Embed Size (px)
Citation preview
1
MobileIron e iOS: le basi per la sicurezza delle aziende moderne
MKT EN v1.0
415 East Middlefield Road
Mountain View, CA 94043
www.mobileiron.com
Tel: +1.877.819.3451
Fax: +1.650.919.8006
2
Indice
Sintesi
Introduzione: sicurezza delle aziende digitali moderne incentrate sugli utenti
iOS: sicurezza dall'interno
Avvio sicuro: garanzia di una catena di fiducia sicuraFirma del codice obbligatoria: garanzia dell'integrità di tutti gli aggiornamenti iOSApp Store: distribuzione e aggiornamento delle applicazioniEsecuzione delle app: protezione contro codice non autorizzatoCrittografia predefinita: sicurezza dei data-at-rest e data-in-motionProprietà, gestione e configurazione dei dispostivi iOS
Profili di configurazione: distribuzione delle impostazioni del dispositivo
Gestione di dispositivi mobili: check-in ed esecuzione dei comandi di gestione da remoto
Supervisione: funzionalità di sicurezza avanzate per le aziende
Device Enrollment Program (DEP): supervisione over-the-air e registrazione MDM obbligatoria
EMM di MobileIron: sicurezza dall'esterno
Per iniziare: autenticazione e autorizzazione degli utentiCollegamento di dispositivi, utenti e policy mediante le directory aziendali
Autenticazione degli utenti più semplice e solida con certificati digitali, infrastrutture Kerberos e Single Sign-on
Gestione e sicurezza in scala: il protocollo MDM come piano di controllo aziendaleProvisioning dei dispositivi semplificato e snello
Al lavoro: gestione del ciclo di vita e della sicurezza delle appDistribuzione delle app mobili tramite un app store aziendale
Gestione delle applicazioni mobili: incremento del sandboxing delle app
Sicurezza avanzata per le applicazioni interne: MobileIron AppConnect
Controllo dell'accesso dinamico sicuro
Protezione dei data-in-motion con il tunneling
MobileIron Access: estensione dell'affidabilità e della sicurezza alle app SaaS
MobileIron ServiceConnect: integrazione con sistemi di sicurezza aziendali di terze parti
EMM + iOS: un progetto per rendere sicura la mobilità delle aziende moderne
3
4
6
10
15
3
Sintesi
L'azienda mobile moderna si sta espandendo più rapidamente che mai in tutte le aree geografiche e i settori. Le organizzazioni sono sempre più alla ricerca di progetti per la sicurezza inclusivi che le aiutino a proteggere dati, app e dispositivi mobili, senza compromettere la produttività o l'esperienza utente. Per questo motivo, iOS è diventato il sistema operativo per dispositivi mobili scelto da molte aziende, grazie al suo design altamente intuitivo e facile da utilizzare e gestire.
Nelle versioni recenti, Apple ha aggiunto diverse funzionalità per la gestione delle app e della sicurezza, allo scopo di aiutare i team IT ad assicurare l'integrità dei dati e delle app mobili su qualsiasi dispositivo iOS. Nonostante queste funzionalità riescano a risolvere molti problemi critici, nessun sistema operativo è del tutto immune dal rischio della perdita di dati e dagli attacchi malware moderni. Con la piattaforma EMM di MobileIron, le organizzazioni IT possono sfruttare una soluzione mobile completa che integri e aumenti le funzionalità di sicurezza incluse in iOS.
In breve, iOS offre sicurezza dall'interno, ovvero il suo processo di sicurezza ha inizio durante la produzione dei circuiti e si estende a tutto il ciclo di vita del software e del dispositivo. La soluzione EMM di MobileIron offre sicurezza dall'esterno perché permette alle organizzazioni di distribuire una strategia di sicurezza completa per i dispositivi mobili, che protegga dispositivi, app e dati in qualsiasi momento gli utenti accedano ad ambienti quali reti non sicure o risorse cloud. L'EMM di MobileIron offre una piattaforma standardizzata per distribuire automaticamente le configurazioni e le impostazioni di sicurezza a diversi dispositivi nell'azienda.
Questo documento fornisce una panoramica approfondita delle funzionalità di sicurezza di iOS e della piattaforma EMM di MobileIron. Viene illustrato il modo in cui queste due soluzioni collaborano per permettere alle organizzazioni di distribuire un parco di dispositivi iOS altamente sicuri, semplici da configurare e conformi alle policy di sicurezza e agli aggiornamenti delle app attuali.
4
Introduzione: sicurezza delle aziende digitali moderne incentrate sugli utenti
Migliaia di aziende nel mondo hanno iniziato il loro percorso verso la costruzione di un'azienda in tempo reale che ponga l'esperienza utente digitale al centro delle proprie strategie concorrenziali. Ciascun processo aziendale chiave in ogni settore globale, inclusi assistenza sanitaria, industria manifatturiera, vendita al dettaglio, tecnologia, trasporti e servizi finanziari, adesso dipende dall'attivazione di transazioni digitali semplici e sicure. Di conseguenza, per rimanere competitivi non è sufficiente abilitare l'e-mail sui dispositivi mobili. È necessario un progetto per mettere in pratica una strategia mobile che soddisfi i complessi requisiti di sicurezza, senza ostacolare l'esperienza utente digitale.
