Обзор Kaspersky Secure Mobility Management, новой российской UEM-системы

1. Введение
2. Функциональные возможности Kaspersky Secure Mobility Management
   1. 2.1. Работа с Android
   2. 2.2. Работа с iOS / iPadOS
3. Архитектура Kaspersky Secure Mobility Management
4. Системные требования Kaspersky Secure Mobility Management
   1. 4.1. Сервер администрирования
   2. 4.2. Веб-консоль Kaspersky Security Center
   3. 4.3. Kaspersky Endpoint Security для Android
   4. 4.4. Kaspersky Security для iOS
5. Сценарии использования Kaspersky Secure Mobility Management
   1. 5.1. Режим «Profile Owner»
   2. 5.2. Режим «Device Owner»
   3. 5.3. Управление iOS-устройствами
6. Выводы

Введение

Актуальность защиты мобильных устройств в корпоративной среде несомненна. На понятии «мобильность» построен бизнес многих организаций, а от скорости реагирования и принятия решений зависят их ключевые бизнес-процессы. Расширение возможностей мобильных платформ делает последние практически полноценными аналогами настольных рабочих станций — как в части выполняемых на них задач, так и по уровню потенциальных угроз при таргетированных атаках. Ранее мы отдельно рассматривали различные варианты защиты мобильных устройств и подходы к их реализации.

Корпоративные и личные мобильные устройства активно способствуют «размытию» границ ИТ-инфраструктуры компании, но полный отказ от них уже не представляется возможным, если речь идёт о построении эффективного бизнеса. Остро ощущается, в частности, значимость организации безопасной удалённой работы; эта проблема подробно обсуждалась в эфире AM Live «Системы защиты удалённого доступа: построение в современных условиях», в т. ч. применительно к мобильным устройствам.

Стоит отметить, что по разным источникам объём парка мобильных гаджетов в секторах B2B и B2G оценивается в 19–26 млн устройств. Соответственно, разумным вариантом выхода из сложившейся ситуации представляется применение программных продуктов классов MDM / EMM / UEM, которые позволили бы оптимизировать процессы ввода в эксплуатацию, контроля и администрирования, вывода из эксплуатации корпоративных мобильных устройств.

К системам этого типа относится, в частности, продукт Kaspersky Secure Mobility Management (KSMM) от «Лаборатории Касперского», совмещающий в себе функции контроля корпоративных устройств, обеспечения безопасной работы в режиме BYOD и единый интерфейс администрирования на базе Kaspersky Security Center (KSC). Kaspersky Secure Mobility Management относится к классу «унифицированное управление конечными точками» (Unified Endpoint Management, UEM), является логическим продолжением и развитием многолетних наработок компании в области защиты и автоматизации работы с корпоративными системами и предназначен для удалённого управления мобильностью предприятия: устройствами, процессами, данными и их безопасностью.

Функциональные возможности Kaspersky Secure Mobility Management

Как было отмечено ранее, Kaspersky Secure Mobility Management использует общую для многих продуктов компании платформу управления Kaspersky Security Center, расширяя её возможности и сохраняя при этом привычный интерфейс и логику работы.

Рисунок 1. Консоль управления Kaspersky Security Center

Kaspersky Secure Mobility Management поддерживает полный цикл работы с мобильными устройствами, начиная с подготовки и заканчивая выводом из обслуживания; позволяет применять корпоративные политики безопасности, поддерживает автоматизированную установку приложений (в т. ч. с использованием корпоративного каталога приложений, инструменты для создания которого входят в состав KSMM), загрузку сертификатов, профилей VPN, Wi-Fi и электронной почты. Также система контролирует сами устройства: сообщает о событиях по безопасности, обеспечивает применение политик и реагирует на нарушения критериев безопасной работы.

Рисунок 2. Жизненный цикл использования корпоративных мобильных устройств

Отдельно стоит отметить следующие функции:

• Управление сертификатами и VPN-профилями, а также профилями приложений.
• Поддержка различных режимов работы: «Device Owner» (режим владельца устройства, дающий максимальные права по управлению и контролю), «Kiosk» (позволяет ограничить использование устройства одним или несколькими приложениями), «Supervised» (режим максимального контроля устройств под управлением iOS).
• Корпоративный каталог приложений.
• Удаление корпоративных данных с устройства.
• Защита от вредоносных объектов в настоящем времени.
• Контроль подсистем мобильного устройства (Bluetooth, камера, Wi-Fi, геолокация и др.)
• Запрет использования приложений и каталогов приложений.
• Организация изолированного контейнера для корпоративных данных.
• Конфигурация приложений для Android и iOS.
• Работа с границами территории и инициирование различных событий в случае их пересечения (Geofencing).
• Контроль используемых сим-карт.

