Обзор WorksPad, EMM-системы для безопасной удалённой работы на мобильных устройствах

Обзор WorksPad, EMM-системы для безопасной удалённой работы на мобильных устройствах


Обзор WorksPad, EMM-системы для безопасной удалённой работы на мобильных устройствах

Российская система класса «управление корпоративной мобильностью» (Enterprise Mobility Management, EMM) WorksPad трансформирует личные мобильные устройства сотрудников предприятия в полноценные рабочие места, обеспечивает высокий уровень защиты данных и предотвращает их утечку из приложения-контейнера с настраиваемыми политиками безопасности.

Сертификат AM Test Lab

Номер сертификата: 456

Дата выдачи: 11.04.2024

Срок действия: 11.04.2029

Реестр сертифицированных продуктов »

  1. Введение
    1. 1.1. Концепция ЕММ
  2. Функциональные возможности контейнера WorksPad
    1. 2.1. Основные возможности EMM-системы
    2. 2.2. Возможности мобильного клиента WorksPad
      1. 2.2.1. Управление файлами и документами
      2. 2.2.2. Календари
      3. 2.2.3. Электронная почта
      4. 2.2.4. Контакты
      5. 2.2.5. Браузер
      6. 2.2.6. Микроприложения в WorksPad
    3. 2.3. Безопасность и защита данных в WorksPad
      1. 2.3.1. Защита и контроль корпоративных данных на мобильном устройстве сотрудника
      2. 2.3.2. Защита данных при передаче по каналам связи
      3. 2.3.3. Управление безопасностью
  3. Архитектура WorksPad
    1. 3.1. Компоненты сервера
      1. 3.1.1. WorksPad MDM
  4. Системные требования WorksPad
    1. 4.1. Варианты топологий системы
  5. Редакции WorksPad
  6. Сценарии использования WorksPad
    1. 6.1. Работа с WorksPad на мобильном устройстве
    2. 6.2. Консоль администратора WorksPad
  7. Выводы

Введение

В информационный век повсеместная цифровизация набирает обороты и открывает человеку веер самых невероятных возможностей, которые, несомненно, делают нашу повседневную жизнь удобнее и ярче. Привычный прогресс развития мобильных гаджетов позволяет постоянно быть на связи друг с другом, следить за здоровьем, развлекаться, делать покупки, учиться и т. д. Современные мобильные устройства экономят время как в личных делах, так и в рабочих задачах, обозначая новые горизонты для целей и продуктивности, но при этом возникают и новые риски для безопасности.

Как только в наших руках появились первые смартфоны с приложениями уровня стационарной рабочей станции, бизнес-процессы начали ускоряться и трансформироваться. В процессе развития гаджетов и эволюции ИТ-систем включился сценарий «принеси своё устройство» (Bring Your Own Device, BYOD). Произошло естественное пересечение между личными и рабочими задачами: в киберпространстве всё происходит быстро, поэтому неудобно, например, сотни раз в день переключаться между несколькими мессенджерами, когда всё можно делать в одном.

 

Рисунок 1. Результаты исследования деловых коммуникаций от Radicati Group

Результаты исследования деловых коммуникаций от Radicati Group

 

Как следствие, резко возросли риски в деловой среде: сотрудник может потерять смартфон с важными данными компании, устройство могут похитить конкуренты, гаджет может выйти из строя по той или иной причине, из-за чего ценные данные будут утрачены. Как бизнесу защитить свои данные, но при этом сохранить мобильность и гибкость современных бизнес-процессов?

Концепция ЕММ

Концепция EMM (Enterprise Mobility Management, управление безопасностью корпоративных данных на личных мобильных устройствах сотрудников) является следующим этапом развития MDM (Mobile Device Management, управление мобильными устройствами). MDM-подход, как правило, применяется в контексте предварительно настроенных корпоративных устройств, которые выдаются сотруднику для решения рабочих задач.

EMM-концепция не имеет привязки к устройству и полностью поддерживает сценарий BYOD. При EMM-подходе корпоративные данные изолируются от личных, обеспечивается качественно более высокая защита рабочих данных и коммуникаций, а также поставляется набор всех необходимых для работы сервисов. Всё это связывается частными политиками безопасности.

Выделим базовые составляющие современной EMM-концепции:

  • MDM — базовый компонент, который позволяет управлять настройками мобильных устройств: контроль камеры, пароли, шифрование, выполнение некоторых команд администратора дистанционно и т. д.
  • MAM (Mobile Application Management, управление приложениями на мобильном устройстве сотрудника) — компонент безопасности, который не затрагивает личных приложений пользователя. Сотрудник отдела ИБ может удалять или ограничивать возможности корпоративных приложений и сервисов.
  • MIM (Mobile Information Management, управление данными на мобильном устройстве сотрудника) — компонент для организации защищённого доступа ко внутренней корпоративной информации.

В случае утраты устройства или увольнения сотрудника администратор EMM блокирует доступ к ресурсам компании.

