Jak zbudować mobilne środowisko do pracy
-
- 30.10.2012
Epoka przywiązania miejsca pracy do biurka z typowym pecetem to już przeszłość. Dzisiaj ważna jest możliwość pracy z dowolnego urządzenia, miejsca i z każdą firmową aplikacją.
Przez wiele lat standardowym narzędziem pracy w biurze była stacja robocza, wyposażona w zestaw firmowych aplikacji. Pierwszą zmianą, która miała ułatwić pracę informatykom, było wdrożenie narzędzi do centralnego zarządzania aplikacjami. Rozwiązania umożliwiały centralne publikowanie i instalację aplikacji na desktopach. Do dziś działy IT w wielu organizacjach korzystają z opcji Assigned Software, by szybko instalować nowe wersje firmowych aplikacji.
Kolejnym krokiem było oddzielenie aplikacji od systemu operacyjnego i danych użytkownika. Technologia wprowadzona przez firmę Citrix umożliwiła łatwą kontrolę aplikacji instalowanych na desktopach, wliczając instalację, zarządzanie dostępem, aktualizacje i deinstalację, bez konieczności modyfikacji systemu operacyjnego. Tak można zainstalować aplikacje na dowolnym komputerze z Windows - środowisko aplikacji jest zarządzane niezależnie od systemu operacyjnego. Podobnie oddzielone są dane użytkownika. Dla każdej z tych warstw można zastosować narzędzia, np. aktualizacje, szyfrowanie czy synchronizacja. Technologia znana od lat, znajduje zastosowanie w firmach, ułatwiając zarządzanie stacjami roboczymi i zapewniając bezpieczeństwo pracy z firmowymi informacjami.
Stacje robocze nie są już zmartwieniem dla IT. Większość problemów dotyczy pracy z urządzeniami mobilnymi, takimi jak tablety, smartfony, a także tymczasowe instalacje na różnych komputerach, także tych, które nie są własnością firmy.
Aplikacje, aplikacje
Pracownicy muszą mieć dostęp do aplikacji, a zatem środowisko należy stworzyć na każdym urządzeniu, z którego będą korzystać. To duży problem, gdyż w dobie BYOD (Bring Your Own Device - co można przetłumaczyć także jako pracuj ze swojego urządzenia) nie można liczyć na to, by dział IT w pełni kontrolował każdą stację roboczą i każde urządzenie, z którego pracownik łączy się z siecią. Pół biedy, jeśli jest to typowy laptop z systemem Windows. Tam wystarczy instalacja "klienta" i reszta aplikacji zostanie automatycznie zainstalowana w bezpiecznej paczce. Znacznie gorzej wygląda dostęp z tabletów lub smartfonów.
Problem dotyczy nie tyle innego interfejsu użytkownika czy narzędzi do napisania aplikacji, ile braku sposobu automatycznej i spójnej dystrybucji oraz bezpiecznego uruchomienia aplikacji na wszystkich urządzeniach, z których pracownicy mogą działać. Ponieważ nie można takim telefonem w pełni zarządzać, należy stworzyć specjalne środowisko, w którym będzie to możliwe. Taki "kontener" musi być oddzielony od systemu operacyjnego, szyfrowany i centralnie zarządzany. Powinien zawierać aplikacje instalowane niezależnie od systemu operacyjnego - tak jak w standardowym desktopie z systemem Windows. Różnica polega na tym, że urządzenia mobilne wykorzystują różne systemy operacyjne i inny jest format aplikacji dla każdej z rodzin oprogramowania. Dział IT chciałby dostarczać aplikacje w możliwie prosty sposób, bez konieczności autoryzacji każdej aplikacji przez podmiot zewnętrzny (patrz ramka).
"Pierwsze aplikacje dostarczane pracownikom do separowanego środowiska na dowolne urządzenie to korporacyjny klient poczty elektronicznej i przeglądarka internetowa. Aplikacje są już dostępne, można ich użyć w bezpiecznym połączeniu do firmowych usług, takich jak intranet lub poczta, zlokalizowanych wewnątrz korporacyjnej sieci. Połączenie zestawia się za pomocą bezpiecznego kanału MicroVPN" - mówi Kurt Roemer, główny strateg bezpieczeństwa w firmie Citrix.