Основными поддерживаемыми операционными системами для мобильных устройств являются Android, iOS и отечественная ОС «Аврора».

Принцип ввода нового мобильного устройства под контроль и управление со стороны Kaspersky Secure Mobility Management един для всех типов ОС.

Рисунок 3. Список контролируемых мобильных устройств

В процессе добавления устройства первым шагом является выбор типа ОС.

Рисунок 4. Выбор операционной системы

Для установки агента Kaspersky Endpoint Security (KES) предлагаются ссылки на общую версию приложения (ведёт на официальный сайт «Лаборатории Касперского») или на инсталляционный пакет в Kaspersky Security Center (полезно в случаях, когда требуется размещение установочного пакета внутри контура организации).

Стоит отметить, что описанный выше сценарий установки агента относится к устройствам под управлением Android, в частности при использовании режима «Device Owner». Для личных мобильных устройств возможен вариант распространения через Play Market. В iOS управление реализовано через MDM-профили и установка приложения не требуется.

Рисунок 5. Выбор способа установки Kaspersky Endpoint Security

Далее выбирается пользователь — владелец того мобильного устройства, которым планируется управлять.

Рисунок 6. Выбор пользователя

Для аутентификации устройства на сервере управления возможно в ходе работы мастера сгенерировать сертификат — как средствами самого сервера управления, так и через интеграцию с инфраструктурой публичных ключей (PKI).

Рисунок 7. Выбор источника сертификата

В итоге генерируется QR-код для скачивания агента под выбранную операционную систему. Код может быть отсканирован в этом же окне или передан пользователю, в т. ч. путём отправки на почту, указанную в его личном профиле.

Рисунок 8. QR-код для установки Kaspersky Endpoint Security

Добавленное устройство попадает в список нераспределённых, откуда его можно переместить в требуемую группу в рамках KSMM. Отдельно стоит отметить, что этот процесс автоматизируется путём создания различных правил распределения.

Рисунок 9. Список нераспределённых устройств

В зависимости от операционной системы устройства KSMM предоставляет разные уровни контроля. В Android мобильное приложение Kaspersky Endpoint Security является агентом, отвечающим за контроль, мониторинг и управление устройством. В iOS требуется лишь загрузка MDM-профиля, а приложение Kaspersky Security отвечает только за функции защиты от киберугроз.

Рассмотрим основные функциональные возможности и ограничения в каждом случае. Для получения полного списка возможностей в рамках той или иной ОС рекомендуем обратиться напрямую к производителю.

Работа с Android

Одной из базовых функций продукта для ОС Android является защита от вирусов и прочих вредоносных программ. Антивирус работает в режиме настоящего времени, а также сканирует всё устройство, установленные приложения и выбранные каталоги. В дополнение к антивирусной защите агент может блокировать вредоносные и фишинговые веб-сайты.

Ещё в приложении есть функциональность «антивор», которая позволяет защитить данные от несанкционированного доступа посредством удалённой блокировки устройства. Для разблокирования потребуется ввод одноразового кода, который есть только у администратора. Также «антивор» помогает найти устройство в случае его потери или кражи. При необходимости можно использовать функции сброса устройства, удаления данных и даже удалённого фотографирования вероятного злоумышленника.

Для контроля устройства в KES для Android предусмотрены функции управления приложениями, настройки списков рекомендуемых, запрещённых и обязательных приложений.

Имеется отдельный компонент для решения задач по контролю общих корпоративных политик безопасности. В зависимости от выбранного сценария к устройству могут быть применены специальные меры для предотвращения нежелательных последствий: например, если оно долго не синхронизировалось с системой управления (все правила для компонента «контроль соответствия» хранятся локально), устройство может быть заблокировано. 

На устройствах с ОС Android KSMM может работать в следующих режимах:

• Контроль за личным устройством сотрудника (BYOD).
• Контроль за устройством с созданием изолированного контейнера для корпоративных данных (режим «Profile Owner»).
• Контроль устройства, которым владеет компания (режим «Device Owner»).

