvaisia siten, että niiden kautta voidaan tehdä ei-toivottuja toimintoja, kuten:

• Salasana- ja identiteettivarkaudet: Salaamattomia käyttäjänimiä ja salasanoja kerätään, ja niitä käytetään syvennyksiin arkaluontoisilla alueilla tai oletukseen yrityksen identiteetistä.
• Tiedon sieppaus: viestintä tapahtuu näkyvästi, ilman tavanomaisten suojausmenetelmien turvaa.
• Viruksen tunkeutuminen: vartioimaton verkko on helppo kohde virus- ja haittaohjelmahyökkäyksille, jotka voivat vioittaa yrityksen tietoja ja tehdä niistä palautuskelvottomia.

Havaitsemisen haasteet

Eri alustoilla toimivat laitteet reagoivat eri tavoin vaarantumisen tunnistamiseen. Esimerkiksi iOS 7 -laitteet ja uudemmat tukevat taustatarkistuksia, mutta niissä voi olla lisärajoituksia. Android-laitteet sallivat taustatarkistusten suorittamisen ilman rajoituksia tai rajoitteita. Workspace ONE (aiemmin AirWatch) -palvelun ratkaisu tähän ongelmaan takaa tunnistuksen erilaisilla laitteilla ja käyttöjärjestelmillä.

Workspace ONE -lähestymistapa

Workspace ONE on kehittänyt ainutlaatuisen monitasoisen lähestymistavan erilaisten vaarantuneiden laitteiden tunnistamiseen. Seuraavassa taulukossa on tietoja iOS- ja Android-alustojen rajoituksista ja ominaisuuksista.

Alustan ominaisuudet

Vaarantuneiden laitteiden tunnistaminen Workspace ONE -palvelulla

Workspace ONE -palvelun ratkaisu kattaa rekisteröityjen laitteiden koko käyttöiän. Se sulkee kutsumattomat laitteet ulos ja katkaisee yhteydet vaarantuneisiin tai poikkeaviin laitteisiin. Omat tunnistusalgoritmimme läpäisevät jatkuvasti läpäisytestauksen, tutkimus- ja kehitystyöt uusien käyttöjärjestelmien perusteella, mikä takaa mahdollisimman kehittyneet tunnistusominaisuudet. Tämä monitasoinen vaarantuneiden laitteiden tunnistustapa koostuu seuraavista osista:

Agentin rekisteröinti

Workspace ONE -järjestelmän ensimmäinen puolustuskeino ei-toivottuja laitteita vastaan alkaa jo rekisteröintivaiheessa. Määritä yhteensopivuusasetukset ja tunnista vaarantuneet laitteet ennen kuin sallit pääsyn laitteeseen. Vaadi kaikkia laitteita noudattamaan suojausasetuksia tai asentamaan profiileja käyttäjälle. Tietoturvavaatimusten täyttymisen havainnointi vaihtelee rekisteröintityypin mukaan:

• Agent-pohjainen: iOS- tai Android-laitteet voivat rekisteröityä iTunes App Storesta tai Google Play Kaupasta ladatulla Workspace ONE MDM Agent -sovelluksella. Kun Agent on asennettu, se tarkistaa laitteen tilan ja laite lähettää tiedot palvelimeen Workspace ONE Admin Console -käyttöliittymässä määritetyn aikavälin mukaisesti.
• Verkkoperustaiset laitteet ovat ainoat laitteet, jotka tukevat verkkopohjaista rekisteröintiä käyttämällä rekisteröinti-URL-osoitetta laitteen oletusselaimessa. Tällaisten laitteiden tilan tunnistamista varten laitteeseen on asennettava jokin Workspace ONE SDK:n upotetuista sovelluksista, kuten Workspace ONE MDM Agent, Workspace ONE Browser, Workspace ONE Secure Content Locker tai SDK-yhteensopiva yrityssovellus.

Lisätietoja eri rekisteröitymisvaihtoehtojen vertailusta on iOS-alustan oppaassa.

