Оскільки бізнес-операції все більше покладаються на розміщені на хостингу дані та програмні рішення, важливість даних співробітників і клієнтів зростає. Ця зростаюча залежність змушує все більше і більше компаній звертатися до таких стандартів інформаційної безпеки, як SOC 2 та ISO 27001. Ці стандарти встановлюють стандартизовані політики, процедури, методи, плани та заходи безпеки, щоб організація відповідально поводилася з даними, а в разі виникнення інциденту мала процедуру їх відновлення.
Ваша організація може працювати над досягненням відповідності SOC 2 або ISO 27001. Як правило, організації укладають контракт з третьою стороною, щоб допомогти їм у цьому процесі і провести аудит для сертифікації. У цій статті описано функціональні можливості MDM, які стосуються цих фреймворків безпеки і можуть бути використані для досягнення їхніх вимог до безпеки даних.
Політики безпеки для пристроїв
Мабуть, найкориснішим аспектом Apple MDM, що стосується систем безпеки даних, є можливість встановлювати правила зберігання даних на пристроях, обміну даними з додатками та взаємодії зі сторонніми веб-сервісами.
Примусове управління
Автоматизована реєстрація пристроїв Apple (раніше відома як Apple DEP) – це програма, яка дозволяє компаніям купувати обладнання Apple, попередньо налаштоване для реєстрації в системі управління пристроями. Використовуючи цю функцію, організація може гарантувати, що її обладнання, коли воно увімкнене, буде під адміністративним контролем.
Крім того, багато MDM підтримує інтеграцію з вашим існуючим постачальником послуг ідентифікації (IdP). Якщо у вас вже є контроль над політикою ідентичності та паролів у вашого IdP, ви можете використовувати їх і вимагати від ваших користувачів автентифікації перед першим використанням пристрою та реєстрацією в MDM.
Пароль і блокування екрану
Розділ конфігурації пароля та заставки MDM дозволяє вам вказати складність пароля, його довжину та вимоги до історії. Крім того, можна встановити ліміти бездіяльності перед блокуванням пристрою. Це дозволяє встановити базовий рівень вимог для паролів вашої організації і гарантує, що пристрої не залишаться без нагляду і не будуть розблоковані.
Функція обмежень MDM надає можливість відключити використання Touch ID, а також функції автоматичного розблокування на iOS, якщо ваша організація вважає їх небезпечними.
Шифрування інформації, фізичний захист
Якщо зловмисник заволодіє фізичним пристроєм, таким як ноутбук або iPhone, надійний пароль сам по собі не захистить дані. Параметри конфігурації шифрування в MDM можуть змусити пристрої увімкнути шифрування FileVault, а також можуть депонувати ключ дешифрування в MDM, якщо вам, адміністратору, знадобиться розшифрувати пристрій пізніше.
Суміжною функцією є конфігурація пароля прошивки для macOS. Це дозволяє додатково захистити пристрій, вимагаючи пароль для доступу до утиліти відновлення macOS і для завантаження з іншого завантажувального диска, що може бути вектором для фізичної атаки на пристрій.
Функція “Обмеження” може відключати USB-з’єднання на пристроях, коли вони заблоковані, для додаткової фізичної безпеки. Крім того, для iOS вона може примусово шифрувати резервні копії.
Захист мережевих даних
Існує безліч засобів для захисту передачі даних. Нижче наведено варіанти, які ви можете адаптувати до конкретних цілей і вимог вашої організації:
Брандмауер: Примусово вмикає мережевий брандмауер на пристроях, блокуючи небажаний трафік.
Глобальний веб-проксі: Використовуйте конфігурацію Глобального HTTP-проксі, щоб змусити пристрої надсилати всі http-запити через обраний вами проксі-сервер.
VPN: автоматичне налаштування облікового запису VPN для кожного пристрою, щоб забезпечити приватну передачу даних між пристроєм і вашим VPN-сервером.
Бездротова мережа: Користувачі більш схильні використовувати бездротові мережі, коли вони попередньо налаштовані. Використовуйте додаткову функціональність у MDM, щоб обмежити використання пристроєм лише тих мереж WIFI, на які надано дозвіл.
Вимкнути AirDrop
Вимкнути AirPrint
Вимагати TLS та/або вимкнути ненадійне TLS для веб-з’єднань
Керований вхід: Обмеження експорту даних із керованих програм та/або обмеження імпорту даних до керованих програм
Вимкніть JavaScript, файли cookie та інші зловмисні функції в Safari
Функціональність обмежень: Функція обмежень MDM надає багато можливостей детального контролю над транспортуванням та обробкою даних. А саме
Програмне забезпечення безпеки
MDM надає надійне рішення для управління додатками для iOS та macOS. Використовуючи власну функціональність MDM або, за бажанням, агента на пристрої, є можливість автоматично встановлювати та налаштовувати програмне забезпечення, орієнтоване на безпеку. Ми рекомендуємо розглянути наступні варіанти:
Керування паролями
Безпечний/затверджений веб-браузер
Програмне забезпечення VPN
Внутрішнє програмне забезпечення компанії
MDM може автоматично підтримувати це програмне забезпечення в актуальному стані, а також надавати звіт про встановлені версії на всіх ваших пристроях.
Реагування на інциденти та усунення наслідків
Якщо пристрій буде скомпрометовано, MDM забезпечує наступну функціональність, збільшуючи рівень контролю.
Блокування пристрою: Пристрій переводиться в режим блокування і не може бути використаний до тих пір, поки не буде надано необхідний пароль.
Видалення конфігурації: Конфігурації, що постачаються MDM, видаляються з пристрою. Конфігурації та дані, не пов’язані з MDM, залишаються на пристрої.
Видалення пристрою: Дані на пристрої повністю стираються і пристрій повертається до заводських налаштувань за замовчуванням.
Аудит
Конфігурація пристроїв у розгортанні, якщо її не контролювати, може стати рухомою мішенню. MDM включає в себе механізм сповіщень, який виявляє, якщо пристрої виключаються з MDM, мають проблеми з конфігурацією, що перешкоджають управлінню ними, або якщо вони не були помічені протягом певного часу. Коли це трапляється, адміністратори можуть за бажанням отримувати сповіщення на електронну пошту, щоб пристрої можна було повернути під керування.
Журнал активності, доступний тільки для читання, є необхідним інструментом, якщо є занепокоєння щодо активності пристрою або керування. MDM надає можливість ведення журналу, який відстежує як зміни конфігурації, так і дії, що виконуються на пристроях. Це корисно при визначенні того, які дії були виконані, коли і ким.
Якщо у вас виникли додаткові питання стосовно політик безпеки та MDM заповніть форму нижче.