bezpieczeństwo na wszystkich poziomach

Advertorial Samsung
1
bezpieczeństwo
na wszystkich
poziomach
bezpieczeństwo na wszystkich poziomach
Środowisko Samsung KNOX w zakresie bezpieczeństwa świetne
uzupełnia systemy Mobile Device Management (MDM), wykorzystując
kilka zaawansowanych mechanizmów, w celu poprawy ochrony
urządzeń mobilnych.
Urządzenia z systemem Android, mimo, że bardzo popularne w środowiskach biznesowych, często spędzają sen z powiek działom IT. Dzieje się tak ze względu
na duże zróżnicowanie wersji oraz ilość ataków, która
zawsze rośnie wraz z popularnością systemów operacyjnych. Odpowiedzią na te problemy jest system
Samsung Knox. Platforma została zaprojektowana,
aby poprawić bezpieczeństwo danych w urządzeniach
pracujących pod kontrolą Androida, a jednocześnie nie
zaburzyć jego pracy. Co ważne, Knox bez problemu
współpracuje z rozwiązaniami do zarządzania urządzeniami przenośnymi zewnętrznych producentów (tzw.
MDM, z ang. Mobile Device Management).
Samsung Knox pozwala pogodzić sprzeczne interesy przedsiębiorstw, dążących do zachowania kontroli
nad urządzeniami mobilnymi, oraz pracowników, którzy często wykorzystują jedno urządzenie zarówno
do celów służbowych, jak i prywatnych. System jest
gotowy, aby sprostać wymaganiom przedsiębiorstw
z dowolnego sektora. Znajduje zastosowanie zarówno w środowiskach BYOD (ang. Bring Your Own
Device), jak i COPE (ang. Corporate-Owned, Personally Enabled).
Najważniejsze funkcje Knox to wygodne zarządzanie
urządzeniami mobilnymi oraz stworzenie bezpiecznego środowiska do uruchamiania aplikacji korporacyjnych w systemie Android. Oferowany poziom ochrony
jest na tyle wysoki, że uzyskał akceptację Departamentu Obrony Stanów Zjednoczonych. Administratorzy IT otrzymują możliwość zdalnego zarządzania
(aplikacjami, kontami e-mail, licencjami czy hasłami)
i monitorowania tabletów oraz smartfonów, a także
zabezpieczenia danych przed wyciekiem. Mogą wdrożyć mechanizmy bezpiecznego dostępu do zasobów
przedsiębiorstwa. Ponadto Samsung KNOX daje możliwość wsparcia w czasie rzeczywistym dla użytkownika mobilnego.
WHITE PAPER
Advertorial Samsung
2
bezpieczeństwo
na wszystkich
poziomach
Integracja
z istniejącą
infrastrukturą IT
Samsung KNOX działa opierając się na istniejącym
tenerami. Dla użytkowników bardzo wygodnym roz-
środowisku IT i integruje się z takimi komponentami,
wiązaniem jest pojedyncze logowanie (SSO) w chmu-
jak serwer MDM, serwer logowania SSO, Active Direc-
rze – jedno potwierdzenie tożsamości wystarcza, by
tory czy bramka VPN. Oferuje ponad 500 gotowych
uzyskać dostęp do wielu aplikacji działających środo-
reguł MDM, dotyczących bezpieczeństwa, integracji z
wisku typu cloud.
korporacyjnym środowiskiem IT i zarządzaniem kon-
Serwer MDM
Serwer pojedynczego
logowania w chmurze
Serwer proxy
pojedynczego logowania
Serwer
Active
Directory
Ponad 500 reguł MDM
Brama VPN
Ekran blokady
Przeglądarka
Firewall
Administrator IT
Geofencing
Kontenery w trybie widoku podwójnego
Zarządzanie kontami Exchange
Środowisko KNOX dla systemu Android
Przesyłanie wiadomości e-mail
SE for Android
Zarządzanie integralnością systemu
TIMA
Rejestr urządzeń
Funkcja Secure Boot/Trusted Boot
CAC
Zabezpieczenia sprzętowe ARM TrustZone®
Ograniczenia możliwości korzystania z telefonu
Zarządzanie kontenerami
Prywatne sieci wirtualne (VPN)
Archiwum wiadomości
WHITE PAPER
Advertorial Samsung
3
bezpieczeństwo
na wszystkich
poziomach
Technologia
Samsung KNOX zapewnia bezpieczeństwo urządzeń
Poziom wyżej działa technologia TrustZone-based
mobilnych na wszystkich poziomach, począwszy od
Integrity Measurement Architecture (TIMA), która we-
warstwy sprzętowej, poprzez proces uruchamiania
ryfikuje integralność jądra systemu Linux w czasie
systemu operacyjnego (warstwa systemowa), na
rzeczywistym. W razie wykrycia naruszenia integral-
bezpiecznych kontenerach do uruchamiania progra-
ności jądra lub programu rozruchowego następuje
mów skończywszy (warstwa aplikacji).
