Beveiliging van Android en Apple iOS voor de organisatie Whitepaper
Hoe de gegevens van de organisatie veilig kunnen worden aangeboden op Androiden Apple iOSapparatuur Technische uitleg – bijgewerkt voor Android 4.0 en iOS 5.1
www.citrix.com
Beveiliging van Android en Apple iOS voor de organisatie
Whitepaper
Consumentenapparaten op basis van Android en iOS, zoals smartphones en tablets, worden steeds belangrijker op de werkvloer. Ze maken compleet nieuwe vormen van flexibiliteit en mobiliteit mogelijk, zowel voor de medewerkers als voor de IT-afdeling, maar stellen tegelijk grote uitdagingen op het gebied van beveiliging. In deze whitepaper gaan we nader op deze problematiek in en leggen we uit wat de oplossingen van Citrix hieraan kunnen doen. Overzicht De enorme populariteit van Android-toestellen heeft Android als mobiel besturingssysteem de positie van wereldwijd marktleider opgeleverd. Elke dag opnieuw worden er honderdduizenden nieuwe Android-telefoons en -tablets in gebruik genomen.1 Als open platform dat zijn roots in de openbronsoftware heeft, is het besturingssysteem Android een belangrijke rol gaan spelen in de zoektocht naar meer mobiliteit. De features en voordelen van Android zijn gericht op zowel consumenten als organisaties en daarmee is Android voor zowel particulieren als organisaties een aantrekkelijke keuze. Organisaties moeten er dan wel voor zorgen dat ze maatregelen treffen om de security en privacy van hun gegevens te waarborgen. De mobiele apparatuur van Apple, zoals de iPhone en de iPad, is een regelrecht iFenomeen. Hoewel deze devices oorspronkelijk als consumentenapparatuur aan de man werden gebracht, zijn ze nu niet meer van de werkvloer weg te denken en heeft menig organisatie ervaren wat voor mobiliteit Apple mogelijk maakt voor het personeel. 99 procent van de bedrijven uit de Fortune 500 is de iPhone aan het testen of heeft de iPhone al geïmplementeerd. 86 procent werkt aan een implementatie of test van de iPad.2 Het besturingssysteem van Apple, iOS, is strikt gereguleerd, wat resulteert in een consistente gebruikerservaring over alle applicaties en devices heen. Verder is er voor Apple-apparatuur een breed aanbod aan software en hardware verkrijgbaar, alles strak geïntegreerd. Apple weet wat een goede gebruikerservaring is. Het gebruik van consumentenapparatuur binnen de organisatie is een trend die de consumerization van de IT wordt genoemd en waaraan belangrijke voordelen zijn verbonden voor zowel organisatie als medewerker. Volgens een recent rapport noemt bijna twee derde van de ondervraagde organisaties (64 procent) het kunnen verbeteren van de mobiliteit als een van de voordelen van flexibele werkplekken.3 Wanneer mensen zelf kunnen bepalen wat voor apparatuur ze voor hun werk gebruiken, wanneer ze de vrijheid genieten om hun eigen apparatuur mee te nemen naar het werk, wanneer ze de flexibiliteit hebben om van device te switchen wanneer dat maar nodig is voor een taak of locatie en wanneer ze altijd toegang hebben tot hun persoonlijke apparatuur, kunnen ze een stuk productiever werken. Maar voordat een organisatie al deze voordelen kan waarmaken, moet de IT er wel voor hebben gezorgd dat een en ander niet ten koste gaat van de beveiliging van de gegevens van de organisatie. Het is in deze context dat nieuwe features en configuraties, de inherente beperkingen en de risico’s van het gebruik van gegevens van de organisatie op apparatuur voor consumenten moeten worden begrepen. Citrix® heeft altijd een wereld willen creëren waarin mensen kunnen werken waar ze maar willen, op ieder gewenst device. Daarom heeft Citrix technologieën en best practices ontwikkeld om alle persoonlijke en zakelijke voordelen van moderne mobiele apparatuur maximaal te kunnen TechCrunch, 27 februari 2012. PadGadget, juli 2011. 3 Workshifting: A Global Market Research Report, 2011. 1 2
www.citrix.com
2
Beveiliging van Android en Apple iOS voor de organisatie
Whitepaper
benutten. De Bring-Your-Own-Device-oplossingen van Citrix zorgen ervoor dat mensen (niet alleen de eigen medewerkers van de organisatie maar ook externe krachten en outsourcingpartners) op een volstrekt probleemloze manier een tablet of smartphone kunnen gebruiken, terwijl het voor de IT perfect mogelijk blijft om de gegevens van de organisatie veilig te houden. In deze whitepaper wordt vanuit IT-perspectief beschreven welke problemen zich kunnen voordoen wanneer tablets en smartphones op basis van Android of iOS worden toegestaan in het bedrijfsnetwerk en wat de IT moet doen om deze ontwikkeling onder controle te houden met aan de andere kant behoud van maximale productiviteit en mobiliteit. We gaan in op het beveiligingsaspect, de mogelijkheden die er zijn om de risico’s in de hand te houden en de architectuur die nodig is om tablets en smartphones te ondersteunen als consumentenapparatuur met toegang tot gevoelige gegevens. Verder wordt beschreven hoe gebruikers binnen de organisatie op een veilige manier toegang krijgen tot hun tablet en smartphone, waardoor gebruik van Android en iOS binnen de organisatie mogelijk wordt. Citrix XenDesktop® is een oplossing om applicaties en desktops centraal in het datacenter te houden en die vervolgens als on-demand service aan te bieden aan de gebruikers. Citrix Receiver™ is een lichte softwareclient waarmee de gebruikers heel gemakkelijk toegang krijgen tot hun gegevens, ongeacht het gebruikte apparaat (van henzelf of van de organisatie). Citrix ShareFile® is een oplossing om follow-me data mogelijk te maken. Samen zorgen deze oplossingen ervoor dat de organisatie controle heeft over haar data van datacenter tot device en dat een groot deel van de beveiligingsproblematiek als sneeuw voor de zon verdwijnt. Hoe de precieze policy voor mobiel gebruik van data op het device er verder uitziet, maakt niet uit. XenDesktop, Citrix Receiver en ShareFile worden verder aangevuld met Citrix GoToMeeting® (online-samenwerking), GoToManage (externe ondersteuning) en GoToMyPC (verbinding met fysieke desktops).
www.citrix.com
3
Beveiliging van Android en Apple iOS voor de organisatie
Whitepaper
Opmerkelijke nieuwe mogelijkheden van Android 4.0 Android 4.0 – oftewel Ice Cream Sandwich (ICS) – combineert de features van Android voor smartphones en die voor tablets en voegt daar enkele nieuwe mogelijkheden aan toe. De volgende opmerkelijke features en de impact ervan worden in deze whitepaper besproken. Feature
Voordelen voor gebruiker
Aandachtspunt voor IT
Android Beam
NFC (Near Field Communications) om informatie te delen tussen twee Android-devices die NFC ondersteunen. Even tegen elkaar houden en mensen kunnen meteen documenten, contacten en applicaties uitwisselen.
