Workspace ONE – vaarantuneiden laitteiden yleiskatsaus
Summary: Tässä artikkelissa käsitellään Workspace ONEn vaarantuneita laitteita.
Symptoms
Tuotteet, joita asia koskee:
- Workspace ONE
Mobiililaitteiden avulla voi olla jatkuvassa tietoliikenneyhteydessä, ja yrityssisältöä voi käyttää missä tahansa. Samalla kun mobiililaitteet vauhdittavat liiketoiminnan tärkeiden tietojen siirtämistä, verkkoon voi tunkeutua myös haittaohjelmia ja vioittunutta sisältöä. Näiden potentiaalisten tietoturvauhkien myötä mobiililaitteiden hallintastrategian (Mobile Device Management, MDM) on oltava kaikkien haasteiden varalta valmiina. Yksi turvallisuushaaste vaarantunut mobiililaite muiden yritysten laitteiden joukossa.
Cause
Ei sovellettavissa
Resolution
Yleiskuvaus
Vaarantuneita laitteita ovat esimerkiksi "jailbreakatut" iOS- ja "rootatut" Android-laitteet, joiden valmistajan esiasetuksia käyttäjä on muuttanut. Tällaiset laitteet poistavat käytöstä tärkeitä suojausasetuksia, päästää haittaohjelmia yrityksen verkkoon ja päästä käsiksi yrityksen resursseja. MDM-ympäristössä kokonaisketju on yhtä vahva kuin sen heikoin lenkki. Yksittäinen vaarantunut laite voi vuotaa arkaluontoisia tietoja tai vioittaa palvelimia. Vaarantuneiden laitteiden valvonta ja havaitseminen käy entistä haastavammaksi BYOD (Bring Your Own Device) -ympäristössä, jossa on erilaisia laiteversioita ja käyttöjärjestelmiä. Vaarantuneet laitteet muodostavat yrityksille merkittävän turvallisuusongelman, johon on puututtava välittömästi.
Jailbreakatut ja rootatut laitteet luopuvat perussuojauksista ja tekevät laitteista haavoittuvaisia siten, että niiden kautta voidaan tehdä ei-toivottuja toimintoja, kuten:
- Salasana- ja identiteettivarkaudet: Salaamattomia käyttäjänimiä ja salasanoja kerätään, ja niitä käytetään syvennyksiin arkaluontoisilla alueilla tai oletukseen yrityksen identiteetistä.
- Tiedon sieppaus: viestintä tapahtuu näkyvästi, ilman tavanomaisten suojausmenetelmien turvaa.
- Viruksen tunkeutuminen: vartioimaton verkko on helppo kohde virus- ja haittaohjelmahyökkäyksille, jotka voivat vioittaa yrityksen tietoja ja tehdä niistä palautuskelvottomia.
Havaitsemisen haasteet
Eri alustoilla toimivat laitteet reagoivat eri tavoin vaarantumisen tunnistamiseen. Esimerkiksi iOS 7 -laitteet ja uudemmat tukevat taustatarkistuksia, mutta niissä voi olla lisärajoituksia. Android-laitteet sallivat taustatarkistusten suorittamisen ilman rajoituksia tai rajoitteita. Workspace ONE (aiemmin AirWatch) -palvelun ratkaisu tähän ongelmaan takaa tunnistuksen erilaisilla laitteilla ja käyttöjärjestelmillä.
Workspace ONE -lähestymistapa
Workspace ONE on kehittänyt ainutlaatuisen monitasoisen lähestymistavan erilaisten vaarantuneiden laitteiden tunnistamiseen. Seuraavassa taulukossa on tietoja iOS- ja Android-alustojen rajoituksista ja ominaisuuksista.