Taustatarkistukset

Kun laite on rekisteröity, hallitse sen vaatimustenmukaisuutta. Workspace ONE MDM Agent tarkistaa taustalla jatkuvasti kaikkien matkapuhelinverkkoa käyttävien Android-laitteiden ja iOS-käyttöjärjestelmän uudempien versioiden (iOS 7 ja uudemmat) vaarantumisen tilaa.

iOS 7 -laitteille on saatavilla Workspace ONE Agent -pohjaisia ominaisuuksia, esimerkiksi:

• Background App Refresh - Workspace ONE tarjoaa keinon määrittää laitetietojen väliaikaperustaisen keräyksen ja lähetyksen kokonaan Workspace ONE Agentin kautta. Tällöin voit lähettää laitteeseen aikaparametrin, joka määrittää, kuinka usein Workspace ONE Agent vähintään käynnistetään. Ota asetus käyttöön valitsemalla Workspace ONE Admin Console -käyttöliittymässä Devices > Settings > Apple > Apple iOS > Agent Settings . Valitse tällä sivulla Background App Refresh ja määritä käytettävissä olevat asetukset. Määritä päivityksen vähimmäisväli ja määritä agentti tarkistamaan, onko laite yhteydessä Wi-Fi-verkkoon. Minimum Refresh Interval -asetus määrittää, että laite ei yritä lähettää laitetietoja MDM-palvelimeen useammin kuin on määritetty.

Kuva 1: (Englanninkielinen) Määritä agentin asetukset
 

• Silent Apple Push Notification -palvelu (APNs) - Workspace ONE pyytää automaattisesti taustatarkistukset käyttämällä hiljaisia tukiasemaa säännöllisesti. Tässä tapauksessa Workspace ONE Admin Console lähettää laitteeseen ilmoituksen, jossa pyydetään vaarantunutta tilaa takaisin Workspace ONE -palvelimeen. Laitteen Push-ilmoitusten on oltava käytössä työtilan Workspace ONE Agentin kohdalla.

Kuva 2: (Englanninkielinen) AirWatch MDM -agentti

Voit suorittaa kyselyn myös manuaalisesti siirtymällä tietyn laitteen Device Details -sivulle ja valitsemalla More > Query > Workspace ONE MDM Agent, kuten alla. Tämä näkymä tulee näkyviin vain, jos laitteeseen on asennettu Workspace ONE Agent -sovelluksen vaadittu versio.

Käyttämällä lisäksi Workspace ONE SDK:n vaarantumisentunnistustoimintoa voit ottaa käyttöön jailbreak-tunnistuksen kytkeytymällä tähän sisäisen sovelluksen taustalogiikkaan.

Sovellusten käynnistämät tarkistukset

Määritä tunnistuskohdat yritystietoja ja Workspace ONE -ominaisuuksien käyttöä varten. Kun laite käynnistää Workspace ONE Secure Content Lockerin, AirWatch Browserin tai AirWatch MDM Agent -agentin, tunnistusjärjestelmä varmistaa automaattisesti vaatimustenmukaisuuden ja lisää näin uuden tietojasi suojaavan muurin.

Ota paketoidut sovellukset käyttöön iOS- ja Android-käyttöjärjestelmissä vaarantumissuojauksella. Ota asetus käyttöön Settings and Policies -sivulla (Groups &Settings > All Settings > Apps > Settings and Policies > Security Policies) yhdessä muiden paketoitujen sovellusten asetusten kanssa ja määritä paketoidulle sovellukselle profiili. Lisätietoja ja vaiheittaisia ohjeita on Workspace ONE App Wrapping Guide -oppaassa.

