Zasada grubej kreski

Wracając do warstwy serwerowej, warto skupić się na tym co proste, a jednocześnie sprawdzone. Dla bezpieczeństwa danych przetwarzanych w systemach mobilnych ważne będzie wyraźne oddzielenie zasobów dostępnych i niedostępnych za pośrednictwem zdalnych urządzeń. To oddzielenie musi być na tyle skuteczne, by uszkodzenie, usunięcie bądź skopiowanie danych udostępnianych zdalnie nie mogło mieć większego wpływu na bezpieczeństwo firmy.

Nie jest prawdą, jakoby użytkownicy mobilni wymagali dostępu do wszystkich aplikacji i usług, z których korzystają, pracując w sieci firmowej. Zakres informacji potrzebnej handlowcowi czy nawet członkowi zarządu do wykonania typowych zadań jest tak naprawdę bardzo wąski. Udostępnianie użytkownikom mobilnym wszystkich zasobów sieci rodzi ryzyko, że przełamanie zabezpieczeń po stronie użytkownika lub urządzenia, lub gdzieś między nimi a centralą firmy, otwiera wewnętrzne systemy na niepowołany dostęp.

Zamiast więc udostępniać użytkownikom dostęp do wszystkich usług i danych, warto poświęcić czas, a nawet pewne środki, by nakreślić bardzo wyraźne granice uprawnień i zakresy danych dostępnych na poszczególnych szczeblach organizacji. Raz ustanowione zasady będzie można stosować do wielu aplikacji, co pozwoli zachować spójność zasad uwierzytelnienia i przyznawania dostępu w dłuższym okresie. Sprawa jest niebagatelna, ponieważ wraz z uruchomieniem mobilnego dostępu można spodziewać się jednego: aplikacji, do których użytkownicy mobilni będą chcieli sięgać coraz częściej.

Tylko jedna dziurka

W bezpieczeństwie sieciowym działa jedna prosta zasada: im więcej protokołów sieciowych do śledzenia, tym łatwiej przeoczyć coś ważnego i z reguły tym droższe pod względem kosztu nabycia i utrzymania są rozwiązania ochronne. Jeśli cały ruch będzie odbywać się po jednym porcie (w domyśle: 8080 przeznaczonym dla protokołu HTTP) łatwiej będzie go zabezpieczyć, a także analizować jego zawartość. Bezpieczeństwo będzie także wynikać z tego, że ruch na każdym innym porcie będzie domyślnie uważany za potencjalnie wrogi.

Jeden protokół wcale nie ogranicza możliwości udostępniania aplikacji. Wiele aplikacji można w prosty sposób oprogramować tak, aby udostępniały określone informacje na dedykowanych stronach WWW. Również funkcjonalność transakcyjną można udostępnić w ten sposób. Jeśli potrzeby interakcyjne są większe, nie ma problemu - w dobie coraz śmielszego wykorzystania do budowy warstwy komunikacyjnej w aplikacjach usług sieciowych (Web Services) można to zrobić bardzo elegancko, wygodnie, a jednocześnie bezpiecznie.

Zdalne jarzmo

Kolejny obszar, w którym można istotnie wpłynąć na bezpieczeństwo mobilnych danych i samych aplikacji mobilnych, to szeroko pojęte zarządzanie. Choć nie jest to oczywiste od razu, możliwości elastycznego zarządzania szerokim wachlarzem funkcji urządzeń jest w praktyce fundamentem bezpieczeństwa rozwiązań mobilnych. Zarządzanie to kontrola, mechanizmy kontrolne można zaś zautomatyzować, eliminując uciążliwości, a więc także ryzyko prób ich omijania.

Scenariuszy realizujących korzyści z automatyzacji zarządzania jest bardzo wiele. Jeśli urządzenie może poinformować administratora o 3 próbach nieudanego lokalnego zalogowania, wiadomo, że dzieje się coś niedobrego. Podobnie będzie, jeśli działające na mobilnym urządzeniu systemy ochronne będą w sposób automatyczny dbać o aktualizację i spójność kluczowych plików.

Jeśli do tego urządzenia mobilne będzie można bezpiecznie aktualizować bez angażowania użytkownika, np. gdy pojawi się informacja o poważnej luce w zabezpieczeniach urządzeń wymagająca natychmiastowej zmiany konfiguracji, można mówić o całkiem niezłym poziomie bezpieczeństwa.

Solidne fundamenty

W zabezpieczaniu rozwiązań mobilnych, tak jak w zabezpieczaniu sieci i infrastruktury informatycznej w ogóle, liczą się mocne fundamenty. Jeśli one będą słabe, konstrukcje zbudowane na ich podstawie, czyli aplikacje i dane, prędzej czy później zostaną w mgnieniu oka splądrowane. Przygotowując grunt pod pierwszą aplikację mobilną, trzeba widzieć przyszłość, projektując zręby nowego środowiska elastycznie, acz solidnie zarazem. Innymi słowy, nie można skutecznie stworzyć bezpiecznie działających rozwiązań mobilnych, nie zważając na dotychczasowy dorobek w dziedzinie teorii zabezpieczeń.

Dla porządku trzeba jednak powiedzieć, że nie znaczy to, że nie należy w rozwiązaniach mobilnych korzystać z nowoczesnych technologii - one na pewno powstały dlatego, że są w pewnych scenariuszach użyteczne biznesowo. Jeśli jednak rozwiązania oparte na tych technologiach nie są całkowicie bezpieczne, solidne fundamenty systemu (rozumianego nie jako konkretna aplikacja czy urządzenie, lecz cała architektura stworzona wg pewnej spójnej, przemyślanej koncepcji) powinny pomóc w ochronie danych i utrzymaniu ogólnego poziomu bezpieczeństwa na przyzwoitym poziomie.