Bezpieczeństwo pracy w środowisku mobilnym z wykorzystaniem infrastruktury MobizNet

W trudnej sytuacji gospodarczej, z jaką mamy obecnie do czynienia, przedsiębiorstwa rywalizują jeszcze silniej. Ponadto muszą wkładać więcej wysiłku, aby utrzymywać kontrolę ryzyka na najwyższym poziomie.

Aby efektywnie wykonywać swoją pracę i pozostać konkurencyjnymi, pracownicy mobilni żądają dostępu do najważniejszych danych przedsiębiorstwa w każdym miejscu i czasie, również poza siedzibą firmy lub organizacji. To stawia coraz większe wyzwania przed administratorami IT, którzy muszą utrzymywać wyznaczone standardy bezpieczeństwa.

MoBizNet oferuje szereg funkcji pozwalających na bezpieczne rozszerzenie zasięgu danych przedsiębiorstwa również dla pracowników mobilnych – począwszy od poczty, a na aplikacjach biznesowych (np. SAP) skończywszy.

Jest to rozwiązanie, które umożliwia zarządzanie całą gamą różnych urządzeń mobilnych z poziomu jednego serwera. Dzięki temu użytkownicy mogą bezpiecznie łączyć się z zasobami przedsiębiorstwa zarówno z jego wnętrza (dostęp przez kable lub sieci WiFi), jak również z zewnątrz (GPRS/EDGE/UMTS). Istnieje także możliwość zewnętrznych połączeń kombinowanych, np. przez powszech punkty dostępu WiFi lub Bluetooth. Pomimo wejścia, przy takim połaczeniu, do serwera od strony Internetu, nasze urządzenie mobilne nadal działa jak mobilny punkt, wykorzystując wszelkie dostępne w MobizNet systemy zabezpieczenia transferu danych.  

Funkcje zabezpieczeń, jakie oferuje MobizNet można podzielić na trzy kategorie:

1. Bezpieczeństwo infrastruktury
2. Bezpieczeństwo danych
3. Bezpieczeństwo urządzeń

Bezpieczeństwo infrastruktury

Platforma MobizNet, wspierana przez aplikację OneBridge, składa się z różnorodnych komponentów, które dają środki, aby bezpiecznie wdrożyć cały system mobilny:

· Mobiz DMZ Proxy – dedykowane Proxy HTTP w strefie zdemilitaryzowanej (DeMilitarized Zone) tj. umieszczone poza firewallem (zobacz ilustrację poniżej).

· Mobiz sync server – świadczy usługi synchronizacji danych oraz zarządzania urządzeniami mobilnymi wraz z autentykacją tych urządzeń. Zwykle instalowany za firewallem.

· Mobiz desktop connector – umożliwia połączenia USB dla urządzeń mobilnych.

· Połączenie wychodzące z Mobiz Sync server-a do Mobiz DMZ Proxy eliminuje potrzebę otwierania jakiegokolwiek dodatkowego portu na firewallu.

MobizDMZ Proxy

Mobiz DMZ Proxy jest serwerem proxy HTTP(S) dla połączeń przychodzących z urządzeń mobilnych. Ten serwer wykonuje niezbędne sprawdzenia bezpieczeństwa i walidację pakietów przed wpuszczeniem żądania skierowanego z urządzenia mobilnego do Mobiz sync serwera. To umożliwia administratorom ustawienie wielu typów filtrów w celu zabezpieczenia ruchu na firewallu. Mobiz DMZ Proxy ma swoją własną parę kluczy (publiczny i prywatny) używanych do odszyfrowywania nagłówka wiadomości (w tym nagłówku jest id sesji i klucz pakietu). Dodatkowo cała zawartość pakietu jest szyfrowana przy użyciu klucza pakietowego AES (Packet Key) i nie jest odszyfrowywana przez Mobiz DMZ Proxy. Obie strony: Klient (Adapter) MobizNet iMobiz Sync Server inicjują połączenia do Mobiz DMZ Proxy, dzięki czemu nie ma potrzeby otwierania dodatkowego portu na wewnętrznym firewallu.