Creare uno spazio di lavoro digitale incentrato sull'utente è un'operazione resa difficile dal crescente numero di sfide alla sicurezza che ogni azienda deve ormai affrontare. Secondo il Ponemon Institute, il fattore che maggiormente influisce sulla complessità della sicurezza IT è l'utilizzo in rapida diffusione dei dispositivi mobili e delle app basate su cloud.1 Una complessità eccessiva, superiore alle aspettative dell'azienda, può intaccare la capacità di risposta agli attacchi informatici di un'organizzazione. Può anche creare un ambiente frammentato a causa di diverse tecnologie per la messa in sicurezza su piattaforme diverse, policy di sicurezza applicate
in modo non uniforme e un team per la sicurezza sovraccarico a cui mancano le risorse necessarie per gestire in modo sicuro un parco di dispositivi mobili in rapida espansione. L'esplosione dei dati non strutturati e le continue modifiche che risultano dalle fusioni, acquisizioni, cessioni, riorganizzazioni e riduzioni del personale contribuiscono ad aumentare la complessità.2 La sfida per l'IT è mantenere tutta questa complessità nascosta agli utenti finali, in modo che possano vivere un'esperienza sicura, intuitiva e con app e dati mobili di facile accesso.
Uno dei motivi per cui iOS è diventata la piattaforma globale dominante per la mobilità è la sua facilità di utilizzo e l'esperienza altamente produttiva che offre. Tuttavia, nonostante iOS mantenga una buona reputazione in fatto di sicurezza, nessun sistema operativo è immune dalle minacce. In futuro, il reparto IT aziendale avrà bisogno di una strategia di sicurezza iOS completa che includa una piattaforma EMM in grado di anticipare e impedire gli attacchi. Le organizzazioni dovranno soprattutto unificare le infrastrutture IT altamente complesse e frammentate, in modo da rendere adeguatamente sicuro un parco globale di dispositivi e app aziendali iOS, inclusi i dispositivi desktop, indossabili e altri dispositivi non ancora in commercio.
1 Ponemon Institute LLC, "The Cost and Consequences of Security Complexity", novembre 2016.
2 Ponemon Institute LLC
5
Anatomia delle vulnerabilità e degli attacchi moderni Apparentemente, le minacce che interessano i dispositivi mobili moderni sono molto simili a quelle che riguardano gli endpoint legacy. Tuttavia, ci sono significative differenze nella modalità con cui vengono sfruttate le vulnerabilità ed eseguiti gli attacchi.
Aumento del costo delle violazioni Poiché le violazioni di dati stanno diventando più dispendiose, un dispositivo mobile compromesso o non conforme aumenta l'esposizione e i costi di un'azienda. Nel 2016, il Ponemon Institute ha condotto un sondaggio su 383 aziende in 12 paesi. I risultati hanno dimostrato che il costo medio totale per una violazione di dati corrisponde a 4 milioni di dollari, con un aumento del 29% rispetto al 2013.3
Dispositivi e sistema operativo Le vulnerabilità del sistema operativo non sono nulla di nuovo, ma i sistemi operativi per dispositivi mobili offrono una base di sicurezza migliore grazie all'applicazione più rigida di confini tra lo spazio dell'utente e il kernel, nonché grazie a tecniche quali il sandboxing delle applicazioni. Tuttavia, questi meccanismi non sono infallibili e il processo di compromissione del sistema operativo (comunemente noto come "jailbreak" o "root") rimuove la protezione fornita dal sistema operativo stesso. Queste compromissioni, che una volta rientravano principalmente nell'ambito degli utenti che tentavano di modificare la postura dei propri dispositivi, stanno diventando adesso parte di diversi attacchi malware.
Reti I dispositivi mobili si collegano a molte più reti rispetto agli endpoint tradizionali e, in rapporto, le reti gestite dall'azienda sono in numero ridotto. Poiché la sicurezza di queste reti può variare enormemente, oppure essere totalmente assente in alcuni casi, rappresentano un'opportunità per gli autori di attacchi per intercettare i dati o svolgere altre azioni dannose. Le organizzazioni devono accertarsi che i dati siano protetti durante il transito tra i repository aziendali e gli endpoint che vi hanno accesso.
Applicazioni e dati Il malware tradizionale ha un'efficacia limitata sui dispositivi mobili grazie alla loro architettura e alle procedure che gli app store commerciali mettono in atto per impedire la sua introduzione e diffusione. Dal momento che app aziendali e personali possono coesistere sui dispositivi dell'utente finale, "user agent" non autorizzati potrebbero ottenere l'accesso ai dati aziendali. Inoltre, le app potrebbero proteggere in maniera non adeguata i data-in-motion e i data-at-rest. È possibile inoltre che si verifichino perdite di informazioni sensibili o tentativi di raccolta delle credenziali degli utenti.
Comportamento degli utenti Poiché riescono a connettersi ovunque e hanno a disposizione numerosi strumenti di produttività, i dispositivi mobili creano scenari in cui gli utenti finali possono, volontariamente o accidentalmente, estrudere i dati aziendali. Tali azioni potrebbero manifestarsi sottoforma di hairpinning delle e-mail (ovvero la ricezione di un messaggio da un account aziendale e l'inoltro mediante un account personale) oppure di trasferimento di dati a servizi di archiviazione su cloud personali. Per ridurre questi rischi, le organizzazioni devono disporre di una strategia per garantire che gli utenti abbiano accesso ai dati di cui necessitano, ma devono anche essere in grado di controllare flussi per impedire la divulgazione non autorizzata.