Gdy apka woła apkę
Zmartwieniem specjalistów zajmujących się bezpieczeństwem środowisk mobilnych jest komunikacja między aplikacjami. Smartfony wykorzystują pełnowartościowy system operacyjny wyposażony w multitasking. Pracuje w nim wiele aplikacji jednocześnie, mogą się wzajemnie wywoływać i komunikować na zewnątrz przez interfejsy sieciowe.
Standardowe wersje systemów operacyjnych stosowane w urządzeniach mobilnych nie zawierają nawet prawdziwej zapory sieciowej. Jedynie informują, że wybrana aplikacja potrzebuje dostępu do internetu (tak robi Symbian OS) bądź informują o tym tylko przy instalacji (Android).
W systemie Google Android można uzyskać dostęp do uprawnień systemowych (rooting), a potem użyć aplikacji DroidWall, która konfiguruje filtry IP wbudowane w jądro systemu Linux, na którym opiera się Android. Nie jest to rozwiązanie klasy korporacyjnej, a raczej tymczasowe obejście problemu, gdyż firewall nie jest centralnie zarządzany ani zabezpieczony przed ingerencją użytkownika czy obcego oprogramowania w telefonie. Nie rozróżnia on niezawodnie sieci firmowej od publicznej. Sama operacja rootingu może skutkować obniżeniem bezpieczeństwa i tak już narażonego na ataki systemu. W iOS wygląda to podobnie, gdyż jailbreak osłabia system.
"Bez dedykowanego kontenera chroniącego dane i firmowe aplikacje nie można mówić o bezpiecznej pracy z iPhone’em ani z typową instalacją Androida. Aby w obu systemach móc skorzystać z bezpiecznego połączenia do firmowych serwerów, dział IT musi skonfigurować tunel VPN i zarządzać całym smartfonem. Jest to w sprzeczności z ideą BYOD (Bring Your Own Device). Kontener rozwiązuje oba problemy - aplikacji i ich komunikacji" - wyjaśnia Kurt Roemer.
Bezpieczny zakątek w obcym smartfonie
Aby bezpiecznie uruchamiać firmowe aplikacje na smartfonie, który nie jest własnością firmy i nie jest przez nią w całości zarządzany, należy uruchomić w telefonie izolowane środowisko składowania oraz szyfrowaną komunikację do firmowych zasobów. Kontener utworzony za pomocą narzędzia Citrix Receiver umożliwia oddzielenie firmowych aplikacji mobilnych od pozostałych treści w telefonie lub tablecie i zestawia szyfrowany tunel do firmowych zasobów. Tak można ochronić przed wykonaniem operacji kopiowania i wklejania między zasobami chronionymi a środowiskiem zewnętrznym, wprowadzając mechanizm podobny do ograniczeń na schowek Windows zapewnianych przez pakiety DLP.
Ponieważ Receiver jest dostępny w wydaniach dla najważniejszych platform mobilnych i nie wymaga publikowania własnych aplikacji w sklepie, można go wykorzystać do szybkiego dołączenia smartfona do służbowej sieci, dostarczając aplikacje z firmowych zasobów. W odróżnieniu od włączania zasobów spoza sklepu z aplikacjami (Android) lub łamania zabezpieczeń telefonu (Apple), rozwiązanie nie wymaga ingerencji w oprogramowanie poza instalacją narzędzia Receiver, a aplikacje przechowywane w kontenerze są niedostępne dla innego środowiska i centralnie zarządzane. Możliwe jest zdalne wyczyszczenie chronionego kontenera razem z deinstalacją wszystkich zainstalowanych tam firmowych aplikacji.
Środowisko Citriksa integruje się z Active Directory. Proces dołączania smartfona można przeprowadzić tak, że użytkownik instaluje tylko Receiver, a następnie podaje e-mail i hasło do firmowej domeny, a wszystkie aplikacje oraz ustawienia zostaną przywołane z centralnego serwera w firmie i wdrożone na nowym smartfonie lub tablecie w separowanym firmowym środowisku. Wystarczy standardowa konfiguracja z Cloud Gateway oraz konfiguracja dostępu do zasobów i firmowych aplikacji.
