Говоря о системах MDM и о мобильных устройствах, мы привыкли подразумевать под ними, как правило, смартфоны, коммуникаторы и планшеты, забывая еще об одном классе устройств. Нет, речь пойдет не о смарт-устройствах и даже не об автомобильных бортовых компьютерах. Сегодня мы поговорим про ноутбуки.
В 2020 году в период пандемии, п о опросам hh.ru, 83% организаций перешли на удаленку. И это стало действительно огромной головной болью для ИБ-структур. Периметр безопасности "размылся", и в список устройств, которые стали использоваться в рабочих процессах, попали не только корпоративные ноутбуки, выданные сотрудникам для работы из дома, но и личные устройства.
Основные задачи, которые встали перед ИБ совместно с ИТ:
- обеспечение защищенного канала между устройством и сервисами Компании;
- Application Management для корпоративного софта на устройствах;
- управление политиками безопасности;
- контроль от утечек конфиденциальной информации;
- гарантированное уничтожение корпоративных данных в случае увольнения сотрудника.
"Всё это умеет MDM !" - пришла в голову светлая мысль…
Однако на практике мы столкнулись с двумя особенностями:
1. Устройства на Windows имеют разные версии ОС, от XP до Vista , хотя практически все MDM стабильно и полнофункционально работают только с Windows 10.
Решение было прямым: по соображениям безопасности обновить все ноутбуки на актуальную версию Windows.
2. Отсутствие поддержки у большинства MDM макбуков.
Данную особенность нам предстояло закрыть решением MobileIron , которое, помимо распространённых мобильных ОС ( Android , iOS , Windows 10), имеет поддержку семейства macOS.
Данная статья содержит краткий обзор решения в разрезе задач, озвученных ранее.
Управление приложениями
MobileIron позволяет создать собственный магазин приложений, которые пользователь сможет развернуть на подконтрольное устройство в silent -режиме.
Для автоматизации процесса можно задать настройки интеграции с популярными сервисами, например, Microsoft Outlook . Это позволит использовать сервис, не выдавая пасс пользователю.
Можно ограничить список приложений, с которых доступны ресурсы. Например, запретить доступ к сервису с браузера, отличного от Safari.
Также можно ограничить приложения, которые пользователь может установить самостоятельно, например, запретить Tor браузер.
Политики и конфигурации
MobileIron поддерживает настройку следующих политик для macOS :
- FileVault 2 - полнодисковое шифрование;
- System Policy Control - управление сторонними приложениями не из AppStore ;
- System Policy Managed - набор правил для работы с файлами;
- System Policy Rule - политика для отключения пункта меню «Открыть с помощью»;
- Mobile @ Work macOS Script - возможность запуска собственных скриптов;
- Software Updater - правила и расписание установки обновлений.
Среди конфигураций macOS MobileIron поддерживает следующие: безопасность, приватность, управление приложениями, внешние устройства и др.
VPN & Wipe
MobileIron позволяет строить VPN -туннель для конкретного приложения, что обеспечивает возможность формирования дополнительного уровня защиты.
В части стирания данных, в случае увольнения сотрудника или кражи устройства MobileIron может как удалить только UEM-конфигурацию, так и сделать полный wipe устройства.
В целом, в решении присутствует полный функционал для обеспечения задач безопасности, хоть и для его использования необходимо дополнительно "покурить мануал" касательно политик самой macOS . Вкупе с DLP -системой, которая дополнит комплекс мер по предотвращению утечки информации, можно обеспечить приемлемый уровень информационной безопасности для сотрудника, работающего из любой точки мира.