`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Арсен Бандурян

Что такое мобильная ОС для корпоративного сегмента?

+44
голоса

Недавно читал отчет J. Gold Associates, посвященный критериям выбора корпоративной мобильной ОС. А тут еще в комментариях в соседнем блоге высказали утверждение, что ОС можно считать корпоративной по признаку наличия интеграции с Exchange (почта, календарь) и пакета офисных приложений. А теперь давайте углубимся в вопрос (с особым пристратием рассмотрим безопасность)...

Корпоративная мобильная ОС, должна соответствовать следующим требованиям:

  • Надежность. Мы даем сотрудникам мобильные устройства, чтобы они эффективнее работали, а не тратили время на борьбу с глюками и зависаниями.
  • Управляемость. После того, как мы раздали людям несколько сотен (если не десятков тысяч) мобильных устройств, которые постоянно перемещаются, далеко не всегда находятся на связи и могут не заезжать в офис месяцами, вопрос управления всем этим хозяйством, распространения и обновления ПО (и патчей ОС), траблшутинга, поддержки пользователей ("Я жму, а оно не жмется!") и управления конфигурацией стоит ОЧЕНЬ остро и может отнимать уйму времени.
  • Безопасность. Корпоративное устройство подключено к корпоративной сети и имеет доступ, ли даже хранит в себе, часть важной корпоративной информации, предоставляющей из себя корпоративную (если не государственную) тайну. Злоумышленник, завладевший таким устройством, помимо доступа к этой информации, может также выдать себя за сотрудника, со всеми вытекающими последствиями. За устройствами надо следить, они должны поддерживать безопасный доступ к информации, ее безопасное хранение и способы ликвидации всей или частичной информации на устройстве (в т.ч. настроек доступа к сети, истории звонков, контактов и т.д.).
  • Функциональность / совместимость / эффективность. Помимо того, что система должна быть надежной, защищенной, управляемой/наблюдаемой, она должна давать пользователям возможность эффективно выполнять свои задачи. Должен быть доступен SDK, система должна эффективно расходовать батарейные ресурсы и т.д. Никому не нужна суперзащищенная меганадежная железка, под которую трудно писать софт, который к тому же еле на ней ворочается. Примечательно, что последний пункт практически всегда вступает в противоречие с предыдущим (безопасность), а часто - и со всеми остальными (надежность и управляемость требуют немалых ресурсов и ограничивают доступные для разработчика API, чтобы его программка "не наломала дров" в системе).

Случаи с потерей/кражей ноутбуков и понесенным от этого ущербом заставляют компании особо пристально уделять внимание безопасности.

  • Поддержка аутентификации пользователя: PIN, пароли, двухфакторная аутентификация, биометрия, четкое форсирование аутентификации пользователя, защита настроек аутентификации от неавторизованных изменений (привет iPhone). Также, интересна воможность отключения части функций устройства при подозрении о взломе аутентификации. Не менее важен административный аспект (широта спектра настроек и сложность процесса конфигурации). Но он важен везде, поэтому дальше он подразумевается по умолчанию.
  • Безопасное хранение информации: возможность шифрования отдельных файлов, носителей, внутренней памяти устройства, и ограничения доступа к ним (к примеру, при подключении к WM через ActiveSync зашифрованные файлы автоматом расшифровываются при скачивании на ПК). Опять же, есть данные, которые шифровать не надо (рингтоны, фото) - их расшифровка будет требовать лишних ресурсов и сокращать срок автономной работы устройства. Так что главный критерий - возможность зашифровать только то, что нужно, и так, чтобы никто другой доступа к данным не получил (и чтобы пользователь не мог отменить шифрование).
  • Проверка приложений. Проверка подлинности приложений очень важна для работы корпоративного устройства, т.к. она исключает запуск неавторизованных приложений, что значительно повышает надежность работы устройства (меньше мусора), решает отчасти вопрос с malware и хаками. Опять же, весь процесс должен управляться централизованно ИТ-службой. Традиционным механизмом является проверка цифровой подписи приложений. Здесь возникают вопросы о том, как эту подпись получить (при разработке собственного софта) и как заставить устройство с этой подписью считаться (к примеру, во всем семействе WinCE эта настройка задается при сборке системы, после чего уже не меняется).
  • Доступные политики безопасности: что мы можем контролировать на устройстве, в ОС, в интерфейсе пользователя, можем ли мы отключать модули связи, камеру, другие порты, и т.д., и как этим управлять из единого центра. Опять же, очень важно, может ли пользователь отключить эти политики с устройства. Тут показателен пример Apple, которая распространяет политики по e-mail (через аттач) или через клик на специальный линк. Т.е. решение о том, будет или не будет применено то или иное изменение политики безопасности находится полностью во власти пользователя. IT лишь может "рекомендовать". Я предвкушаю какую-нибудь вирусню, которая пришлет аттачем политику с Device Wipe :)
  • Защита от неавторизованных модификаций. ОС "старой" архитектуры (те же CE/WM и с мелким хаком Palm) позволяли пользователю и его программкам делать с устройством все. Таким образом, чтобы сделать из таких ОС нечто "корпоративное" приходится докупать дополнительный софт для lockdown'а и контроля устройства. Современные ОС для решения вопроса используют с переменным успехом разные методы виртуализации. От простого jail'а в iOS (именно отсюда и пошло название jailbreak) до виртуальных машин Android и WP7. Там не менее, дырки находятся, вопрос лишь в том, что через них видно, и особенно, видно ли через них другие процессы (обрабатывающие важные данные). Опять же, даже защищая данные ОС от пользователя, на сегодняшний день я не знаю ни одной мобильной ОС, которая (без дополнительных надстроек) могла бы защитить от пользователя данные которыми он должен пользоваться ( случайное/намеренное удаление программ, изменение настроек сети и т.д.).
  • Расширяемость архитектуры безопасности. Если в ОС нет некоторой функции безопасности - можно ли написать ПО, которое сможет ее реализовать. Особенно популярны тут VPN-клиенты, умеющие взаимодействовать с connection manager'ом ОС, расширения подсистемы аутентификации и, конечно же, lockdown (интерфейса и ОС). Именно за счет этого и выплывает WM. А iOS, известная своим нежеланием допускать разработчиков к ОС, представляет противоположный пример.
  • Сертификации. К примеру, ОС Blackberry признана достаточно защищенной по стандартам FIPS 140-2, NATO Restricted, UK CAPS и CC EAL 2+. Собственных возможностей WM недостаточно для прохождения ни одного стандарта, но в комплекте с софтом сторонних разработчиков (Bluefire, GOOD) можно достичь FIPS 140-2 и даже, кто-то заявлял CC EAL 2.
  • Security vs Usability. Тоже немаловажный аспект. Самое безопасное устройство вообще не содержит в себе данных и лежит выключенным в сейфе. Все остальное - компромисс. Вопрос лишб в том, что у каждого свои потребности, и каждая компания готова поступиться разным. Соответственно, ОС должна позволять изменять свой уровень защищенности в угоду простоте/эффективности в разной мере для разных пользователей. Частично, это уже обсуждалось в пунктах про политики, шифрование и т.д.

