Стремительное проникновение мобильных технологий в бизнес-процессы привело к активному развитию концепции BYOD: для 83% крупных корпораций, субъектов малого и среднего бизнеса, предприятий госсектора, BFSI-отрасли и других компаний вертикального бизнес-рынка использование BYOD – уже свершившийся факт. В связи с их переходом на Bring Your Own Device киберугрозы только растут, и вместе с ними растет актуальность оптимизации готовых ИТ-решений для организации защиты в плоскости корпоративной мобильной безопасности.
Архитектура защиты данных на мобильных устройствах опирается на золотой стандарт в системе Enterprise Mobility Management (EMM) — кластеризацию. Технология предоставляет возможность корпоративному пользователю работать на личном смартфоне или планшете на базе iOS и Android без ущерба приватности, а компаниям — централизованно управлять данными, и в этом ее уникальное преимущество. Механизм успешно реализован в WorksPad — клиент-серверном решении класса EMM, устанавливаемом on-premise. Приложение объединяет внутрикорпоративные файловые ресурсы и обеспечивает безопасный доступ к ним на мобильных устройствах, позволяя сотрудникам компаний использовать полный набор привычных инструментов.
На российском рынке управления корпоративной мобильностью первые версии WorksPad были представлены почти 10 лет назад. Российский ИБ-продукт эволюционировал, конкурируя с такими мировыми ИТ-гигантами, как Microsoft, IBM, Citrix, VMware, SAP Afaria, SOTI, и сегодня составляет им достойную альтернативу в нашей стране наряду с Kaspersky Security for Mobile.
Функциональные возможности WorksPad
WorksPad устроен по принципу клиентского супераппа: в нем реализованы все необходимые бизнес-функции, которые требуются корпоративному пользователю.
Так, WorksPad включает полноценный клиент электронной почты, контакты, рабочие календари, сетевые папки, офисный пакет и браузер. Здесь же реализованы доступ к внутренним корпоративным источникам данных (то есть Enterprise Content Management) и синхронизация файлов по модели корпоративного Dropbox – между всеми устройствами сотрудника.
Есть заказчики, которые начинали использовать WorksPad исключительно для работы с почтой или календарями, но со временем открыли для себя возможности WorksPad Assistant и стали обогащать приложение функциями, связанными с работой своих корпоративных систем.
Несмотря на то, что некоторые вендоры корпоративных систем ведут разработку своих мобильных клиентов, крупные компании неактивно ими пользуются. И дело даже не в том, что приложения не защищены с точки зрения управления корпоративной мобильностью. Проблема в универсальности мобильных клиентов, которые не учитывают специфику каждой конкретной организации, ее роли и процессы. Поэтому на рынке развивается другой подход, который реализовала компания «РуПост» (входит в ГК «Астра»). Так как у сервера WorksPad есть API и SDK для быстрой разработки микросерверных приложений, то для них не требуется свой UI, они просто передают нужные данные из выбранной корпоративной системы через сервер WorksPad в защищенный контейнер на мобильном устройстве сотрудника. В итоге нет необходимости передавать всю имеющуюся информацию – достаточно отправить в работу мобильному пользователю только то, что ему действительно нужно.
Бизнес-логика таких серверных приложений, исполняемая на C# или Python, получается очень простой и не предъявляет никаких сверхтребований к программисту, который ее прописывает в WorksPad Assistant.
Подход к организации корпоративной мобильной безопасности
WorksPad-клиент работает на iOS и Android. Для iOS официально заявлена поддержка трех последних мажорных версий ОС. Для Android такого четкого критерия нет, WorksPad поддерживает как минимум три последние версии платформы, но иногда и более старые их редакции, поскольку на рынке слишком много версий и устройств на Android и многие из них подчас сильно разнятся.
Сервер WorksPad, с точки зрения поддержки платформ, абсолютно «всеяден»: он полностью кроссплатформенный, что крайне удобно во времена смены инфраструктурных компонентов и импортозамещения. Например, сервер может быть установлен как на Linux, так и на Windows Server, а также поддерживать интеграцию с СУБД Tantor, PostgreSQL, MSSQL, любыми службами каталогов предприятия, причем с несколькими параллельно и без трастов – AD, FreeIPA, ALD Pro, поддерживаются любые почтовые серверы, причем тоже параллельно – RuPost, Exchange, CommunigatePro и другие с IMAP, CalDAV, CardDav. Такая же универсальность WorksPad отмечается и в работе с другими корпоративными ресурсами, при этом поддерживается неограниченная горизонтальная масштабируемость системы и кластеризация.
Как организована защита корпоративных данных в WorksPad?
WorksPad работает в парадигме классических EMM-решений и предоставляет защищенный контейнер, который управляется с сервера ИТ- или ИБ-администраторами. Также в линейку WorksPad добавляется и классический MDM, что позволяет закрыть любые EMM-сценарии.