В зависимости от режима работы предоставляются различные дополнительные возможности по управлению. К общим для всех режимов относятся следующие функции:

• Настройки для событий из области безопасности устройства (уведомление администратора, интеграция с SIEM).
• Отправка команд на устройство (блокировка / разблокировка, сброс настроек и / или удаление данных, определение местоположения, воспроизведение звукового сигнала, создание фотографии и ряд других).
• Базовый контроль (запрет использования камеры / Wi-Fi / Bluetooth, контроль приложений, детектирование работы с правами суперпользователя (root) и др.).
• Настройки требований к паролю разблокировки.
• Контроль устройств Samsung с KNOX.
• Настройка корневых и пользовательских сертификатов (в т. ч. для VPN и почты) и интеграция с PKI при выпуске удостоверений.

В режимах «Profile Owner» и «Device Owner» доступны функции более глубокого контроля, такие как запрет передачи данных между рабочим контейнером и личным профилем, запрет включения USB-отладки, запрет установки / удаления приложений в рабочем профиле, включение правил веб-контроля и контроля приложений только в корпоративном профиле.

«Device Owner» также открывает доступ к режиму «Kiosk» для запуска одного или нескольких приложений, определённых администратором. В этом режиме подключаются возможности по ограничению функций самого устройства — например, запрет сброса к заводским настройкам или запрет на снимки экрана, исходящие звонки, отправку и получение СМС-сообщений, безопасную загрузку. Кроме того, появляется возможность детализированно настраивать приложения (Google Play, Chrome, Assistant и другие), резервное копирование и внешние носители, сетевое взаимодействие, геолокацию и контент внутри Google Chrome.

Работа с iOS / iPadOS

Для iOS продукт предоставляет схожие функциональные возможности, но из-за особенностей ОС их перечень несколько меньше; это касается прежде всего защиты от киберугроз, где ограничения платформы Apple сильно влияют на реализуемость ряда функций.

С точки зрения защиты продукт предоставляет возможности по противодействию  онлайн-угрозам, таким как вредоносные и фишинговые сайты. Проверка осуществляется за счёт взаимодействия с облачным сервисом Kaspersky Security Network. Также доступна проверка онлайн-активности приложений на устройстве.

Другой доступной функцией является проверка и детектирование обхода ограничений (jailbreak) на устройстве. Факт его обнаружения доводится до сведения администратора KSMM и отображается на устройстве в виде пользовательского уведомления.

В рамках iOS доступны следующие режимы: контроль за личным устройством сотрудника (Non-Supervised) и контроль устройства, которым владеет компания (Supervised).

К общим функциональным возможностям обоих режимов можно отнести:

• Настройки для событий из области безопасности устройства (уведомление администратора, интеграция с SIEM).
• Отправка команд на устройство (блокировка / разблокировка, сброс настроек и / или удаление данных, принудительная синхронизация).
• Контроль соответствия заданным корпоративным политикам и реагирование на несоответствие.
• Настройка корневых и пользовательских сертификатов.
• Базовый контроль устройства (настройка SSO, точек доступа APN и мобильной связи, VPN, прокси, резервного копирования и ряда других параметров ОС, запрет работы конкретных служб iCloud).

В режиме «Supervised» становятся доступными функциональные возможности по управлению параметрами Bluetooth и Wi-Fi, запрету использования NFC и USB, а также запрету открытия и изменения ряда приложений и настроек устройства.

Архитектура Kaspersky Secure Mobility Management

Система Kaspersky Secure Mobility Management представляет собой программное обеспечение для установки в контуре заказчика, имеет собственный каталог приложений для дальнейшей их установки на мобильные устройства сотрудников.

Рисунок 10. Пример корпоративного каталога приложений

В зависимости от того, с какого устройства был выполнен вход в каталог приложений, доступны несколько вариантов скачивания: напрямую из каталога или при помощи QR-кода со ссылкой на приложение.

Рисунок 11. Схема взаимодействия компонентов системы

Архитектура системы позволяет осуществлять самостоятельное развёртывание и подключение к единой системе управления KSMM путём генерации QR-кода для установки под требуемую операционную систему.

Управлять устройствами можно с помощью агента или без него. В случае использования агента в его задачи входит также получение политик от центрального сервера с их последующим применением. При этом для конфигурирования устройств используются системные методы: Android Device Policy Manager, Samsung KNOX API и другие. Схема взаимодействия показана на рисунке 12.