После пандемии COVID-19 и геополитической поляризации российский рынок ИБ-продуктов вошёл в фазу чрезвычайного импортозамещения. Отечественные производители ускорили разработки, прислушиваясь к потребностям бизнеса и госсектора, и стали более активно предлагать рынку программные продукты для освободившихся от зарубежных компаний ниш.

Компания «РуПост», российский поставщик ПО в области корпоративной мобильности, представила новый релиз EMM-системы WorksPad. Команда «РуПост» на протяжении более чем 20 лет занимается разработкой и продвижением своих продуктов для ведущих российских и международных компаний, обладает международными наградами, номинациями и другими знаками признания по всему миру.

 

Таблица 1. Сравнение возможностей WorksPad EMM с прочими предложениями на рынке

Функциональные возможности

Облачные / бесплатные приложения: Google, Apple, VK, «Яндекс» и пр.

Коммерческие EMM-системы: AirWatch, Microsoft, Citrix, Check Point

WorksPad EMM

Базовые функции: почта, календарь, контакты, файл-менеджер, синхронизация с ПК

Да

Да

Да

Расширенные возможности: безопасный интранет-браузер, боты для корпоративных систем

Нет

+/-

Да

«Всё в одном» (одно клиентское приложение)

+/-

+/-

Да

Сервер и данные в инфраструктуре заказчика

Нет

+/-

Да

Архитектура для корпоративных ИТ-систем (кластеризация, масштабируемость)

Нет

Да

Да

Защищённый клиент-контейнер

Нет

Да

Да

Контроль мобильного устройства

Нет

Да

Да

Продукт в реестре Минцифры

Нет

Нет

Да

ГОСТ-шифрование контейнера

Нет

Нет

Да

Доступность на рынке РФ

Да

Нет

Да

Техническая поддержка в РФ

+/-

Нет

Да

 

В обзоре рассмотрим, как WorksPad превращает мобильные устройства сотрудников на операционных системах iOS и Android в полноценные рабочие места, сочетая в себе удобство и безопасность работы в корпоративной среде.

Функциональные возможности контейнера WorksPad

Основные возможности EMM-системы

Все функции аккумулированы в едином приложении по принципу «всё в одном». Набор включает в себя необходимые средства для повседневных задач: клиент электронной почты, календари, адресную книгу, браузер, менеджер файлов и редактор файлов.

Высокий уровень защиты данных в приложении. Политики безопасности и административные настройки, ролевая модель доступа, гибкий механизм профилей пользователей.

Изолированное хранение корпоративных данных. Данные находятся в изолированном контейнере приложения, корпоративная информация отделена от личных данных на устройстве сотрудника.

Пользовательский портал. Организовывает и контролирует доступ к корпоративным файлам из браузера, обеспечивает создание внешних ссылок на документы с возможностью ограничения доступа по времени, паролю, количеству скачиваний.

Возможности мобильного клиента WorksPad

Управление файлами и документами

  • Мобильный доступ к корпоративным файлам: библиотекам SharePoint, сетевым файловым ресурсам.
  • Синхронизация файлов между мобильным клиентом WorksPad и ПК под управлением Windows (требует установки WorksPad Windows PC Sync Agent на стационарную рабочую станцию). Также поддерживаются macOS и Linux.
  • Полный спектр операций с файлами и папками: копирование, перемещение, удаление, переименование и разархивирование (ZIP, 7ZIP, RAR).
  • Редактирование: TXT, DOC(X), XLS(X), PPT(X). Аннотирование: PDF. Чтение: TIF / TIFF (включая многостраничные), MP3, MP4, PNG, JPG, GIF.
  • Работа с фотографиями без облачных хранилищ. Возможность публикации снимков, сделанных камерой мобильного устройства, напрямую на корпоративных ресурсах, минуя облачные хранилища мобильной ОС.

С WorksPad сотрудникам не нужно использовать печатные материалы, все актуальные версии документов всегда находятся под рукой, что открывает путь к современным безбумажным совещаниям и встречам.

Календари

В WorksPad календарь представлен в привычном формате с несколькими вариантами отображения. Имеется доступ к календарям коллег — для более удобной работы с персональными и общими (shared) календарями, например в сценарии «руководитель — ассистент».

Стандартные параметры отображения календарей: «день», «три дня», «неделя», «две недели». Возможен быстрый возврат к текущей дате по кнопке «Сегодня». У каждого календаря — отдельная цветовая схема для удобства восприятия.

Также в календаре поддерживаются обработка и создание событий с вложениями.

Электронная почта

Пользователь имеет следующие возможности работы с электронной почтой:

  • Автоматическая синхронизация писем с опцией выбора папок.
  • Сквозной поиск по папке или всем письмам — осуществляется локально в клиентском приложении и на сервере.
  • Прикрепление к письму вложений, в т. ч. в виде других писем, а также нескольких файлов из различных источников — библиотек SharePoint / WebDAV / DFS, сетевых файловых ресурсов, синхронизированных с ПК папок.

Поддерживаются пуш-уведомления о поступающей корреспонденции. В минимальном режиме — уведомление о количестве поступивших сообщений. Возможно полное отключение уведомлений.