Omdat Android Beam het voor ontwikkelaars mogelijk maakt om grote hoeveelheden data uit te wisselen tussen Android-devices zonder zichtbare koppeling via Bluetooth, is dit een eenvoudige manier om data te onderscheppen en eventueel malware te installeren.
Face Unlock
Het toestel kan worden ontgrendeld met een opname van het gezicht van de gebruiker.
Gezichtsverificatie is sterker dan een pincode van vier cijfers, maar is alleen beschikbaar voor toegang tot het device, niet voor applicaties en andere diensten van de organisatie.
Wi-Fi Direct
Maakt peer-to-peerverbindingen (P2P) mogelijk tussen devices voor directe communicatie.
P2P maakt het mogelijk om data te onderscheppen en eventueel malware te installeren.
Locatiegebaseerde diensten
Apps kunnen locatiegegevens gebruiken om te bepalen wat er in de buurt interessant is voor de gebruiker en voor devicegerelateerde doeleinden.
Het is niet altijd gepast om de locatie van een medewerker te weten of te traceren tijdens het werk.
Naast alle mogelijkheden die standaard aanwezig zijn in Android, wordt Android constant met allerlei functies uitgebreid door de diverse hardwarefabrikanten, telecombedrijven en partners.
www.citrix.com
4
Beveiliging van Android en Apple iOS voor de organisatie
Whitepaper
Opmerkelijke nieuwe mogelijkheden van iOS 5 Met iOS 5 heeft Apple het tijdperk van de cloud ingeluid voor mobiele apparaten. Van iCloud tot iTunes Match, de cloud verandert hoe mensen hun iPad en iPhone gebruiken en hoe ze omgaan met informatie en met elkaar. De volgende opmerkelijke features en de impact ervan worden in deze whitepaper besproken. Feature
Voordelen voor gebruiker
Aandachtspunt voor IT
iCloud
Naadloze integratie van back-up en synchronisatie van agenda, adresboek, e-mail, documenten, bladwijzers en accountgegevens.
Wanneer met iCloud een back-up wordt gemaakt van gevoelige gegevens, zou dat in strijd kunnen zijn met bepaalde geheimhoudings overeenkomsten. iCloud slaat data grotendeels onversleuteld op.
Over-the-air (OTA)
Mensen hebben geen computer nodig voor hun instellingen, updates, back-ups en synchronisatie.
Om toegang te hebben tot alle iOS-data van iemand hoef je alleen maar toegang te hebben tot zijn of haar iTunesaccount, zonder fysieke toegang tot een apparaat.
Integratie van social media
Vanuit elke app kunnen mensen gemakkelijk content versturen via Twitter. Foto’s worden met Photo Stream automatisch geüpload naar de cloud.
Integratie van social media maakt het veel gemakkelijker om data te onderscheppen, zeker wanneer per ongeluk te ruime applicatierechten worden gegeven.
Locatiegebaseerde diensten
Apps kunnen locatiegegevens gebruiken om te bepalen wat er in de buurt interessant is voor de gebruiker en om de locatie van het device door te geven (via apps als Find My Friends en Find iPhone).
Het is niet altijd gepast om de locatie van een medewerker te weten of te traceren tijdens het werk.
Met GeoFence kan een alarm worden ingesteld dat afgaat op het moment dat het device een bepaalde locatie bereikt of verlaat. Bluetooth 4.0 Smart Ready
www.citrix.com
Monitoring op afstand voor fitness- en medische toepassingen. Verzamelt meetwaarden van sensoren.
Gezien het soort informatie dat met deze sensoren wordt verzameld, is privacy een belangrijk aandachtspunt.
5
Beveiliging van Android en Apple iOS voor de organisatie
Whitepaper
Inleiding Mobiliteit en flexwerk veranderen hoe organisaties werken. Op de werkvloer is consumentenapparatuur nog nooit zo populair geweest. Tablets en smartphones zijn flexibel en gemakkelijk. Mensen kiezen voor elke taak en locatie een ander apparaat. Voor de organisatie verbetert dit de productiviteit, mobiliteit en wendbaarheid. Tablets en smartphones zijn echter een compleet ander soort device dan het traditionele eindpunt van een organisatie. Bij de invoering van tablets en smartphones op de werkvloer mag de IT daarom niet over één nacht ijs gaan. Alle aspecten moeten goed worden bestudeerd, van het mobiele besturingssysteem en de resulterende hypermobiliteit tot de manier waarop mensen hun apparaten gebruiken. Een IT-afdeling die alle voordelen van deze devices voor haar organisatie wil waarmaken, komt voor enkele grote uitdagingen te staan. Een daarvan is dat er een cultuur van selfservice moet worden gekweekt. Medewerkers bepalen zelf welke applicaties ze gebruiken en creëren een omgeving op maat. Op deze manier zijn ze niet meer afhankelijk van de IT, terwijl die vroeger juist alles voor hen bepaalde (en de mobiliteit daarmee sterk inperkte). De IT moet er ook voor zorgen dat mensen op elk gewenst moment bij hun bestanden kunnen en hun gegevens kunnen synchroniseren. Ze moeten veilig kunnen samenwerken op elke gewenste hardware en locatie, en gegevens moeten goed kunnen worden beheerd, gedeeld en geback-upt in de cloud. Het belangrijkste is echter dat de IT goed moet inspelen op enkele belangrijke zaken met betrekking tot de beveiliging van en de toegang tot de applicaties van de organisatie: • Toenemende vraag. Door de consumerization van IT en de invoering van Bring-YourOwn-Device-regelingen willen medewerkers (en externe partners) hun tablet, smartphone en andere hardware kunnen gebruiken voor het werk, zodat ze mobieler en productiever zijn. Zeker bij managers en de laatste generatie arbeidskrachten is dit het geval. Zij werken vaak met allerlei verschillende apparaten en springen meteen op elke nieuwe technologie die voorbijkomt. Wanneer de IT het gebruik van consumentenapparatuur niet meteen kan ondersteunen, begrijpen de mensen vaak niet waarom dat niet kan en welke technische of beveiligingsproblemen daaraan ten grondslag liggen. • Enorme toename van het aantal unmanaged devices. De applicatie-, netwerk-, systeem- en beveiligingsarchitectuur van de meeste organisaties is niet ontworpen voor tablets, smartphones en andere unmanaged devices binnen het bedrijfsnetwerk. De traditionele infrastructuur en beveiligingsmodellen gaan uit van totale controle over de gebruikte hardware (die immers eigendom is van de organisatie). Wanneer nieuwe, eigen devices van de gebruikers hun intrede in het bedrijfsnetwerk doen, is de IT bang voor gaten in de beveiliging en verlies van controle over de totale infrastructuur. Zo is de beveiliging vaak wel in staat om aanvallen via Wi-Fi te detecteren (door de organisatie op basis van IDS en IPS geregeld voor Bluetooth en P2P Wi¬Fi), maar daar heb je niets meer aan op het moment dat slimme apparaten samen een Bluetooth-netwerk gaan opbouwen. • Het gebruik van clouddiensten voor consumenten. Clouddiensten voor consumenten kunnen de productiviteit sterk verbeteren. Simpele zaken als het maken van back-ups en het synchroniseren van informatie over verschillende devices heen gaan nagenoeg vanzelf. Wat beveiliging aangaat vraagt dit echter wel de nodige aandacht. Als je niet goed oplet, worden gegevens van de organisatie zomaar gekopieerd van het device van de medewerker naar de cloud, wat mogelijk in strijd is met de regels van de organisatie. • Snelle veranderingen. Het zakelijk klimaat is de afgelopen jaren sterk veranderd. De traditionele projectcycli, budgetprioriteiten, verbindingen en toegang tot informatie hebben een enorm snelle evolutie doorgemaakt. Nu moet ook de beveiliging zich aanpassen aan de veranderende behoeften van zowel de mensen als de organisatie.