Autentykacja

Dzięki Mobiz DMZ Proxy, Adapter MobizNet może być bezpiecznie zainstalowany za firewallem. MobizNet  wykorzystuje HTTP(S) lub IPsec (VPN), w przypadku połaczeń zewnetrznych, również jako protokołu transportowego pomiędzy swoimi poszczególnymi komponentami. Stosowany jest tutaj dwupoziomowy mechanizm autentykacji. Pierwszy poziom to Windows NT/Active Directory, Lotus Domino, RADIUS i SecureID. Ten poziom jest używany po to, aby uwierzytelnić użytkownika oraz uzyskać informację o jego prawach dostępu. Dzieki temu system MobizNet może określić, jakie akcje może użytkownik wykonywać w infrastrukturze MobizNet. Drugi poziom zapewnia autentykację na poziomie serwerów i aplikacji pracy grupowej oraz baz danych w celu umożliwienia synchronizacji. Ta dwupoziomowa autentykacja umożliwia bezpieczne wdrożenie MobizNet i jego adapterów oraz rozmieszczanie ich w różnych lokalizacjach, także oddalonych (różne kraje).

Poniższa ilustracja przedstawia proces autentykacji w sesji MOBIZNET – scenariusz wymiany kluczy i pakietów.

Bezpieczeństwo danych

MoBizNet, wyposażony w aplikację OneBridge chroni wszystkie dane przepływające pomiędzy serwerem a urządzeniem. Ponadto nie tworzy kopii tymczasowych ani trwałych dla przesyłanych danych. Szyfrowanie w MobizNet odbywa się za pomocą kombinacji RSA 1024 – wymiana kluczy i AES – szyfrowanie danych. Ta kombinacja algorytmów asymetrycznych i symetrycznych daje najlepsze zabezpieczenie i wydajność. Ponieważ kryptografia klucza publicznego (asymetryczna) jest bardziej kosztowna obliczeniowo niż kryptografia symetryczna, dlatego szyfr asymetryczny jest używany do kodowania tajnego klucza używanego w szyfrze symetrycznym; następnie system zaczyna używać wydajniejszej metody symetrycznej.

Najwyższy poziom bezpieczeństwa gwarantuje wykorzystanie 1024-bitowego klucza RSA. Do transferu danych używa się 128-bitowego lub 256-bitowego klucza, którym jest strumieniowy szyfr AES. Jest on wyjątkowo wydajny na urządzeniach mobilnych, które mają ograniczoną moc obliczeniową.

Bezpieczeństwo urządzeń

Bezpieczeństwo urządzeń w gruncie rzeczy polega także na zabezpieczeniu danych znajdujących się na urządzeniu w przypadku jego utraty lub kradzieży. MobizNet daje administratorom IT całą gamę metod by chronić dane na urządzeniach mobilnych, lub szerzej rzecz ujmując, urządzeń w sieci odległej (np. dotyczy to także laptopów łączących się przez Internet). Administrator może wymusić, by użytkownik kontaktując się z serwerem, za każdym razem musiał się uwierzytelnić. Nawet w wypadku, gdy użytkownik może zachować swoje hasła na urządzeniu, są one szyfrowane za pomocą publicznego klucza serwera MobizNet, a więc są niedostępne dla niepowołanych osób. Administrator może również wymusić użycie hasła przy starcie urządzenia (niezależnie od typu: Palm OS, Windows Mobile, Symbian, BlackBerry). To wymaga, aby użytkownik podawał swoje hasło za każdym razem, gdy włącza urządzenie.

Dla polepszenia bezpieczeństwa urządzeń użytkownicy w sici MObizNet mogą dodatkowo wdrożyć aplikację Afaria Security Manager. To rozwiązanie zapewnia wysoki poziom bezpieczeństwa oraz daje administratorom danych pełną kontrolę nad polityką haseł, szyfrowanie wszystkich danych na urządzeniu oraz zewnętrznych kartach pamięci. Administrator może także zdefiniować określone sytuacje, w których nastąpi automatyczne blokowanie urządzenia, wymazywanie kluczowych danych lub nawet hard reset. Przykładem takich sytuacji są np. zbyt duża liczba prób błędnego wprowadzenia hasła lub zbyt długi czas od ostatniego połączenia z serwerem. Administrator może również wysłać specjalny sygnał (tzw. Kill Pill), po otrzymaniu którego urządzenie automatycznie wykona hard reset. Najnowsza wersja aplikacji posiada również funkcję Antywirusa z systematycznym dostarczaniem bazy wirusów oraz funkcję firewalla dla połączeń przychodzących i wychodzących (zarówno głosowych, tekstowych, jak i połączeń danych).

Konkluzja

Wraz z rozpowszechnianiem się urządzeń i sieci bezprzewodowych, coraz większym wyzwaniem staje się kontrola urządzeń oraz ich dostęp do danych przedsiębiorstwa. MobizNet udostępnia działom IT świetne możliwości, aby praktycznie i skutecznie kontrolować urządzenia mobilne poprzez zastosowanie właściwej infrastruktury, a także efektywne monitorowanie użycia tych urządzeń bez interakcji z użytkownikiem.