Контакты

Доступна адресная книга организации. Совершить звонок и отправить письмо можно непосредственно из карточки контакта в адресной книге.

В адресной книге пользователь может создавать список личных контактов, производить поиск контактов в глобальной адресной книге корпоративного сервера электронной почты, а также импортировать контакты из адресной книги личного мобильного устройства.

Браузер

Браузер WorksPad поддерживает классические «закладки» и «избранное», эти списки могут пополняться администратором системы. Пользователь может скачать файл средствами браузера и сохранить его в любой папке файлового менеджера.

Поддерживается удобная отправка ссылок: их можно вкладывать в письма, созданные в браузере.

Контроль безопасной работы с браузером WorksPad осуществляется администратором системы. Администратор может разрешить доступ в интернет непосредственно из клиентского приложения либо через корпоративный прокси-сервер.

Также реализован безопасный управляемый доступ к веб-интерфейсам корпоративных приложений и корпоративным порталам в периметре LAN. Поддерживается возможность направлять интернет-трафик со встроенного браузера на корпоративный прокси.

Микроприложения в WorksPad

Разработчик реализовал возможность оперативно расширять функциональные возможности системы за счёт ассистентов / микроприложений, что позволяет взаимодействовать со сложными корпоративными информационными системами.

 

Рисунок 2. Логика микроприложений в WorksPad

Логика микроприложений в WorksPad

 

Поддерживается совместимость практически с любой корпоративной информационной системой, сохраняется надлежащий уровень безопасности, так как все данные остаются в периметре организации.

Отметим кратко основные особенности:

  • Микроприложения для WorksPad Server (Python, .NET).
  • Клиенты: чат или микроприложения в WorksPad Client (с помощью динамических карточек или чат-ботов).
  • Визуальный редактор клиентских форм.
  • Интеграция с Telegram.
  • Мультиплатформенность — работает на Android, iOS, macOS, Windows и Linux.

Безопасность и защита данных в WorksPad

Российская EMM-система WorksPad для организации корпоративного мобильного рабочего места отвечает на множество распространённых угроз безопасности корпоративной информации. Рассмотрим подробнее, какие средства WorksPad помогают минимизировать риски.

 

Рисунок 3. Утечки данных по виновнику и видам судопроизводства

Утечки данных по виновнику и видам судопроизводства

 

Защита и контроль корпоративных данных на мобильном устройстве сотрудника

Как мы уже отметили выше, все корпоративные данные, попадающие на устройство, хранятся строго в контейнере WorksPad, полностью изолированном от личных данных пользователя. Контейнер является суперприложением (SuperApp).

Также в контексте безопасности реализованы:

  • Дистанционная очистка контейнера приложения. Администратор может очистить содержимое контейнера в любое время дистанционно, не затрагивая личных данных сотрудника.
  • Обработка ситуаций джейлбрейка, получения прав суперпользователя (root), отладки. Автоматическое распознавание факта компрометации устройства с возможностью выбора следующих опций: не делать ничего, отправить уведомление администратору системы, заблокировать приложение WorksPad, очистить контейнер приложения.
  • Запрет использования внешних носителей информации. WorksPad использует исключительно внутреннюю память мобильного устройства. Никакие данные из контейнера WorksPad не могут быть помещены на внешний носитель информации.
  • Использование корпоративного почтового сервиса. WorksPad работает строго с корпоративным ящиком электронной почты, весь почтовый трафик всегда остаётся под контролем систем информационной безопасности компании.
  • Шифрование данных в контейнере приложения. Шифрование пользовательских данных в контейнере приложения осуществляется с использованием алгоритмов ГОСТ. Вендор ведёт работу над поддержкой AES-шифрования.
  • Mobile Device Management. Система централизованного управления мобильными устройствами.

Защита данных при передаче по каналам связи

Реализовано SSL-шифрование для всех коммуникаций между мобильными устройствами и корпоративной сетью, а также между серверными компонентами системы.

Кроме того, WorksPad работает со всеми популярными мобильными VPN без необходимости дополнительной интеграции.

Управление безопасностью

Рассмотрим более детально, как в WorksPad реализовано управление безопасностью.

 

Таблица 2. Управление безопасностью в WorksPad

Средства безопасности

Возможности

Аутентификация пользователей с помощью корпоративной службы каталогов Microsoft Active Directory

При работе с корпоративными данными пользователь мобильного приложения WorksPad автоматически наследует все права доступа, предоставленные ему в корпоративной сети

Политики использования паролей

Поддерживаются опции:

  • Принудительный запрос пароля при каждом запуске WorksPad.
  • Минимальная сложность пароля.
  • Разрешение / запрет на использование локального пароля к WorksPad.
  • Максимальное количество ошибок при вводе пароля.
  • Вход без пароля.

Политики доступа

Поддерживаются опции:

  • Разрешение / запрет на работу PC Sync Agent на ПК вне домена.
  • Выбор типа клиентов, с которых будет разрешён доступ к системе.