www.citrix.com
6
Beveiliging van Android en Apple iOS voor de organisatie
Whitepaper
Om een evenwicht te vinden tussen wet- en regelgeving enerzijds en de verwachtingen van de eindgebruikers anderzijds hebben organisaties een nieuwe IT-architectuur nodig die controle over data op de eerste plaats stelt, in plaats van eigendom van de gebruikte hardware. Gelukkig kunnen met een beveiligingsarchitectuur die uitgaat van applicatie- en desktopvirtualisatie en die vertrouwelijke gegevens kan beschermen ongeacht toegangsmethode, type device, netwerkverbinding, device-eigendom of locatie, ook de aloude beveiligingsproblemen perfect worden opgelost.
Unmanaged devices van medewerkers zelf – een uitdaging voor de traditionele beveiliging Met de opkomst van consumerization zijn organisaties gaan nadenken over BYOD-initiatieven (Bring Your Own Device). Medewerkers worden aangemoedigd om hun eigen hardware mee te nemen naar het werk om zo de mobiliteit en productiviteit te verbeteren. BYOD zorgt er ook voor dat de IT zich niet meer druk hoeft te maken over het eigendom en beheer van de gebruikte hardware. Mensen bepalen gewoon zelf met welke apparatuur ze het productiefst werken, en dat kan dus gerust een tablet of smartphone zijn. Uit een recent onderzoek van Citrix is gebleken dat 72 procent van de consumentenhardware, zoals tablets en smartphones, voor het eerst naar het werk werd meegenomen door ofwel gewone gebruikers ofwel door mensen op hoger leidinggevend niveau. Meer dan twee derde van de respondenten gebruikt eigen apparatuur tijdens het werk en 64 procent gebruikt op een normale dag drie of meer verschillende apparaten.4 BYOD lijkt een aantrekkelijke oplossing, totdat je wat beter naar de beveiliging kijkt. Unmanaged devices zijn een bedreiging voor het bedrijfsnetwerk. Vertrouwelijke of gevoelige informatie kan zomaar op straat komen te liggen en dan hebben we het nog niet over de schade die kwaadwillige insiders kunnen veroorzaken. Organisaties willen daarom vaak niet dat buitenstaanders (al dan niet eigen medewerkers) niet-toegestane apparatuur aansluiten op het netwerk. Wanneer tablets, smartphones en andere unmanaged devices tot het netwerk worden toegelaten, moet er anders worden gekeken naar de beveiliging. De concepten ‘binnen’ en ‘buiten’ krijgen een andere invulling. Veel mensen maken nu verbinding met het bedrijfsnetwerk via een netwerk dat niet onder controle van de eigen organisatie staat, zoals het netwerk van een vliegveld, hotel, café of gewoon thuis. Mensen zijn mobieler dan ooit. Organisaties moeten voor hun data nieuwe grenzen afbakenen die de grenzen van vroeger overstijgen. Het systeem moet betrouwbaarheid en verificatie inbouwen voor (de toegang tot) alle vertrouwelijke gegevens en dus niet zomaar meteen toegang verschaffen op basis van het simpele feit dat de IT-afdeling eigenaar van de hardware is of dat de hardware op een intern netwerk wordt aangesloten. Een beveiligingsmodel dat ‘vertrouwt maar controleert’ en alle apparaten en gebruikers als buitenstaander beschouwt, ondersteunt de behoeften van zowel interne als externe gebruikers en biedt de beste bescherming voor de echt vertrouwelijke data. De uitdaging van dit model is het op een betaalbare manier mogelijk maken van een naadloze gebruikerservaring.
Huidige gevaren voor vertrouwelijke bedrijfsgegevens en gevoelige informatie Om te kunnen komen tot een beter beveiligingsmodel dat mobiele apparaten zoals tablets en smartphones kan ondersteunen, moet de volgende uitdaging worden bestudeerd: hoe zorg je voor een goede beveiliging van gevoelige gegevens en maak je onbelemmerde toegang tot openbare gegevens mogelijk? Nu het gebruik van mobiele apparatuur toeneemt, al dan niet officieel door de organisatie ondersteund, is de beveiliging van informatie in toenemende mate afhankelijk van de specifieke situatie, zoals de beveiliging van de hardware, de locatie, de gebruiker, het netwerk en de applicaties die worden gebruikt. Malware is een bekend risico dat niet mag worden onderschat, net als virussen, Trojans, spyware, rootkits en andere gevaren. Maar malware is niet de voornaamste of enige uitdaging bij het mobiel toegankelijk maken van informatie. Elke policy die toegang tot vertrouwelijke gegevens mogelijk maakt voor unmanaged en mobiele eindapparatuur, heeft een aangepaste beveiligingsarchitectuur 4
Gebruikersenquête Citrix, How Will You Work in 2011, januari 2011.
www.citrix.com
7
Beveiliging van Android en Apple iOS voor de organisatie
Whitepaper
nodig om bescherming te kunnen bieden tegen al deze gevaren, zoals: • Data exfiltration: gegevens die ongeoorloofd buiten de gecontroleerde omgeving worden gebracht, en algeheel dataverlies. • Data tampering: gegevens die onbedoeld of ongeoorloofd worden gewijzigd. • Data unavailability: gegevens die niet beschikbaar zijn op het moment dat ze nodig zijn. Deze beveiligingsproblemen hangen samen met bedrijfsrisico’s als vertrouwelijkheid, integriteit en beschikbaarheid van resources. Organisaties moeten bescherming bieden tegen alles wat deze prioriteiten in gevaar brengt. Controlemaatregelen beginnen met een goed ontworpen beveiligingsarchitectuur met applicatie- en desktopvirtualisatie en specifieke configuratiestappen voor de afzonderlijke data-elementen.