Ota SDK-sovellukset käyttöön iOS-käyttöjärjestelmissä vaarantumissuojauksella. iOS SDK 3.2:ssa ja sitä uudemmissa versiossa voi tarkistaa laitteen vaarantumistilan suoraan sovelluksesta riippumatta siitä, onko laite online- vai offline-tilassa. Sovellus voi käyttää tätä toimintoa vain, jos laite on suorittanut Beacon-kutsun onnistuneesti vähintään kerran aikaisemmin. Lisätietoja ja esimerkkikoodi ovat Workspace ONE iOS SDK -oppaassa.

Compliance Engine -automaattityökalu

Kun Workspace ONE havaitsee vaarantuneita tai yhteensopimattomia laitteita, Compliance Engine -työkalu suorittaa toimenpiteet, jotka järjestelmänvalvoja on määrittänyt laitteille käyttöliittymän kautta. Workspace ONE -järjestelmänvalvoja voi vaatia laitteen alkuperäistä tilaa joustavasti ja määrittää Compliance Engine -työkalun aikavälin.

Yrityssovelluksiin sisäänrakennettu tunnistus

Sen sijaan, että asentaisit Workspace ONE Agentin, jotta pääset SDK:hon, voit sisällyttää Workspace ONE SDK:n sisäisiin sovelluksiisi. SDK:ssa on MDM:n keskeiset ominaisuudet (jotka kuvataan tarkemmin SDK Profile -oppaassa), mukaan lukien jatkuvasti käynnissä oleva jailbreak- ja root-tunnistus. Usein käytetyt yrityssovellukset, jotka on työnny laiteohjainten tunnistustarkistukseen, suoritetaan useammin, joten havaitset vaarantuneet laitteet nopeammin.

Tämän jälkeen järjestelmänvalvoja voi määrittää Admin Console -käyttöliittymässä toimenpiteet, jotka suoritetaan vaarantuneeseen laitteeseen asennetun sovelluksen kohdalla. Jos esimerkiksi havaitaan, että laite on vaarantunut, järjestelmänvalvoja voi käyttää seuraavia toimintoja:

• Lähetä varoitusviesti käyttäjälle.
• Sulje käyttäjä ulos laitteesta.
• Hävitä sovellus- ja yritystiedot.
• Rajoita käyttöoikeuksia

Vaarantuneiden laitteiden valvonta ja toimeenpano

Valvo iOS- ja Android-laitteiden vaarantumistilaa ottamalla käyttöön säädöstenmukaisuuskäytännöt. Workspace ONE Admin Console -käyttöliittymä tarjoaa järjestelmänvalvojalle työkalut järjestelmän valvontaan ja suojaamiseen.

Compliance Engine -automaattityökalu

Compliance Engine toimii suojauksen tarkistuspisteenä. Se voi automaattisesti sulkea ulos laitteita ja käyttäjiä tai tehdä niiden kohdalla muita toimenpiteitä. Järjestelmänvalvojan määrittämien säädöstenmukaisuuskäytäntöjen perusteella Compliance Engine tunnistaa, onko laite säännösten mukainen, ja tekee sen mukaan määritetyt toiminnot. Nämä säännöt ja toiminnot voidaan määrittää Workspace ONE Admin Console -käyttöliittymässä.

Kun säännöt ja toimenpiteet on määritetty, Compliance Engine huolehtii lopusta. Korjaaminen on automatisoitu. Jos tarkistuksessa havaitaan vaarantunut laite, tietokone käy läpi esimääritetyt varoitukset ja eskaloidut toimenpiteet. Järjestelmänvalvojien ei tarvitse käsitellä jokaista esiintymää, kun niitä löytyy.

Admin Console mahdollistaa kuitenkin vaatimustenmukaisuusprotokollan itsepalvelun. Järjestelmänvalvojat voivat tyhjentää laitteen ja lähettää käyttäjälle sähköposti- tai tekstiviestin, jossa kerrotaan, miten ja miksi laite ei ole vaatimusten mukainen, ilman käyttäjän yhteydenottoa järjestelmänvalvojaan.

