Контакты
Подписка 2024

WorksPad: российское решение для безопасной корпоративной мобильности

Сергей Макарьин, 07/11/23

Борьба с утечками корпоративных данных при работе с мобильными устройствами представляет собой важную задачу для обеспечения общего уровня информационной безопасности компаний. О решении WorksPad, реализованном для организации защищенной мобильной работы сотрудников с корпоративными данными и системами, рассказал редакции журнала Сергей Макарьин, директор департамента WorksPad, ГК “Астра”.

Автор: Сергей Макарьин, директор департамента WorksPad, ГК “Астра”

– Сергей, в чем заключается подход WorksPad к организации корпоративной мобильности?

– WorksPad – это клиент-серверное решение, устанавливаемое on-premise. Наш продукт создает на мобильном устройстве сотрудника защищенный контейнер, который централизованно управляется его компанией. Внутри этого клиентского супераппа реализованы все необходимые бизнес-функции, которые требуются корпоративному пользователю.

Так, WorksPad включает полноценный клиент электронной почты, контакты, рабочие календари, сетевые папки, офисный пакет и браузер. Здесь же реализованы доступ к внутренним корпоративным источникам данных (то есть Enterprise Content Management) и синхронизация файлов по модели корпоративного Dropbox – между всеми устройствами сотрудника.

Но пользователю WorksPad доступны не только общие базовые функции: предусмотрена возможность создавать динамические клиентские микроприложения для работы с корпоративными системами заказчика.

Отмечу, что WorksPad предназначен в основном для так называемых белых воротничков – Information Workers. В подавляющем большинстве случаев они пользуются моделью BYOD, поэтому с помощью WorksPad спокойно работают с корпоративными данными на своем личном устройстве и не переживают за приватность, а их компания при этом тоже будет спокойна, так как данные в контейнере всегда под ее защитой и управлением.

WorksPad-клиент работает на iOS и Android. Для iOS все просто: официально заявлена поддержка трех последних мажорных версий ОС. Для Android такого четкого критерия нет, WorksPad поддерживает как минимум три последние версии платформы, но иногда и более старые их редакции, поскольку на рынке слишком много версий и устройств на Android и многие из них подчас сильно разнятся.

Сервер WorksPad с точки зрения поддержки платформ абсолютно "всеяден": он полностью кроссплатформенный, что крайне удобно во времена смены инфраструктурных компонентов и импортозамещения. Например, сервер может быть установлен как на Linux, так и на Windows Server, а также поддерживать интеграцию с СУБД Tantor, PostgreSQL, MS SQL, любыми службами каталогов предприятия, причем с несколькими параллельно и без трастов – AD, FreeIPA, ALD Pro, поддерживаются любые почтовые серверы, причем тоже параллельно – RuPost, Exchange, CommunigatePro и другие с IMAP, CalDAV, CardDav. Такая же универсальность WorksPad отмечается и в работе с другими корпоративными ресурсами, при этом поддерживается неограниченная горизонтальная масштабируемость системы и кластеризация.

ris1_w

– Как организована защита корпоративных данных в WorksPad?

– WorksPad – это в первую очередь инструмент для продуктивной работы. И поскольку дело касается корпоративной информации, то, несомненно, требуется предотвратить утечку данных и защитить предлагаемый системой бизнес-функционал.

WorksPad работает в парадигме классических EMM-решений (Enterprise Mobility Management) и предоставляет защищенный контейнер, который управляется с сервера ИТ- или ИБ-администраторами. В линейку продуктов WorksPad также добавляется и классический MDM, что позволит закрыть любые EMM-сценарии средствами линейки WorksPad EMM.

Классический современный WorksPad дает возможность наложить на контейнер гибкие политики безопасности и управления, которых сейчас десятки. Их можно по-разному комбинировать для тех или иных групп пользователей, например:

  • пересылка документов во внешние приложения и их доставка в контейнер извне;
  • разрешение и запрет копирования и вставки данных;
  • контроль jailbreak и root и реакции на эти события, вплоть до затирания данных в контейнере;
  • разрешение и запрет печати;
  • политики управления аутентификацией, скриншотами, защиты push-уведомлений;
  • вывод водяных знаков поверх экрана, создание черных или белых списков для встроенного браузера и многое другое.

Политики компонуются в наборы профилей, которые можно применять к группам пользователей, что позволяет гибко настраивать уровень безопасности. При этом WorksPad никак не затрагивает окружение, расположенное за рамками защищенного контейнера.

Для сотрудников, не работающих с конфиденциальной информацией, возможно поставить более мягкие ограничения. А вот для юристов, которые постоянно в разъездах и работают удаленно со сверхважными данными и могут потерять устройство с большей вероятностью, уровень защиты лучше установить на максимум и подключать функции шифрования контейнеров, строгой аутентификации, удаления данных при root и jailbreak и тому подобное.

Такие возможности управления защитой корпоративного мобильного приложения и данных в нем часто называют MAM, Mobile Application Management. В совокупности с разрабатываемым в рамках WorksPad MDM полноценным магазином приложений мы получаем отличную функциональность и гибкость для управления различными рабочим прикладным софтом.