Hoe de beveiliging van mobiele devices afwijkt van die van een pc Een Security Architect die de opdracht krijgt om iOS-devices op een veilige manier de organisatie binnen te loodsen, moet deze opdracht benaderen vanuit het standpunt van dataprotectie en alle huidige en bekende controlemechanismen vergeten. Iemand die aan de bestaande systemen vasthoudt, denkt al gauw aan antivirussoftware, een firewall en versleutelde schijven. Maar aangezien iOS deze technieken momenteel niet ondersteunt (Android wel), zou dat betekenen dat iOS-devices nog steeds het netwerk niet op mogen. De beveiligingsarchitectuur van Android lijkt op die van een Linux-pc. Android is gebaseerd op Linux en heeft alle voordelen en enkele van de nadelen van een Linux-distributie (distro). Daarnaast zijn er enkele beveiligingsproblemen die eigen zijn aan een mobiel OS. Een iOSdevice verschilt wezenlijk van een pc, zowat wat gebruik als beveiliging betreft. Op het gebied van beveiliging heeft de iOS-architectuur zelfs een aantal punten voor op de pc. Aan de hand van het eenvoudige voorbeeld hierna, waarin het beveiligingsmodel en de risico’s van de pc worden vergeleken met die van Android en iOS, wordt duidelijk dat wat voor een pc geldt, niet automatisch van toepassing is op iOS.
www.citrix.com
8
Beveiliging van Android en Apple iOS voor de organisatie
9
Whitepaper
Vergelijking van de beveiliging van de klassieke pc, Android en iOS Beveilingings maatregel
PC
Android
iOS
Controle over device
Add-on
Add-on
Add-on
Lokale antimalware
Add-on
Add-on
Niet beschikbaar
Versleuteling van data
Add-on
Configuratie
Native
Isolatie/apart plaatsen van data
Add-on
Add-on
Native
Nee
Nee
Ja
Door gebruiker
Door gebruiker
Native
Systeembeheerder
Rooting noodzakelijk
Rooting noodzakelijk
Managed besturingsomgeving Patching van applicaties Systeembesandenwijzigen
De Android-architectuur kan prima worden beveiligd, zoals is gebeurd bij een Android-versie die door het Amerikaanse ministerie van Defensie wordt gebruikt. De Amerikaanse National Security Agency ondersteunt bovendien het Security Enhanced (SE) Android-model, waarmee Security Enhanced Linux mogelijk wordt in de Android-kernel.
Overzicht beveiligingsarchitectuur van Android De Android-architectuur biedt een platform waarmee de beveiliging kan worden aangepast van eenvoudig tot geavanceerd. Beveiligingsmaatregelen moeten specifiek worden ingeschakeld en afgedwongen. Het Android-platform maakt het volgende mogelijk:5 Enkele beveiligingsfuncties die ontwikkelaars kunnen helpen bij het maken van veilige applicaties: • De Android Application Sandbox, waarin data en de uitgevoerde code per applicatie kunnen worden geïsoleerd. • Het Android Application Framework, met robuuste implementaties van algemene beveiligingsfunctionaliteit, zoals cryptografie, rechten en secure IPC. • Technologie als ASLR, NX, ProPolice, safe_iop, OpenBSD dlmalloc, OpenBSD calloc en Linux mmap_min_addr, om de gevaren van fouten met het geheugenbeheer aan te pakken. • Een versleuteld bestandssysteem dat kan worden ingeschakeld om data op kwijtgeraakte of gestolen devices te beschermen. Toch blijft het belangrijk dat ontwikkelaars alle best practices op het gebied van Android-security goed kennen, want alleen dan zijn ze in staat om de mogelijkheden goed te benutten en te voorkomen dat per ongeluk nieuwe beveiligingsproblemen worden geïntroduceerd in hun applicaties.
5
Android Developers, Designing for Security, 20 april 2012
www.citrix.com
Beveiliging van Android en Apple iOS voor de organisatie
Whitepaper
Hoe kan ik mijn Android-smartphone en -tablet veilig gebruiken? De beveiligingsarchitectuur van Android is zo ontworpen dat telefoon en tablet veilig kunnen worden gebruikt zonder dat er iets speciaals met het device hoeft te gebeuren of dat er speciale software hoeft te worden geïnstalleerd. Android-applicaties werken in een Application Sandbox, waarin de toegang tot gevoelige informatie of data zonder toestemming van de gebruiker automatisch wordt beperkt. Om de beveiliging van Android goed te kunnen gebruiken is het belangrijk dat de gebruikers alleen software uit betrouwbare bron downloaden en installeren, dat ze alleen betrouwbare websites bezoeken en hun device bij voorkeur niet opladen in een ‘vreemd’ dockingstation. Als open platform laat de Android-architectuur toe dat mensen om het even welke website bezoeken en op hun device software laden van om het even welke maker. Net zoals op de pc thuis moet de gebruiker weten wie de aanbieder is van de software die hij of zij wil downloaden en bepalen of de applicatie alles mag doen wat die applicatie zou willen doen. Bij die beslissing kan de persoon in kwestie kijken naar de betrouwbaarheid van de softwareontwikkelaar en naar de bron van de software.
Aandachtspunten rond Android-beveiliging Als open platform staat Android ook open voor rooting en unlocking. Rooting wil zeggen dat de gebruiker de root wordt, ofwel de superuser met alle rechten tot het besturingssysteem. Unlocking is het kunnen wijzigen van de bootloader, wat het mogelijk maakt om een alternatieve versie van het besturingssysteem en de applicaties te installeren. Android heeft ook een meer open rechtenmodel. Een bestand op een Android-device is ofwel leesbaar voor een applicatie ofwel leesbaar voor de hele wereld. Als een bestand door meerdere applicaties moet worden gedeeld, kan dit dus maar op één manier: door het open te zetten voor de hele wereld. Upgraden naar de meest recente versie van Android is niet altijd mogelijk en wordt soms aan banden gelegd door het telefoonbedrijf. Het niet kunnen upgraden kan ertoe leiden dat beveiligingsproblemen blijven bestaan. Kijk in Menu/Settings/About/System Upgrades en zorg dat je weet of een upgrade van je platform mogelijk is (of juist niet). Ga ook na of CarrierIQ is ingebouwd door het telefoonbedrijf om ondersteuning mogelijk te maken. CarrierIQ kan zo worden geconfigureerd dat gevoelige informatie kan worden geregistreerd, en moet dus worden uitgeschakeld. BitDefender heeft een applicatie die laat zien of CarrierIQ aanwezig is. Ondersteuning voor actieve inhoud, zoals Flash, JAVA, JavaScript en HTML5, maken malware en aanvallen mogelijk. Een beveiligingsoplossing moet aanvallen die via actieve inhoud lopen, dus kunnen detecteren en blokkeren. Android is een geliefd doelwit van mobiele malware, bijvoorbeeld sms-trojans die sms’jes sturen naar dure betaalnummers of enge apps die zich – zonder dat de gebruiker het merkt – registreren voor duistere diensten en persoonlijke gegevens doorsturen. Weg privacy! Of misschien wordt het device wel overgenomen! Zeker bij applicaties uit duistere app stores, waarvan de veiligheid niet is gecontroleerd, is dit risico niet ondenkbeeldig. Aangeraden wordt daarom dat Android-devices minder kwetsbaar worden en een betere beveiliging krijgen.
www.citrix.com
10
Beveiliging van Android en Apple iOS voor de organisatie
Whitepaper
Overzicht beveiligingsarchitectuur van iOS De beveiligingsarchitectuur van iOS werkt met sandboxes en configuratiespecifieke beveiligingsmaatregelen. Volgens Apple:
Veilig volgens ontwerp Het iOS-model is erg veilig vanaf het moment dat een iPad (of iPhone of iPod) wordt aangezet. Alle apps draaien in een veilige omgeving. Een website of app heeft dus geen toegang tot data van andere apps. Om uw gevoelige informatie te beschermen ondersteunt het iOS-model versleutelde netwerkcommunicatie. Uw privacy is veilig, omdat apps die locatiegegevens opvragen daar eerst toestemming voor moeten krijgen van uzelf. Met een code kunt u onbevoegd gebruik van het device voorkomen. Een iPad kan ook zo worden geconfigureerd dat alle data automatisch worden verwijderd wanneer te vaak een verkeerde code wordt ingevoerd. iPad kwijt of gestolen? Dan zet u Find My iPad aan het werk, een functie die op de kaart aangeeft waar de iPad is en de mogelijkheid biedt om alle data van het toestel te verwijderen. Krijgt of vindt u de iPad terug, dan zet u gewoon alle data van uw laatste back-up terug.6
Applicatiebeveiliging De architectuur van iOS is ontworpen met beveiliging in de kern. iOS werkt met sandboxes. Applicaties draaien dus in een afgeschermde omgeving. Bovendien moeten applicaties worden ondertekend, zodat knoeien niet mogelijk is. Verder heeft iOS een veilig framework dat veilige opslag van gegevens voor applicatie- en netwerkservices mogelijk maakt in een versleutelde keychain. Voor ontwikkelaars heeft dit besturingssysteem een gemeenschappelijke cryptografiearchitectuur voor het versleutelen van applicatiedata.6 Overzicht beveiligingsarchitectuur van iOS7 Applicaties
Cocoa Touch
Media
Core Services Security Services API
Core OS
6 7
Apple, iPad in Business, Security, maart 2011. Apple, iOS Dev Center, 2012.
www.citrix.com
API
API
11
Beveiliging van Android en Apple iOS voor de organisatie
Whitepaper
Sandboxing als beveiliging voor applicaties en data De iOS-architectuur zorgt ervoor dat alle applicaties bij de installatie in een sandbox wordt geplaatst en daar blijven. iOS beperkt elke applicatie en de voorkeuren en data van die applicatie tot een unieke locatie in het bestandssysteem. Een applicatie in de iOS-architectuur ziet alleen de eigen keychain-items. Applicaties – ook applicaties die onder aanval liggen – hebben geen toegang tot de voorkeuren of data van andere applicaties en zijn dus niet in staat om die data en voorkeuren uit te lezen of te wijzigen. Een aanvaller kan de getroffen applicatie dus ook niet gebruiken om de controle over het apparaat over te nemen of aanvallen te organiseren op andere applicaties. Mogelijke beperkingen 6 • Toegang tot iTunes Store • Toegang tot expliciete media en content ratings in iTunes Store • Gebruik van Safari en beveiligingsvoorkeuren • Gebruik van YouTube • Gebruik van App Store en dingen kopen vanuit een app • Installatie van apps • Maken van schermopname
Hoe de iPad en iPhone vertrouwelijke gegevens beschermen Het iOS-model betekent dat een organisatie met iPads en iPhones een door Apple voorgeschreven aanpak moet volgen. Dit biedt (vergeleken met pc’s) bepaalde voordelen op het gebied van beveiliging. Apple heeft controle over de iOS-omgeving, de beschikbaarheid van applicaties en het patchen van applicaties, en Apple heeft een native beveiligingsmodel voor de device- en ontwikkelomgeving. De gebruikelijke oplossingen, zoals installatie van antivirussoftware, zijn bij een iOS-device echter niet mogelijk. Organisaties moeten de doeltreffendheid van de specifieke manieren om iOS te beveiligen afzetten tegen hun eigen behoeften en te rade gaan bij de eigen Security Architects. Zie de tabel hierna voor meer informatie over de mogelijke beveiligingsrisico’s en wat iOS hiertegen doet.
• Automatische synchronisatie tijdens roaming
Gevaren en wat iOS ertegen doet (met virtualisatie)
• Gebruik van voicedialing
Gevaar
Concreet
Beveiliging iOS
Data exfiltration
• Data op straat • Print screen • Screen scraping • Kopiëren naar USB-stick • Verlies van back-up • E-mail
• Data blijft in datacenter • Controle over applicatie/ device • Geen USB-sticks mogelijk • Versleutelde back-ups • Geen lokale cache voor e-mail
Data tampering
• Wijziging door andere applicaties • Pogingen tot worden niet gedetecteerd • Apparaat gekraakt
• Sandboxing van applicaties/data • Logging • Jailbreakdetectie
Dataverlies
• Verlies van device • Ongeoorloofde fysieke toegang • Zwakke plekken in applicaties
• Weinig data op device • Versleuteling van device • Patching van applicaties
Malware
• Modificatie van OS • Modificatie van applicaties • Virus • Rootkit
• Managed besturingsomgeving • Managed applicatieomgeving • Architectuur*
• Afdwingen van versleutelde iTunesback-ups • Gebruik van camera
* Hoewel de iOS-architectuur is beveiligd tegen malware, kunnen latente pc-virussen wel worden doorgegeven via besmette documenten. Daarom wordt aangeraden om antimalware beschikbaar te stellen voor alle hostomgevingen waarmee de iPad of iPhone verbinding maakt, met name e-mail.
8
Apple, iPad in Business, Security, maart 2011.
www.citrix.com
12
Beveiliging van Android en Apple iOS voor de organisatie
Whitepaper
Voor de eigen apparatuur van medewerkers en BYOD-strategieën is het verstandig om de meest gevoelige gegevens volledig van het device te houden. Citrix Receiver kan zo worden geconfigureerd dat gevoelige gegevens in het datacenter blijven en nooit naar het iOS-device worden gekopieerd. Gegevens die eventueel wel op het device mogen staan, kunnen achteraf altijd worden gewist.
Aandachtspunten ronden de beveiliging van het iOS-model Apple heeft een stevige muur gebouwd rond zijn iOS-architectuur. Die muur moet voorkomen dat de bezitter van een device zelf toegang heeft tot het besturingssysteem of iets aan het besturingssysteem kan veranderen. Wijzigingen zijn pas mogelijk wanneer het device wordt gekraakt met een zogeheten jailbreak. Jailbreaking is het ongedaan maken van de beveiliging en het verkrijgen van root access tot het device. Met root access kan een device namelijk alsnog worden gewijzigd. Hardwarematig heeft Apple in de iPad 2, iPhone 4S en andere recentere devices enkele extra maatregelen getroffen. Andere aandachtspunten rond de beveiliging van iOS: • Standaard wordt de iTunes-back-up niet versleuteld • Wissen op afstand werkt alleen wanneer de simkaart nog in de iPhone zit. • Een iPhone is bijna een soort keylogger: alle woorden die iemand invoert worden aan de woordenlijst toegevoegd om het gebruik ‘gemakkelijker’ te maken. • Bij een iPhone werkt het verwijderen van bestanden op een manier die standaard is voor UNIX (het bestand wordt dus nooit echt verwijderd): de inode wordt ge-unlinkt en het bestand blijft gewoon staan. Met speciale software kunnen bestanden en sms-berichten worden teruggehaald. • Met elke druk op de Home-knop maakt de iPhone-animatie een opname van het scherm en slaat die vervolgens op. • De TLS-verbinding die iOS gebruikt en die niet kan worden geconfigureerd en verbeterd, ondersteunt verouderde cryptografische algoritmen. Het gesloten iOS-besturingssysteem is strikt gecontroleerd. Upgrades kunnen uit maar één bron afkomstig zijn en via de App Store heeft Apple zelfs controle over applicatie-upgrades. Applicaties in de App Store worden compleet doorgelicht en getest op beveiliging. Dit mist u Het iOS-model geeft content niet altijd op dezelfde manier weer als een pc. Dit zijn enkele van de probleemgebieden: • Video’s in een format dat niet door iOS wordt ondersteund, worden gewoon niet afgespeeld (zoals WMV en Flash). • De e-mail heeft problemen met het weergeven van bepaalde plaatjes, de ondersteuning van beveiligingscertificaten, versleuteling en het intrekken van berichten. • Calendar is niet in staat om de status (vrij/bezet) weer te geven en heeft problemen met meerdere updates van events en events die niet actueel zijn. • Keynote geeft niet altijd alle plaatjes, lettertypen en lay-outs weer.. • Pages laat niet zien wanneer Track Changes is ingeschakeld, waardoor aanpassingen niet worden weergegeven en belangrijke updates soms over het hoofd worden gezien.
Met Receiver en XenDesktop krijgt u op uw iOS-device echt alles te zien.
www.citrix.com
13
Beveiliging van Android en Apple iOS voor de organisatie
Whitepaper
Beveiliging van gegevens met Citrix Receiver Hoe Citrix Receiver gevoelige gegevens en vertrouwelijke informatie kan beschermen Citrix Receiver maakt toegang tot gevoelige en vertrouwelijke gegevens van de organisatie mogelijk door die gegevens veilig in het datacenter te houden. Applicaties worden centraal in het datacenter gehost met XenDesktop. Voor een goede controle over alle data is het belangrijk dat gevoelige gegevens in het datacenter blijven. Dit maakt het immers mogelijk om beveiliging (antimalware bijvoorbeeld) toe te passen voor alle mogelijke hardware (die van de organisatie zelf of die van een medewerker). Receiver met follow-me data (mogelijk gemaakt door ShareFile) kan ook worden gebruikt om data offline toegankelijk te maken op iOS-devices. Voor minder gevoelige gegevens is dit een goede oplossing. Of een organisatie haar gevoelige gegevens in het datacenter houdt of die gegevens ook een mobiel bestaan wil geven, wordt bepaald door een policy op organisatieniveau en afgedwongen via Citrix Receiver en ShareFile. Organisaties kunnen Citrix Receiver samen met Citrix XenDesktop gebruiken op Android- en iOSdevices en zo toegang mogelijk maken tot alle data, applicaties en desktops van de organisatie. De filemanager die deel uitmaakt van de oplossing, maakt het erg gemakkelijk om rechtstreeks met de mappen en bestanden van de organisatie te werken. Citrix Receiver wordt geïntegreerd met Citrix Access Gateway™ voor een goede verificatie en netwerkverkeer met SSL-encryptie. Het resultaat is een point-to-point-verbinding met een VPN-tunnel die alleen mag worden gebruikt door Citrix Receiver. Citrix Receiver wordt verder geïntegreerd met Citrix CloudGateway™, wat een eenduidig beheer mogelijk maakt van alle soorten applicaties (Windows, web, SaaS, mobiel enzovoort), data, devices en gebruikers. De encryptie die in Citrix Receiver wordt toegepast, beschermt configuratiegegevens, schermbitmaps en de werkomgeving van de gebruikers. Citrix Receiver gebruikt functionaliteit van iOS zelf om de gegevens ‘in rust’ en ‘in beweging’ te versleutelen via de Wi-Fi- of 3G-/4Gnetwerkinterface.
Beveiligingsmaatregelen van Citrix Receiver Citrix Receiver voor iOS 5.5 en Receiver voor Android 3.0 bevatten een aantal nieuwe features op het gebied van beveiliging. We noemen hier: • Volledige encryptie: versleuteling van de hele applicatie (niet alleen de verbindingsgegevens) en versleuteling van gegevens die op het device zijn opgeslagen (wanneer de applicatie niet in gebruik is). Citrix Receiver draait in een versleutelde geheugenruimte en versleutelt alle data die via alle netwerken worden verzonden, waaronder Wi-Fi en 3G/4G. • Sterke verificatie: Citrix Receiver voor iOS dwingt sterke verificatie af voor toegang tot vertrouwelijke resources. Hiervoor wordt gewerkt met: • Verificatie via sms • Integratie met Citrix Access Gateway • RSA SecureID-integratie: de functionaliteit voor RSA soft tokens is rechtstreeks geïntegreerd in Citrix Receiver. Mensen hoeven dus geen token meer op te diepen of naar de RSA soft token app te gaan voor een code. Gewoon even een pincode invoeren in Receiver en ze krijgen automatisch verbinding. • Ondersteuning voor certificaten op de client: nog zo’n vereenvoudiging voor de eindgebruikers. Certificering is nu mogelijk met certificaten die op het device zijn geïnstalleerd.
www.citrix.com
14
Beveiliging van Android en Apple iOS voor de organisatie
Whitepaper
• CloudGateway-ondersteuning: de eenduidige app store van Citrix voor organisaties brengt op een veilige manier gevirtualiseerde Windows-applicaties en -desktops, web-, SaaS- en native mobiele applicaties en data op één plaats bij elkaar, wat het beheer en de controle van policys’en accounts voor de diensten van de gebruikers aanzienlijk vereenvoudigt. • SSL-SDK: Citrix biedt een SSL-SDK aan voor zowel Android als iOS, wat het mogelijk maakt om veilige oplossingen te ontwikkelen voor integratie met Citrix Receiver. • HDX: in deze release zijn zowel de video- als de audioprestaties verbeterd. Verder is het processorgebruik verlaagd en is de gebruiksduur van de batterijen verbeterd door aanpassingen in de engine. • Citrix Receiver kan ook op de achtergrond draaien terwijl de gebruiker een gesprek aanneemt of doorwerkt in een andere applicatie. Terwijl Citrix Receiver op de achtergrond actief is, blijven alle geopende sessies ook actief. De gebruikers kunnen snel van de ene naar de andere applicatie gaan zonder opnieuw bij Citrix Receiver in te loggen. Bij third-party securityproviders kan een organisatie policy’s opstellen om de mogelijkheid om van applicatie te veranderen te beperken. Het is dan bijvoorbeeld mogelijk om specifiek aan te geven welke applicaties mogen worden gebruikt wanneer Citrix Receiver actief is.
Best practices op het gebied van mobiele beveiliging Voor een goede beveiliging en controle is het belangrijk dat een organisatie de beveiligingsmogelijkheden van de oplossingen van Citrix en de beveiligingsmogelijkheden van de mobiele devices laat samengaan met uitgebreide best practices voor zowel medewerker als IT. De hele organisatie is er samen verantwoordelijk voor dat deze maatregelen worden nageleefd, want alleen dan kunnen consumerization en BYOD op een veilige en gecontroleerde manier worden ingevoerd. Citrix raadt de volgende richtlijnen aan (voor gebruiker en systeembeheerder) bij gebruik van Citrix Receiver met Android- en iOS-apparatuur.
Aanbevolen acties voor gebruikers: Set-up en configuratie van device Android
• Device niet jailbreaken of rooten bij gebruik in een zakelijke omgeving. • Toegang tot mobiel device afschermen met een wachtwoord (acht tekens, niet te simpel). • Lock Screen configureren. • Tablet versleutelen. • Lock Screen Timeout instellen. • Device en back-ups versleutelen. Goed weten waar back-ups zich bevinden. • Draadloos gedeelte instellen met Network Notification. • Find My iPhone configureren en gebruiken om kwijtgeraakt of gestolen device schoon te vegen* • Registratie van Diagnostics and Usage Data uitschakelen onder Settings/General/About. • USB debugging uitschakelen. • Geen applicaties accepteren die overdreven veel rechten willen. Applications/Unknown sources mag niet geselecteerd zijn. • Software-updates installeren zodra een nieuwe release beschikbaar is. • Antivirussoftware gebruiken.
www.citrix.com
15
Beveiliging van Android en Apple iOS voor de organisatie
Whitepaper
iOS
• Device niet jailbreaken of rooten bij gebruik in een zakelijke omgeving. • Toegang tot mobiel device afschermen met een wachtwoord (acht tekens, niet te simpel). • Require Passcode op Immediately zetten. • Zorgen dat wachtwoorden/codes niet kunnen worden geraden: Erase Data inschakelen. • Auto-Lock inschakelen en op één minuut zetten. • Device en back-ups versleutelen. Goed weten waar back-ups zich bevinden. • Draadloos gedeelte instellen op Ask to Join Networks. • Find My iPhone configureren en gebruiken om kwijtgeraakt of gestolen device schoon te vegen.* • Registratie van Diagnostics and Usage Data uitschakelen onder Settings/General/About. • Software goed onderhouden. • Software-updates installeren zodra een nieuwe release beschikbaar is. * Find My iPhone is een app die gratis kan worden gedownload uit de App Store(SM) en die het mogelijk maakt om een kwijtgeraakt toestel te lokaliseren op een kaart en een bericht of geluid weer te geven op het toestel. Het is zelfs mogelijk om een kwijtgeraakt toestel op afstand te vergrendelen of om de data van het toestel te verwijderen.
Dagelijks gebruik
• Vergrendel een device dat niet wordt gebruikt meteen met een druk op de aan-uitknop. • Ga na waar printers precies staan, voordat vertrouwelijke stukken worden afgedrukt. • Meld kwijtgeraakte of gestolen hardware direct aan de IT-afdeling, zodat zij alle certificaten en andere toegangsmethoden van dat toestel kunnen uitschakelen. • Denk na over de gevolgen voor de eigen privacy, voordat locatieafhankelijke diensten worden ingeschakeld. Sta het gebruik ervan alleen toe aan vertrouwde applicaties. • Scherm de toegang tot iTunes-, AppleID- en Google-accounts goed af (want gekoppeld aan vertrouwelijke gegevens). Gebruik van Citrix Receiver
• Log uit bij Citrix Receiver na het werken met echt vertrouwelijke gegevens. • Gebruik Receiver om verbinding te maken met applicaties en data die het best worden weergegeven in hun native applicatie. • Schakel mapping van clientdrives in het bestandssysteem van het mobiele device uit wanneer lokale opslag van gegevens van de organisatie niet gewenst is. Andere overwegingen
• Houd gevoelige gegevens uit de buurt van gedeelde mobiele apparatuur. Als informatie van de organisatie lokaal op een device wordt opgeslagen, dan wordt aangeraden dit device niet zomaar te delen. Informeer bij uw IT-afdeling naar de mogelijkheden om data in het datacenter te houden en persoonlijke devices persoonlijk te houden met technologie van Citrix. • Als u per se gevoelige gegevens op een mobiel device moet hebben, gebruik dan follow-me data en ShareFile als oplossing die vanuit de organisatie wordt verzorgd.
www.citrix.com
16
Beveiliging van Android en Apple iOS voor de organisatie
Whitepaper
• (Apple) Schakel iCloud-services uit, zodat gevoelige gegevens van de organisatie niet als back-up terechtkomen in de cloud. Houd er rekening mee dat clouddiensten een back-up kunnen maken van documenten, accountgegevens, instellingen en berichten. • (Android) bij een back-up naar de Google-account dat gevoelige gegevens van de organisatie als back-up terechtkomen in de cloud. Houd er rekening mee dat clouddiensten een back-up kunnen maken van documenten, accountgegevens, instellingen en berichten. • Configureer locatiediensten: schakel het bijhouden van de locatie uit voor applicaties die uw locatie niet mogen weten. • Configureer meldingen: schakel het weergeven van meldingen uit wanneer het device vergrendeld is (voor applicaties die gevoelige gegevens zouden kunnen weergeven). • Configureer AutoFill – Auto-fill Names and Passwords voor browsers om te voorkomen dat wachtwoorden zomaar worden afgekeken (indien gewenst en toegestaan door policy van organisatie). • Meld kwijtgeraakt of gestolen apparatuur altijd onmiddellijk aan uw IT-afdeling.