Политика одобрения подключения «Access by Approval»

Возможность реализации второго фактора аутентификации (2FA) при подключении конкретного мобильного устройства к серверу WorksPad в форме явного одобрения авторизованным лицом

Административные настройки функциональных возможностей

Поддерживаются опции:

  • Определение списка доступных сетевых ресурсов: FileBox, персональные источники, библиотеки SharePoint, общие папки Windows.
  • Отключение встроенного клиента электронной почты.
  • Запрет создания внешних ссылок в веб-клиенте.
  • Запрет прямого обмена файлами между устройствами.
  • Запрет на проведение трансляции экрана.

Политики «Open In», «Copy-Paste», печати

Поддерживаются опции:

  • Разрешение / запрет на открытие файлов и вложений в письма в сторонних мобильных приложениях.
  • Разрешение / запрет на использование WorksPad для открытия сторонних файлов.
  • Разрешение / запрет на копирование из приложения WorksPad или в него.
  • Разрешение / запрет на печать документов на мобильном устройстве.

«Водяные знаки»

Активация отображения «водяных знаков» при работе с документами, почтовыми сообщениями, событиями, веб-страницами

Поддержка профилей пользователей

Позволяют администратору контролировать доступный пользователю набор функциональных возможностей WorksPad

Ролевая модель безопасности

Позволяет тонко настраивать доступ ко всем административным функциям системы. Например, для внешних аудиторов можно ограничить права только просмотром журналов безопасности

Журналирование

Развитый механизм журналирования позволяет хранить информацию обо всех системных событиях, сообщения о сбоях, детализированную информацию о действиях пользователей, сведения о передаче файлов из корпоративной сети на мобильное устройство

 

Также разработчик подчёркивает, что интеграция WorksPad со средствами защиты каналов связи и шифрования семейства ViPNet («ИнфоТеКС»), с инструментами мониторинга и защиты от утечек данных InfoWatch Traffic Monitor, а в перспективе — и с продуктами SearchInform и Solar Dozor, определяет фундамент российского стека средств обеспечения информационной безопасности при использовании мобильных устройств в деловой среде.

Архитектура WorksPad

WorksPad имеет клиент-серверную архитектуру. Клиентская часть устанавливается на мобильные устройства с iOS и Android. Поддерживаются публичные и внутрикорпоративные магазины приложений.

Сервер WorksPad устанавливается локально (on-premise) и легко интегрируется во внутреннюю сеть предприятия, имеет версии серверной части для Linux, в том числе для сертифицированных ОС, таких как Astra Linux Special Edition, и для Windows Server.

При работе с корпоративными данными пользователь мобильного приложения WorksPad автоматически наследует все права доступа, предоставленные ему в корпоративной сети. Поддерживаются следующие службы каталогов: Active Directory, ALDPro, FreeIPA. В роли СУБД может быть как Microsoft SQL Server, так и PostgreSQL.

Корпоративным почтовым сервером могут выступать RuPost, Microsoft Exchange, CommuniGate Pro, продукты работающие по IMAP / SMTP.

Развитая модульная архитектура серверной части позволяет реализовать многозвенное внедрение и подходит для применения в многоконтурных сетях для максимального соответствия требованиям.

 

Рисунок 4. Архитектура контейнера WorksPad

Архитектура контейнера WorksPad

 

Компоненты сервера

WorksPad состоит из следующих компонентов-сервисов.

Gateway Service — принимает информацию от клиентских приложений и веб-приложений WorksPad. Работает по протоколам HTTPS, WSS и TCP.

Share Service — предназначен для выполнения операций над внешними ссылками. Получает запросы от Gateway и «Сайта внешнего доступа» по протоколу HTTPS. Также сервис отправляет запросы на Gateway.

Notification Service — предназначен для отправки пуш-уведомлений клиентским приложениям WorksPad, а также для отправки служебных уведомлений администраторам системы WorksPad. Работает по протоколу HTTPS.

Archiver Service — занимается архивированием журнала событий сервера WorksPad.

Admin API — веб-приложение для управления системой WorksPad посредством прикладного программного интерфейса.

Chatbot API — веб-приложение, которое позволяет чат-ботам взаимодействовать с пользователями WorksPad и сторонних мессенджеров (Telegram, Microsoft Teams) посредством прикладного программного интерфейса.

Также в состав WorksPad входят веб-приложения «Консоль администратора» (Administration Console), «Пользовательский портал» (User Portal) и «Сайт внешнего доступа» (External Access Site). Доступ к веб-приложениям организован по гибкой ролевой модели.

WorksPad MDM

Это независимый компонент WorksPad, предназначенный для более полного контроля самого мобильного устройства. Примерами такого контроля могут служить обязательные парольные политики устройства, политики соответствия (compliance), каталог корпоративных приложений, блокирование возможности сделать скриншоты, автоматическая настройка Wi-Fi и другие классические ограничения возможностей устройств и функции MDM-систем.

 

Рисунок 5. Работа WorksPad на мобильном устройстве

Работа WorksPad на мобильном устройстве

 

MDM может использоваться как отдельно от контейнера-суперприложения, так и вместе с ним. В случае совместного использования управление производится из той же административной консоли, что и для контейнера. Разработчик также поделился информацией, что в текущем году готовятся обновления для расширения спектра функциональных возможностей.