odpowiedź ze strony architektury na podstawie ustalonych reguł. Jedna z reguł powoduje zablokowanie
W najniższej warstwie sprzętowej o bezpieczeń-
dostępu do jądra oraz wyłączenie urządzenia.
stwo dba ARM TrustZone. Ta technologia chroni
urządzenie przed przejęciem kontroli z zewnątrz lub
Kolejną warstwę zabezpieczeń stanowią rozszerzenia
wewnątrz i zapobiega wykonaniu niebezpiecznych
Security Enhancements for Android (SE for Android).
operacji przy użyciu procesora. Sprawia, że meto-
Ich zadaniem jest precyzyjna kontrola dostępu, po-
dy włamań znane ze świata komputerów x86 stają
zwalająca odizolować usługi systemowe od aplikacji
się nieskuteczne. Następnie do działania wkracza-
innych producentów. Sprawiają one również, że tzw.
ją funkcje Secure boot oraz Trusted boot, które za-
rootowanie systemu staje się bezużyteczne. Te za-
pewniają integralność systemu w czasie rozruchu.
bezpieczenia powstały na bazie SELinux (Security-En-
Pilnują, aby na urządzeniu uruchamiane było tylko
hanced Linux) i zawierają reguły bezpieczeństwa dla
sprawdzone i dopuszczone do użytku oprogramo-
użytkowników i aplikacji, na przykład blokują dostęp
wanie. Ta technologia umożliwia także stosowanie
do chronionych plików systemowych. Technologia
certyfikatów bezpiecznego rozruchu. Dzięki takiemu
pozwala na tworzenie wydzielonych obszarów prze-
rozwiązaniu klienci o większych potrzebach w zakre-
chowywania aplikacji i danych z myślą o minimalizacji
sie bezpieczeństwa mają możliwość nabycia stan-
ryzyka i skutków naruszenia lub obejścia zabezpie-
dardowych urządzeń oraz wykorzystania certyfika-
czeń poprzez wprowadzenie do systemu złośliwe-
tów na potrzeby bezpiecznego rozruchu.
go lub wadliwie zabezpieczonego oprogramowania.
Dopiero nad tą warstwą jest zlokalizowane właściwe
środowisko KNOX dla systemu Android.
WHITE PAPER
Advertorial Samsung
4
ARCHITEKTURA SYSTEMU ANDROID
bezpieczeństwo
na wszystkich
poziomach
NAJWAŻNIEJSZE ZABEZPIECZENIA
Dwuetapowe uwierzytelnianie dostępu
do kontenera
Kontener KNOX
Warstwa aplikacji
Wsparcie dla kontenerów innych dostawców
Środowisko KNOX Android
Środowisko systemu Android
Technologia SE for Android
Architektura TIMA
Jądro Linux
Zaufany mechanizm rozruchowy
Program rozruchowy
Technologia Customizable Secure Boot
Mechanizmy zabezpieczeń w strefie
TrustZone (przechowywanie kluczy
szyfrujących/zarządzanie certyfikatami/
szyfrowanie ODE)
Monitorowanie integralności systemu
w czasie rzeczywistym
Środowisko sprzętowe TrustZone
Poziomy zabezpieczeń w środowisku Samsung KNOX
Podwójny
kontener
Najwyższym poziomem stosu zabezpieczeń jest tryb
Z punktu widzenia użytkownika urządzenia Dual Per-
widoku podwójnego (Dual Persona), który służy do
sona to dwa pulpity z zestawem różnych aplikacji. Kon-
szczelnego odseparowania środowiska służbowego
tener Samsung KNOX obejmuje własny ekran głów-
od prywatnego. Ten mechanizm powoduje utworze-
ny, program uruchamiający, a także własne aplikacji
nie bezpiecznej przestrzeni w urządzeniu, w której
i widżety. Aplikacje i dane przechowywane wewnątrz
znajdują się firmowe dane i aplikacje mające dostęp
kontenera są oddzielone od aplikacji pozostających na
do sieci korporacyjnej. Natomiast w części prywatnej
zewnątrz. Taka architektura rozwiązuje typowy dla mo-
pozostawia się użytkownikowi swobodę, na przykład
delu BYOD problemu wycieku danych. W bezpiecznym
brak restrykcji co do instalowania aplikacji z publicz-
kontenerze dane są przechowywane w szyfrowanym
nych sklepów.