Aanbevolen acties voor systeembeheerders: • Publiceer voor uw organisatie een policy waarin het toegestaan gebruik van consumentenapparatuur en BYO-devices is vastgelegd. • Publiceer voor uw organisatie een policy voor de cloud. • Tref beveiligingsmaatregelen (antivirus bijvoorbeeld) om de data in het datacenter veilig te stellen. • Implementeer een policy waarin wordt vastgelegd welke vormen van applicatie- en datatoegang wel of niet zijn toegestaan op consumentenapparatuur. • Stel een time-out voor sessies in via Access Gateway. • Stel in of het domeinwachtwoord mag worden bewaard op het device zelf of dat de gebruikers het elke keer opnieuw moeten invoeren. • Stel de toegestane verificatiemethoden voor Access Gateway in. Keuze uit: – Geen verificatie – Alleen domein – Alleen RSA SecurID – Domein + RSA SecurID – Verificatie via sms
Extra verantwoordelijkheid voor mensen met een mobiel apparaat die de e-mail van de organisatie gebruiken: Android- en iOS-devices hebben native ondersteuning voor Microsoft Exchange en andere e-mailomgevingen. Met de native e-mailapplicatie van het device is het sowieso niet mogelijk om e-mail uit een Microsoft Exchange-account lokaal te beheren, te verplaatsen of te verwijderen. Online-toegang via Citrix Receiver verplicht stellen verandert verder dus niets. Gebruik van native e-mail is weliswaar handig, maar kan problemen met de beveiliging veroorzaken op het moment dat de mensen vertrouwelijke gegevens opslaan op een unmanaged device. Bovendien hebben die mensen rechtstreeks vanuit Safari toegang tot Outlook Web Access (OWA). Ook zijn er mensen die de IT-restricties proberen te omzeilen door de e-mail van hun werkaccount door te sturen naar Hotmail, Gmail, Yahoo! Mail enzovoort.
www.citrix.com
17
Beveiliging van Android en Apple iOS voor de organisatie
Whitepaper
Gebruikers van mobiele apparatuur zijn ook zelf verantwoordelijk voor een goede afscherming van vertrouwelijke informatie in zakelijke e-mail. Citrix Receiver laat de mensen hun e-mailsysteem gebruiken en maakt tegelijk veilige toegang mogelijk, op de volgende manier: • Gevoelige zakelijke e-mail blijft in het datacenter en persoonlijke devices blijven persoonlijk. • Beveiliging van e-mail (antivirus en antispam bijvoorbeeld) draait in het datacenter. • Een onderbroken sessie leidt niet tot gegevensverlies. • Versleutelde e-mail wordt alleen maar in het datacenter gedecodeerd. • Op het device zelf zijn geen codes nodig om versleutelde e-mail te decoderen. • Een ‘follow-me desktop’ maakt toegang tot e-mail en andere applicaties mogelijk • E-mail wordt zo geconfigureerd dat bijlagen worden verzonden via ShareFile. Gevoelige bijlagen worden buiten de e-mail gehouden.
Tot besluit Consumentenapparatuur maakt nieuwe gebruiksmodellen mogelijk voor organisaties. Deze modellen, de consumerization van de IT, BYOD-initiatieven en de toenemende mobiliteit dwingen echter wel tot nadenken over de beveiliging. Citrix Receiver, dat tot dusver meer dan tien miljoen keer is gedownload en daarmee een van de beste gratis zakelijke applicaties in de diverse applicatie-stores is, maakt het voor Android- en iOS-gebruikers mogelijk om overal waar ze maar willen aan de slag te gaan – met volledige toegang tot de desktops en applicaties die ze voor hun werk nodig hebben. Doordat de beveiliging centraal wordt aangepakt blijven vertrouwelijke bedrijfsgegevens perfect veilig. XenDesktop en Citrix Receiver bieden organisaties een doeltreffende manier van beveiligen, afgestemd op de behoeften van mensen die steeds mobieler en virtueler gaan werken. Met Citrix kan de IT-beveiliging doeltreffender en moderner worden ingericht en kan de organisatie probleemloos ‘ja’ zeggen tegen alle eigen of door de organisatie ter beschikking gestelde Apple- en Android-consumentenapparatuur. Dit document is geenszins bedoeld als totaaloverzicht voor Android- en iOS-beveiliging in een zakelijke omgeving. Citrix raadt een evaluatie van uw strategie aan op basis van Citrix Receiver en meer om een goede beveiliging van mobiele applicaties mogelijk te maken. Kijk zelf wat Citrix Receiver allemaal kan en download Citrix Receiver voor Android uit Google Play of de iOS-versie uit de iTunes App Store. U kunt Citrix Receiver voor mobiele apparatuur ook proberen in een gehoste cloudomgeving van Citrix. Binnen enkele minuten bent u operationeel. Uw organisatie hoeft daarvoor nog geen Citrix-omgeving te hebben. Versie-informatie: dit document is van toepassing op Android 4.0 en Apple iOS 5.1 (maart 2012).
www.citrix.com
18
Beveiliging van Android en Apple iOS voor de organisatie
Whitepaper
Aanvullende informatie Kijk voor meer informatie over de secure-by-design-technologie en BYOD-oplossingen van Citrix op www.citrix.com/secure en www.citrix.com/byod. • Best practices voor een eenvoudig en veilig BYOD-programma • Een mobiele organisatie dankzij virtualisatie • Aan de slag met Citrix Receiver • Probeer Citrix Receiver Raadpleeg voor meer apparaatspecifieke informatie over de beveiliging van iOS- en Androidapparatuur in een zakelijke omgeving: • Apple iPad in business • Apple iPhone in business • iPad in business: security overview • Android open-source project: security overview • Android-security-discuss
Wereldwijd Hoofdkantoor
Europees Hoofdkantoor
Benelux Kantoren
Citrix Systems, Inc. 851 West Cypress Creek Road Fort Lauderdale, FL 33309 USA Telefoon: +1 800 393 1888 +1 954 267 3000
Citrix Systems International GmbH Rheinweg 9 8200 Schaffhausen Zwitserland +41 52 635 7700
Citrix Systems Nederland Clarissenhof 3c 4133 AB, Vianen Nederland +31 347 324 800
Pacific Hoofdkantoor
Citrix Online divisie
Citrix Systems Hong Kong Ltd. Suite 3201, 32nd Floor One International Finance Centre 1 Harbour View Street Central, Hong Kong +852 2100 5000
5385 Hollister Avenue Santa Barbara, CA 93111 +1 805 690 6400
Citrix Systems België Pegasuslaan 5 1831 Diegem België +32 2 709 2231
Over Citrix Citrix Systems, Inc. (Nasdaq:CTXS) transformeert de manier waarop mensen, bedrijven en IT-ers werken en samenwerken in het cloud-tijdperk. Met zijn cloud-, collaboration-, netwerk- en virtualisatietechnologieën maakt Citrix mobiel werken en cloud-diensten mogelijk, waardoor IT voor bedrijven eenvoudiger en toegankelijker wordt voor meer dan 250.000 organisaties wereldwijd. Citrix wordt dagelijks gebruikt door 75 procent van alle internetgebruikers wereldwijd, het bedrijf werkt samen met meer dan 10.000 partners in 100 landen. De jaarlijkse omzet in 2011 was 2,21 miljard Amerikaanse dollar. ©2012 Citrix Systems, Inc. All rights reserved. Citrix®, Access Gateway™, Branch Repeater™, Citrix Repeater™, HDX™, XenServer™, XenApp™, XenDesktop® and Citrix Delivery Centre™ are trademarks of Citrix Systems, Inc. and/or one or more of its subsidiaries, and may be registered in the United States Patent and Trademark Office and in other countries. All other trademarks and registered trademarks are property of their respective owners.
0712/PDF
www.citrix.com
