MDM: удалённый вайп, доставка приложений на телефоны и ноутбуки и прочие радости
Когда говорят об MDM, который Mobile Device Management, все почему-то сразу представляют kill-switch, который дистанционно подрывает утерянный телефон по команде сотрудника ИБ. Нет, в целом это тоже есть, только без пиротехнических эффектов. Но есть ещё куча других рутинных задач, которые с MDM выполняются намного проще и безболезненнее.
Бизнес стремится к оптимизации и унификации процессов. И если раньше новому сотруднику приходилось идти в таинственный подвал с проводами и лампочками, где мудрые красноглазые старцы помогали настроить корпоративную почту на его Blackberry, то теперь MDM вырос до целой экосистемы, которая позволяет выполнять эти задачи в два клика. Будем говорить о безопасности, огуречно-смородиновой «Кока-Коле» и отличиях MDM от MAM, EMM и UEM. А ещё — о том, как удалённо наняться на работу по продаже пирожков.
Пятница в баре
Даже самые ответственные люди иногда отдыхают. И, как нередко это бывает, они забывают рюкзаки, ноутбуки и мобильные телефоны в кафе и барах. Самая большая проблема в том, что потеря этих устройств может обернуться дикой головной болью для отдела ИБ, если они содержат чувствительную для компании информацию. Сотрудники того же Apple умудрились отметиться как минимум дважды, потеряв вначале прототип iPhone 4, а затем — iPhone 5. Да, сейчас большинство мобильных телефонов идёт с шифрованием из коробки, но те же корпоративные ноутбуки далеко не всегда настраиваются с шифрованием жёсткого диска по умолчанию.
Плюс начали возникать такие угрозы, как целенаправленная кража корпоративных устройств с целью добычи ценных данных. Телефон зашифрован, всё максимально безопасно и всё такое. Вот только заметили ли вы камеру наблюдения, под которой вы разблокировали телефон перед тем, как его украли? С учётом потенциальной ценности данных на корпоративном устройстве такие модели угроз стали вполне реальны.
Вообще люди — те еще склеротики. Многие компании в США вынужденно начали относиться к ноутбукам как к расходникам, которые будут неизбежно забыты в баре, отеле или в аэропорту. Есть данные, что в тех же аэропортах США забывают около 12 000 ноутбуков каждую неделю, из которых минимум половина содержит конфиденциальную информацию без какой-либо защиты.
Всё это изрядно прибавило седых волос безопасникам и привело к разработке вначале MDM (Mobile Device Management). Затем появилась потребность в управлении жизненным циклом мобильных приложений на подконтрольных устройствах, и появились решения MAM (Mobile Application Management). Несколько лет назад они стали объединяться под общим названием EMM (Enterprise Mobility Management) — единая система для управления мобильными устройствами. Апогеем всей этой централизации являются решения UEM (Unified Endpoint Management).
Дорогая, мы купили зоопарк
Первыми начали появляться вендоры, которые предлагали решения для централизованного управления мобильными устройствами. Одна из самых известных компаний — Blackberry — до сих пор жива и неплохо себя чувствует. Даже в России присутствует и продаёт свои продукты, в основном для банковского сектора. На этот рынок также зашли SAP и разные компании поменьше вроде Good Technology, позже купленной тем же Blackberry. В это же время набирала популярность концепция BYOD, когда компании пытались экономить на том, что сотрудники таскали свои личные девайсы на работу.
Правда, очень быстро выяснилось, что техподдержка и ИБ уже вздрагивают от запросов вида «Как мне настроить MS Exchange на моем Arch Linux» и «Мне нужен прямой VPN до приватного Git-репозитория и продуктовой БД с моего MacBook». Без централизованных решений вся экономия на BYOD оборачивалась кошмаром в плане поддержания всего зоопарка. Компаниям нужно было, чтобы всё управление было автоматическим, гибким и безопасным.
