Сергей Макарьин, 07/11/23
Борьба с утечками корпоративных данных при работе с мобильными устройствами представляет собой важную задачу для обеспечения общего уровня информационной безопасности компаний. О решении WorksPad, реализованном для организации защищенной мобильной работы сотрудников с корпоративными данными и системами, рассказал редакции журнала Сергей Макарьин, директор департамента WorksPad, ГК “Астра”.
Автор: Сергей Макарьин, директор департамента WorksPad, ГК “Астра”
– Сергей, в чем заключается подход WorksPad к организации корпоративной мобильности?
– WorksPad – это клиент-серверное решение, устанавливаемое on-premise. Наш продукт создает на мобильном устройстве сотрудника защищенный контейнер, который централизованно управляется его компанией. Внутри этого клиентского супераппа реализованы все необходимые бизнес-функции, которые требуются корпоративному пользователю.
Так, WorksPad включает полноценный клиент электронной почты, контакты, рабочие календари, сетевые папки, офисный пакет и браузер. Здесь же реализованы доступ к внутренним корпоративным источникам данных (то есть Enterprise Content Management) и синхронизация файлов по модели корпоративного Dropbox – между всеми устройствами сотрудника.
Но пользователю WorksPad доступны не только общие базовые функции: предусмотрена возможность создавать динамические клиентские микроприложения для работы с корпоративными системами заказчика.
Отмечу, что WorksPad предназначен в основном для так называемых белых воротничков – Information Workers. В подавляющем большинстве случаев они пользуются моделью BYOD, поэтому с помощью WorksPad спокойно работают с корпоративными данными на своем личном устройстве и не переживают за приватность, а их компания при этом тоже будет спокойна, так как данные в контейнере всегда под ее защитой и управлением.
WorksPad-клиент работает на iOS и Android. Для iOS все просто: официально заявлена поддержка трех последних мажорных версий ОС. Для Android такого четкого критерия нет, WorksPad поддерживает как минимум три последние версии платформы, но иногда и более старые их редакции, поскольку на рынке слишком много версий и устройств на Android и многие из них подчас сильно разнятся.
Сервер WorksPad с точки зрения поддержки платформ абсолютно "всеяден": он полностью кроссплатформенный, что крайне удобно во времена смены инфраструктурных компонентов и импортозамещения. Например, сервер может быть установлен как на Linux, так и на Windows Server, а также поддерживать интеграцию с СУБД Tantor, PostgreSQL, MS SQL, любыми службами каталогов предприятия, причем с несколькими параллельно и без трастов – AD, FreeIPA, ALD Pro, поддерживаются любые почтовые серверы, причем тоже параллельно – RuPost, Exchange, CommunigatePro и другие с IMAP, CalDAV, CardDav. Такая же универсальность WorksPad отмечается и в работе с другими корпоративными ресурсами, при этом поддерживается неограниченная горизонтальная масштабируемость системы и кластеризация.
– Как организована защита корпоративных данных в WorksPad?
– WorksPad – это в первую очередь инструмент для продуктивной работы. И поскольку дело касается корпоративной информации, то, несомненно, требуется предотвратить утечку данных и защитить предлагаемый системой бизнес-функционал.
WorksPad работает в парадигме классических EMM-решений (Enterprise Mobility Management) и предоставляет защищенный контейнер, который управляется с сервера ИТ- или ИБ-администраторами. В линейку продуктов WorksPad также добавляется и классический MDM, что позволит закрыть любые EMM-сценарии средствами линейки WorksPad EMM.
Классический современный WorksPad дает возможность наложить на контейнер гибкие политики безопасности и управления, которых сейчас десятки. Их можно по-разному комбинировать для тех или иных групп пользователей, например:
- пересылка документов во внешние приложения и их доставка в контейнер извне;
- разрешение и запрет копирования и вставки данных;
- контроль jailbreak и root и реакции на эти события, вплоть до затирания данных в контейнере;
- разрешение и запрет печати;
- политики управления аутентификацией, скриншотами, защиты push-уведомлений;
- вывод водяных знаков поверх экрана, создание черных или белых списков для встроенного браузера и многое другое.
Политики компонуются в наборы профилей, которые можно применять к группам пользователей, что позволяет гибко настраивать уровень безопасности. При этом WorksPad никак не затрагивает окружение, расположенное за рамками защищенного контейнера.
Для сотрудников, не работающих с конфиденциальной информацией, возможно поставить более мягкие ограничения. А вот для юристов, которые постоянно в разъездах и работают удаленно со сверхважными данными и могут потерять устройство с большей вероятностью, уровень защиты лучше установить на максимум и подключать функции шифрования контейнеров, строгой аутентификации, удаления данных при root и jailbreak и тому подобное.
