Что такое суперприложения (супераппы) и как они помогают поддерживать высокий уровень информационной безопасности корпоративной инфраструктуры без систем управления мобильными устройствами (Mobile Device Management, MDM)?
- Введение
- Что нужно крупным компаниям для защиты корпоративной среды
- ИБ-фишки в супераппах, доступные уже сегодня
- Особенности интеграции супераппа с ИБ-системами компании
- Возможности федеративных супераппов для связи с партнёрами
- Выводы
Введение
Российские компании не желают ставить непрерывность своего бизнеса в зависимость от решений западных вендоров ПО о присутствии на нашем рынке или уходе с него. На фоне этого клиенты стали обращать внимание на отечественных разработчиков.
Что нужно крупным компаниям для защиты корпоративной среды
Заказчики часто приходят с вопросом, могут ли российские вендоры предложить решения класса «управление мобильными устройствами» (MDM). Внедрение MDM — старый приём, сложный и дорогой. Пользователи попросту отказываются устанавливать оболочку на личные устройства. Решение есть: возможно реализовать высокий уровень ИБ и без MDM, предоставив работнику удобное суперприложение (суперапп) в криптоконтейнере на базе корпоративной платформы. В этом случае останется только одно приложение для поддержания всей корпоративной среды, без затрат на разработку нескольких программных продуктов такого рода и на содержание парка корпоративных мобильных устройств.
Внедрение унифицированных коммуникационных продуктов в виде супераппа сопровождается особым вниманием со стороны ИБ-служб заказчика. Поэтому, как правило, после того как вендор ПО проводит встречу с функциональными заказчиками, следует техническая сессия с департаментом информационной безопасности. На этом этапе вендор знакомит с функциями безопасности продукта, сам знакомится с инфраструктурой компании и демонстрирует коннекторы для будущих интеграций существующих систем и сервисов с корпоративным мессенджером в свете выполнения требований по ИБ.
Заказчикам важно, чтобы у разработчика ПО были документы, подтверждающие соответствие продукта требованиям по безопасности, в том числе сертификаты ФСТЭК России. Их наличие быстро и ёмко отвечает на вопросы о степени зрелости и безопасности решений.
Суперапп как энтерпрайз-решение позволяет быстро и безопасно интегрировать в него различные корпоративные сервисы компаний. Имея один ресурс в виде супераппа, сотрудники получают доступ ко множеству систем практически с любого устройства. Клиент одновременно унифицирует внутренние процессы и выстраивает защищённый обмен информацией между различными системами. Процесс коммуникации внутри компании становится удобным и управляемым.
Суперапп превращается в бизнес-окно доступа ко множеству систем и сервисов, и службы ИБ очень тщательно подходят к экспертизе и оценке корпоративной платформы именно на предмет соответствия требованиям по интеграции. В частности, мобильное приложение должно функционировать в криптоконтейнере — защищённом хранилище на мобильном устройстве. Суперапп позволяет использовать внутри криптоконтейнера практически любые сервисы без хранения защищаемой информации. Самые популярные из них — личный кабинет сотрудника / руководителя, получение новых задач и поручений, отправка заявок в службу поддержки пользователей (Service Desk), ИТ-мониторинг, 1С, CRM, ERP, BI-аналитика и другие. Используя криптоконтейнер и запрещая хранение в незащищённых областях памяти, можно быть уверенным, что данные не утекут в открытый доступ и не будут несанкционированно изъяты, даже если устройство украдено или утеряно.
Такие решения выбирают компании с развитыми бизнес-процессами — в энергетике, металлургии, финансовом секторе. Известен пример промышленной корпорации «Норникель», компании с территориально распределённой на четыре федеральных округа инфраструктурой. На основе собственного супераппа «Суперника» от отечественного вендора заказчик создал цифровое пространство для обмена информацией между сотрудниками в режиме 24×7 при любых условиях, в том числе в тех точках, где нет устойчивой связи. При создании нового решения к нему были выдвинуты почти 200 пунктов требований по информационной безопасности — и все они были выполнены.
Есть основания прогнозировать, что развёртывание современных корпоративных коммуникационных платформ будет главным трендом в обновлении ИТ-ландшафта на текущий год.
ИБ-фишки в супераппах, доступные уже сегодня
Для обеспечения информационной безопасности в супераппах есть простые с точки зрения пользователей, но надёжные инструменты.
Многофакторная аутентификация. Только она может обеспечить безопасный доступ пользователей в корпоративную среду. Одноразовые пароли система направляет на почту или на телефон, далее следует аутентификация по логину и паролю из каталога пользователей.
ПИН-код на доступ в приложение. После аутентификации пользователя по SSO необходимо установить личный ПИН-код в приложении. После этого перед сотрудником открывается его корпоративный мир с различными сервисами в зависимости от функциональных обязанностей.