В розничной торговле история развивалась немного иначе. Примерно лет 10 назад компании внезапно осознали, что появились мобильные устройства. Это раньше сотрудники сидели за тёплыми ламповыми мониторами, а где-то рядом незримо присутствовал бородатый обладатель свитера, заставлявший всё это работать. С появлением полноценных смартфонов функции редких специализированных КПК теперь можно перекладывать на обычное недорогое серийное устройство. Одновременно с этим пришло понимание, что этим зоопарком нужно как-то управлять, так как платформ много, и они все разные: Blackberry, iOS, Android, затем — Windows Phone. В масштабах крупной компании любые ручные телодвижения — это выстрел себе в ногу. Такой процесс съест ценные человеко-часы IT-подразделения и поддержки.
Вендоры в самом начале предлагали отдельные MDM-продукты для каждой платформы. Вполне типичной была ситуация, когда управлялись только смартфоны на iOS или на Android. Когда со смартфонами более или менее разобрались, выяснилось, что терминалами сбора данных на складе тоже надо как-то управлять. При этом вам очень нужно отправить нового сотрудника на склад, чтобы он просто отсканировал штрих-коды на нужных коробках и внёс эти данные в базу. Если у вас склады — по всей стране, то поддержка становилась весьма непростой. Надо каждое устройство подключить к Wi-Fi, установить приложение и обеспечить доступ к базе данных. С современными MDM, а точнее, EMM, вы берёте админа, выдаёте ему консоль управления и конфигурируете тысячи устройств с шаблонными сценариями из одного места.
Терминалы в McDonald«s
В рознице наблюдается интересная тенденция — уход от стационарных касс и точек оформления товара. Если раньше в том же М.Видео понравился чайник, то нужно было звать продавца и топать с ним через весь зал к стационарному терминалу. По дороге клиент успевал десять раз забыть, зачем шёл, и передумать. Терялся тот самый эффект импульсивной покупки. Сейчас MDM-решения позволяют продавцу сразу подойти с POS-терминалом и провести оплату. Система объединяет и конфигурирует терминалы склада и продавцов из одной консоли управления. В своё время одной из первых компаний, которая начала менять модель традиционной кассы, стал McDonald«s с его интерактивными панелями для самообслуживания и девушками с мобильными терминалами, которые принимали заказы прямо посреди очереди.
Burger King тоже начал развивать свою экосистему, добавив приложение, которое позволяло сделать заказ дистанционно, чтобы его приготовили заранее. Всё это объединялось в гармоничную сеть с управляемыми интерактивными стойками и мобильными терминалами у сотрудников.
Сам себе кассир
Многие продуктовые гипермаркеты снижают нагрузку на кассиров установкой касс самообслуживания. «Глобус» пошёл дальше. Они на входе предлагают взять терминал Scan&Go с интегрированным сканером, которым вы просто сканируете весь товар на месте, расфасовываете по пакетам и выходите, оплатив. Потрошить на кассе разложенные по пакетам продукты не нужно. Все терминалы также управляются централизованно и интегрируются как со складами, так и с другими системами. Некоторые компании пробуют аналогичные решения, интегрированные в тележку.
Тысяча вкусов
Отдельная песня — это вендинговые аппараты. На них точно так же надо обновлять прошивку, следить за остатками горелого кофе и сухого молока. Причём синхронизируя это всё с терминалами обслуживающего персонала. Из крупных компаний в этом плане отличилась Coca-Cola, которая объявила приз в $ 10 000 за самый оригинальный рецепт напитка. В смысле позволила пользователям смешивать самые наркоманские сочетания в фирменных аппаратах. В итоге появились варианты имбирно-лимонной колы без сахара и ванильно-персикового «Спрайта». До вкуса ушной серы, как в конфетах Bertie Bott’s Every Flavour Beans, они вроде пока не дошли, но настроены очень решительно. Вся телеметрия и популярность каждого сочетания тщательно отслеживаются. Всё это также интегрируется с мобильными приложениями пользователей.