3 https://www.mobileiron.com/en/quarterly-security-reports/q2-2016-mobile-security-and-risk-review
6
iOS: sicurezza dall'interno
Ciò che è nato nel 2007 come un prodotto hardware rivoluzionario che offriva un'esperienza utente eccellente grazie al suo browser per dispositivi mobili è diventato adesso la base sicura della profonda trasformazione aziendale. Quando Apple ha lanciato l'iPhone e il sistema operativo iOS, si prospettava un approccio completamente nuovo per gli endpoint e la loro sicurezza. La combinazione vincente di sicurezza e usabilità ha aiutato iOS a raggiungere e mantenere il predominio all'interno delle aziende, con una percentuale maggiore all'80% della quota di mercato dei dispositivi mobili aziendali. 4
La sicurezza dei dispositivi iOS è il frutto dell'unione di funzionalità hardware e software ideate per proteggere il dispositivo, i dati che gestisce (at-rest o in transito) e l'ecosistema, inclusi i servizi Internet e le app utilizzati dal dispositivo. La sicurezza è l'obiettivo principale di iOS, a tal punto che l'integrazione delle funzionalità e dei componenti per la sicurezza inizia durante la produzione dei circuiti. La sicurezza di iOS si estende poi lungo tutto il ciclo di vita del dispositivo e del software. Molte delle funzionalità di sicurezza trattate di seguito sono attive di default e, in alcuni casi, non sono modificabili dagli utenti finali.
Avvio sicuro: garanzia di una catena di fiducia sicura
Ciascun processore dei dispositivi iOS (processore per le applicazioni, circuiti in banda base e Secure Enclave sui dispositivi con processore A7 o una serie A più recente) utilizza una procedura di avvio sicura: ogni passo si affida a componenti firmati crittograficamente e la procedura di avvio può continuare solo dopo la verifica della catena di fiducia.
Modifica non autorizzata del sistema operativo
Il processo di modifica di iOS al di fuori della procedura di aggiornamento standard, conosciuto anche come "jailbreak", si riferisce a un insieme di tecniche mediante cui iOS viene attaccato per modificare le sue funzionalità di base. Tramite questo tipo di modifiche è possibile aggirare le funzionalità di sicurezza principali di iOS ed esporre i dispositivi a numerosi effetti collaterali negativi5 quali:
• Durata ridotta della batteria
• Instabilità del sistema operativo
• Interruzione dei servizi, inclusi comandi vocali, dati e notifiche push di Apple (APN)
• Esposizione a malware e ad altre vulnerabilità di sicurezza
• Impossibilità di applicare aggiornamenti futuri o disattivazione totale del dispositivo
Nonostante la tendenza generale relativa alle modifiche non autorizzate al sistema operativo sia rimasta invariata o stia leggermente rallentando, i dispositivi con sistemi operativi compromessi possono presentare un rischio significativo per i dati aziendali e dell'utente. Di conseguenza, dovrebbero essere prese misure di sicurezza per difendersi da questi attacchi.6
4 Fonte: Security and Risk Review T 2 2016 di MobileIron.5 Ulteriori informazioni: https://support.apple.com/en-us/HT201954
6 Fonte: Security and Risk Review T2 2016 di MobileIron
7
Firma del codice obbligatoria: garanzia dell'integrità di tutti gli aggiornamenti iOS
L'utilizzo della verifica criptata si estende al di là della procedura di avvio sicuro. Viene utilizzata anche su base continua per garantire l'integrità di tutti gli aggiornamenti iOS. Durante un aggiornamento del sistema operativo, i server di autorizzazione per l'installazione di Apple ricevono un elenco di misure crittografiche per ciascun componente del pacchetto di installazione, l'ID univoco del dispositivo e un valore anti-replay casuale. Se le misurazioni corrispondono alle versioni per cui sono consentiti gli aggiornamenti, il server di autorizzazione firma il risultato e lo inserisce nel payload di aggiornamento. Questa procedura garantisce che gli aggiornamenti del sistema operativo siano altamente resistenti alle compromissioni.
La firma del codice viene eseguita anche per le applicazioni installate e in esecuzione su iOS. Tutto il codice eseguibile su iOS deve provenire da una fonte conosciuta e approvata, verificata mediante l'utilizzo di un certificato emesso da Apple. Oltre a convalidare il codice, la firma obbligatoria del codice impedisce alle app di terze parti di caricare moduli non firmati o di utilizzare codice polimorfo che potrebbe modificare dinamicamente il funzionamento delle app.
App Store: distribuzione e aggiornamento delle applicazioni
Il compito dell'App Store è principalmente quello di offrire l'infrastruttura per distribuire e aggiornare le applicazioni. Tuttavia, svolge un ruolo centrale anche nella sicurezza dei dispositivi. Tutte le app inviate all'App Store sono soggette a esame da parte di Apple per verificare che funzionino come descritto, che siano prive di bug evidenti e che in generale seguano le best practice per lo sviluppo delle app per iOS. Inoltre, gli sviluppatori che desiderano distribuire un'app mediante l'App Store devono essere registrati al Developer Program di Apple.
Tramite la registrazione al programma, Apple è in grado di convalidare l'identità dello sviluppatore ed emettere un certificato che permetta il caricamento dell'app dello sviluppatore sull'App Store e la sua esecuzione sul dispositivo (per ulteriori informazioni, vedere la sezione Firma del codice obbligatoria). La richiesta di un'identità valida scoraggia la creazione di app dannose da parte degli sviluppatori. L'aspetto più importante è che, se l'app risulta dannosa, è possibile revocare il certificato dello sviluppatore e impedire l'esecuzione di tutte le sue app.
Esecuzione delle app: protezione contro codice non autorizzato
La modalità di esecuzione delle app su iOS si discosta molto da quella dei sistemi operativi tradizionali. A differenza dei sistemi operativi legacy, la maggior parte dei processi di sistema e tutte le app di terze parti su iOS vengono eseguiti come utenti non privilegiati. Per le app viene inoltre effettuato il sandboxing, in modo da impedire che modifichino il dispositivo e il sistema operativo e che accedano ai dati di altre app e li modifichino. Le app possono esporre framework o librerie accessibili da altre app dello stesso sviluppatore. Tuttavia, il codice eseguibile integrato non è in grado di collegarsi a librerie che non siano state fornite in dotazione con il sistema, offrendo maggiore protezione contro l'esecuzione di codice non autorizzato.