Рисунок 12. Реализация с использованием агента на устройстве

В случае безагентной реализации управление выполняется с помощью встроенных средств ОС. При этом отсутствует контроль процесса выполнения команд и применения политик; как следствие, возникает зависимость от инфраструктуры производителя устройства и ограничивается набор настроек. Безагентная схема на платформе iOS показана на рисунке 13.

Рисунок 13. Реализация без использования агента на устройстве

Системные требования Kaspersky Secure Mobility Management

Основой для работы Kaspersky Secure Mobility Management является Kaspersky Security Center, поэтому требования к оборудованию и программному обеспечению определяются именно им.

Сервер администрирования

Минимальные аппаратные требования:

• ЦП с рабочей частотой 1 ГГц и выше. Для 64-битной операционной системы минимальная частота процессора составляет 1,4 ГГц.
• Оперативная память: 4 ГБ.
• Доступное место на диске: 10 ГБ. При использовании компонента «Управление уязвимостями и исправлениями» должно быть доступно не менее 100 ГБ свободного места на диске.
• Операционная система семейства Windows.

Веб-консоль Kaspersky Security Center

Минимальные аппаратные требования:

• ЦП: 4 ядра, рабочая частота 2,5 ГГц.
• Оперативная память: 8 ГБ.
• Доступное место на диске: 40 ГБ.
• Операционная система: Windows или Linux.

Kaspersky Endpoint Security для Android

Приложение Kaspersky Endpoint Security для Android имеет следующие аппаратные и программные требования:

• Смартфон или планшет с разрешением экрана 320×480 пикселей и выше.
• 65 МБ свободного дискового пространства в основной памяти устройства.
• Android 5.0–13 (включая Android 12L, кроме Go Edition).
• Архитектура процессора x86, x86-64, Arm5, Arm6, Arm7 или Arm8.

Приложение можно установить только в основную память устройства.

Kaspersky Security для iOS

Приложение Kaspersky Security для iOS имеет следующие аппаратные требования: iPhone 6S или новее, iPad Air 2 или новее. 

Программные требования: iOS 14.1 или новее, iPadOS 14.1 или новее.

Более подробную информацию об аппаратных и программных требованиях к продукту можно получить на официальном портале поддержки.

Сценарии использования Kaspersky Secure Mobility Management

Основным сценарием использования системы является контроль разнородной инфраструктуры мобильных устройств. При этом последние могут работать в разных режимах и принадлежать не только компании, но и сотрудникам, являясь их личной собственностью.

Режим «Profile Owner» 

В этом режиме телефон получает дополнительный рабочий профиль, который может быть сконфигурирован в соответствии с политиками компании и ограничениями на его использование.

Режим «Profile Owner» доступен для мобильных устройств под управлением ОС Android версии 5.0 и выше.

На рисунке 14 обозначены возможности по политикам, которые доступны администратору системы и могут быть применены в дополнение к профилю на устройстве.

Рисунок 14. Настройка рабочего профиля Android

После применения профиля к конкретному устройству происходит синхронизация параметров и на мобильном устройстве появляется дополнительный «контейнер», содержащий вновь созданный профиль.

Рисунок 15. Личный и рабочий профили

Администратор имеет возможность добавлять приложения в рабочий профиль и удалять их оттуда, тем самым создавая требуемую рабочую среду для пользователей. Также администратор может определять разрешённые и запрещённые приложения, используя дополнительные возможности системы. Управление приложениями осуществляется через раздел «Контроль приложений» в KSC.

Рисунок 16. Контроль приложений

В режиме работы «Profile Owner» нет возможности «тихой» установки приложений на мобильное устройство без ведома пользователя, что является требованием самой ОС Android, однако выводится уведомление о несоответствии политике с требованием установить выбранное администратором приложение. В дополнение к этой функции доступны возможности анализа на соответствие корпоративным политикам и настройки реакций на несоответствия до их устранения — например, в виде блокировки устройства.

Рабочий и личный профили могут быть изолированы друг от друга с полным запретом переноса данных между ними; таким образом решается проблема утечки корпоративных данных через личный профиль. Ограничения распространяются как на файлы, так и на буфер обмена.

В планах компании — расширить функциональные возможности рабочего профиля, в том числе добавив возможность установить отдельный пароль или использовать данные корпоративной учётной записи для доступа к нему.

При увольнении сотрудника или при исчезновении потребности в рабочем профиле на отдельно взятом устройстве администратор может инициировать удаление корпоративных данных и самого профиля. Это также делается через единый интерфейс KSC.

