SafeMobile 8.3, системы для унифицированного управления конечными устройствами

1. Введение
2. Функциональные возможности SafeMobile
3. Архитектура SafeMobile
4. Системные требования SafeMobile
5. Сценарии использования SafeMobile
6. Соответствие требованиям регулирующих органов
7. Новинки и планы на будущее
8. Выводы

Введение

Появление и активное использование в бизнес-среде мобильных устройств поставило перед ИТ-службами задачи по их контролю и администрированию. Имевшиеся на тот момент продукты не позволяли решать такие задачи, потому что мобильные ОС кардинально отличались от настольных и серверных, получивших широкое распространение в ИТ-инфраструктурах компаний. Ещё одной проблемой являлось применение личных устройств для корпоративных задач, например работа с корпоративной почтой и внутренними веб-сервисами. ИТ- и ИБ-департаменты компаний столкнулись с новыми концепциями: BYOD, CYOD, COPE, COBO и прочими.

BYOD подразумевает, что сотрудник использует для работы с корпоративной инфраструктурой своё персональное мобильное устройство. Это касается не только смартфонов и планшетов, но и ноутбуков.

При подходе CYOD (Choose Your Own Device) компания чаще всего предоставляет сотрудникам перечень мобильных устройств, из которых можно выбрать наиболее подходящее. Другие устройства не получают доступа к корпоративной инфраструктуре и данным.

COPE (Company Owned, Personally Enabled) означает, что компания сама предоставляет сотруднику какое-то мобильное устройство, однако разрешает использовать его и для личных целей. Здесь пользователь уже не может сам выбирать, а довольствуется тем, что ему выдано.

COBO (Company Owned, Business Only) — это самое жёсткое ограничение: выданное компанией мобильное устройство может использоваться только для решения бизнес-задач.

Разные подходы требуют различных политик для одних и тех же мобильных ОС и устройств. 

Всё это привело к появлению новых программных продуктов, которые сформировали класс «управление мобильными устройствами» (Mobile Device Management, MDM). Однако чем большее распространение в бизнес-среде получали смартфоны и планшеты, чем больше новых функций появлялось в новых версиях мобильных ОС, тем понятнее становились пределы возможностей MDM-продуктов, и со временем те трансформировались в EMM-системы (Enterprise Mobile Management — управление корпоративной мобильностью). В таких продуктах упор делался на использование гаджетов исключительно для корпоративных целей и на разграничение личных и рабочих данных пользователя. 

Позднее, учитывая потребности бизнеса по расширению функциональности подобных продуктов на настольные ОС, вендоры перешли к выпуску UEM-систем (Unified Endpoint Management — унифицированное управление клиентскими устройствами). Такие комплексы управляют уже не только смартфонами и планшетами. В 2018–2019 гг. на мировом рынке было более 10 крупных международных вендоров, которые определяли тренды в этой области. В «магическом квадранте» компании Gartner по продуктам UEM в 2019 году выделялось 11 компаний (рис. 1).

Рисунок 1. Квадрант Gartner по продуктам UEM в 2019 году

Большинство из этих компаний активно работали на российском рынке. 

В то же время в докладе Gartner за 2022 год количество вендоров оказалось вдвое меньшим. Во многом это связано с активными слияниями и поглощениями на рынке.

Рисунок 2. Квадрант Gartner по продуктам UEM в 2022 году

В середине 2022 года почти все представленные на рис. 1 и 2 вендоры покинули российский рынок. Если попробовать построить аналогичный квадрант из локальных разработчиков, то в сегменте «Лидеры», вероятно, появится SafeMobile. За три года, прошедших с момента выхода предыдущего обзора продукта, который тогда назывался SafePhone, вендор провёл активную работу по развитию, поддержке новых версий ОС, расширению спектра функций. Нужно отметить, что по основным функциональным возможностям SafePhone конкурировал с зарубежными системами и до 2022 года.