systemie plików, który funkcjonuje zupełnie niezależnie od aplikacji pozostających na zewnątrz.
WHITE PAPER
Advertorial Samsung
5
bezpieczeństwo
na wszystkich
poziomach
Szyfrowanie danych realizowane jest w standardzie
dla każdej aplikacji (do pięciu równoległych bezpiecz-
Advanced Encryption Standard (AES) z kluczem 256-
nych połączeń), a także możliwość zarządzania taką
bitowym (AES-256). Poza tym kontener daje dostęp do
siecią. Kontener zapewnia również obsługę wirtualnej
klienta WSP z certyfikatem FIPS. Klient WSP umożliwia
sieci prywatnej w architekturze IPSec, w tym algoryt-
administratorom środowiska IT przedsiębiorstwa kon-
mu kryptograficznego Suite B.
figurowanie i udostępnianie wirtualnej sieci prywatnej
KONTENER KNOX
Szyfrowanie
w środowisku
urządzenia
(ODE: On Device
Encryption)
Algorytm
szyfrujący AES256
Aplikacja
Aplikacja
Aplikacja
Aplikacja
KONTENER INNEGO DOSTAWCY
Aplikacja
Aplikacja
Aplikacja
Aplikacja
Dane
współdzielone
Dane
współdzielone
Dane
współdzielone
Dane
współdzielone
Dane
współdzielone
Aplikacja
Aplikacja
Uwierzytelnienie dwuetapowe
jako metoda dostępu do kontenera
System plików eCryptfs z szyfrowaniem AES 256
Technologia SEAMS
(SE for Android Management Service)
Środowisko systemu Android
Technologia zabezpieczeń SE for Android
Środowisko TrustZone
Architektura TIMA
Kontrola integralności w czasie rzeczywistym
Jądro systemu Android
Rozbudowane środowisko Samsung KNOX
WHITE PAPER
Advertorial Samsung
6
bezpieczeństwo
na wszystkich
poziomach
Bezpieczeństwo
odpowiednie
dla wojska
Zabezpieczenia zaimplementowane w Samsung KNOX
(Data In-transit, DIT) zgodną ze standardem FIPS
docenił Departament Obrony Stanów Zjednoczonych.
140-2. Szyfrowanie danych w spoczynku (Data At-
Platforma została zatwierdzona przez Agencję Sys-
rest), czyli przechowywanych w urządzeniu, również
temów Informatycznych Obrony Stanów Zjednoczo-
spełnia wymogi tego standardu. Ponadto oferuje
nych do użycia w sieciach Departamentu Obrony.
obsługę kart chipowych oraz monitorowanie inte-
Rozwiązanie to zapewnia ochronę danych w ruchu
gralności systemu.
Bezpieczny sprzęt, bezpieczna platforma,
bezpieczne kontenery aplikacji
ANDROID – PROJEKT OTWARTY
Warstwa aplikacji
Kontenery w trybie widoku podwójnego
Środowisko Android
Środowisko KNOX dla systemu Android
System operacyjny Android
SE for Android
Jądro Linux
Rozruch systemu
Funkcje Secure Boot/Trusted Boot
Warstwa sprzętowa
Zabezpieczenia sprzętowe ARM TrustZone®
WHITE PAPER