Сергей Вахонин, 06/03/19
Вопрос о контроле корпоративной почты на мобильных устройствах под управлением наиболее распространенных платформ Android и iOS – один из наиболее актуальных на конференциях по защите данных от утечки. Практически всех их участников беспокоит риск утечки информации ограниченного доступа через корпоративную и личную почту с мобильных BYOD-устройств.
Активное применение персональных мобильных устройств в рабочих целях, и прежде всего для оперативных коммуникаций по электронной почте, значительно упрощает практическое использование корпоративных данных в производственных процессах, повышает производительность труда сотрудников, их мобильность и работоспособность. Переломить эту тенденцию распространения BYOD-устройств в корпоративных информационных системах не только невозможно, но и контрпродуктивно для бизнеса.
Однако с точки зрения обеспечения ИБ возникает дилемма между предоставлением доступа к служебной почте и корпоративной информации и обеспечением ее защиты при использовании на мобильных устройствах.
Важным фактором, влияющим на архитектуру решений по предотвращению утечек данных с мобильных персональных устройств, является то, что по разным причинам современные мобильные ОС не обеспечивают надежное функционирование DLP-агентов. Платформа iOS не предоставляет доступа приложениям к ядру ОС, тогда как Android, напротив, является открытой платформой, а значит любой пользователь может путем несложной процедуры получить полный административный доступ к своему устройству Android и удалить приложение, в данном случае гипотетический DLP-агент, тем самым отключив контроль передаваемых данных и предотвращение утечек ценной информации. Наконец, нельзя забывать, что личные устройства всегда остаются личными, даже будучи предоставленными организацией, и здесь возникает масса ограничений как организационного, так и технического характера. Следует учитывать сложность доступа, невозможность автоматизированного централизованного развертывания, отсутствие административного контроля личного устройства службой ИТ и т.д.
Сетецентричные DLP-решения, стоящие за корпоративными шлюзами и VPN-туннелями, во многих отечественных продуктах ограничены функцией мониторинга почтовых коммуникаций, а для протоколов MAPI и Lotus и вовсе неприменимы: проприетарное шифрование в этих протоколах принципиально исключает возможность анализа содержимого почтовых сообщений после их отправки. В случае MAPI и Lotus анализ контента возможен только до момента отправки, что требует использования агентской DLP-архитектуры и перехвата сообщений посредством внедрения собственного кода в адресное пространство процессов почтового клиента.
Другим динамично развивающимся направлением ИБ является предоставление доступа к информационным активам компании через удаленное подключение к стерильной рабочей среде, созданной с помощью решений для виртуализации рабочих сред и приложений. Применительно к предотвращению утечек в почтовых коммуникациях на устройствах Android и iOS это реализуется посредством предоставления удаленного доступа к корпоративным серверам в целом и служебной почте в частности через терминальные сессии. При этом контроль почтовых коммуникаций каждой терминальной сессии осуществляется DLP-агентом, работающим на терминальном сервере. В данной модели почтовый клиент для работы с корпоративной почтой публикуется как виртуализованное приложение: например, в среде Citrix XenApp пользователь может работать с почтовым клиентом с любого устройства, включая мобильные устройства Android и iOS, а DLP-контроль реализуется непосредственно в корпоративной среде виртуализации на терминальном сервере. Для этого на личном устройстве самим пользователем или ИТ-подразделением организации устанавливается терминальный клиент (например, Citrix Receiver) или же вместо него может использоваться любой Web-браузер, поддерживающий HTML5.
На стороне пользователя в организационном плане модель доступа к почтовому клиенту через терминальную сессию реализуется достаточно просто: Citrix Receiver доступен и в App Store, и в Play Market и без каких-либо сложностей устанавливается на любые версии iOS и Android, а инструкция по подключению к корпоративному почтовому клиенту как виртуализованному приложению будет довольно компактной.
Последняя, самая важная часть описываемой модели – это DLP-система, контролирующая почтовые коммуникации в среде виртуализации. Агент программного комплекса DeviceLock DLP, будучи установленным на терминальном сервере, обеспечивает контроль контекста и контентную фильтрацию сетевых коммуникаций каждой сессии виртуальной корпоративной среды. Технология DeviceLock Virtual DLP позволяет перехватывать почтовые сообщения непосредственно из опубликованного в Citrix XenApp приложения – почтового клиента, доступ к которому пользователь получает через терминальную сессию, и в режиме реального времени осуществлять проверку контекста сообщения (наличие вложений, проверку почтовых идентификаторов) и контента (содержимого контента) сообщений и вложений на их соответствие DLP-политикам, заданным для этого пользователя. В случае выявления нарушения операция передачи данных ограниченного доступа блокируется в целях предотвращения их утечки, при этом создается соответствующая запись в журнале и теневая копия передаваемого сообщения с вложениями, а также генерируется тревожное оповещение для обработки в рамках процедуры менеджмента инцидентов ИБ.
Стоит отметить, что DeviceLock DLP позволяет контролировать все распространенные почтовые протоколы – SMTP/SMTP over SSL, MAPI и IBM/Lotus Notes, а на мобильное устройство пользователей потребуется установить и настроить только приложение для терминального доступа. Более того, благодаря применению технологии DeviceLock Virtual DLP обеспечивается полный контроль разнообразных вариантов эксплуатации персональных мобильных устройств в различных моделях использования решений виртуализации (BYOD, "домашний офис", тонкие клиенты), построенных на платформах виртуализации и терминального доступа от Microsoft, Citrix, VMware и других производителей – компании могут полностью контролировать не только почтовые коммуникации, но и в целом корпоративные среды виртуализации, передаваемые на любые персональные устройства сотрудников, включая мобильные, равно как и любые другие удаленные устройства на любых ОС.