Crittografia predefinita: protezione per data-at-rest e data-in-motion
I dati sullo spazio di archiviazione flash di un dispositivo iOS sono protetti da una tecnologia denominata Protezione dati. Protezione dati si basa su funzionalità hardware che offrono crittografia per file mediante un motore di cifratura AES-256 dedicato, integrato in ciascun dispositivo. Ogni nuovo file creato viene assegnato a una classe Protezione dati e le chiavi di crittografia del file vengono criptate in base alla classe assegnata. Protezione dati è attivata per tutte le app di terze parti su iOS 7 e versioni successive. L'aspetto più importante è probabilmente che Protezioni dati fornisce meccanismi di espulsione
8
delle chiavi di crittografia dalla memoria, permettendo il controllo della modalità e della tempistica di decifratura e accessibilità dei dati.
Oltre a proteggere i data-at-rest sul dispositivo, iOS protegge anche i data-in-motion. App Transport Security (ATS), introdotto con iOS 9, è un meccanismo per richiedere la crittografia delle connessioni ai servizi Internet mediante il protocollo Transport Layer Security (TLS) v1.2. L'intenzione di Apple era quella di rendere obbligatorio, a partire dal 1° gennaio 2017, l'utilizzo di ATS o di specificare chiaramente le eccezioni per tutte le app inviate all'App Store. L'applicazione del servizio è stata temporaneamente posticipata, ma Apple raccomanda vivamente l'utilizzo di HTTPS in modo che i dati a cui accedono utenti finali e organizzazioni siano protetti meglio da intercettazioni o divulgazioni accidentali durante la trasmissione. L'utilizzo di TLS v1.2 assicura inoltre che i servizi di back-end siano meno vulnerabili agli attacchi che sfruttano le debolezze delle versioni precedenti del protocollo.
Proprietà, gestione e configurazione dei dispostivi iOS
Oltre all'integrità delle applicazioni e del sistema operativo, le considerazioni sulla sicurezza di iOS includono il processo di gestione e aggiornamento delle impostazioni del dispositivo. È possibile modificare tali impostazioni a seconda che il dispositivo sia di proprietà dell'azienda oppure del dipendente che lo utilizza a scopo sia personale che lavorativo.
Profili di configurazione: distribuzione delle impostazioni del dispositivo
iOS offre un meccanismo di distribuzione delle impostazioni personalizzate del dispositivo, sotto forma di profili di configurazione.7 Questi file XML possono contenere un grande numero di impostazioni, inclusi certificati digitali, account e-mail (POP, IMAP e Microsoft Exchange), servizi di directory LDAP, clip Web, Wi-Fi e VPN. I profili di configurazione possono essere creati con l'app macOS Apple Configurator 2 e installati eseguendo il tethering dei dispositivi con i computer Mac su
cui è presente Apple Configurator 2, mediante USB o diversi metodi over-the-air. Le impostazioni definite nei profili di configurazione non possono essere modificate dall'utente e offrono quindi agli amministratori IT aziendali un modo pratico per standardizzare la configurazione dei dispositivi iOS.
Gestione dei dispositivi mobili: check-in ed esecuzione dei comandi di gestione da remoto
L'applicazione Gestione di dispositivi mobili (MDM) è stata introdotta in iOS 4 e offre agli amministratori dei dispositivi la possibilità di svolgere attività di gestione da remoto. MDM funziona mediante una combinazione di HTTP, TLS e APN ed è costituita dal protocollo MDM e dal protocollo per il check-in MDM. Il compito del protocollo per il check-in è quello di verificare l'idoneità del dispositivo per la registrazione MDM e di assicurare che il server di gestione possa comunicare con il dispositivo. Il protocollo MDM definisce i comandi che possono essere utilizzati effettivamente dagli amministratori per eseguire operazioni sui dispositivi. I comandi vengono divisi in due categorie: query e azioni. Le query consentono agli amministratori di raccogliere informazioni su un dispositivo, mentre le azioni permettono di svolgere operazioni come la rimozione di un'app o il ripristino dei dati di fabbrica di un dispositivo.
Supervisione: funzionalità di sicurezza avanzate per le aziende
I dispositivi di proprietà dei dipendenti e registrati in MDM sono gestiti da un set di base di controlli di gestione e sicurezza. I dispositivi iOS di proprietà dell'azienda e supervisionati sono gestiti da controlli IT più severi mediante il sistema MDM. Ad esempio, la supervisione viene generalmente utilizzata per i dispositivi che devono essere limitati alla modalità ad app singola, per cui su un dispositivo viene eseguita una sola applicazione in una configurazione di utilizzo dedicata oppure in una simile alla modalità kiosk bloccata. L'IT può inoltre impedire l'accesso a funzionalità di uso personale o di consumo, come la libreria foto di iCloud e i download automatici di app, rendendo le limitazioni immodificabili dall'utente.
7 Ulteriori informazioni: https://developer.apple.com/library/content/featuredarticles/iPhoneConfigurationProfileRef/Introduction/Introduction.html
9
Sui dispositivi supervisionati, gli amministratori IT possono impedire agli utenti di accedere ad app specifiche. Anche se l'utente scaricasse un'app inserita nella blacklist, il server EMM può utilizzare i controlli MDM per bloccare l'utilizzo o perfino la visualizzazione di tale app. Ad esempio, un'organizzazione potrebbe bloccare l'utilizzo di app di social media, come Facebook, sui dispositivi aziendali supervisionati. I dispositivi supervisionati possono essere bloccati per far sì che i dipendenti possano accedere esclusivamente alle app approvate dall'azienda e a nessun'altra app, neanche a quelle installate per impostazione predefinita su iOS. Gli amministratori IT possono inoltre controllare quali app, icone e clip Web mostrare sulla schermata principale e posizionare le applicazioni in modo persistente nel dock mediante i controlli MDM.