 
Так вот, по результатам анализа, J.Gold Associates, участники в табели о рангах расположились так: Blackberry OS, потом Windows Mobile, потом iPhone OS, которая полностью провалила три из 9 тестов на безопасость, а по остальным получила довольно нелестные отзывы (хотя местами Apple неожиданно удивила продуманностью подхода). Я так понимаю, что ее включили в тестирование только по причине безумной популярности iPhone у населения и попыток многих компаний применить его в качестве полноценного корпоративного устройства, коим он не является (что не исключает возможность применения в отдельных сценариях). Обратите внимание, что Android вообще в тесте не представлен, что очень точно описывает отношение всего Enterprise сегмента к этой ОС: "Очень интересно, но пока РАНО".

Общий вывод очень прост - при выборе корпоративной мобильной ОС нужно учитвать довольно много критериев, сопоставляя их с потребностями компании и особенностями бизнес-процессов. Простого наличия Exchange недостаточно. Компании, сделавшие неверный выбор могут столкнуться в последствии со значительными неприятностями: от неспособности управиться с разросшимся парком устройств, непереносимостью ПО, до серьезного финансового ущерба в результате кражи данных / атаки на сеть через забытый сотрудником в баре смартфон.

Так вот, зная все это, и ответив на вопрос "А зачем, кстати, интеграция с Exchange компании с Lotus / Good / Blackberry?" - считаете ли вы WP7 корпоративной ОС?

+44
голоса

Напечатать Отправить другу

Читайте также

тут надо аппелировать не к мобильной ОС, а к ИТ-инфраструктуре, её взрослости и как следствие возможности интеграции в неё мобильных ОС, а возможностей у MS в этом плане много. Вопрос только с реализацией тех или иных фич (а инструмент для этого уже есть), и тут MS впереди планеты всей.
ИМХО если производитель позиционирует WP7 как корпоративную ОС - то всё перечисленное вами будет.
С меня например достаточно и того что я могу в Exchang'е сказать "очистить устройство" и вся почта (и смс-ки) с мобилки уйдёт спать если её (мобилку) кто-нить "протеряет".

Если к этому моменту в мобилку залогинились и снесли соединение с Exchange - уже нет. Даже если вам сообщили моментально об утере телефона - мобилку своровали, выключили, вынули симку, включили и продолжили неспеша препарировать.

Рассматривать мобОС в контексте ИТ-инфраструктуры - тоже правильно. Это попадает под категорию "управляемость". Все остальное - уже другой вопрос. Инфраструктура = $$$, и чем ущербнее "core" ОС, тем больше хотят $$$ за инфраструктуру. Почему-то Microsoft не отдает забесплатно тот же SCMDM, без которого большая часть фич WM вообще не менеджится. А сам SCMDM тоже требует немалой инфраструктуры: http://www.techlog.org/images/scmdm2008_screenshot3.png
Потом начинаются проблемы совместиомсти, асинхронного развития (фишку написали, а админку к фишке выпускает другая команда) и т.д. Про то, через какое место сделан push email over ActiveSync, я вообще говорить не буду... Также я не буду говорить об убогости почтового клиента WinMobile. Поэтому ПОВЕРХ Exchange все равно ставится какой-нибудь Good или BES = еще $$$, несмотря на то, что инфраструктура есть, и денег за нее отдали.

Абсолютно радует в плане "инфраструктуры" Apple - хочешь не хочешь, а неотъемлемой частью этой "корпоративной" инфраструктуры является ...мультимедиа-комбайн iTunes. Без первоначального подключения к iTunes, только что распакованный iPhone не заведется.

"ИМХО если производитель позиционирует WP7 как корпоративную ОС - то всё перечисленное вами будет."
Так в том то и юмор ситуации, что
a) не позиционирует. Я писал в блоге про официальную позицию MS.
б) не зявлено (может и есть, но об этом не говорится). Все, что я нашел было здесь: http://blogs.techrepublic.com.com/smartphones/?p=1111 и это не радует. Особенно, на фоне отсутствующей многозадачности... Еще советую почитать здесь и тут, хоть это и не definitive source.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT