Bring Your Own Device onder controle Tanja de Vrede
Bring Your Own Device onder controle 5 tools om zelf meegebrachte apparaten te beheren 12 maart 2013 Tanja de Vrede Het gebruik van eigen mobiele apparatuur om toegang te krijgen tot de bedrijfsgegevens, is in veel organisaties een feit. Het beheer van deze apparatuur vergt nog wel enige inspanningen. Daarvoor komen steeds meer tools beschikbaar om beveiligingsrisico’s te beperken. Waar moeten die tools in elk geval aan voldoen? Het gebruik van eigen apparatuur verdient de extra beheerinspanningen van de werkgever terug door een grotere productiviteit, zo luidt de algemeen aanvaarde business case. Daarvoor moet de werknemer dan wel toegang hebben tot een zeer groot deel van de gegevens en applicaties die hij met de spullen van zijn baas ook gebruikt. Het kunnen inzien van je e-mail is dan niet genoeg, maar dat is wel waarmee de meeste BYOD-projecten starten. In volgende fases moet de functionaliteit die vanaf de eigen apparaten toegankelijk is uitgebreid worden, zodat medewerkers informatie uit bedrijfsapplicaties kunnen inzien, er handelingen mee kunnen verrichten en uiteindelijk volledige verwerkingsacties mee kunnen uitvoeren. In die fase zijn echter nog maar weinig organisaties. Wipen en wachtwoorden Het beheer focust nu sterk op een duidelijke scheiding van de zakelijke en de privégegevens, een strenge toegangscontrole met wachtwoorden en de mogelijkheid om in nood op afstand de zakelijke gegevens van het apparaat te verwijderen: ‘wipen’. De meeste Mobile Device Mangement-tools (MDM) bevatten deze functies wel. Bovendien bieden veel van de smartphones deze ook al zelf. Dat geldt ook voor een sterk toegangsbeheer met behulp van wachtwoorden. De tools waren tot een jaar geleden vooral gericht op assetmanagement. Nu hebben de tools veel sterkere controles op specifieke smartphones en mobiele besturingssystemen. Ook zijn er features als location based tracking, usage tracking, 2-factor authenticatie en sandboxing van persoonlijke en zakelijke identiteiten. En ze zijn er in on-premise en in cloudversies. Onderzoeksbureau Forrester pleit ervoor in elk geval gebruik te maken van virtualisatie. Door gebruikers te voorzien van een standaard Windows-omgeving in een hosted of lokaal uitgerolde virtual machine is een duidelijke scheiding aan te brengen tussen zakelijke en privé-applicaties en -gegevens. Zowel beheer als ondersteuning wordt hierdoor makkelijker, stelt Forrester. De MDM-software die nu wordt aangeboden kan heel verschillende uitgangspunten hebben. Zo zijn er producten die zich richten op het beheer en de beveiliging van het endpoint. Of die zich daar juist niet op willen richten , maar op de gebruiker. Of op het netwerk. Enkele voorbeelden van MDM-tools die zich richten op BYOD.
1
Sophos richt zich op endpoint Sophos heeft begin dit jaar een nieuwe tool voor het beheer van BYOD uitgebracht die zich focust op de bescherming van de eindgebruiker. Het product, EndUser Protection genaamd, combineert mobile device management met endpointbeveiliging. EndUser Protection gaat bij de beveiliging uit van de gebruiker en niet van het apparaat. “Gemiddeld heeft een gebruiker nu al bijna drie apparaten”, zo redeneert Pieter Lacroix, directeur Nederland bij Sophos, “en dat neemt alleen maar toe.” De MDM-functies worden wel gecombineerd met beveiliging, maar de software werkt daarbij zoveel mogelijk met de standaardmogelijkheden van de toestellen. “Zo voorkomen we dat je met een te zware tool de look and feel van een apparaat verstoort”, zegt Lacroix. “Er komen wel een paar beveiligingsfeatures bij, maar het blijft wel beheersbaar.” Veel smartphones hebben zelf al de mogelijkheid om een wachtwoord in te stellen en data op afstand te laten verwijderen. Maar gebruikers doen daar zelf vaak niets mee. Met de software van Sophos kan het beleid op dit punt afgedwongen worden. EndUser Protection ondersteunt in elk geval Windows, Mac, Linux, iOS en Android. Voor het opslaan van gegevens in Dropbox voorziet de tool in versleuteling en ontsleuteling met behulp van een app. Ook de verbindingen met het toestel zijn voorzien van encryptie. De oplossing wordt zowel als licentie aangeboden als via een SaaS-model met bijbehorend abonnement. Windows To Go Windows 8 is ook goed bruikbaar voor BYOD. Daarbij gaat het vooral om Windows To Go, een onderdeel van de Enterprise-versie van Windows 8. Een medewerker kan met Windows To Go vanaf een USB-stick of externe harde schijf het systeemimage van zijn bedrijf vanuit de cloud draaien op een willekeurige pc. Windows 8 hoeft dan niet lokaal geïnstalleerd te zijn. Dan kan de werknemers dus elke laptop binnenbrengen die hij maar wil en simpelweg booten met gebruik van Windows To Go. Tijdens het werk gebruikt de medewerker dan de beveiligde Windows 8-omgeving van de organisatie. Logt hij uit dan is zijn laptop weer hetzelfde als voordat hij er mee aan het werk ging. Bij problemen, zoals een malware-infectie, kan er eenvoudig een nieuw, schoon Windows To Go-image op gezet worden. Er zijn ook nadelen. Zo moet er wel Windows 8 Enterprise voor worden aangeschaft en is minstens een 32 GB USB flash drive vereist. Dat moeten dan ook nog eens heel specifieke modellen zijn die Microsoft ondersteunt. 2
MobiDM: mPaaS-oplossing van eigen bodem Een puur Nederlands product is MobiDM van VeliQ uit Barendrecht. Dit is een mPaaS-oplossing: mobile Platform-as-a-Service. MobiDM voorziet in een centraal online self-service webportal. Via het portal kunnen de mobiele toestellen geïnstalleerd, beheerd en beveiligd worden. Het biedt ook applicatie- en contentbeheer. Zo voorziet het de gebruikersorganisatie onder meer van een Enterprise App Store voor de verspreiding van apps en een Enterprise Content Store voor het veilig delen van bijvoorbeeld bedrijfsdocumenten. De functionaliteit in MobiDM bestaat onder meer uit rolgebaseerde gebruiksrechten, hardware en software-overzichten, back-up en herstel en Mobile Integrated Cloud voor integratie met bedrijfsomgeving. Op het gebied van beveiliging is er onder meer encryptie van PIM-gegevens, op afstand vergrendelen en wissen, sterke authenticatie met PKI en VPN. Een van de engines van MobiDM is Afaria van het voormalige Sybase, dat inmiddels overgenomen is door SAP. VeliQ heeft nu echter zo veel additionele functionaliteit zelf ontwikkeld dat de Afariatechonologie een kleinere rol speelt in MobiDM dan bij de eerste versies. De portal is beschikbaar voor een publieke en voor een private cloud. Klanten melden hun toestellen hiervoor zelf aan. Het wordt aangesloten op de omgeving van de klant. De beheerder heeft zo zicht op de locatie van de toestellen en op de software die er op draait. MobiDM zit inmiddels ‘onder de motorkap’ bij Vodafone. Ook biedt SAP het nu zelf aan als SaaSoplossing, omdat het zelf nog geen eigen SaaS-versie van Afaria heeft. VeliQ schat dat MobiDM in gebruik is bij 150.000 gebruikers. Fortinet beheert BYOD vanuit firewalls Fortinet heeft in de nieuwe versie van zijn besturingssysteem OS5 functionaliteit toegevoegd waarmee vanaf het netwerk eigen apparatuur beheerd kan worden. OS5 is het besturingssysteem van de firewalls van Fortinet. André Noordam, systems engineering manager Nederland en Duitsland van Fortinet, legt uit waarom het bedrijf juist niet vanuit de endpoints beheert en beveiligt. “Je kunt wel het endpoint compleet dichttimmeren en er dan alleen policy’s opzetten met mobile management, maar dat is lastig bij BYOD. Dat apparaat is niet van het bedrijf. In sommige sectoren wil men ook zo min mogelijk op de devices laten zetten, want dat is allemaal weer extra beheerwerk. Je wilt dus zo min mogelijk op die endpoints doen.”
3
Met OS5 kan het BYOD-beheer vanuit het netwerk gebeuren en is het niet nodig software op de endpoints te zetten. OS5 herkent de devices aan de hand van de besturingssystemen die erop draaien. Dat is heel wat eenvoudiger te categoriseren dan alle soorten en modellen mobiele telefoons, vindt Noordam. Allereerst wordt dan bepaald of het betreffende device op het netwerk mag en vervolgens wát die gebruiker dan mag. “Daarmee kun je afdwingen wat die persoon mag, welke rechten hij heeft op het netwerk, tot welke applicaties hij toegang heeft. Daarnaast kun je zijn activiteiten scannen en is contentscanning mogelijk: dat is een extra beveiliging die bestaat uit urlfiltering, waarmee bepaald kan worden op welke url’s de gebruiker mag komen. Ook is er een antivirusscan, intrusion prevention en applicatiecontrole waarbij de applicatie herkend wordt ongeacht welke port die gebruikt. Dat maakt het mogelijk ook de beveiliging vanaf het netwerk te sturen.” Het OS draait op de Fortigate-firewalls, die in veel modellen voorhanden zijn. Daardoor kunnen ook heel kleine organisaties het BYOD-beheer ermee aanpakken, want de functionaliteit zit in het OS. De smartphone doet het zelf Eind dit jaar zullen smartphones op de markt komen die ofwel voorzien zijn van native hypervisor software of een app gebruiken waarmee mensen twee interfaces kunnen gebruiken op hun telefoon; een voor persoonlijk en een voor zakelijk gebruik. Kort gezegd wordt het mogelijk bedrijven de controle te geven over hun data terwijl de werknemer de controle houdt over zijn eigen gegevens op het toestel. Daarmee wordt voorkomen dat de werkgever de privégegevens kan zien of verwijderen, de grote angst van veel BYOD-gebruikers. Zo ontwikkelt Red Bend een hypervisortechnologie die wordt ingebouwd in de processor. ARM bijvoorbeeld ontwikkelt daarvoor de Cortex A15-processor, maar het werkt ook samen met AMD aan nieuwe x86-processors die geoptimaliseerd zijn voor gevirtualiseerde smartphones. VMware heeft zijn hypervisorproduct Horizon Mobile dat in de loop van dit jaar op de Amerikaanse markt komt. Het komt ofwel embedded in een smartphone en moet dan geactiveerd worden of als een gratis app die gedownload moet worden. In Japan zijn al Motorola-toestellen te koop die met de hypervisortechnologie van VMware werken.
4