Device Enrollment Program (DEP): supervisione over-the-air e registrazione MDM obbligatoria
Device Enrollment Program (DEP) collega il dispositivo all'account Apple aziendale utilizzando il numero di serie univoco del dispositivo. In questo modo, l'azienda ottiene accesso a un portale online in cui è possibile applicare la supervisione over-the-air e, facoltativamente, la registrazione MDM per impedire all'utente di rimuovere il profilo MDM da singoli numeri di serie o a interi ordini di acquisto.
DEP offre agli amministratori IT un meccanismo per creare un flusso di lavoro di registrazione semplificato per i dipendenti. Grazie a questo programma, l'IT può modificare l'esperienza predefinita ed eliminare molti passaggi non necessari personalizzando la procedura nell'Assistente configurazione iOS, inclusa la possibilità di saltare alcune schermate. Il numero minore di richieste e notifiche significa più semplicità per i dipendenti e li aiuta a diventare operativi e produttivi più rapidamente.
Differenze tra dispositivi "gestiti" e "supervisionati"
Dispositivo gestito Un dispositivo gestito può essere di proprietà del dipendente o dell'azienda. Con un dispositivo gestito, l'IT può rendere sicuri e gestire le app e i dati aziendali separatamente dalle app e dai dati personali del dipendente, installando un profilo MDM. Se il dispositivo viene smarrito, rubato o risulta non conforme, è possibile cancellarne le app e i contenuti aziendali senza intaccare le informazioni personali. Un dispositivo gestito soddisfa i requisiti di sicurezza aziendali ed è in grado di isolare le app, gli account e i dati personali da quelli aziendali, ma non può e non deve interrompere la fruizione da parte dell'utente finale della maggior parte delle funzionalità incentrate sul consumatore dell'ecosistema iOS di Apple.
Dispositivo supervisionato Apple sta inviando un messaggio forte: la supervisione è l'unica modalità adatta per l'azienda per controllare totalmente e limitare le funzioni dei dispositivi iOS. La supervisione è riservata ai dispositivi di proprietà dell'azienda e offre all'IT un controllo maggiore rispetto ai dispositivi gestiti. Un dispositivo iOS supervisionato può essere reso sicuro con diverse funzionalità di gestione, inclusa la modalità ad app singola e la VPN sempre attiva. L'IT può inoltre limitare le funzionalità, ad esempio i download automatici delle app e della libreria foto di iCloud, e queste limitazioni non possono essere modificate dall'utente. La supervisione viene in genere avviata durante la configurazione del dispositivo mediante connessione USB oppure over-the-air mediante DEP.
10
EMM di MobileIron: sicurezza dall'esterno
Apple si impegna continuamente a migliorare la sicurezza dei dispositivi iOS e questo è uno dei motivi per cui tali dispositivi si sono diffusi largamente sia tra gli utenti consumer che aziendali. Per le organizzazioni IT, la diffusione di una sicurezza iOS omogenea tra centinaia di migliaia di dispositivi è un'operazione essenziale per garantire che la protezione dei dati aziendali non si limiti al dispositivo stesso. Un volta che i dispositivi si collegano a reti aperte, l'IT deve essere in grado di proteggere le app e i dati al di fuori della piattaforma iOS.
Enterprise Mobility Management (EMM) è un insieme onnicomprensivo di processi e tecnologie aggregati in un prodotto a ciclo di vita unificato per gestire i dispositivi mobili, rendere sicuro l'accesso alle reti wireless e offrire servizi di mobile computing in un contesto aziendale. Oltre a risolvere i problemi di sicurezza, una valida strategia EMM aiuta ad incrementare la produttività dei dipendenti fornendo loro gli strumenti necessari per svolgere attività lavorative sui dispositivi mobili. Le soluzioni EMM includono almeno tre funzionalità del ciclo di vita di gestione della mobilità:
• Gestione di dispositivi mobili (MDM): questa funzionalità offre la visibilità e i controlli IT essenziali per configurare, distribuire, gestire e disattivare in modo sicuro i dispositivi.
• Gestione di applicazioni mobili (MAM): include gli strumenti e le tecnologie utilizzati per distribuire, gestire ed estendere la sicurezza per le applicazioni.
• Gestione di contenuti mobili (MCM): è un tipo di sistema di gestione dei contenuti (CMS) profondamente integrato, capace di memorizzare e fornire in modo sicuro contenuti e file service ai dispositivi mobili.
• Funzionalità aggiuntive di integrazione avanzata: includono l'integrazione con Identity Provider e Directory Services, l'emissione e la gestione di certificati di infrastruttura a chiave pubblica (PKI) e tante altre funzioni.
EMM è la soluzione ideale per utilizzare in modo efficace gli strumenti di sicurezza nell'ambito di iOS, allo scopo di aumentare la sicurezza dei dispositivi a prescindere dal luogo da cui gli utenti accedano ad ambienti quali risorse cloud o reti non sicure di hotel, aeroporti o bar. Per sfruttare tutte le funzionalità MAM e MDM avanzate per Apple iOS descritte nella sezione precedente, è necessario scegliere e implementare una piattaforma EMM. Con una piattaforma EMM standardizzata come MobileIron per distribuire le configurazioni e le impostazioni di sicurezza a diversi dispositivi all'interno dell'azienda, le organizzazioni possono beneficiare interamente della sicurezza integrata in iOS e del protocollo MDM che supporta. È possibile agevolare la trasformazione dei processi e la produttività aziendale attraverso la mobilità aggiungendo ulteriori funzionalità avanzate. Una piattaforma EMM solida come MobileIron offre un'infrastruttura per implementare una strategia di mobilità aziendale completa.