Системные требования WorksPad

Требования к ОЗУ и пространству на жёстком диске зависят от варианта развёртывания и ожидаемого числа пользователей.

Обозначим минимальные требования к аппаратному обеспечению при развёртывании всех компонентов WorksPad на одном сервере для обслуживания до 200 пользователей.

 

Таблица 3. Минимальные аппаратные требования

Состав

Требования

Процессор

4 ядра

Оперативная память

8 ГБ

Жёсткий диск

1 ГБ (без учёта объёма пользовательских и опубликованных файлов)

 

Минимальные аппаратные требования в средах Linux и Windows совпадают. Отметим набор программных требований для развёртывания в каждой среде.

 

Таблица 4. Программные требования

Состав ПО

Требования в среде Linux

Требования в среде Windows

Операционная система

ОС Debian 10, Astra Linux 1.7.1 или более поздних версий.

На всех серверах должен быть развёрнут Microsoft ASP.NET Core 6.0 и плагин GSS-NTMLSSP

Microsoft Windows Server 2012 или более поздней версии.

На всех серверах должен быть развёрнут Microsoft ASP.NET Core 6.0

СУБД

PostgreSQL 11 или более поздней версии

Microsoft SQL Server 2008 R2 или более поздней версии

Общие папки SMB

SMB версий 2.0.2, 2.1.0 и 3.0.0

Библиотека документов SharePoint

Microsoft SharePoint Server 2010 или более поздней версии

Почтовый сервер

RuPost, Zimbra 8.8 или более поздней версии, Microsoft Exchange Server 2010 SP1 или более поздней версии, CommuniGate Pro 6.0 или более поздней версии

LDAP-аутентификация

Microsoft Active Directory, ALD Pro, FreeIPA, OpenLDAP

Интеграция с DLP

InfoWatch Traffic Monitor 6.5 или более поздней версии

Варианты топологий системы

Для максимальной безопасности разработчик рекомендует разворачивать систему на внутреннем периметре сети организации, разместив обратный прокси-сервер на одном оборудовании с сервером WorksPad.

 

Рисунок 6. Пример топологии для односерверной конфигурации развёртывания

Пример топологии для односерверной конфигурации развёртывания

 

Такой подход снижает количество публикуемых сетевых портов, а также предоставляет администратору более широкие возможности по настройке сетевого взаимодействия.

Для обслуживания большого количества пользователей разработчик рекомендует использовать кластер серверов WorksPad.

 

Рисунок 7. Вариант кластера WorksPad для двух узлов

Вариант кластера WorksPad для двух узлов

 

Кластер позволяет легко масштабировать систему и балансировать нагрузку, а также повышает отказоустойчивость. Все узлы кластера WorksPad используют единую базу данных, для максимальной производительности разработчик рекомендует PostgreSQL.

Разработчиком предоставляется детальная техническая документация по пошаговой установке и администрированию продукта, а также техническая поддержка в рамках лицензионного пакета. Развернуть серверную часть WorksPad может любой специалист с опытом администрирования современных информационных систем.

Также есть портал технической поддержки для администраторов системы.

Редакции WorksPad

 

Рисунок 8. Лицензирование и редакции WorksPad

Лицензирование и редакции WorksPad

 

Лицензия включает в себя стандартные услуги поддержки: помощь на этапе внедрения продукта, консультирование по настройке, обслуживание по телефону и электронной почте в рабочее время (часовой пояс Москвы).

В пакет услуг «Привилегированный» входят обслуживание 24×7, ускоренное решение вопросов, индивидуальный подход к потребностям заказчика и др.

Более подробную и актуальную информацию о версиях WorksPad и лицензировании уточняйте на официальном сайте разработчика.

Сценарии использования WorksPad

Рассмотрим работу WorksPad со стороны сотрудника на мобильном устройстве, а также со стороны администратора в контексте сценариев безопасности.

Работа с WorksPad на мобильном устройстве

Установка и настройка приложения максимально упрощены. Корпоративные логин, пароль и адрес сервера выдаёт сотруднику системный администратор. При каждом запуске WorksPad будет запрашивать заданный локальный пароль (ПИН-код).

После загрузки приложения автоматически открывается раздел «Почта» и отображается содержимое папки «Входящие».

 

Рисунок 9. Работа с почтой в WorksPad

Работа с почтой в WorksPad

 

Интерфейс минималистичен, навигация интуитивно понятна. Для отображения списка разделов необходимо нажать иконку «гамбургер».

Для просмотра письма в отдельном окне следует дважды нажать на него в списке. Доступны все привычные действия с письмами: создать, ответить, переслать, прикрепить файл и т. д.

Нижняя системная панель отвечает за навигацию по соответствующим разделам: «Синхронизация», «Почта», «Календарь», «Контакты», «Менеджер файлов», «Браузер» и «Настройки». Активный раздел акцентируется цветом.

