Kaspersky Secure Mobility Management

Одной из причин создания решения стал формат удалённой работы, набирающий популярность в России. Он неизбежно привёл к «размытию» периметра защиты в корпоративной ИТ-инфраструктуре. Перед многими компаниями встал вопрос, как грамотно обеспечить защиту данных, когда сотрудники работают из дома или из других стран.

Второй причиной послужил уход из российского рынка западных вендоров, которые отозвали все свои действующие лицензии, фактически лишив заказчиков технической поддержки. Тогда появилась острая потребность в создании продукта, способствующего эффективному импортозамещению.

Согласно данным «Лаборатории Касперского» в России мобильный парк смартфонов на операционных системах Android и iOS составляет около 25 млн устройств. При этом около 10% компаний используют MDM-продукты, а также решения по управлению ноутбуками, планшетами и смартфонами через единую консоль.

Применяются три базовых сценария эксплуатации мобильных устройств в корпоративной среде:

• COBO (Corporate Owned Business Only) — самый популярный. Компания является и администратором, и владельцем мобильного устройства. Этот сценарий подразумевает широкий спектр возможностей по управлению, администрированию, а также ограничению функционала на нём.
• COPE (Corporate-Owned, Personally Enabled) — это сценарий, когда сотруднику может быть предоставлено рабочее устройство в личное пользование. Все данные и их защита обеспечиваются в персональном профиле.
• BYOD (Bring Your Own Device) — сценарий использования только личных устройств. Здесь администратором выступает непосредственно сам пользователь.

Жизненный цикл корпоративных мобильных устройств включает в себя несколько этапов:

• подготовка, развёртывание и конфигурация;
• эксплуатация;
• обеспечение защиты и контроля, применение политик, то есть отслеживание всех действий сотрудников в системе аудита на сервере управления.

Важно грамотно реализовать методы вывода оборудования из эксплуатации: отключение от ИТ-инфраструктуры компании, аудит потерянных и украденных устройств, а также удаление корпоративной информации. В случае с BYOD удаляется рабочий профиль (контейнер), или на мобильном устройстве осуществляется полное «затирание» данных.

Обзор Kaspersky Secure Mobility Management

В России используются 3 эволюционных уровня комплексных систем по управлению корпоративной мобильностью:

• MDM (Mobile Device Management) . Такие решения могут: отслеживать местоположение устройства и собирать отчёты, инициировать и блокировать работу девайсов, «затирать» информацию, управлять сторонним программным обеспечением, применять политики.
• EMM (Enterprise Mobility Management) . В дополнение к функционалу MDM, эти платформы умеют: обеспечить безопасность данных, управлять личными и рабочими устройствами, размещать всю корпоративную информацию в контейнеры (в зашифрованную область на мобильном устройстве). Самое главное, что этот инструментарий автоматизированного контроля сам сообщит администратору, что тот или иной девайс по каким-то причинам не соответствует политике корпоративной информационной безопасности.
• UEM (Unified Endpoint Management) . Последняя ступень эволюции, когда управление смартфонами, ноутбуками и планшетами осуществляется через единую консоль и сервер управления.

В случае с Kaspersky Secure Mobility Management (находится между UEM и EMM), управление и контроль инфраструктуры рабочих станций и мобильных устройств осуществляется через единую консоль сервера администрирования Kaspersky Security Center.

Согласно определению Gartner, Kaspersky Secure Mobility Management полностью соответствует классу EMM и частично соответствует UEM. Публично же продукт позиционируется, как UEM-платформа.

Функционал Kaspersky Secure Mobility Management

Основные функции для администрирования мобильных устройств:

• Полная поддержка всего жизненного цикла устройства в компании от момента ввода его в эксплуатацию и до момента его отключения от всей инфраструктуры.
• Управление подключением к VPN-инфраструктуре с помощью проброса VPN-сертификатов сторонних VPN-сервисов. Предполагается, что у компании уже есть VPN-решение, генерирующее сертификат, который потом уже с помощью Kaspersky Security Center доставляется на мобильное устройство.
• Поддержка режима Device Owner, когда компания является владельцем устройства и в этом режиме агент полностью его администрирует. Предлагает глубокий сценарий по управлению, включающий детальную настройку браузера, аппаратного функционала и т. д.
• В контексте контроля приложений у сотрудников есть право на самостоятельное скачивание программного обеспечения на свои устройства, равно как и подключение их к MDM-инфраструктуре. Это достигается за счет корпоративных каталогов приложений, и реализовано так, что сотрудники путем перехода по ссылке попадают в консоль, там регистрируются и добавляют свой девайс. После этого администратор видит, что он добавлен и им можно управлять.
• Поддержка защиты от файловых и веб-угроз. На Android реализован полноценный антивирус с возможностью сканирования файловой системы, почтовых вложений, фактов перехода по ссылкам. Встроен полноценный веб-фильтр и функция детектирования факта рутирования устройства.
• Антивирусный функционал для устройств с iOS более ограниченный, так как компания Apple ограничила сторонним вендорам доступ к своей операционной системе, провозгласив её безопасной. Поэтому обеспечиваются лишь веб-фильтрация и детектирование взлома операционной системы.
• Контроль соответствия для платформ Android и iOS. Это автоматизированный сценарий реагирования, по которому сама консоль сообщает администратору о том, что устройство не соответствует требованиям информационной безопасности. Затем она самостоятельно осуществляет сценарий по блокировке или отключению девайса. А администратор получает об этом уведомление в консоли.

Основные функции для администрирования рабочих станций:

• Контроль устройств. Включает в себя ведение инвентаризации аппаратной части парка и установленного программного обеспечения (далее — ПО). После получения сводки по всем устройствам и ПО можно вести управление сторонним ПО, доступом устройств и пользователей к корпоративным данным.
• Управление безопасностью инфраструктуры. Включает в себя загрузку, тестирование, обновление, распространение исправлений и обновлений, интеграцию со сторонними системами SIEM, выявление и приоритизацию уязвимостей, составление отчётов по ним.
• Управление рабочими станциями. Удалённое подключение к ним с перехватом контроля или в режиме WebView для того, чтобы взаимодействовать с сотрудниками. При этом можно осуществлять загрузку сторонних программ и управление лицензиями, установку обновлений Центра обновлений Windows, синхронизацию с Windows Update, развёртывание образов операционной системы.

Совместимость Kaspersky Secure Mobility Management с Kaspersky Endpoint Security

В компаниях, которые эксплуатируют решение Kaspersky Endpoint Security, уже обеспечивается в полной мере защита рабочих станций. В случае, когда требуется докупить и установить решение по управлению мобильными устройствами, тогда Kaspersky Secure Mobility Management комфортно встраивается в Kaspersky Security Center (далее — KSC). В этом случае компании не нужно размножать консоли по управлению, поскольку всё будет доступно из единой точки администрирования.

Взаимодействие компонентов Kaspersky Secure Mobility Management

Поскольку консоль KSC и сервер находятся в LAN, крайне важно обеспечить их защиту от внешнего воздействия. В то же время все мобильные устройства, особенно личные, используются для выхода в интернет. Сотрудники могут посещать сайты и что-то скачивать. Это повышает риск одновременной загрузки вирусов и может негативным образом сказаться при прямом подключении мобильного устройства к серверу KSC. Чтобы этого избежать, реализован сценарий разграничения доступа к консолям KSC и серверу.

Он осуществляется при помощи шлюза соединений KSC. Шлюзом выступает любая рабочая станция, которая находится в DMZ-сегменте (рисунок выше). На неё инсталлируется агент администрирования KSC-сервера, который доступен «из коробки» в дистрибутиве.

Его особенность в том, что на эту рабочую станцию KSC инициирует подключение по порту TCP 13000, передавая политики, задачи и команды для мобильных устройств. После этого он разрывает подключение. Как только это происходит, агент открывает доступ для мобильных устройств, чтобы они могли забрать политики, задачи и логи. Таким образом осуществляется разграничение одновременного подключения к шлюзу KSC-сервера и мобильных устройств, при этом последние не могут подключиться к KSC напрямую.