Per iniziare: autenticazione e autorizzazione degli utenti
Collegamento di dispositivi, utenti e policy mediante le directory aziendali
L'applicazione di policy e la concessione di autorizzazioni richiede una "source of truth" che si adatti all'azienda. Nel modello legacy, le policy e le autorizzazioni sono in genere collegati a una directory aziendale e sono basati su diversi attributi disponibili in tale directory, come l'appartenenza a gruppi. Nonostante questo approccio abbia funzionato bene con gli endpoint tradizionali, non è adatto ai dispositivi consumer moderni non sensibili alle directory. La soluzione EMM di MobileIron aiuta le organizzazioni a sfruttare i modelli di sicurezza esistenti creando un canale tra il dispositivo
11
e la directory aziendale e offrendo la possibilità di associare configurazioni e policy a utenti e dispositivi, analogamente a quanto succedeva con gli endpoint tradizionali. Mediante il protocollo Lightweight Directory Access Protocol (LDAP) e il suo database interno di oltre 200 attributi dispositivo unici, MobileIron è in grado di combinare le informazioni sugli utenti e sui dispositivi in regole flessibili, allo scopo di garantire l'assegnazione corretta dei diritti.
Autenticazione degli utenti più semplice e solida con certificati digitali, infrastrutture Kerberos e Single Sign-on
MobileIron offre anche un supporto robusto per le infrastrutture PKI. I certificati digitali assicurano un'esperienza utente migliorata per i dispositivi mobili, poiché sono in grado di offrire una solida autenticazione senza la necessità che gli utenti immettano difficili password. La piattaforma EMM di MobileIron dispone di una Certificate Authority integrata ed è in grado di registrare dispositivi tramite PKI di terze parti di Entrust, OpenTrust, Symantec e di altri fornitori, mediante il Simple Certificate Enrollment Protocol (SCEP).
I certificati digitali possono essere utilizzati, inoltre, insieme a una delega vincolata Kerberos (KCD) che offre un livello elevato di sicurezza e un'esperienza utente fluida, consentendo agli utenti di autenticarsi ai servizi compatibili con Kerberos senza bisogno che le aziende espongano esternamente l'infrastruttura Kerberos.
MobileIron supporta anche le funzionalità di Single Sign-on (SSO) di Kerberos in iOS, fornendo il protocollo Kerberos Key Distribution Center Proxy (KKDCP). In questo modo, i dispositivi iOS possono richiedere e ricevere direttamente i ticket Kerberos per accedere ai servizi aziendali, pur proteggendo il server principale del Centro distribuzione chiavi (KDC).
Gestione e protezione su ampia scala: il protocollo MDM come Control Plane aziendale
Dopo avere definito le regole di autenticazione e le policy delle directory, è possibile iniziare il provisioning dei dispositivi su ampia scala. Un amministratore può posizionare il payload MDM nel profilo di configurazione e distribuirlo ai dispositivi gestiti tramite e-mail o una pagina Web. Una volta completato il processo di registrazione, è possibile inviare i profili di configurazione aggiuntivi over-the-air. I profili di configurazione e di provisioning installati mediante il servizio MDM sono denominati "profili gestiti" e vengono eliminati automaticamente quando viene rimosso il payload MDM. Sebbene un servizio MDM possa avere i diritti per ispezionare il dispositivo alla ricerca dell'elenco completo dei profili di provisioning e di configurazione, può rimuovere solo le app, i profili di configurazione e di provisioning installati in origine. L'utente non può rimuovere o modificare un profilo di configurazione installato mediante MDM; è quindi l'opzione ideale per i dispositivi ad applicazione singola e di proprietà dell'azienda che richiedono livelli di controllo e sicurezza più severi da parte dell'IT.
Provisioning dei dispositivi semplificato e snello
In questo modello di gestione over-the-air, iOS può registrarsi tramite SCEP a una configurazione MDM, che gestisce quindi tutti i profili successivi. Le grandi organizzazioni possono così configurare simultaneamente e senza difficoltà un grande numero di dispositivi e distribuire i payload MDM da un server con certificati, impostazioni di rete o impostazioni e-mail personalizzati. Utilizzando il protocollo MDM, l'amministratore può distribuire un payload di registrazione MDM incorporandolo in un profilo di configurazione e rendendolo accessibile a determinati dispositivi tramite e-mail o pagina Web. Il protocollo MDM permette agli amministratori di sistema di inviare comandi di gestione dei dispositivi a dispositivi iOS gestiti su cui è installato iOS 4 o una versione successiva. Gli amministratori IT possono ispezionare,
12
installare o rimuovere i profili, eliminare passcode e cancellare selettivamente i dati da un dispositivo gestito. I server MDM possono utilizzare il protocollo MDM per garantire che solo gli utenti autorizzati possano accedere ai dati e alle app aziendali dai propri dispositivi.
Poiché i profili di configurazione possono essere criptati e bloccati da MDM, diventano profili gestiti e gli utenti non sono autorizzati a rimuovere o alterare arbitrariamente le impostazioni o a condividerle con altre persone. I profili di configurazione e di provisioning delle applicazioni installati mediante il servizio MDM come profili gestiti vengono eliminati automaticamente quando viene rimosso il payload MDM. Per impostazione predefinita, è possibile rimuovere il payload MDM dal dispositivo personale di un utente finale in qualsiasi momento.