Функциональные возможности SafeMobile

SafeMobile является продуктом класса UEM, а следовательно, может решать все задачи по администрированию, контролю и защите мобильных устройств пользователей. Назовём основные из них:

• Централизованное управление парком разнообразных мобильных устройств.
• Распространение сертификатов для организации доступа к беспроводным сетям компании.
• Распространение мобильных приложений на устройства компании через магазины App Store, Google Play Store, RuStore и Huawei AppGallery.
• Разделение мобильного устройства на две непересекающиеся зоны — личную и корпоративную.
• Контроль перемещения сотрудников в рабочее время с выполнением требований российского законодательства.
• Распространение корпоративных приложений на устройства с Android, iOS и «Авророй» без публикации в общедоступных магазинах приложений.
• Режим киоска.
• Распространение приложений на ОС Windows.
• Инвентаризация устройств.
• Удалённая блокировка мобильных устройств и их сброс к заводским настройкам при необходимости.
• Выявление признаков компрометации устройства — получения прав суперпользователя (root) или выполнения процедуры джейлбрейка.
• Сбор и анализ технической информации — данные сотовых и вайфай-сетей, объём доступной памяти, IP- и MAC-адреса устройств и т. д.

Подробно с функциональностью продукта можно ознакомиться на сайте компании-производителя или на её YouTube-канале. 

Вендор регулярно проводит тестирование распространённых на российском рынке мобильных устройств и публикует информацию о поддержке того или иного устройства, а также о присущих конкретным производителям и моделям ограничениях. Рекомендуется для начала проверить поддержку и ограничения выбранных устройств на сайте вендора.

Архитектура SafeMobile

Нынешняя версия SafeMobile использует технологию контейнеров Docker для разделения различных клиентских служб и специализированных серверов, таких как сервер администрирования, серверы управления для различных ОС, сервер регистрации, журналирования и т. д. На рисунке 3 представлена полная архитектура решения, включая внешние облачные сервисы.

Рисунок 3. Архитектура SafeMobile

Следует учитывать, что если в инфраструктуре мобильных устройств компании-заказчика применяются смартфоны и планшеты Apple, то невозможно будет обойтись без интернет-подключения к сервисам американской компании. Для доставки команд управления нужно сначала «пробудить» устройство специальным пуш-уведомлением. Эти уведомления отправляются на устройства Apple только через службу APNS (Apple Push Notification Services), и это справедливо для всех продуктов по управлению корпоративной мобильностью, вне зависимости от производителя. 

Подход к управлению Android в зарубежных решениях во многом схож и требует доступа к публичным облачным сервисам Google. SafeMobile лишён этой «особенности» и предоставляет возможность управлять смартфонами и планшетами на базе ОС Android без доступа к каким бы то ни было внешним облакам. 

Продукт может поставляться заказчикам в виде дистрибутива для локальной установки или в качестве облачного сервиса из ЦОДа производителя, аттестованного по требованиям безопасности информации. Лицензии для локальной инсталляции могут быть постоянными (вечными) и подписочными. В стоимость подписки также включается техническая поддержка продукта. При покупке постоянной лицензии техническая поддержка предоставляется только на первый год, для второго года и последующих лет потребуется приобретение дополнительного пакета.

Варианты лицензирования, включая минимальные требования по количеству приобретаемых лицензий, описаны на сайте вендора.

Системные требования SafeMobile

В зависимости от того, какое количество устройств планируется обслуживать с помощью SafeMobile, реализация локальной установки может потребовать вынесения различных серверных ролей на выделенные серверы или виртуальные машины.

Таблица 1. Системные требования в зависимости от количества устройств

Рисунок 4. Варианты локальной установки SafeMobile

В качестве операционной системы серверных компонентов может быть использован любой 64-битный дистрибутив Linux с поддержкой платформы контейнеризации Docker и сервера БД PostgreSQL.

Из российских ОС протестированы Astra Linux, Alt Linux, РЕД ОС; из СУБД — PostgreSQL 11, 12, 14 и PostgreSQL Pro 14.

При выборе облачного варианта продукта технические специалисты заказчика работают только с предоставленным порталом администрирования. Вопросами масштабирования инфраструктуры занимаются инженеры SafeMobile — поставщика облачного сервиса.

Сценарии использования SafeMobile

Применяющие SafeMobile компании относятся к различным секторам экономики: транспорт, энергетика, финансы, ретейл и другие. Ознакомиться со списком заказчиков и публичным перечнем реализованных проектов можно на сайте производителя.

Для получения общего представления о структуре и основных возможностях продукта рассмотрим несколько иллюстраций.

Рисунок 5. Окно входа в АРМ администратора

В главном окне есть информация об устройствах, включая их статусы.

