bezpieczeństwo na wszystkich poziomach
Transkrypt
bezpieczeństwo na wszystkich poziomach
Advertorial Samsung 1 bezpieczeństwo na wszystkich poziomach bezpieczeństwo na wszystkich poziomach Środowisko Samsung KNOX w zakresie bezpieczeństwa świetne uzupełnia systemy Mobile Device Management (MDM), wykorzystując kilka zaawansowanych mechanizmów, w celu poprawy ochrony urządzeń mobilnych. Urządzenia z systemem Android, mimo, że bardzo popularne w środowiskach biznesowych, często spędzają sen z powiek działom IT. Dzieje się tak ze względu na duże zróżnicowanie wersji oraz ilość ataków, która zawsze rośnie wraz z popularnością systemów operacyjnych. Odpowiedzią na te problemy jest system Samsung Knox. Platforma została zaprojektowana, aby poprawić bezpieczeństwo danych w urządzeniach pracujących pod kontrolą Androida, a jednocześnie nie zaburzyć jego pracy. Co ważne, Knox bez problemu współpracuje z rozwiązaniami do zarządzania urządzeniami przenośnymi zewnętrznych producentów (tzw. MDM, z ang. Mobile Device Management). Samsung Knox pozwala pogodzić sprzeczne interesy przedsiębiorstw, dążących do zachowania kontroli nad urządzeniami mobilnymi, oraz pracowników, którzy często wykorzystują jedno urządzenie zarówno do celów służbowych, jak i prywatnych. System jest gotowy, aby sprostać wymaganiom przedsiębiorstw z dowolnego sektora. Znajduje zastosowanie zarówno w środowiskach BYOD (ang. Bring Your Own Device), jak i COPE (ang. Corporate-Owned, Personally Enabled). Najważniejsze funkcje Knox to wygodne zarządzanie urządzeniami mobilnymi oraz stworzenie bezpiecznego środowiska do uruchamiania aplikacji korporacyjnych w systemie Android. Oferowany poziom ochrony jest na tyle wysoki, że uzyskał akceptację Departamentu Obrony Stanów Zjednoczonych. Administratorzy IT otrzymują możliwość zdalnego zarządzania (aplikacjami, kontami e-mail, licencjami czy hasłami) i monitorowania tabletów oraz smartfonów, a także zabezpieczenia danych przed wyciekiem. Mogą wdrożyć mechanizmy bezpiecznego dostępu do zasobów przedsiębiorstwa. Ponadto Samsung KNOX daje możliwość wsparcia w czasie rzeczywistym dla użytkownika mobilnego. WHITE PAPER Advertorial Samsung 2 bezpieczeństwo na wszystkich poziomach Integracja z istniejącą infrastrukturą IT Samsung KNOX działa opierając się na istniejącym tenerami. Dla użytkowników bardzo wygodnym roz- środowisku IT i integruje się z takimi komponentami, wiązaniem jest pojedyncze logowanie (SSO) w chmu- jak serwer MDM, serwer logowania SSO, Active Direc- rze – jedno potwierdzenie tożsamości wystarcza, by tory czy bramka VPN. Oferuje ponad 500 gotowych uzyskać dostęp do wielu aplikacji działających środo- reguł MDM, dotyczących bezpieczeństwa, integracji z wisku typu cloud. korporacyjnym środowiskiem IT i zarządzaniem kon- Serwer MDM Serwer pojedynczego logowania w chmurze Serwer proxy pojedynczego logowania Serwer Active Directory Ponad 500 reguł MDM Brama VPN Ekran blokady Przeglądarka Firewall Administrator IT Geofencing Kontenery w trybie widoku podwójnego Zarządzanie kontami Exchange Środowisko KNOX dla systemu Android Przesyłanie wiadomości e-mail SE for Android Zarządzanie integralnością systemu TIMA Rejestr urządzeń Funkcja Secure Boot/Trusted Boot CAC Zabezpieczenia sprzętowe ARM TrustZone® Ograniczenia możliwości korzystania z telefonu Zarządzanie kontenerami Prywatne sieci wirtualne (VPN) Archiwum wiadomości WHITE PAPER Advertorial Samsung 3 bezpieczeństwo na wszystkich poziomach Technologia Samsung KNOX zapewnia bezpieczeństwo urządzeń Poziom wyżej działa technologia TrustZone-based mobilnych na wszystkich poziomach, począwszy od Integrity Measurement Architecture (TIMA), która we- warstwy sprzętowej, poprzez proces uruchamiania ryfikuje integralność jądra systemu Linux w czasie systemu operacyjnego (warstwa systemowa), na rzeczywistym. W razie wykrycia naruszenia integral- bezpiecznych kontenerach do uruchamiania progra- ności jądra lub programu rozruchowego następuje mów skończywszy (warstwa aplikacji). odpowiedź ze strony architektury na podstawie ustalonych reguł. Jedna z reguł powoduje zablokowanie W najniższej warstwie sprzętowej o bezpieczeń- dostępu do jądra oraz wyłączenie urządzenia. stwo dba ARM TrustZone. Ta technologia chroni urządzenie przed przejęciem kontroli z zewnątrz lub Kolejną warstwę zabezpieczeń stanowią rozszerzenia wewnątrz i zapobiega wykonaniu niebezpiecznych Security Enhancements for Android (SE for Android). operacji przy użyciu procesora. Sprawia, że meto- Ich zadaniem jest precyzyjna kontrola dostępu, po- dy włamań znane ze świata komputerów x86 stają zwalająca odizolować usługi systemowe od aplikacji się nieskuteczne. Następnie do działania wkracza- innych producentów. Sprawiają one również, że tzw. ją funkcje Secure boot oraz Trusted boot, które za- rootowanie systemu staje się bezużyteczne. Te za- pewniają integralność systemu w czasie rozruchu. bezpieczenia powstały na bazie SELinux (Security-En- Pilnują, aby na urządzeniu uruchamiane było tylko hanced Linux) i zawierają reguły bezpieczeństwa dla sprawdzone i dopuszczone do użytku oprogramo- użytkowników i aplikacji, na przykład blokują dostęp wanie. Ta technologia umożliwia także stosowanie do chronionych plików systemowych. Technologia certyfikatów bezpiecznego rozruchu. Dzięki takiemu pozwala na tworzenie wydzielonych obszarów prze- rozwiązaniu klienci o większych potrzebach w zakre- chowywania aplikacji i danych z myślą o minimalizacji sie bezpieczeństwa mają możliwość nabycia stan- ryzyka i skutków naruszenia lub obejścia zabezpie- dardowych urządzeń oraz wykorzystania certyfika- czeń poprzez wprowadzenie do systemu złośliwe- tów na potrzeby bezpiecznego rozruchu. go lub wadliwie zabezpieczonego oprogramowania. Dopiero nad tą warstwą jest zlokalizowane właściwe środowisko KNOX dla systemu Android. WHITE PAPER Advertorial Samsung 4 ARCHITEKTURA SYSTEMU ANDROID bezpieczeństwo na wszystkich poziomach NAJWAŻNIEJSZE ZABEZPIECZENIA Dwuetapowe uwierzytelnianie dostępu do kontenera Kontener KNOX Warstwa aplikacji Wsparcie dla kontenerów innych dostawców Środowisko KNOX Android Środowisko systemu Android Technologia SE for Android Architektura TIMA Jądro Linux Zaufany mechanizm rozruchowy Program rozruchowy Technologia Customizable Secure Boot Mechanizmy zabezpieczeń w strefie TrustZone (przechowywanie kluczy szyfrujących/zarządzanie certyfikatami/ szyfrowanie ODE) Monitorowanie integralności systemu w czasie rzeczywistym Środowisko sprzętowe TrustZone Poziomy zabezpieczeń w środowisku Samsung KNOX Podwójny kontener Najwyższym poziomem stosu zabezpieczeń jest tryb Z punktu widzenia użytkownika