Alustan ominaisuudet
| Ominaisuus | iOS | Android |
|---|---|---|
| Agentin rekisteröinti | Vaarantunut tila havaitaan rekisteröinnin aikana | Vaarantunut tila havaitaan rekisteröinnin aikana |
| Taustatarkistus | Laitteissa, joissa on iOS 7 tai uudempi käyttöjärjestelmä, taustatarkistukset ovat käytettävissä Workspace ONE MDM Agentilla. | Sallii taustatarkistuksen |
| Tarkistukset tarvittaessa | Käytettävissä ajoitettujen Apple Push -ilmoituspalvelun (APN) viestien kautta:
|
Käytettävissä GCM-viestien kautta:
|
| Compliance Engine -automaattityökalu | Automaattiset korjaustoimet, kun vaarantunut laite havaitaan tai tila on vanhentunut. | Automaattiset korjaustoimet, kun vaarantunut laite havaitaan tai tila on vanhentunut. |
| Yrityssovelluksiin sisäänrakennettu tunnistus | Workspace ONE App Wrapping -toiminnolla voidaan toteuttaa paketoitujen sovellusten vaarantumisen tunnistus | Workspace ONE App Wrapping -toiminnolla voidaan toteuttaa paketoitujen sovellusten vaarantumisen tunnistus |
Vaarantuneiden laitteiden tunnistaminen Workspace ONE -palvelulla
Workspace ONE -palvelun ratkaisu kattaa rekisteröityjen laitteiden koko käyttöiän. Se sulkee kutsumattomat laitteet ulos ja katkaisee yhteydet vaarantuneisiin tai poikkeaviin laitteisiin. Omat tunnistusalgoritmimme läpäisevät jatkuvasti läpäisytestauksen, tutkimus- ja kehitystyöt uusien käyttöjärjestelmien perusteella, mikä takaa mahdollisimman kehittyneet tunnistusominaisuudet. Tämä monitasoinen vaarantuneiden laitteiden tunnistustapa koostuu seuraavista osista:
Agentin rekisteröinti
Workspace ONE -järjestelmän ensimmäinen puolustuskeino ei-toivottuja laitteita vastaan alkaa jo rekisteröintivaiheessa. Määritä yhteensopivuusasetukset ja tunnista vaarantuneet laitteet ennen kuin sallit pääsyn laitteeseen. Vaadi kaikkia laitteita noudattamaan suojausasetuksia tai asentamaan profiileja käyttäjälle. Tietoturvavaatimusten täyttymisen havainnointi vaihtelee rekisteröintityypin mukaan:
- Agent-pohjainen: iOS- tai Android-laitteet voivat rekisteröityä iTunes App Storesta tai Google Play Kaupasta ladatulla Workspace ONE MDM Agent -sovelluksella. Kun Agent on asennettu, se tarkistaa laitteen tilan ja laite lähettää tiedot palvelimeen Workspace ONE Admin Console -käyttöliittymässä määritetyn aikavälin mukaisesti.
- Verkkoperustaiset laitteet ovat ainoat laitteet, jotka tukevat verkkopohjaista rekisteröintiä käyttämällä rekisteröinti-URL-osoitetta laitteen oletusselaimessa. Tällaisten laitteiden tilan tunnistamista varten laitteeseen on asennettava jokin Workspace ONE SDK:n upotetuista sovelluksista, kuten Workspace ONE MDM Agent, Workspace ONE Browser, Workspace ONE Secure Content Locker tai SDK-yhteensopiva yrityssovellus.
Lisätietoja eri rekisteröitymisvaihtoehtojen vertailusta on iOS-alustan oppaassa.
Taustatarkistukset
Kun laite on rekisteröity, hallitse sen vaatimustenmukaisuutta. Workspace ONE MDM Agent tarkistaa taustalla jatkuvasti kaikkien matkapuhelinverkkoa käyttävien Android-laitteiden ja iOS-käyttöjärjestelmän uudempien versioiden (iOS 7 ja uudemmat) vaarantumisen tilaa.
iOS 7 -laitteille on saatavilla Workspace ONE Agent -pohjaisia ominaisuuksia, esimerkiksi:
- Background App Refresh - Workspace ONE tarjoaa keinon määrittää laitetietojen väliaikaperustaisen keräyksen ja lähetyksen kokonaan Workspace ONE Agentin kautta. Tällöin voit lähettää laitteeseen aikaparametrin, joka määrittää, kuinka usein Workspace ONE Agent vähintään käynnistetään. Ota asetus käyttöön valitsemalla Workspace ONE Admin Console -käyttöliittymässä Devices > Settings > Apple > Apple iOS > Agent Settings . Valitse tällä sivulla Background App Refresh ja määritä käytettävissä olevat asetukset. Määritä päivityksen vähimmäisväli ja määritä agentti tarkistamaan, onko laite yhteydessä Wi-Fi-verkkoon. Minimum Refresh Interval -asetus määrittää, että laite ei yritä lähettää laitetietoja MDM-palvelimeen useammin kuin on määritetty.
Kuva 1: (Englanninkielinen) Määritä agentin asetukset
- Silent Apple Push Notification -palvelu (APNs) - Workspace ONE pyytää automaattisesti taustatarkistukset käyttämällä hiljaisia tukiasemaa säännöllisesti. Tässä tapauksessa Workspace ONE Admin Console lähettää laitteeseen ilmoituksen, jossa pyydetään vaarantunutta tilaa takaisin Workspace ONE -palvelimeen. Laitteen Push-ilmoitusten on oltava käytössä työtilan Workspace ONE Agentin kohdalla.
Kuva 2: (Englanninkielinen) AirWatch MDM -agentti
Voit suorittaa kyselyn myös manuaalisesti siirtymällä tietyn laitteen Device Details -sivulle ja valitsemalla More > Query > Workspace ONE MDM Agent, kuten alla. Tämä näkymä tulee näkyviin vain, jos laitteeseen on asennettu Workspace ONE Agent -sovelluksen vaadittu versio.