Рисунок 6. Главное окно АРМ администратора SafeMobile

Для заказчиков, которым важна информация о том, как транспорт или сотрудник перемещался в течение рабочего дня, будет интересна функция предоставления сведений о местоположении и движении устройства, которые отображаются на карте в режиме реального времени. 

Рисунок 7. Информация о местоположении и перемещении устройства

Регистрируемые на устройстве события будут отображаться после выбора соответствующего элемента меню в АРМ администратора.

Рисунок 8. Информация о регистрируемых событиях на устройстве

При необходимости от устройств можно получать списки установленных приложений.

Рисунок 9. Инвентаризация установленных на устройстве приложений

Кроме приложений на мобильные устройства под управлением iOS, Android и «Авроры» можно доставлять файлы. В Android и iOS доступно также размещение ссылок на рабочем столе. 

В разделе «Отчёты» стоит особо выделить блок «События ИБ», где администратор может получить подробную информацию о событиях связанных с информационной безопасностью, которые происходили на клиентском мобильном устройстве. 

Администратор также может отдельно настроить правила соответствия требованиям по ИБ (compliance). Правила комплаенса — это конструктор автоматических действий с устройствами, включая информирование пользователя и администратора при выполнении заданной совокупности условий. Например, можно блокировать устройство в определённой геозоне или принудительно обновлять ОС, если по требованиям в части ИБ имеющаяся версия мобильной ОС недостаточна. 

Рисунок 10. Отчёт по ИБ-событиям для выбранного временного интервала

SafeMobile интегрируется со службой каталогов Microsoft Active Directory, что позволяет синхронизировать данные о структуре подразделений и о пользователях. Для облегчения управления мобильными устройствами можно использовать доменные группы и авторизацию администраторов по этим группам. 

В SafeMobile имеется гибкая ролевая модель. В систему можно добавлять новые роли и давать этим ролям требуемые полномочия. Дополнительно администратору системы можно назначить область управления, которая ограничит подконтрольное ему подмножество устройств (multitenancy). Это полезно, когда система применяется в компании с обособленными филиалами или нужно организовать поддержку ВИП-пользователей, доступа к которым обычная служба поддержки иметь не должна.

Рисунок 11. Информация о ролях и о полномочиях выбранной роли

Среди важных объектов учёта в системе — распространяемые приложения, разделённые по мобильным платформам. Кроме установки, обновления и удаления приложений с помощью SafeMobile можно осуществлять их централизованную настройку, если приложения реализовывают механизмы AppConfig, рекомендованные Apple и Google. Эти механизмы являются стандартными, поэтому если ваши разработчики или поставщики уже реализовали их для зарубежного UEM-вендора, чьим продуктом вы пользовались ранее, то для SafeMobile доработок не потребуется.

Рисунок 12. Список распространяемых с помощью SafeMobile приложений

Приложения, их настройки, правила комплаенса и профили можно связывать с организационными единицами, сотрудниками и устройствами. На рисунке ниже представлен пример, где приложение назначено всей компании, кроме выбранного департамента. При этом для выбранного сотрудника этого департамента приложение принудительно назначено. Такие назначения можно фильтровать с помощью условий: например, отправлять приложение на устройства только тех сотрудников, которые входят в определённые доменные группы.

Рисунок 13. Назначение приложений на устройства с помощью SafeMobile

Отметим важную функциональность с точки зрения построения доверенной среды по управлению мобильными устройствами: необходима взаимная аутентификация устройств и системы управления с помощью цифровых сертификатов (mTLS). Клиентские сертификаты могут выпускаться корпоративным центром заказчика или встроенным ЦС SafeMobile. 

При интеграции SafeMobile с корпоративной инфраструктурой открытых ключей (PKI) клиентские сертификаты также можно использовать для аутентификации доступа с устройств под управлением iOS и Android к вайфаю, VPN, электронной почте и другим корпоративным сервисам.

Соответствие требованиям регулирующих органов

Для успешного прохождения аудита и аттестаций в финансовых организациях вендор подтверждает возможность реализации с помощью UEM SafeMobile требований ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций».

Новинки и планы на будущее

За два первых месяца 2024 года вышли уже две версии SafeMobile — 8.2 и 8.3. Выпуск версии 8.2 ознаменовал собой крупное обновление (переход с 7-й версии продукта) и, соответственно, содержал большое количество изменений, на которые стоит обратить внимание.