Urządzenia firmy Apple od dawna zagościły w korporacjach, mimo że nie były projektowane pod kątem potrzeb biznesowego użytkownika, tak jak BlackBerry czy Symbian. Koncern z Cupertino koncentrował się na interfejsie użytkownika oraz sprzedaży usług i aplikacji, co nie pokrywa się z potrzebami firmowego IT, które musi monitorować urządzenie.
Przykładem problemów, które firma musi rozwiązać, jest dystrybucja samodzielnie napisanego oprogramowania. Do tej pory było to możliwe po dostarczeniu oprogramowania do publicznego sklepu albo po złamaniu zabezpieczeń (jailbreak), albo po podpisaniu specjalnej umowy z producentem smartfonów. Rozwiązanie Citriksa umożliwia dystrybucję firmowych aplikacji bez konieczności akceptacji i umieszczania w zewnętrznym repozytorium App Store oraz zapewnia bezpieczeństwo komunikacji do firmowego data center. Tak można każdy telefon i tablet połączyć z firmową siecią i korzystać z firmowego oprogramowania w bezpieczny sposób, przy minimalnej interakcji ze strony użytkownika.
Ograniczenia w iOS są dokuczliwe dla zaawansowanych użytkowników, więc szukają sposobu, by je ominąć. Po operacji jailbreak można zainstalować oprogramowanie pochodzące spoza App Store, co zwykle dotyczy aplikacji, które usprawniają funkcjonalność zamkniętego iPhone'a lub iPada, wprowadzając opcje, których producent zabrania ze względów marketingowych.
Citrix Receiver potrafi wykryć telefon, w którym dokonano operacji jailbreak. Wtedy dział IT może zablokować instalację niektórych aplikacji lub zmienić rodzaj dostępu do zasobów (zamiast instalacji aplikacji mobilnej można wymusić korzystanie z wersji terminalowej lub webowej w bezpiecznej przeglądarce).
Zamiast normalnej stacji roboczej można zastosować tzw. cienkiego klienta. Razem z rozwojem technologii dostępu z wielu urządzeń pojawiły się terminale wykorzystujące oprogramowanie dostępowe zapisane na stałe w nieulotnej pamięci. Jest to obecnie standardowa metoda dostępu do centralizowanych usług, świadczonych w środowisku terminalowym lub VDI, gdyż minimalizuje potrzebę zarządzania końcówką, którą jest prosty terminal. "Cienki klient był projektowany głównie pod kątem maksymalnej redukcji kosztów TCO, ale ma ważną zaletę: mniejszą powierzchnię ataku w porównaniu do typowej stacji roboczej. W terminalu nie przechowuje się informacji, nie instaluje aplikacji ani dodatkowych składników" - mówi Natalie Lambert, dyrektor marketingu produktowego w firmie Citrix.
Uproszczenie i zmniejszenie kosztów utrzymania terminala, w tym redukcja zużycia energii elektrycznej i niski koszt zakupu, nie muszą oznaczać słabszych zabezpieczeń. "Niekiedy cała funkcjonalność terminala jest zaimplementowana w krzemie, a niektóre z urządzeń mają silne sprzętowe zabezpieczenia chroniące przed modyfikacją (tamper resistant) i podsłuchem elektronicznym. Standardem jest dwuskładnikowe uwierzytelnienie. W niektórych firmach i agencjach rządowych, szczególnie w branży obronnej, można spotkać nawet połączenie światłowodami" - wyjaśnia Kurt Roemer.
Wadą cienkiego klienta jest konieczność stałego połączenia do data center, gdzie aplikacje są hostowane. Zaletą jest prostota obsługi i minimalizacja nakładów na samą stację roboczą. Po wdrożeniu cienkiego klienta nie trzeba zarządzać sprzętem stacji roboczej, gdyż urządzenia te nie wymagają obsługi, są mało awaryjne (nie mają części ruchomych), wymienia się je bardzo rzadko i nie są zależne od systemu operacyjnego w data center, dzięki czemu mają o wiele dłuższy czas życia.