Käyttämällä lisäksi Workspace ONE SDK:n vaarantumisentunnistustoimintoa voit ottaa käyttöön jailbreak-tunnistuksen kytkeytymällä tähän sisäisen sovelluksen taustalogiikkaan.
Sovellusten käynnistämät tarkistukset
Määritä tunnistuskohdat yritystietoja ja Workspace ONE -ominaisuuksien käyttöä varten. Kun laite käynnistää Workspace ONE Secure Content Lockerin, AirWatch Browserin tai AirWatch MDM Agent -agentin, tunnistusjärjestelmä varmistaa automaattisesti vaatimustenmukaisuuden ja lisää näin uuden tietojasi suojaavan muurin.
Ota paketoidut sovellukset käyttöön iOS- ja Android-käyttöjärjestelmissä vaarantumissuojauksella. Ota asetus käyttöön Settings and Policies -sivulla (Groups &Settings > All Settings > Apps > Settings and Policies > Security Policies) yhdessä muiden paketoitujen sovellusten asetusten kanssa ja määritä paketoidulle sovellukselle profiili. Lisätietoja ja vaiheittaisia ohjeita on Workspace ONE App Wrapping Guide -oppaassa.
Ota SDK-sovellukset käyttöön iOS-käyttöjärjestelmissä vaarantumissuojauksella. iOS SDK 3.2:ssa ja sitä uudemmissa versiossa voi tarkistaa laitteen vaarantumistilan suoraan sovelluksesta riippumatta siitä, onko laite online- vai offline-tilassa. Sovellus voi käyttää tätä toimintoa vain, jos laite on suorittanut Beacon-kutsun onnistuneesti vähintään kerran aikaisemmin. Lisätietoja ja esimerkkikoodi ovat Workspace ONE iOS SDK -oppaassa.
Compliance Engine -automaattityökalu
Kun Workspace ONE havaitsee vaarantuneita tai yhteensopimattomia laitteita, Compliance Engine -työkalu suorittaa toimenpiteet, jotka järjestelmänvalvoja on määrittänyt laitteille käyttöliittymän kautta. Workspace ONE -järjestelmänvalvoja voi vaatia laitteen alkuperäistä tilaa joustavasti ja määrittää Compliance Engine -työkalun aikavälin.
Yrityssovelluksiin sisäänrakennettu tunnistus
Sen sijaan, että asentaisit Workspace ONE Agentin, jotta pääset SDK:hon, voit sisällyttää Workspace ONE SDK:n sisäisiin sovelluksiisi. SDK:ssa on MDM:n keskeiset ominaisuudet (jotka kuvataan tarkemmin SDK Profile -oppaassa), mukaan lukien jatkuvasti käynnissä oleva jailbreak- ja root-tunnistus. Usein käytetyt yrityssovellukset, jotka on työnny laiteohjainten tunnistustarkistukseen, suoritetaan useammin, joten havaitset vaarantuneet laitteet nopeammin.
Tämän jälkeen järjestelmänvalvoja voi määrittää Admin Console -käyttöliittymässä toimenpiteet, jotka suoritetaan vaarantuneeseen laitteeseen asennetun sovelluksen kohdalla. Jos esimerkiksi havaitaan, että laite on vaarantunut, järjestelmänvalvoja voi käyttää seuraavia toimintoja:
- Lähetä varoitusviesti käyttäjälle.
- Sulje käyttäjä ulos laitteesta.
- Hävitä sovellus- ja yritystiedot.
- Rajoita käyttöoikeuksia
Vaarantuneiden laitteiden valvonta ja toimeenpano
Valvo iOS- ja Android-laitteiden vaarantumistilaa ottamalla käyttöön säädöstenmukaisuuskäytännöt. Workspace ONE Admin Console -käyttöliittymä tarjoaa järjestelmänvalvojalle työkalut järjestelmän valvontaan ja suojaamiseen.
Compliance Engine -automaattityökalu
Compliance Engine toimii suojauksen tarkistuspisteenä. Se voi automaattisesti sulkea ulos laitteita ja käyttäjiä tai tehdä niiden kohdalla muita toimenpiteitä. Järjestelmänvalvojan määrittämien säädöstenmukaisuuskäytäntöjen perusteella Compliance Engine tunnistaa, onko laite säännösten mukainen, ja tekee sen mukaan määritetyt toiminnot. Nämä säännöt ja toiminnot voidaan määrittää Workspace ONE Admin Console -käyttöliittymässä.