 

Рисунок 10. Работа с «Календарём» в WorksPad

Работа с «Календарём» в WorksPad

 

Календарь отображает созданные события по датам и времени. По умолчанию отображаются события на текущую дату.

Кнопка «Вид» позволяет отобразить календарь на день, три дня и месяц.

 

Рисунок 11. Работа с «Менеджером файлов» в WorksPad

Работа с «Менеджером файлов» в WorksPad

 

Менеджер файлов предназначен для работы с документами, которые расположены локально на устройстве (LocalBox) или размещены на рабочей станции для дистанционного доступа (FileBox).

Для файлов в папке FileBox доступна команда «Получить», позволяющая скачивать их на устройство.

 

Рисунок 12. Работа с «Контактами» в WorksPad

Работа с «Контактами» в WorksPad

 

В разделе «Контакты» отдельными списками отображаются контакты устройства, а также контакты из глобальной адресной книги. Для добавления контакта необходимо нажать соответствующую иконку справа вверху.

Браузер WorksPad позволяет осуществлять навигацию по корпоративным системам с веб-интерфейсом.

 

Рисунок 13. Создание и редактирование файлов в WorksPad

Создание и редактирование файлов в WorksPad

 

В WorksPad встроен функциональный редактор, в котором сотруднику доступны все необходимые опции (шрифты, размер, отступы, стили, формулы и т. д.) для надлежащего профессионального редактирования или вёрстки текстового документа «с нуля».

В разделе «Настройки» задаются параметры безопасности, календаря и почты, также возможно просмотреть настройки приложения (версия, сборка, пользователь, сервер и т. д.).

Здесь же устанавливается локальный пароль (ПИН-код) для входа в приложение. Запрос пароля при запуске можно отменить.

Консоль администратора WorksPad

Как мы отметили выше, «Консоль администратора» является отдельным веб-приложением. Рассмотрим все разделы консоли по порядку, каждый раздел заслуживает внимания.

После авторизации администратор автоматически попадает в раздел «Панель мониторинга», где обзорно отображена основная информация о текущем состоянии системы WorksPad в виде таблиц и инфографики.

 

Рисунок 14. Раздел «Панель мониторинга» в WorksPad

Раздел «Панель мониторинга» в WorksPad

 

Панель интерактивна, можно быстро перейти в соответствующий раздел консоли для получения более подробной информации и совершения необходимых административных действий.

Навигация в консоли выполнена в классическом стиле: слева — навигационное меню, в поле справа производятся все настройки и отображается инфографика.

Рассмотрим раздел «Группы». Группы позволяют формировать списки учётных записей пользователей для предоставления им доступа ко групповым источникам.

 

Рисунок 15. Раздел «Группы» в WorksPad

Раздел «Группы» в WorksPad

 

Каждая группа связана с профилем политик для управления включёнными в неё учётными записями пользователей. Вкладки «Пользователи», «Общие папки SMB» и остальные — это списки всех сущностей соответствующих типов, включённых в данную группу.

Здесь необходимо отметить, что организационная модель безопасности WorksPad построена на комбинации трёх сущностей:

  1. Пользователи, которые объединяются в группу. Один пользователь может входить в самые различные группы.
  2. Профили политик. Обширный набор политик безопасности позволяет сформировать определённый пользовательский профиль.
  3. Конфигурации. Определяют типы ресурсов и источников, к которым возможно подключиться. Конфигурация назначается каждому пользователю.

Соответствующий профиль накладывается на целевую группу пользователей, плюс каждому отдельному пользователю назначается конфигурация для контроля доступа к тем или иным ресурсам. Таким образом, все действия сотрудника оказываются охваченными персональным контекстом безопасности. Подобная персонализация — базовая и сквозная особенность пользователя в WorksPad.

 

Рисунок 16. Раздел «Пользователи» в WorksPad

Раздел «Пользователи» в WorksPad

 

Список всех зарегистрированных в системе учётных записей пользователей представлен в табличном виде и организован по аналогии с «Группами». Для каждой учётной записи отображаются её основные параметры.

Панель инструментов над таблицей позволяет добавить или удалить учётные записи пользователей системы, изменить их статус, обновить данные по ним из LDAP, а также изменить для них конфигурацию.

 

Рисунок 17. Раздел «Экземпляры приложений» в WorksPad

Раздел «Экземпляры приложений» в WorksPad

 

В разделе «Экземпляры приложений» можно видеть, какие приложения у какого пользователя установлены в контейнере WorksPad. В таблице отображаются все основные параметры экземпляров приложений, включая связанных с ними пользователей.

Все экземпляры приложений регистрируются в системе автоматически. Регистрация экземпляра происходит при первом входе с него.

Система позволяет регистрировать на одну учётную запись пользователя несколько экземпляров приложений.

Панель инструментов таблицы даёт администратору возможность изменить статус экземпляра и удалить запись о нём, а также очистить контейнер WorksPad на мобильном устройстве сотрудника.

В разделе «Профили» представлены профили всех политик, заведённых в системе, здесь же создаются новые профили или удаляются существующие.