Применение парольных политик. Разделяются административные парольные политики, применяемые к административному персоналу, и пользовательские. Требования по парольной политике для разных категорий пользователей могут различаться. Среди парольных политик — например, ведение списка скомпрометированных паролей. Пользователь не сможет задать пароль, который был ранее использован или содержится в базе скомпрометированных.
Ролевая модель и разграничение прав. Необходимо применение гранулированной ролевой модели, позволяющей точечно и гибко настраивать права доступа к смартаппам, файлам или функциям приложения (например, запрет снимков экрана) с привязкой к типам устройств. Дополнительным усилением является наличие интеграции с корпоративным каталогом. При добавлении нового пользователя ему автоматически генерируются права в соответствии с групповыми политиками ИБ.
Контроль наличия прав суперпользователя (root) на устройстве. При использовании криптоконтейнера одна из главных задач — это защита его самого. Здесь помогают такие функции, как контроль наличия суперправ, который выполняется каждый раз при использовании приложения.
Хранение информации на мобильных устройствах. Это важная особенность безопасности платформы коммуникаций при использовании мобильных корпоративных приложений. Криптоконтейнер хранит на устройстве пользователя данные в зашифрованном виде. Данные представляют собой только кеш, необходимый для работы, а не сами файлы. Когда пользователь попадает в систему, у него подгружается необходимая информация. При закрытии сессии или удалении приложения все данные стираются.
Возможность дистанционного удаления данных. Публичный мессенджер опасен тем, что у уволенного специалиста остаётся корпоративная информация, которую работодатель не может изъять. В случае с использованием корпоративного супераппа у уволенного сотрудника автоматически удаляется сессия, в которой он работал на мобильном устройстве, а также очищается кеш в криптоконтейнере.
Сквозное шифрование. Является основой конфиденциальности данных супераппа и даёт уверенность в том, что никто из посторонних лиц не имеет доступа к полученной и переданной информации — даже администраторы, которые располагают доступом к серверным мощностям.
Защита при передаче. Необходимо обеспечить защиту каналов связи и применять протоколы шифрования транспортного уровня для защиты межсервисного и межкомпонентного взаимодействий.
Логирование событий по безопасности. Система должна обеспечивать необходимое количество и качество регистрируемых событий. События должны содержать как минимум следующую информацию: о субъекте доступа, об объекте доступа, дате и времени, устройстве, IP-адресе. У разных заказчиков различаются требования по глубине и объёму логирования событий системы и их хранению. Суперапп должен выполнять эти требования.
Особенности интеграции супераппа с ИБ-системами компании
Системы корпоративной среды коммуникаций должны быть интегрированы не только в инфраструктуру компании, но и в систему защиты информации.
Современные корпоративные коммуникативные платформы предлагают API и готовые коннекторы для интеграции с системами мониторинга безопасности, аутентификации и управления учётными записями. Коннекторы должны быть незаметны для пользователя, но максимально эффективны с точки зрения корпоративной ИБ. Это значительно ускоряет и упрощает внедрение корпоративного супераппа. Как минимум, подобные системы должны обязательно предоставлять возможность интеграции с решениями классов SIEM, DLP, Anti-Virus.
Возможности федеративных супераппов для связи с партнёрами
Публичные мессенджеры привлекают тем, что в этих системах зарегистрировано очень много пользователей, среди которых всегда можно найти нужного человека. Но не все знают, что широким охватом могут обладать и корпоративные решения.
У компаний крупного корпоративного сегмента могут быть сотни, а то и тысячи партнёров. Чтобы обеспечить безопасность общения и обмена информацией с ними, можно использовать корпоративные коммуникационные платформы, которые позволяют строить федеративную связь. На российском рынке тоже есть такое решение.
Федеративная связь — это не что иное, как доверенная связь между внутренними (корпоративными) и внешними серверами. С его помощью сотрудники могут общаться с коллегами, которые зарегистрированы на доверенных корпоративных серверах, и безопасно взаимодействовать с публичными пользователями мессенджера. В этом случае появляются два контура. Зарегистрированный пользователь может взаимодействовать со всеми пользователями федерации из своей телефонной книги. Установка федеративных отношений позволяет её участнику одновременно защитить свою информацию и расширить присутствие своего корпоративного мессенджера, привлекая работников из других компаний, предоставляя им безопасный доступ к коммуникациям. Информация в этом случае продолжает храниться на собственных серверах компании, она никуда не утекает.
Выводы
Чем крупнее компания, тем важнее для неё защита информационных активов и тем сложнее последнюю обеспечить. Стоимость защиты растёт пропорционально стоимости информации. У большого бизнеса выше требования к ИБ, больше потребность в передовых технологиях в условиях большой распределённой инфраструктуры и со множеством уже функционирующих средств защиты. Вопросы информационной безопасности супераппа же решаются изначально, в ходе его разработки на базе корпоративной мобильной платформы.