Tale autorità sul modello di proprietà è il modo in cui il protocollo MDM di Apple consente all'amministratore IT dell'azienda di colmare gap di sicurezza tra i dispositivi interamente di proprietà dell'azienda e i dispositivi di proprietà dell'utente completamente disconnessi. È anche il motivo per cui MDM è e deve essere sempre rimovibile da un dispositivo di proprietà dell'utente. Non dovendo investire nell'attrezzatura, le aziende possono risparmiare. Di contro, l'IT ha solo un controllo limitato sul dispositivo e i dati, ma l'utente finale deve consentire all'IT di cancellare i dati aziendali e le impostazioni se un dispositivo viene compromesso o rubato. A questo scopo, Apple assicura che l'utente finale possa eseguire il backup dei dati e delle impostazioni personali e che possa ripristinarli; l'azienda non può impedire questo processo per i dispositivi non supervisionati.
Al lavoro: gestione della sicurezza e del ciclo di vita delle app
Distribuzione delle app mobili tramite un app store aziendaleNaturalmente, non è sufficiente una sola misura di sicurezza. Gli hacker trovano sempre il modo per entrare nei sistemi a cui mirano, quindi è consigliabile
implementare strumenti di sicurezza aggiuntivi, specialmente nelle aziende che trattano grandi volumi di dati sensibili. Curando e distribuendo un elenco di app approvate dall'IT mediante un app store aziendale, l'IT può impedire che vengano scaricate dall'App Store app non autorizzate sui dispositivi di proprietà dell'azienda.
Il rilascio di iOS 9 ha consentito all'IT di disattivare su scala globale l'App Store, pur continuando ad assicurare agli amministratori la possibilità di installare, gestire, aggiornare e rimuovere app dell'App Store mediante MDM. Adesso l'IT può inviare le app automaticamente tramite il server EMM sui dispositivi supervisionati oppure assegnare app al dispositivo affinché vengano installate dall'utente finale. Ciò consente agli amministratori di dispositivi mobili di gestire più facilmente un progetto di distribuzione standard e di non preoccuparsi dell'installazione di app personali da parte degli utenti finali sui dispositivi supervisionati. L'IT può gestire facilmente le blacklist, le whitelist e le app curate in un catalogo delle applicazioni EMM e ridurre il rischio di perdita di dati impedendo agli utenti di installare app potenzialmente compromesse e non autorizzate. Queste funzionalità di sicurezza delle app sono particolarmente utili per la gestione della distribuzione del parco di dispositivi e dei dispositivi kiosk.
Gestione delle applicazioni mobili: incremento del sandboxing delle app
Se l'installazione delle applicazioni viene avviata mediante la vetrina virtuale aziendale delle app utilizzando il protocollo MDM, queste applicazioni diventano app gestite. Se si installano app gestite, l'IT ottiene più controllo sulla modalità di utilizzo di tali app e sui relativi dati del dispositivo. Le app gestite comportano un aumento delle protezioni fornite dal sandboxing delle applicazioni, offendo alle organizzazioni la possibilità di rimuovere tali applicazioni e di cancellarne selettivamente i dati. Le app gestite, inoltre, attivano funzioni di sicurezza quali "Apri in" e possono attivare o disattivare il backup dei dati su iCloud o iTunes.
13
L'opzione "Apri in" crea limitazioni per le informazioni dell'organizzazione inviate ai dispositivi dei dipendenti, consentendo la loro elaborazione solo in specifiche app gestite. Ad esempio, se la piattaforma EMM ha fornito l'app Microsoft Word, gli utenti dovrebbero essere in grado di aprire gli allegati .docx solo nell'app Word o in un'altra app installata da EMM che possa elaborare lo stesso tipo di dati.
Se un dispositivo viene rimosso o messo in quarantena da EMM da parte di un utente o un amministratore, tutti i payload installati da EMM vengono rimossi. Sono inclusi anche le app gestite e gli eventuali dati che hanno inviato al dispositivo. Se non si cancellano completamente tutti i dati, vengono comunque rimossi tutti i dati, le app e le impostazioni aziendali, inclusi nella sandbox aziendale, e vengono lasciati solo i contenuti personali dell'utente.
Man mano che più dati aziendali vengono spostati al di fuori dei repository tradizionali e nella memoria locale dei dispositivi mobili, l'utilizzo di queste funzionalità è indispensabile per una strategia completa di prevenzione della perdita di dati (DLP). In casi estremi, l'IT potrebbe anche avviare la cancellazione totale dei dati o il ripristino delle impostazioni di fabbrica del dispositivo.
Protezione avanzata per le applicazioni interne: MobileIron AppConnect
MobileIron AppConnect permette alle organizzazioni di incorporare controlli di gestione e sicurezza aggiuntivi nelle proprie applicazioni utilizzando un SDK speciale. AppConnect inserisce le app in contenitori per proteggere i data-at-rest aziendali senza intaccare i dati personali e offre controlli per le policy più granulari rispetto a quelli disponibili mediante le funzionalità standard di gestione di iOS. Di conseguenza, ogni app diventa un contenitore sicuro con dati criptati, rimovibili e protetti da accessi non autorizzati.
Ciascun contenitore delle app è inoltre collegato ad altri contenitori sicuri. In questo modo, i dati aziendali e le policy di sicurezza vengono condivisi tra applicazioni sicure. Le policy per il comportamento
dei contenitori delle applicazioni sono controllati dalla console EMM di MobileIron. Le applicazioni con abilitazione AppConnect sono in grado, inoltre, di sfruttare MobileIron Sentry per scambiare informazioni con i sistemi di back-end aziendali, utilizzando la VPN per-app oppure MobileIron Tunnel. Inoltre, MobileIron Access è una soluzione di sicurezza cloud che offre accesso condizionale ai servizi cloud dai browser e dalle app mobili. Mette in correlazione l'identità dell'utente con feed di informazioni univoci quali lo stato dell'app e la postura del dispositivo, per garantire che i dati aziendali non siano accessibili a utenti non verificati, non siano memorizzati su dispositivi non sicuri o condivisi con servizi cloud non autorizzati.