Ждём новых вкусов.
Продаём пирожки
Вся прелесть MDM/UEM-систем в том, что вы можете быстро масштабировать свой бизнес, подключая новых сотрудников дистанционно. Вы вполне можете организовать продажу условных пирожков в другом городе с полноценной интеграцией со своими системами в два клика. Выглядеть это будет примерно так.
Сотруднику привозят новое устройство. В коробке — бумажка с баркодом. Сканируем — устройство активируется, регистрируется в MDM, берёт прошивку, применяет и перезагружается. Пользователь вводит свои данные либо одноразовый токен. Всё. Теперь у вас есть новый сотрудник, который имеет доступ к корпоративной почте, данным по остаткам на складе, нужные приложения и интеграцию с мобильным платёжным терминалом. Человек приезжает на склад, забирает товар и везёт его непосредственным клиентам, принимая оплату с помощью этого же устройства. Почти как в стратегиях нанять пару новых юнитов.
Как это выглядит
Одна из самых функциональных систем UEM на рынке — VMware Workspace ONE UEM (бывший AirWatch). Она позволяет интегрироваться практически с любой мобильной и десктопной ОС и с ChromeOS. Даже Symbian был до недавнего времени. А ещё Workspace ONE поддерживает Apple TV.
Ещё один важный плюс. Apple даёт только двум MDM, в том числе Workspace ONE, заранее поковыряться в API перед выпуском новой версии iOS. Всем в лучшем случае — за месяц, а им — за два.
Вы просто задаёте необходимые сценарии использования, подключаете девайс, и дальше оно работает, что называется, automagically. Прилетают политики, ограничения, предоставляются нужные доступы к внутренним сетевым ресурсам, заливаются ключи и устанавливаются сертификаты. Через несколько минут у нового сотрудника — уже полностью готовое для работы устройство, с которого непрерывно льётся необходимая телеметрия. Количество сценариев огромное начиная от блокировки камеры телефона в конкретной геолокации и заканчивая SSO по отпечатку пальца или лицу.
Админ конфигурирует лаунчер со всеми приложениями, которые прилетят пользователю.
Так же гибко настраиваются все возможные и невозможные параметры вроде размера иконок, запрета на их перемещение, запрета на иконку звонка и контактов. Такой функционал полезен при использовании Android-платформы в качестве интерактивного меню в ресторане и тому подобных задач.
Интересные решения есть и у других вендоров. Например, EMM SafePhone от НИИ СОКБ предоставляет сертифицированные решения для безопасной передачи голоса и сообщений с шифрованием и возможностью записи.
Рутованные телефоны
Головной болью для ИБ являются рутованные телефоны, где пользователь имеет максимальные права. Нет, чисто субъективно это идеальный вариант. Твой девайс должен давать тебе полные права на управление. К сожалению, это идёт вразрез с корпоративными задачами, которые требуют отсутствия у пользователя возможности влиять на корпоративное ПО. Например, он не должен иметь возможности залезть в защищённый раздел памяти с файлами или подсунуть фейковый GPS.
Поэтому все вендоры так или иначе стараются обнаруживать любые подозрительные активности на управляемом устройстве и блокировать доступ при обнаружении рут-прав или нестандартной прошивки.
В Android обычно полагаются на SafetyNet API. Время от времени тот же Magisk позволяет обойти его проверки, но, как правило, Google это очень быстро фиксит. Насколько мне известно, тот же Google Pay так и не заработал снова на рутованных девайсах после весеннего обновления.
Вместо вывода
Если вы крупная компания, то вам стоит задуматься о внедрении UEM/EMM/MDM. Современные тенденции говорят о том, что такие системы находят всё более широкое применение — от залоченных iPad в качестве терминалов в кондитерской до крупных интеграций со складскими базами и курьерскими терминалами. Единая точка управления и быстрая интеграция или смена роли сотрудника дают очень большие преимущества.
Моя почта — SVinogradskiy@croc.ru