Кнопка «Создать» на панели инструментов таблицы позволяет завести новый профиль. Для удобства в системе заранее заведён профиль с политиками по умолчанию.

 

Рисунок 18. Раздел «Профили» → «Создание профиля» в WorksPad

Раздел «Профили» → «Создание профиля» в WorksPad

 

Профили политик представляют собой наборы правил и настроек, в соответствии с которыми осуществляется работа пользователей с системой. Один профиль политик может быть назначен нескольким группам. Каждой группе назначается только один профиль политик.

Широкий набор настроек политик позволяет администратору организовать самые разные конфигурации профилей под ту или иную задачу. Не будем перечислять все настройки, но вот некоторые из них для примера:

  • Настройка действий при обнаружении скомпрометированности устройства (jailbroken / rooted).
  • Разрешение / запрет делать снимки экрана в приложении WorksPad.
  • Настройка типов клиентов, с которых разрешён доступ к системе.
  • Разрешение / запрет на использование встроенного веб-браузера WorksPad.
  • Активировать / деактивировать отображение водяных знаков для файлов в мобильном приложении WorksPad.
  • Разрешение / запрет на открытие файлов в других приложениях (позволяет открывать файлы, которые доступны пользователям в системе WorksPad, в других приложениях на мобильных устройствах).

Собственная безопасность системы WorksPad формируется на базе ролевой модели и позволят гранулированно управлять правами администраторов: один анализирует логи, другой контролирует создание пользователей, третий стирает данные в контейнере на мобильном устройстве, и т. д.

Все настройки ролевой модели WorksPad задаются в разделе «Роли», где администратор системы может контролировать и ограничивать действия пользователей системы.

 

Рисунок 19. Раздел «Роли» → «Создание роли» в WorksPad

Раздел «Роли» → «Создание роли» в WorksPad

 

Только пользователи с системной ролью «Администратор» могут создавать, редактировать или удалять пользовательские роли. Например, можно предоставить пользователю доступ к разделу «Консоль администратора» и / или к «Пользовательскому порталу».

Помимо существующих системных ролей «Администратор» и «Пользователь» в системе предусмотрена возможность создания пользовательских ролей администрирования на основе широкого перечня разрешений. Для каждого раздела «Консоли администратора» представлены свои опции разрешений, такие как просмотр, создание, добавление, редактирование, экспорт, блокировка и т. д.

 

Рисунок 20. Раздел «Учётные данные»: добавление новых учётных данных в WorksPad

Раздел «Учётные данные»: добавление новых учётных данных в WorksPad

 

В системе WorksPad предусмотрена возможность использования дополнительных учётных данных, отличных от применяемых в LDAP, для работы с источниками и электронной почтой.

В разделе «Учётные данные» отображается список всех видов учётных данных, заведённых в системе. Панель управления таблицы позволяет создать новые (поддерживаются Office 365 и тип «user / password») или удалить существующие учётные данные из системы WorksPad.

В разделе «Источники» настраиваются групповые источники, которые предполагают дальнейшее их включение в группы.

Для примера внесём изменения в карточку «Библиотеки документов SharePoint», где отображается подробная информация по всем параметрам.

 

Рисунок 21. Раздел «Источники»: редактирование «Библиотеки документов SharePoint» в WorksPad

Раздел «Источники»: редактирование «Библиотеки документов SharePoint» в WorksPad

 

В WorksPad все источники подразделяются на «Персональные» и «Групповые», которые в свою очередь делятся на типы: «Общие папки SMB», «Библиотеки документов SharePoint» и «Папки WebDAV».

В групповых источниках доступны типы «Закладки браузера», «Адресные книги» и «Чат-боты».

В разделе «Ссылки» настраивается контроль ссылок пользователей согласно настроенным политикам, здесь же находятся параметры интеграции с DLP-системой.

 

Рисунок 22. Раздел «Ссылки» в WorksPad

Раздел «Ссылки» в WorksPad

 

В табличном виде отображаются все основные параметры ссылок, включая пользователей, создавших их. Панель инструментов таблицы позволяет администратору удалить ссылку и очистить хранилище уже опубликованных.

В разделе «Корпоративные приложения» отображаются все основные параметры корпоративных приложений.

 

Рисунок 23. Раздел «Корпоративные приложения» в WorksPad

Раздел «Корпоративные приложения» в WorksPad

 

Добавление приложений в систему или исключение их из неё происходит здесь же.

По умолчанию список содержит одно приложение «WorksPad Sync Agent». Оно автоматически обновляется при актуализации сервера WorksPad.

Корпоративное приложение представляет собой исполняемый файл, предназначенный для внутрикорпоративного развёртывания и использования сотрудниками.

Зарегистрированные в системе корпоративные приложения доступны пользователям для загрузки с «Пользовательского портала» WorksPad. Также данный ресурс полезен, если по тем или иным причинам приложение отсутствует в публичном доступе (Apple App Store, Google Play, Huawei AppGallery и т. д.).