Controllo dinamico e sicuro degli accessi
I dispositivi alternano regolarmente condizioni di conformità e di non conformità, specialmente nell'ambito dei programmi BYOD. L'IT necessita quindi di un approccio automatizzato per monitorare la postura dei dispositivi e per impedire ai dispositivi non conformi di accedere alle risorse aziendali. MobileIron AppTunnel offre un controllo dell'accesso dinamico mediante la combinazione del trasporto protetto di VPN tradizionali con identità basate su certificato e policy basate sulla postura. L'accesso aziendale viene in questo modo semplificato per l'utente, ma al tempo stesso l'accesso alle risorse aziendali viene permesso solo ai dispositivi autorizzati.
Protezione dei data-in-motion con il tunneling
La capacità di MobileIron di agire come delegato di Kerberos permette ai dispositivi iOS che non fanno parte della rete aziendale di utilizzare il Single Sign-on di iOS senza esporre il Centro distribuzione chiavi Kerberos. In questo modo vengono protetti sia i data-in-motion sia l'infrastruttura Kerberos dell'organizzazione. Ad esempio, MobileIron Tunnel consente al browser Safari di Apple di accedere in modo sicuro ai siti intranet protetti da firewall con autenticazione trasparente, in modo che gli utenti non debbano immettere nuovamente i propri nomi utente e password quando passano da un sito all'altro.
14
MobileIron Access: estensione dell'affidabilità e della sicurezza alle app cloud
Poiché sempre più organizzazioni stanno trasferendo i dati e le app mobili nel cloud, è necessario che ripensino ai propri requisiti di sicurezza. Le soluzioni di sicurezza cloud tradizionali, che fanno principalmente affidamento su password e ID utente, non sono in grado di proteggere sufficientemente i dati cloud, che potrebbero cadere nelle mani sbagliate attraverso dispositivi e app mobili non sicuri. L'estensione dell'affidabilità e della sicurezza ad app software-as-a-service (SaaS), come Office 365, Salesforce, G Suite e Box, richiede una soluzione che applichi policy di accesso condizionale in base all'identità dell'utente, alla postura del dispositivo mobile e allo stato dell'app mobile. MobileIron Access è una soluzione di sicurezza cloud che permette agli amministratori IT di definire policy di controllo dell'accesso cloud granulari in base all'applicazione, all'indirizzo IP, all'identità, alla postura del dispositivo e ad altre policy. In questo modo l'IT può colmare il gap tra sicurezza cloud e mobile e ottenere maggiore controllo sulla modalità di accesso degli utenti ai servizi cloud aziendali.
MobileIron ServiceConnect: integrazione con sistemi di sicurezza aziendale di terze parti L'esclusivo rapporto 1:1 tra un dispositivo gestito e una piattaforma EMM pone MobileIron in una posizione unica per svolgere i ruoli che appartenevano in precedenza a diversi agenti software. MobileIron ServiceConnect estende la visibilità della piattaforma EMM di MobileIron ad altri sistemi di sicurezza e IT aziendali, permettendo loro di supportare i dispositivi iOS allo stesso modo degli endpoint legacy. Che si tratti di una console di gestione dei servizi IT (ITSM), di una piattaforma di controllo dell'accesso alla rete (NAC) o di un sistema di gestione degli eventi e delle informazioni di sicurezza (SIEM), le organizzazioni possono sfruttare senza problemi le procedure e policy esistenti sui dispositivi iOS utilizzando la piattaforma EMM di MobileIron come "source of truth" e strumento per le policy.
15
EMM + iOS: un progetto per rendere sicura la mobilità delle aziende moderne
Una strategia per rendere sicuri i dispositivi mobili che unisca una soluzione EMM e il sistema operativo iOS può offrire alle organizzazioni la sicurezza necessaria per affrontare le più difficili sfide alla sicurezza odierne. Insieme, iOS ed EMM forniscono un sistema operativo e una piattaforma di gestione sicuri e completi che assicurano ai team addetti alla sicurezza dell'IT il controllo proattivo e scalabile di cui necessitano per gestire un parco di dispositivi rapidamente in espansione. Una soluzione EMM come MobileIron rappresenta una piattaforma completa che protegge le informazioni aziendali ovunque si trovino: nei data center, nel cloud, nelle app mobili, sui dispositivi mobili e durante i trasferimenti tra una posizione e l'altra.
Utilizzando una soluzione EMM per gestire l'intero parco di dispositivi mobili, le organizzazioni possono garantire la sicurezza di tutti i propri dispositivi iOS mediante le configurazioni di policy più aggiornate, possono assicurarsi che vi siano installate le versioni del sistema operativo e le app più recenti e che vi possano accedere solo gli utenti autorizzati. La gestione unificata degli endpoint con EMM, inoltre, riduce il costo totale di possesso (TCO): le organizzazioni infatti possono eliminare diversi processi di configurazione impegnativi, installare da remoto app e aggiornamenti delle policy, risolvere da remoto i problemi e consentire all'IT di gestire un'ampia gamma di dispositivi BYOD e di proprietà dell'azienda.
Grazie alla piattaforma di sicurezza avanzata per dispositivi mobili di MobileIron e alle funzionalità di sicurezza in continua espansione di iOS di Apple, l'IT può sfruttare appieno il valore dell'enterprise mobility di iOS senza mettere a rischio i dati. La nostra piattaforma EMM è stata ideata per aumentare e semplificare le funzionalità di sicurezza esistenti offerte da iOS, in modo che le organizzazioni possano garantire sicurezza e semplicità di utilizzo per ogni app e dispositivo iOS nel proprio ambiente.
415 East Middlefield Road
Mountain View, CA 94043
www.mobileiron.com
Tel: +1.877.819.3451
Fax: +1.650.919.8006