Современный классический WorksPad дает возможность наложить на контейнер гибкие политики безопасности и управления, которых сейчас десятки. Их можно комбинировать по-разному — компоновать в наборы профилей, устанавливая ограничения в зависимости от рабочих задач пользователей. При этом WorksPad никак не затрагивает окружение, расположенное за рамками защищенного контейнера.
Например, для сотрудников, не работающих с конфиденциальной информацией, возможно поставить более мягкие ограничения. А вот, например, для юристов, которые довольно часто работают удаленно со сверхважными данными и могут потерять устройство с большей вероятностью, уровень защиты лучше установить на максимум и подключать функции шифрования контейнеров, строгой аутентификации, удалении данных при root и jailbreak и тому подобное.
Такие возможности управления защитой корпоративного мобильного приложения и данных в нем часто называют MAM (Mobile Application Management). В совокупности с разрабатываемым в рамках WorksPad MDM полноценным магазином приложений пользователи получают отличную функциональность и гибкость для управления рабочим прикладным софтом.
Дополнительные возможности использования WorksPad
Пользователю WorksPad доступны не только общие базовые функции: предусмотрена возможность создавать динамические клиентские микроприложения для работы с корпоративными системами организации, в которой он работает. Для подключения новых корпоративных сервисов и служб компания-заказчик может самостоятельно использовать WorksPad Assistant, который позволяет создавать микроприложения внутри клиента-контейнера на мобильном устройстве, организуя таким образом доступ к корпоративным системам и данным.
Несмотря на то, что некоторые вендоры корпоративных систем ведут разработку своих мобильных клиентов, крупные заказчики не очень активно ими пользуются. И дело даже не в том, что приложения не защищены с точки зрения управления корпоративной мобильностью. Проблема в универсальности клиентов, которые не учитывают специфику каждой конкретной организации, ее роли и процессы. Поэтому на рынке развивается другой подход. Так у сервера WorksPad есть API и SDK для быстрой разработки микросерверных приложений: для них не требуется свой UI, они просто передают нужные данные из выбранной корпоративной системы через сервер WorksPad в защищенный контейнер на мобильном устройстве сотрудника. В итоге нет необходимости передавать всю имеющуюся информацию – достаточно отправить в работу мобильному пользователю только то, что ему действительно нужно.
Бизнес-логика таких серверных приложений, исполняемая на C# или Python, получается очень простой, она не предъявляет никаких сверхтребований к программисту, который ее прописывает в WorksPad Assistant.
Ряд компаний начинали использовать WorksPad исключительно для работы с почтой или календарями, но со временем открыли для себя возможности WorksPad Assistant и стали обогащать приложение функциями, связанными с работой своих корпоративных систем.
Целесообразность интеграции WorksPad с системами класса DLP
Фактически WorksPad сам в некотором роде исполнитель части функций DLP: он позволяет предотвращать утечку корпоративных данных, которые оказались на мобильном устройстве сотрудника. Стоит отметить, что у большинства российских разработчиков DLP нет специального решения для планшетов и смартфонов, поскольку создавать, развивать и поддерживать собственный агент для мобильных ОС — дело весьма трудоемкое и специфичное, а установка агентов, подразумевающих полный контроль устройства, часто не устраивает конечных пользователей. В то же время контейнер, который WorksPad устанавливает на мобильном устройстве, уже защищает от компрометации данных на уровне политик, решая часть задач DLP.
В итоге интеграция с DLP имеет смысл на серверной стороне, чтобы дополнительно контролировать данные, которые отправляются на мобильный клиент. Например, WorksPad давно интегрирован с Traffic Monitor от компании InfoWatch, а сейчас ведутся работы по совместимости с другими российскими популярными DLP-решениями.
А что насчет интеграции WorksPad c MDM-решениями?
WorksPad с 2023 года это теперь и MDM, что превращает его в полное EMM решение и добавляет функционал управления устройствами. Например, администратор сможет заблокировать доступ к контейнеру или удалить из него корпоративные данные в случае потери устройства или если на нем будут зафиксированы попытки рутирования или джейлбрейка.
Часть функционала WorksPad MDM отведена под аудит устройств, чтобы продукт соответствовал требованиям корпоративных политик безопасности. При этом в WorksPad нет встроенного механизма для слежки за пользователем на уровне устройства: направлением взгляда, движениями пальцев, геопозицией или данными, которые он хранит за пределами защищенного контейнера в любых других приложениях, — и такой механизм не планируется.
WorksPad уже успешно сосуществует с российскими и иностранными MDM-решениями, и есть масса примеров подобных совместных внедрений. Что касается релиза WorksPad MDM – решение можно внедрять либо как чистый MDM, либо с защищенным контейнером-супераппом с настраиваемой функциональностью, что , пожалуй, удовлетворит все потребности заказчиков, которым сегодня требуется современная EMM-система.