Для облегчения и упрощения группировки устройств добавлена возможность устанавливать метки и использовать их при определении условий применения правил. Расширен список этих условий, что позволяет администраторам осуществлять более тонкое / гранулярное применение правил при большом количестве устройств и подразделений компании. В совокупности с метками именованные условия реализовывают функциональность смарт-групп, которым можно назначать приложения и профили.

С помощью SafeMobile стало возможно управлять обновлениями ОС Android и проводить принудительное обновление устройств с iOS. Для «Авроры» реализована возможность обновления операционной системы средствами SafeMobile из локального репозитория без выхода в интернет.

Для реализации режима киоска на устройствах с ОС Android реализован собственный механизм запуска системы. Благодаря ему такой режим включается после перезагрузки сразу же, без каких-либо задержек.

Большое пополнение произошло в списке доступных API-функций, для расширения интеграционных возможностей продукта. Если в SafeMobile 7 таких функций было две, то теперь их десятки.

Включена поддержка новых версий мобильных ОС iOS и Android и в то же время завершена поддержка устаревших версий. Теперь минимальной поддерживаемой версией Android является 5.1.

Изменения в версии 8.3 можно отнести к эволюционным, связанным с исправлением выявленных ошибок.

На 2024 год у SafeMobile большие планы — как для повышения комфортности работы администраторов (добавление новых отчётов, полей поиска, условий применения правил), так и для увеличения функциональности (дальнейшее расширение API, добавление «удалённого помощника» для ОС Android, регистрация данных по активности пользователей и другие возможности).

Выводы

SafeMobile 8.3 полезен тем, кому необходимо управлять парком мобильных устройств на разнообразных операционных системах, в т. ч. на базе российской мобильной ОС «Аврора». Большое количество политик, которые можно применить к устройствам, разнообразие регистрируемых событий и действий с устройствами в зависимости от используемой операционной системы, разделение устройств по различным группам, в том числе и по геолокации, позволяют использовать продукт в различных практических сценариях. 

Компании, у которых есть штат квалифицированных специалистов или требования по контролю над инфраструктурой, могут развёртывать систему локально на своих ресурсах. В других случаях можно воспользоваться облачным сервисом, предоставляемым производителем. 

Программные интерфейсы (API) позволяют партнёрам SafeMobile создавать свои расширения. Так, например, можно построить портал самообслуживания для пользователей, где они смогут самостоятельно, не обращаясь к администраторам системы управления, выполнять простейшие операции со своими устройствами: сброс пароля, переустановку приложения, профиля или сертификата. Для администраторов возможно настроить автоматизацию поддержки инфраструктуры мобильных устройств: в случае превышения порога ошибок провести переустановку приложений и / или профилей, подготовить отчёты по устройствам и т. д.

Уже имеются крупные внедрения, обеспечивающие контроль за десятками тысяч устройств. С одним из таких внедрений можно ознакомиться в записи совместного выступления SafeMobile и ПАО «Сбербанк». 

Достоинства:

• Поддержка практически всех встречающихся в корпоративной среде операционных систем, за исключением Apple macOS.
• Подробная документация как для администратора и пользователя, так и для партнёров, обеспечивающих интеграцию продукта со внешними системами через встроенные API.
• Возможность развёртывания решения на полностью отечественном серверном стеке — российском дистрибутиве PostgreSQL и одной из российских сборок Linux.
• Управление мобильными устройствами с российской ОС «Аврора».
• Единая консоль управления всей функциональностью системы.
• Широкий диапазон поддерживаемых версий iOS (от 11 до 17.4 включительно) и Android (от 5.1 до 14 включительно).
• Различные варианты использования продукта: облачный сервис, в т. ч. партнёрский, локальная установка на ресурсах заказчика.

Недостатки:

• Мало возможностей по управлению настольными ОС — Windows и Linux.
• На двухсимочных телефонах пока гарантируется управление корпоративным устройством только для одной из сим-карт.
• Синхронизация с Active Directory осуществляется по расписанию, что при большом интервале может вызывать задержку отзыва прав при отключении учётной записи пользователя.
• Отсутствие возможности настроить двухфакторную аутентификацию для портала администратора.
• Отсутствие своих приложений: почтового клиента, веб-браузера.