Такие возможности управления защитой корпоративного мобильного приложения и данных в нем часто называют MAM, Mobile Application Management. В совокупности с разрабатываемым в рамках WorksPad MDM полноценным магазином приложений мы получаем отличную функциональность и гибкость для управления различными рабочим прикладным софтом.
– Планируется ли в WorksPad функциональность MDM?
– Мы готовы предлагать заказчикам использовать WorksPad вместе с любым другим MDM, который уже используется в сети заказчика. Это востребовано в том случае, если кроме защищенности и функциональности WorksPad им необходимо и управление самими устройствами, например корпоративными. Наш продукт без проблем сосуществует с российскими и иностранными MDM-решениями, и уже есть масса примеров подобных совместных внедрений.
Сегодня происходит важный этап в развитии линейки продуктов WorksPad: мы заканчиваем разработку WorksPad MDM, уже в октябре текущим заказчикам станет доступен предварительный релиз для тестирования, а на декабрь-2023 запланированы полноценный первый релиз и старт продаж.
Таким образом, WorksPad становится законченным EMM-решением, которое можно внедрять либо как чистый MDM, либо включать защищенный контейнер-суперапп с настраиваемой функциональностью. WorksPad с MDM удовлетворит, пожалуй, все потребности заказчиков, которые типичны для класса EMM-систем.
– Насколько целесообразна интеграция WorksPad c системами класса DLP?
– Фактически WorksPad сам в некотором роде исполнитель части функций DLP: он позволяет предотвращать утечку корпоративных данных, которые оказались на мобильном устройстве сотрудника. Стоит отметить, что у большинства российских разработчиков DLP нет специального решения для планшетов и смартфонов, поскольку создавать, развивать и поддерживать собственный агент для мобильных ОС – дело весьма трудоемкое и специфичное, а установка агентов, подразумевающих полный контроль устройства, часто не устраивает конечных пользователей. В то же время контейнер, который WorksPad устанавливает на мобильном устройстве, уже защищает от компрометации данных на уровне политик, решая часть задач DLP.
В итоге интеграция с DLP имеет смысл на серверной стороне, чтобы дополнительно контролировать данные, которые отправляются на мобильный клиент. Например, WorksPad давно интегрирован с Traffic Monitor от компании InfoWatch, а сейчас ведутся работы по совместимости с другими российскими популярными DLP-решениями.
– Проводится ли аудит действий пользователей на устройствах?
– У WorksPad нет и не планируется встроенного механизма для слежки за пользователем на уровне устройства – за направлением взгляда, движениями пальцев, геопозицией или данными, которые он хранит за пределами защищенного контейнера в любых других приложениях. Но на уровне мобильного клиента WorksPad обеспечен строгий контроль и логирование действий именно в контейнере с корпоративными данными.
Логирование действий пользователя и поведения системы также происходят на сервере WorksPad, ну и, конечно же, в корпоративных системах, данные из которых поступают в защищенный контейнер.
Кстати, аудит устройств будет являться частью функционала WorksPad MDM, чтобы продукт соответствовал требованиям корпоративных политик безопасности.
– Возможно ли подключение дополнительных корпоративных сервисов внутри WorksPad?
– Для подключения новых корпоративных сервисов и служб заказчик может самостоятельно использовать WorksPad Assistant, который позволяет создавать микроприложения внутри клиента-контейнера на мобильном устройстве, организуя таким образом доступ к корпоративным системам и данным.
Несмотря на то что некоторые вендоры корпоративных систем ведут разработку своих мобильных клиентов, мы видим, что крупные заказчики не очень активно ими пользуются. И дело даже не в том, что приложения не защищены с точки зрения управления корпоративной мобильностью. Проблема в универсальности клиентов, которые не учитывают специфику каждой конкретной организации, ее роли и процессы. Поэтому на рынке развивается другой подход, который мы и реализовали. У сервера WorksPad есть API и SDK для быстрой разработки микросерверных приложений, для них не требуется свой UI, они просто передают нужные данные из выбранной корпоративной системы через сервер WorksPad в защищенный контейнер на мобильном устройстве сотрудника. В итоге нет необходимости передавать всю имеющуюся информацию, достаточно отправить в работу мобильному пользователю только то, что ему действительно нужно.
Бизнес-логика таких серверных приложений, исполняемая на C# или Python, получается очень простой, она не предъявляет никаких сверхтребований к программисту, который ее прописывает в WorksPad Assistant.
Есть заказчики, которые начинали использовать WorksPad исключительно для работы с почтой или календарями, но со временем открыли для себя возможности WorksPad Assistant и стали обогащать приложение функциями, связанными с работой своих корпоративных систем.
– Как можно интегрировать WorksPad с SIEM?
– Когда заказчики внедряют решения класса SIEM, они хотят собирать информацию о событиях со всех корпоративных ресурсов. В этом смысле наше решение можно считать еще одной из таких систем, и для этого у WorksPad есть детальный серверный API, который позволяет интегрировать решение с системами мониторинга.