На рисунке выше есть ещё одна сущность — это сервер iOS MDM. Он является надстройкой на KSC-сервере. Аналогично процедуре добавления шлюза выбирается рабочая станция в инфраструктуре в сегменте DMZ, которой назначается роль сервера iOS MDM. Точно также, как и к шлюзу, KSC подключается по порту TCP 13000, далее сервер iOS MDM проксирует подключение мобильных устройств к серверу KSC. Напрямую взаимодействие не ведётся. В рамках этого проксирования сервер iOS MDM передаёт на устройство обновление для профилей iOS MDM, либо доставляет эти профили на мобильные устройства. Корпоративный каталог приложений тоже ставится на рабочую станцию DMZ. После этого устройства сотрудников могут подключаться к ней через браузер и скачивать оттуда необходимое ПО. Таким образом происходит полное разграничение подключения мобильного устройства к KSC-серверу.

iOS-девайс моментально подключается к KSC-серверу, а у Android-девайсов интервал синхронизации намного дольше. Команды, политики и задачи доставляются на мобильное устройство с KSC только через 15 минут.

Обойти это на данный момент можно только через Google Firebase Cloud Messaging (FCM) — облачную консоль, которая призвана проксировать подключение KSC к мобильному устройству. Её можно использовать для того, чтобы период подключения составлял не более одной минуты. В будущем компания «Лаборатория Касперского» планирует добавить в KSC возможность моментального подключения Android.

Архитектура решения

Основная архитектура продемонстрирована на рисунке ниже. Также есть возможность подключать девайсы к корпоративной почте. Предполагается, что на устройстве есть почтовый клиент и, соответственно, он пробрасывает подключение мобильного устройства к Exchange-серверу через созданный почтовый сертификат, который доставляется на девайс.

Защита мобильных устройств

К инструментарию по управлению добавлены возможности по защите данных. Это касается устройств на Android, поскольку для них есть полновесное антивирусное решение. Оно осуществляет контроль приложений, сканирование файловой системы, проверку безопасности установленного или скачанного ПО, а также настройку белых и чёрных списков.

Веб-фильтрация осуществляется путём сканирования именно тех ссылок, по которым переходят сотрудники. Можно настроить веб-фильтр по встроенной категоризации, то есть ограничить доступ к определённым группам сайтов. Также можно вручную создать белый список, либо запретить доступ в интернет с мобильного устройства.

Для наилучшего контроля уязвимостей специалисты «Лаборатории Касперского» рекомендуют активировать Kaspersky Security Network. Это база знаний, к которой подключаются все агенты с мобильных устройств, когда им нужно проверить вердикт по тому или иному файлу или ссылке.

В контексте совместимости решение подходит ко всем девайсам. Если это Android, то он должен быть одной из версий с 5 по 13. Все политики по защите от внешних угроз работают в офлайн-режиме.

Основные модули

Антивирусные базы обновляются каждый день в 8 часов утра. Обновление можно настроить в консоли KSC и тогда ежедневно свежие базы будут появляться на мобильных устройствах.

Решение блокирует доступ сотрудников к сайтам с фишинговым контентом и с вредоносным ПО. Поддерживает защиту устройств в формате BYOD. В контексте защиты от кражи или потери девайса, можно дистанционно его заблокировать или удалить все данные, либо только рабочий профиль, оставив при этом личную информацию. Можно по команде получить местоположение устройства. Также есть возможность в скрытом режиме сделать снимок с фронтальной камеры и получить фотографию злоумышленника, а затем отправить сигнал тревоги.

Управление устройствами

Управление мобильными устройствами Apple осуществляется двумя способами. Первый — через профили iOS MDM. Они конфигурируются в консоли KSC, после чего доставляются на мобильное устройство. Второй способ — это работа в Apple Configurator 2, где можно сформировать профиль и далее использовать KSC для транспортировки созданного профиля на мобильное устройство.

Управление девайсами под операционной системой Android осуществляется через Android for Work. Там создаётся рабочий профиль, который затем интегрируется со сторонними платформами.

Управление устройствами Samsung осуществляется через контейнеризацию KNOX.

Лицензирование

Kaspersky Secure Mobility Management лицензируется по количеству устройств (например, если в компании их 1 000, то необходимо купить лицензию Kaspersky Secure Mobility Management на 1 000 устройств).

Получить консультацию

Отправьте описание задачи, в решении которой нуждается ваш бизнес. Мы предложим возможные варианты её решения и оценим стоимость её выполнения.