Koska Compliance Engine säästää laitteiden hallintalaitteiden hallintaan kuluvaa aikaa, järjestelmänvalvojat voivat tarkastella viikoittaisia tai kuukausittaisia vaatimustenmukaisuusraportteja ja ymmärtää toistuvia syyllisiä.

Last Compromised Scan -vaatimustenmukaisuus

Last Compromised Scan -vaatimustenmukaisuusasetuksella järjestelmänvalvoja voi asettaa aikavälin, jonka puitteissa Agentin on suoritettava laitteen skannaus. Näin varmistetaan, että jos AirWatch ei ole vastaanottanut laitteen vaatimustenmukaisuustilaa tietyn ajan sisällä, voidaan ryhtyä varotoimenpiteisiin.

Compromised Status -vaatimustenmukaisuus

Compromised Status -säännöllä järjestelmänvalvoja voi määrittää toimenpiteet, joita suoritetaan vaarantuneen laitteen kohdalla.

Yllä kuvailtujen sääntöjen osalta voidaan käyttää seuraavia toimintoja:

• Notify: käyttäjälle tehdään ilmoitus lähettämällä tekstiviesti, sähköposti tai push-ilmoituksia.
• Application: muutaman tai kaikkien hallittujen sovelluksien estäminen tai poistaminen.
• Komento: laitteesta poistetaan yrityksen tiedot tai vaaditaan laitteen ilmoittautumista.
• Profile: kaikkien profiilien, tietyn profiilityypin tai tietyn profiilin estäminen tai poistaminen.

Laitteen ohjauspaneeli

Järjestelmänvalvojat voivat tarkastella rekisteröityjen laitteiden yhteenvetoa. Yhteenvedossa on suojaustiedot, jotka kertovat järjestelmänvalvojalle, onko laitteen vaarantumisen tunnistusta tehty. Jos laite ei ole vaarantunut, näkyy vihreä valintamerkki.

Kuva 3: (Englanninkielinen) Laitteen ohjauspaneeli

Visualisoi laitteiden vaatimustenmukaisuus

Koontinäytössä näkyy graafisessa muodossa vaarantuneiden laitteiden osuus organisaatioryhmään rekisteröidyistä laitteista. Näin järjestelmänvalvoja näkee vaarantuneet laitteet ja auttaa seuraamaan niitä.

Kuva 4: (Englanninkielinen) Dashboard

Aikataulun mukaisten tai tarvittaessa suoritettavien vaatimustenmukaisuusraporttien laatiminen

Workspace ONE Admin Console -käyttöliittymässä on yli 100 vakioraporttia, joihin sisältyy myös vaatimustenmukaisuusraportteja, jotka voidaan suorittaa automaattisesti tietyin aikavälein tai luoda tarpeen mukaan. Voit tarkastella nopeasti kaikkia säädösten vastaisia laitteita koko valikoimassa tai tietyissä organisaatioryhmissä. Eristä laitteet, jotka käyttävät kiellettyjä sovelluksia, joiden salasanat ovat heikkoja tai jotka ovat muuten säädösten vastaisia. Raporteista näkee yhdellä katsauksella järjestelmässä olevat vaarantuneet ja säädösten vastaiset laitteet.

Kuva 5: (Englanninkielinen) Kaikki raportit

Johtopäätös

Turvallisen mobiililaitteiden hallinnan tarve kasvaa jatkuvasti, ja siksi Workspace ONE on askel oikeaan suuntaan. Se tarjoaa ennennäkemättömän ratkaisun, jonka avulla voit tunnistaa turvallisuusuhkia, kuten vaarantuneita laitteita. Workspace ONE -järjestelmän ainutlaatuinen moniportainen tunnistusratkaisu on suunniteltu toimimaan tehokkaasti kaikissa laiteympäristöissä. Se tarjoaa myös joustavuutta toimenpiteiden suorittamiseen, kun laitteita havaitaan. Kaikki edellä mainitut tunnistusratkaisun osat tekevät Workspace ONE -laitteesta tehokkaan ratkaisun yrityksesi suojaksi.

Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.