Рисунок 17. Удаление корпоративных данных с мобильного устройства

Удалить профиль на текущий момент можно только вручную, но в дорожной карте развития продукта запланированы улучшения: автоматическое удаление информации при изменении статуса сотрудника в организации и отзыве доступа к данным.

Режим «Device Owner» 

Режим владельца устройства предоставляет максимальный контроль, в нём нет характерных для «Profile Owner» ограничений: например, администратор может самостоятельно принять решение об установке или удалении любого приложения, не дожидаясь действий со стороны пользователя.

Рисунок 18. Политики режима «Device Owner»

Также здесь есть возможность установить полный запрет на запуск конкретных приложений на стороне администратора системы.

Режим владельца предоставляет администратору доступ к управлению памятью, геолокацией, обновлениями и отдельными настройками компонентов мобильного устройства.

Рисунок 19. Управление сетью

Другим востребованным сценарием с правами «Device Owner» является включение специального режима «Kiosk». Как уже говорилось, он позволяет администратору ограничить использование устройства одним или несколькими приложениями. Таким образом мобильное устройство превращается в узкоспециализированный инструмент для решения конкретных бизнес-задач, без возможности установки приложений или нецелевого применения.

Рисунок 20. Параметры режима киоска

При этом на стороне пользователя отсутствует возможность перехода в другие, даже уже установленные, приложения, включая настройки и конфигурацию самого устройства. Впрочем, при необходимости можно «смягчить» этот режим работы — например, разрешить доступ к настройкам или разблокировать наследуемые программы, которые смогут запускаться в контексте исходного, разрешённого приложения.

Рисунок 21. Пример работы устройства в режиме киоска

Управление iOS-устройствами

Из-за специфики операционной системы iOS логика и подход к реализации управления устройством значительно отличаются, но полнота контроля и администрирования мобильных устройств для обеспечения безопасности инфраструктуры сохраняются.

Рисунок 22. Настройки управления iOS-устройствами

Для получения максимального контроля и перехода в режим «Supervised», приближенный к «Device Owner», потребуются специальное приложение, установленное на компьютер, и подключение устройства через кабель.

Сценарии управления и контроля — в целом такие же, как для Android, но с поправкой на особенности архитектуры.

Выводы

Kaspersky Secure Mobility Management является отличным примером использования накопленного опыта и экспертизы в защите, контроле и администрировании конечных точек. Система обеспечивает достаточный уровень защиты мобильных устройств пользователей в организациях разного масштаба и разной отраслевой принадлежности.

Специализированные режимы типа «Kiosk» могут быть применены для расширения возможностей бизнеса в нишевых задачах, когда не требуется полной функциональности мобильного устройства и достаточно лишь безопасного цифрового терминала для работы с конкретным бизнес-приложением.

Наряду с базовыми функциями, такими как антивирусная защита и веб-контроль, Kaspersky Secure Mobility Management предоставляет привычный единый интерфейс для управления на базе Kaspersky Security Center и будет удобна в особенности тем компаниям, которые уже используют другие продукты «Лаборатории Касперского».

KSMM по своим функциональным возможностям не уступает иным продуктам классов MDM / UEM на российском рынке, способна предложить единый подход к реализации защиты контура в целом и мобильных пользовательских устройств в частности. Поддержка различных сценариев владения устройством поможет сэкономить ресурсы, в том числе денежные, на комплектации парка мобильных устройств и сохранить привычный режим работы для пользователей.

Достоинства:

• Поддержка режимов «Profile Owner» и «Device Owner», режим киоска.
• Контроль соответствия устройства заданным политикам, сценарное реагирование при обнаружении несоответствий.
• Единая централизованная система управления.
• Встроенная защита от классических угроз (антивирус, веб-фильтр).
• Каталог приложений.
• Контроль обхода ограничений (jailbreak) и доступа с правами суперпользователя (root).
• Работа с большим количеством устройств – до 100 000.
• Интеграция с инфраструктурой PKI и работа с корневыми сертификатами (для настройки доступа к корпоративной почте, Wi-Fi и другим приложениям).
• Входит в единый реестр российских программ для ЭВМ и БД.

Недостатки:

• Отсутствует сертификат ФСТЭК России (получение — в планах компании).
• Отсутствует возможность изменить внешний вид корпоративного каталога приложений.