 

Рисунок 24. «Корпоративные приложения» на «Пользовательском портале» WorksPad

«Корпоративные приложения» на «Пользовательском портале» WorksPad

 

Такой подход позволяет облегчить процедуру распространения корпоративных приложений внутри организации без применения на устройствах пользователей специализированных приложений-агентов.

В разделе «Мониторинг служб» отображаются список всех зарегистрированных в системе служб и все основные параметры, в том числе статус и дата последней проверки.

 

Рисунок 25. Раздел «Мониторинг служб» в WorksPad

Раздел «Мониторинг служб» в WorksPad

 

Службы WorksPad самостоятельно сообщают о своём состоянии системе. Если за заданное время служба не сообщила о своём состоянии, то она считается остановленной.

Список всех зарегистрированных в системе доменов находится в разделе «Домены». В систему WorksPad можно импортировать учётные записи пользователей LDAP только из зарегистрированных в системе доменов.

 

Рисунок 26. Раздел «Домены»: редактирование настроек домена в WorksPad

Раздел «Домены»: редактирование настроек домена в WorksPad

 

В карточке домена отражена подробная информация о нём. Здесь можно изменить настройки для подключения к LDAP-серверу, а также обновить данные домена из LDAP.

В этом же разделе производится изменение NetBIOS-имени домена и настроек для подключения к LDAP.

В WorksPad каждому пользователю системы необходимо назначить конфигурацию. В разделе «Конфигурации» отображается список всех конфигураций в системе, здесь же можно создать новые или удалить существующие.

 

Рисунок 27. Редактирование конфигурации в WorksPad

Редактирование конфигурации в WorksPad

 

Конфигурации — это группы настроек, которые позволяют управлять следующими параметрами: настройки безопасности, хранилище клиентских журналов событий, использование FileBox, электронная почта, настройки прокси для браузера, настройка «Ассистента», DLP-система.

Раздел «Настройки» позволяет редактировать общие параметры системы: домен по умолчанию, режим ведения журнала, регион сервиса уведомлений и т. д.

 

Рисунок 28. Раздел «Настройки» → «Основные настройки» в WorksPad

Раздел «Настройки» → «Основные настройки» в WorksPad

 

Здесь же расположено управление внешними ссылками, служебными уведомлениями, архивированием журнала событий сервера и прокси для доступа ко внешним службам WorksPad.

Раздел «Журнал событий» содержит список основных совершённых действий, произошедших событий и ошибок. Предусмотрена возможность архивирования журнала событий сервера.

 

Рисунок 29. Раздел «Журнал событий» в WorksPad

Раздел «Журнал событий» в WorksPad

 

Для просмотра подробностей по событию необходимо нажать на дату его регистрации в таблице журнала.

В разделе «Информация» содержатся сведения о версии сервера и API, а также данные о лицензии.

Выводы

WorksPad превращает устройства под управлением операционных систем iOS и Android в полноценные корпоративные мобильные рабочие места посредством единого защищённого приложения.

Интуитивно понятное и минималистичное клиентское приложение WorksPad объединяет в себе наиболее востребованные инструменты для повседневной работы: почтовый клиент, календарь, адресную книгу, браузер, менеджер управления локальными и удалёнными файлами, универсальный веб-клиент и полнофункциональный офисный пакет для создания и редактирования файлов.

WorksPad оптимизирует спектр рутинных задач сотрудника, повышая как личную продуктивность, так и общую деловую производительность компании.

В ходе тестирования WorksPad показал себя как зрелая EMM-система, которая открывает множество векторов применения на практике как для пользователей, так и для администраторов за счёт богатого стека функциональных возможностей, обеспечивая надлежащую безопасность работы с корпоративными данными.

Модульная структура серверной части позволяет развернуть WorksPad в любых сетевых топологиях, а гибкая лицензионная модель подойдёт как начинающим свой путь компаниям, так и крупнейшим корпорациям с географически распределёнными филиалами.

Разработчик постоянно развивает WorksPad и внедряет новые функции: усиливает безопасность в ответ на новые угрозы, прислушивается к пожеланиям заказчиков и пользователей, требованиям регуляторов. При этом нет перегрузки и запутанности, сохраняются минималистичность и интуитивная воспринимаемость приложения и всех настроек как со стороны информационной безопасности, так и со стороны системного администрирования.

Достоинства:

  • Полностью российский продукт.
  • Суперприложение на базе изолированного контейнера с возможностью зашифровать данные по ГОСТ-алгоритму.
  • Зрелый продукт с функциями безопасности для защиты от современных угроз.
  • Гибкая ролевая модель.
  • Комплексная анонимизация пуш-уведомлений.
  • Горизонтальная масштабируемость и поддержка кластеризации.
  • Работа со сторонними VPN и DLP-системами.
  • Поддержка веб-API для управления системой, а также для микроприложений и чат-ботов.
  • Оптимизирует повседневную рабочую среду компании и повышает продуктивность пользователей.

Недостатки:

  • Требуется оптимизация работы с учётными записями по концепции IdM.
  • Нет поддержки AES-шифрования (в разработке).
  • Нет поддержки ОС «Аврора».

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.