– Планируется ли в WorksPad функциональность MDM?

– Мы готовы предлагать заказчикам использовать WorksPad вместе с любым другим MDM, который уже используется в сети заказчика. Это востребовано в том случае, если кроме защищенности и функциональности WorksPad им необходимо и управление самими устройствами, например корпоративными. Наш продукт без проблем сосуществует с российскими и иностранными MDM-решениями, и уже есть масса примеров подобных совместных внедрений.

Сегодня происходит важный этап в развитии линейки продуктов WorksPad: мы заканчиваем разработку WorksPad MDM, уже в октябре текущим заказчикам станет доступен предварительный релиз для тестирования, а на декабрь-2023 запланированы полноценный первый релиз и старт продаж.

Таким образом, WorksPad становится законченным EMM-решением, которое можно внедрять либо как чистый MDM, либо включать защищенный контейнер-суперапп с настраиваемой функциональностью. WorksPad с MDM удовлетворит, пожалуй, все потребности заказчиков, которые типичны для класса EMM-систем.

– Насколько целесообразна интеграция WorksPad c системами класса DLP?

– Фактически WorksPad сам в некотором роде исполнитель части функций DLP: он позволяет предотвращать утечку корпоративных данных, которые оказались на мобильном устройстве сотрудника. Стоит отметить, что у большинства российских разработчиков DLP нет специального решения для планшетов и смартфонов, поскольку создавать, развивать и поддерживать собственный агент для мобильных ОС – дело весьма трудоемкое и специфичное, а установка агентов, подразумевающих полный контроль устройства, часто не устраивает конечных пользователей. В то же время контейнер, который WorksPad устанавливает на мобильном устройстве, уже защищает от компрометации данных на уровне политик, решая часть задач DLP.

В итоге интеграция с DLP имеет смысл на серверной стороне, чтобы дополнительно контролировать данные, которые отправляются на мобильный клиент. Например, WorksPad давно интегрирован с Traffic Monitor от компании InfoWatch, а сейчас ведутся работы по совместимости с другими российскими популярными DLP-решениями.

– Проводится ли аудит действий пользователей на устройствах?

– У WorksPad нет и не планируется встроенного механизма для слежки за пользователем на уровне устройства – за направлением взгляда, движениями пальцев, геопозицией или данными, которые он хранит за пределами защищенного контейнера в любых других приложениях. Но на уровне мобильного клиента WorksPad обеспечен строгий контроль и логирование действий именно в контейнере с корпоративными данными.

Логирование действий пользователя и поведения системы также происходят на сервере WorksPad, ну и, конечно же, в корпоративных системах, данные из которых поступают в защищенный контейнер.

Кстати, аудит устройств будет являться частью функционала WorksPad MDM, чтобы продукт соответствовал требованиям корпоративных политик безопасности.

– Возможно ли подключение дополнительных корпоративных сервисов внутри WorksPad?

– Для подключения новых корпоративных сервисов и служб заказчик может самостоятельно использовать WorksPad Assistant, который позволяет создавать микроприложения внутри клиента-контейнера на мобильном устройстве, организуя таким образом доступ к корпоративным системам и данным.

Несмотря на то что некоторые вендоры корпоративных систем ведут разработку своих мобильных клиентов, мы видим, что крупные заказчики не очень активно ими пользуются. И дело даже не в том, что приложения не защищены с точки зрения управления корпоративной мобильностью. Проблема в универсальности клиентов, которые не учитывают специфику каждой конкретной организации, ее роли и процессы. Поэтому на рынке развивается другой подход, который мы и реализовали. У сервера WorksPad есть API и SDK для быстрой разработки микросерверных приложений, для них не требуется свой UI, они просто передают нужные данные из выбранной корпоративной системы через сервер WorksPad в защищенный контейнер на мобильном устройстве сотрудника. В итоге нет необходимости передавать всю имеющуюся информацию, достаточно отправить в работу мобильному пользователю только то, что ему действительно нужно.

Бизнес-логика таких серверных приложений, исполняемая на C# или Python, получается очень простой, она не предъявляет никаких сверхтребований к программисту, который ее прописывает в WorksPad Assistant.

Есть заказчики, которые начинали использовать WorksPad исключительно для работы с почтой или календарями, но со временем открыли для себя возможности WorksPad Assistant и стали обогащать приложение функциями, связанными с работой своих корпоративных систем.

– Как можно интегрировать WorksPad с SIEM?

– Когда заказчики внедряют решения класса SIEM, они хотят собирать информацию о событиях со всех корпоративных ресурсов. В этом смысле наше решение можно считать еще одной из таких систем, и для этого у WorksPad есть детальный серверный API, который позволяет интегрировать решение с системами мониторинга.

Темы:WorksPadMDM-решенияЖурнал "Информационная безопасность" №4, 2023Корпоративная мобильностьEMM

Отечественные ИT-платформы
и ПО для объектов КИИ:
готовность к 1 января 2025
Конференция | 24 июля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита от современных угроз
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...