Kun säännöt ja toimenpiteet on määritetty, Compliance Engine huolehtii lopusta. Korjaaminen on automatisoitu. Jos tarkistuksessa havaitaan vaarantunut laite, tietokone käy läpi esimääritetyt varoitukset ja eskaloidut toimenpiteet. Järjestelmänvalvojien ei tarvitse käsitellä jokaista esiintymää, kun niitä löytyy.
Admin Console mahdollistaa kuitenkin vaatimustenmukaisuusprotokollan itsepalvelun. Järjestelmänvalvojat voivat tyhjentää laitteen ja lähettää käyttäjälle sähköposti- tai tekstiviestin, jossa kerrotaan, miten ja miksi laite ei ole vaatimusten mukainen, ilman käyttäjän yhteydenottoa järjestelmänvalvojaan.
Koska Compliance Engine säästää laitteiden hallintalaitteiden hallintaan kuluvaa aikaa, järjestelmänvalvojat voivat tarkastella viikoittaisia tai kuukausittaisia vaatimustenmukaisuusraportteja ja ymmärtää toistuvia syyllisiä.
Last Compromised Scan -vaatimustenmukaisuus
Last Compromised Scan -vaatimustenmukaisuusasetuksella järjestelmänvalvoja voi asettaa aikavälin, jonka puitteissa Agentin on suoritettava laitteen skannaus. Näin varmistetaan, että jos AirWatch ei ole vastaanottanut laitteen vaatimustenmukaisuustilaa tietyn ajan sisällä, voidaan ryhtyä varotoimenpiteisiin.
Compromised Status -vaatimustenmukaisuus
Compromised Status -säännöllä järjestelmänvalvoja voi määrittää toimenpiteet, joita suoritetaan vaarantuneen laitteen kohdalla.
Yllä kuvailtujen sääntöjen osalta voidaan käyttää seuraavia toimintoja:
- Notify: käyttäjälle tehdään ilmoitus lähettämällä tekstiviesti, sähköposti tai push-ilmoituksia.
- Application: muutaman tai kaikkien hallittujen sovelluksien estäminen tai poistaminen.
- Komento: laitteesta poistetaan yrityksen tiedot tai vaaditaan laitteen ilmoittautumista.
- Profile: kaikkien profiilien, tietyn profiilityypin tai tietyn profiilin estäminen tai poistaminen.
Laitteen ohjauspaneeli
Järjestelmänvalvojat voivat tarkastella rekisteröityjen laitteiden yhteenvetoa. Yhteenvedossa on suojaustiedot, jotka kertovat järjestelmänvalvojalle, onko laitteen vaarantumisen tunnistusta tehty. Jos laite ei ole vaarantunut, näkyy vihreä valintamerkki.
Kuva 3: (Englanninkielinen) Laitteen ohjauspaneeli
Visualisoi laitteiden vaatimustenmukaisuus
Koontinäytössä näkyy graafisessa muodossa vaarantuneiden laitteiden osuus organisaatioryhmään rekisteröidyistä laitteista. Näin järjestelmänvalvoja näkee vaarantuneet laitteet ja auttaa seuraamaan niitä.
Kuva 4: (Englanninkielinen) Dashboard
Aikataulun mukaisten tai tarvittaessa suoritettavien vaatimustenmukaisuusraporttien laatiminen
Workspace ONE Admin Console -käyttöliittymässä on yli 100 vakioraporttia, joihin sisältyy myös vaatimustenmukaisuusraportteja, jotka voidaan suorittaa automaattisesti tietyin aikavälein tai luoda tarpeen mukaan. Voit tarkastella nopeasti kaikkia säädösten vastaisia laitteita koko valikoimassa tai tietyissä organisaatioryhmissä. Eristä laitteet, jotka käyttävät kiellettyjä sovelluksia, joiden salasanat ovat heikkoja tai jotka ovat muuten säädösten vastaisia. Raporteista näkee yhdellä katsauksella järjestelmässä olevat vaarantuneet ja säädösten vastaiset laitteet.
Kuva 5: (Englanninkielinen) Kaikki raportit
Johtopäätös
Turvallisen mobiililaitteiden hallinnan tarve kasvaa jatkuvasti, ja siksi Workspace ONE on askel oikeaan suuntaan. Se tarjoaa ennennäkemättömän ratkaisun, jonka avulla voit tunnistaa turvallisuusuhkia, kuten vaarantuneita laitteita. Workspace ONE -järjestelmän ainutlaatuinen moniportainen tunnistusratkaisu on suunniteltu toimimaan tehokkaasti kaikissa laiteympäristöissä. Se tarjoaa myös joustavuutta toimenpiteiden suorittamiseen, kun laitteita havaitaan. Kaikki edellä mainitut tunnistusratkaisun osat tekevät Workspace ONE -laitteesta tehokkaan ratkaisun yrityksesi suojaksi.
Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.