urządzenia Dual Per- widoku podwójnego (Dual Persona), który służy do sona to dwa pulpity z zestawem różnych aplikacji. Kon- szczelnego odseparowania środowiska służbowego tener Samsung KNOX obejmuje własny ekran głów- od prywatnego. Ten mechanizm powoduje utworze- ny, program uruchamiający, a także własne aplikacji nie bezpiecznej przestrzeni w urządzeniu, w której i widżety. Aplikacje i dane przechowywane wewnątrz znajdują się firmowe dane i aplikacje mające dostęp kontenera są oddzielone od aplikacji pozostających na do sieci korporacyjnej. Natomiast w części prywatnej zewnątrz. Taka architektura rozwiązuje typowy dla mo- pozostawia się użytkownikowi swobodę, na przykład delu BYOD problemu wycieku danych. W bezpiecznym brak restrykcji co do instalowania aplikacji z publicz- kontenerze dane są przechowywane w szyfrowanym nych sklepów. systemie plików, który funkcjonuje zupełnie niezależnie od aplikacji pozostających na zewnątrz. WHITE PAPER Advertorial Samsung 5 bezpieczeństwo na wszystkich poziomach Szyfrowanie danych realizowane jest w standardzie dla każdej aplikacji (do pięciu równoległych bezpiecz- Advanced Encryption Standard (AES) z kluczem 256- nych połączeń), a także możliwość zarządzania taką bitowym (AES-256). Poza tym kontener daje dostęp do siecią. Kontener zapewnia również obsługę wirtualnej klienta WSP z certyfikatem FIPS. Klient WSP umożliwia sieci prywatnej w architekturze IPSec, w tym algoryt- administratorom środowiska IT przedsiębiorstwa kon- mu kryptograficznego Suite B. figurowanie i udostępnianie wirtualnej sieci prywatnej KONTENER KNOX Szyfrowanie w środowisku urządzenia (ODE: On Device Encryption) Algorytm szyfrujący AES256 Aplikacja Aplikacja Aplikacja Aplikacja KONTENER INNEGO DOSTAWCY Aplikacja Aplikacja Aplikacja Aplikacja Dane współdzielone Dane współdzielone Dane współdzielone Dane współdzielone Dane współdzielone Aplikacja Aplikacja Uwierzytelnienie dwuetapowe jako metoda dostępu do kontenera System plików eCryptfs z szyfrowaniem AES 256 Technologia SEAMS (SE for Android Management Service) Środowisko systemu Android Technologia zabezpieczeń SE for Android Środowisko TrustZone Architektura TIMA Kontrola integralności w czasie rzeczywistym Jądro systemu Android Rozbudowane środowisko Samsung KNOX WHITE PAPER Advertorial Samsung 6 bezpieczeństwo na wszystkich poziomach Bezpieczeństwo odpowiednie dla wojska Zabezpieczenia zaimplementowane w Samsung KNOX (Data In-transit, DIT) zgodną ze standardem FIPS docenił Departament Obrony Stanów Zjednoczonych. 140-2. Szyfrowanie danych w spoczynku (Data At- Platforma została zatwierdzona przez Agencję Sys- rest), czyli przechowywanych w urządzeniu, również temów Informatycznych Obrony Stanów Zjednoczo- spełnia wymogi tego standardu. Ponadto oferuje nych do użycia w sieciach Departamentu Obrony. obsługę kart chipowych oraz monitorowanie inte- Rozwiązanie to zapewnia ochronę danych w ruchu gralności systemu. Bezpieczny sprzęt, bezpieczna platforma, bezpieczne kontenery aplikacji ANDROID – PROJEKT OTWARTY Warstwa aplikacji Kontenery w trybie widoku podwójnego Środowisko Android Środowisko KNOX dla systemu Android System operacyjny Android SE for Android Jądro Linux Rozruch systemu Funkcje Secure Boot/Trusted Boot Warstwa sprzętowa Zabezpieczenia sprzętowe ARM TrustZone® WHITE PAPER