Сегодня компания Аванпост — ведущий российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) — объявляет о завершении разработки системы однократной аутентификации (SSO, или Single Sign-On) для планшетов и смартфонов на Android. Функции SSO включены в модуль Avanpost Mobile программного комплекса (ПК) «Аванпост 3.0». Создание механизма SSO для самой распространенной мобильной платформы, интегрированного с IDM и PKI, резко повышает безопасность мобильных и удаленных рабочих мест, популярность которых стремительно растет на предприятиях любых масштабов и любых направлений деятельности. Соответственно, новая разработка Аванпост представляет первостепенный интерес практически для любых организаций, включая те, которые применяют концепцию BYOD (Bring Your Own Device) — использование сотрудниками личных мобильных устройств для работы с корпоративной информацией.
Используя новую версию системы Avanpost Mobile, пользователь автоматически (без ввода логина и пароля) начинает работу на любом своем мобильном устройстве с защищенными внутрикорпоративными Web-ресурсами (интранет-портал, корпоративная веб-почта Microsoft Outlook Web App и др.), системами VoIP-телефонии, видео- и видеоконференцсвязи (например, Skype, SIP), а также с любыми Android-приложениями, являющимися клиентами корпоративной информационной системы (CRM, ERP, HR, бухгалтерия и др.) и облачных Web-сервисов. Тем самым на мобильном устройстве обеспечивается главное преимущество SSO: пользователям не нужно запоминать множество идентификационных пар, при этом организация может применять политики безопасности, требующие применения длинных стойких труднозапоминаемых, часто меняющихся паролей, которые еще и различаются во всех приложениях.
Основные настройки системы Avanpost Mobile делаются на сервере ПК «Avanpost», контролирующем, какие приложения доступны сотруднику на определенных мобильных устройствах (при этом генерацию и обновление паролей обеспечивает основное IDM-ядро ПК «Avanpost»). Здесь же формируется уникальный PIN-код мобильного устройства, причем при наличии соответствующих модулей система ПК «Avanpost» может напечатать PIN-конверт, что исключает доступ системного администратора к этой информации. Отметим, что при работе с мобильными устройствами используется та же инфраструктура, которая контролирует работу пользователей на ноутбуках и настольных ПК. Так, на мобильном устройстве нужно вводить тот же PIN-код, что и на аппаратном USB-токене пользователя. При этом подключать токен к смартфону или планшету не надо — информация о сертификатах и паролях берется непосредственно из хранилища ПК «Avanpost». Эта схема максимально удобна для пользователя и, в то же время, не снижает уровень защищенности системы.
На мобильное же устройство нужно лишь установить Android-приложение, причем для его работы не требуются привилегии root. Последнее обстоятельство исключительно важно, т. к. «рутирование» создает бреши во встроенной системе информационной безопасности платформы Android, а также может создавать проблемы при гарантийном ремонте устройства.
Отметим, что в новой версии модуля Avapost Mobile реализована также функция MDM (Mobile Device Management), которая позволяет дистанционно управлять операционной системой мобильного устройства, противодействовать вредоносным программам, препятствовать установке на мобильные устройства программного обеспечения, запрещенного в соответствии с корпоративной политикой ИБ, управлять доступом пользователя к локальным приложениям. В очередных версиях Avanpost Mobile функциональность MDM будет расширена: появится дистанционная установка программного обеспечения, блокирование устройства и полное удаление конфиденциальной информации при его утере, выборочная блокировка аппаратных компонент (SD-карта, камера, WiFi, Bluetooth и т. п.), централизованный GPS-мониторинг местоположения мобильных устройств компании. Кроме того, будет автоматически вестись журнал действий пользователей, нарушающих корпоративную политику ИБ, и появится возможность его автоматической передачи на сервер системы.
Avanpost Mobile работает под любой версией Android, начиная с версии 2.3.
«Мобильные устройства столь мощно ворвались в жизнь предприятий, что подразделения ИБ просто не могут противостоять этому натиску. Еще лет пять назад модель BYOD была немыслима в корпоративной среде, а сегодня — это уже норма. Эти изменения происходят одновременно с вынужденным переосмыслением заказчиками своего отношения к аутентификации и управлению доступом. Злоумышленники научились обходить дорогостоящие системы защиты, действуя от имени легитимных пользователей с широкими полномочиями, мобильные же устройства особенно хорошо подходят для реализации таких схем. Под угрозой оказались и корпоративная информация, и репутация организаций, и огромные инвестиции в ИБ, — говорит Андрей Конусов, генеральный директор компании Аванпост. — Наша новая разработка — огромный шаг в противодействии этой угрозе. У предприятий впервые появилась возможность распространить корпоративные политики ИБ на мобильные устройства Android, охватив все варианты работы с информацией, характерные для современных мобильных устройств. При этом наша IDM-система, изначально созданная с учетом всех вышеперечисленных трендов, предоставляет все необходимые инструменты, чтобы интегрировать сотни и тысячи мобильных устройств в интегрированную инфраструктуру IDM, PKI и SSO. Такое скоординированное развитие серверной и мобильной линеек позволяет наиболее эффективно противодействовать актуальным угрозам сегодняшнего дня и предложить ИБ-решения, в которых остро нуждается российский бизнес».