Gdy potrzeba - zablokować!

Jednym z zagrożeń związanych z pracą użytkowników mobilnych jest utrata sprzętu, zatem także ryzyko utraty danych. Zabezpieczenia kryptograficzne zmniejszają to ryzyko, ale mają one sens tylko wtedy, gdy są stosowane konsekwentnie i automatycznie. Poza tym dział IT musi mieć narzędzie, które umożliwi zdalne zablokowanie działania systemu operacyjnego w danej maszynie. W przypadku podejrzenia naruszenia bezpieczeństwa przez pracownika lub utraty komputera, można zdalnie zablokować pracę firmowej maszyny wirtualnej. Konfiguracja może być także tak ustawiona, że po zdefiniowanym czasie braku połączenia z siecią firmową (na przykład 5 dni), maszyna jest blokowana automatycznie. Może być odblokowana przez dział IT, przy czym blokada nie narusza działania innych systemów na tym komputerze - na przykład drugiej instalacji Windows, która nie jest bezpośrednio przeznaczona do wykorzystywania w pracy. Można także zablokować wszystkie maszyny wirtualne, zgodnie z polityką bezpieczeństwa w firmie.

Aplikacja między maszynami

Całkowita separacja, chociaż podwyższy bezpieczeństwo, nie zawsze jest wygodna. Niekiedy użytkownik może mieć potrzebę uruchomienia w bezpieczny sposób aplikacji z maszyny "firmowej", podczas pracy w maszynie "prywatnej". Ponieważ żadne kopiowanie plików nie może mieć miejsca (bo naruszałoby bezpieczeństwo dokumentów przechowywanych w firmowych zasobach), można skorzystać z opcji wirtualizacji aplikacji między maszynami. Aplikacja opublikowana z maszyny firmowej pracuje całkowicie wewnątrz jej zasobów (RAM, przydział procesora, przestrzeń dyskowa), na zewnątrz przekazuje się jedynie obraz ekranu, korzystając ze sprawdzonych mechanizmów właściwych dla serwerów terminalowych. Dzięki separacji przestrzeni składowania i przetwarzania danych, można w bezpieczny sposób skorzystać z firmowej aplikacji podczas pracy z drugą maszyną wirtualną. Żadne połączenie nie jest przy tym zestawiane bezpośrednio, transfer informacji związany z prezentacją okna programu odbywa się w obie strony przez hypervisor. Opcje publikacji aplikacji z maszyny są kontrolowane przez administratora.

Kontrola urządzeń

Jednym z zagrożeń są podłączane urządzenia zewnętrzne, także USB. Dość bogata historia podatności systemu Windows na ataki za pomocą urządzeń klasy usb-storage oraz łatwość skopiowania na pendrive danych firmowych sprawiają, że bardzo wiele firm jest zainteresowanych wdrożeniem rozwiązania, które zablokuje korzystanie z nośników USB zgodnie z polityką bezpieczeństwa organizacji. Chociaż oprogramowanie takie jak Check Point Pointsec Protector umożliwia wdrożenie ochrony na poziomie systemu operacyjnego, znacznie lepsza jest kontrola podłączanych urządzeń na poziomie hypervisora. Dzięki temu po zablokowaniu dostępu dla urządzeń klasy usb-storage system operacyjny nie uzyskuje połączenia z nośnikami. W planach producenta jest klasyfikacja nie tylko na podstawie rodzaju urządzenia USB, ale także podział wewnątrz najważniejszej klasy, czyli USB storage.