BYOD и облака


BYOD, как новый тренд, уже давно заботит ИТ специалистов. Появляются вопросы связанные с обеспечением корпоративной безопасности в новых условиях и вопросы интеграции в единую систему различных мобильных устройств, которые используются сотрудниками компании при доступе к корпоративным ресурсам и бизнес-приложениям. Если же вы планируете вводить BYOD в компании и уже внедряете облачные бизнес-приложения, то вам следует уделить максимальное внимание возможностям интеграции различных мобильных устройств с вашей облачной инфраструктурой. И не надейтесь, ваши сотрудники не будут приобретать себе устройства по указке вашей ИТ-службы, либо уже приобрели что-то и вполне довольны своей покупкой. В этой статье постараюсь вкратце изложить видение процесса внедрения BYOD в организующуюся облачную инфраструктуру, которое сложилось в нашей компании. Конечно, если вы уже внедрили что-то, и выложили кучу денег, чтобы все работало, то менять что-то уже поздно и не нужно.

Шаг 1. Стратегия внедрения BYOD

Первое узкое место клиент-серверной системы, в которой на стороне клиента может быть, буквально, что угодно, является клиентское программное обеспечение (КПО). Многие разработчики облачных приложений полагаются на специализированные виджеты, графические интерфейсы, виртуальные рабочие столы, с помощью которых будет обеспечен доступ к необходимым данным. Однако, ожидать что те или иные клиенты будет корректно поддерживаться на всех устройствах не следует. Будем рассматривать только наиболее распространенные и развивающиеся современные платформы, например на базе Android, Windows Mobile, Bada, Windows Phone, MeeGo и пр. Информацию о выбранных платформах необходимо поместить в какой-либо документ или положение, которым бы могли руководствоваться ваши сотрудники. Поэтому и облачные приложения нужно выбирать только те, которые поддерживают современные, быстро меняющиеся и часто используемые в бизнесе мобильные устройства.

Самой распространенной программой для взаимодействия любого мобильного устройства с внешним миром через Интернет, конечно же, является браузер. Следовательно, получаем первое правило, которое должно выполнять любое внедряемое облачное приложение: тонким клиентом для работы с облачным приложением должен быть браузер. Назовем такую стратегию внедрения BYOD “браузерной”. В соответствии с браузерной стратегией (БС), для внедрения будут рассматриваться только те облачные сервисы, которые позволяют получать доступ к данным через браузер, а также устройства, которым будет дан доступ к облачной инфраструктуре, должны иметь современный, развивающийся браузер.

Также необходимо убедиться, что облачный сервис не требует установки на мобильные клиенты каких-либо специфических программных платформ (.NET, JAVA и др.) и не имеет каких-либо специфических интерфейсов (например SOAP).

Среди разработчиков веб-сервисов существует устойчивое мнение, что будущее в мире тонких клиентов за интерфейсам построенными на базе HTML5. Но пока что HTML5 не поддерживает большинство существующих баз данных и не все браузеры мобильных систем корректно работают с новым языком разметки. Развитие не стоит на месте, и можно с уверенностью сказать, что программное обеспечение современных устройств будет адаптировано к HTML5 в самое ближайшее время, а большинство сетевых сервисов будут построены на HTML5.

Шаг 2. Привратник облачных приложений

Поскольку работа, в соответствии с БС, ведется исключительно с браузером, необходимо организовать работу пользователей с URL-ссылками. Т.е. необходимо готовить некоторую систему-привратник (также доступную пользователям из браузера их мобильного устройства), из интерфейса которой можно получить доступ ко всем необходимым облачным приложениям. Например, в предыдущей статье Переводим малое предприятие на “облака” был рассмотрен способ организации работы со ссылками на облачные ресурсы при помощи Feng Office Comunity Edition. Если вы, уважаемые читатели, хотели бы предложить какие-либо другие решения – прошу высказаться в комментариях, было бы очень интересно пообсуждать.

Итак, принимаем второе правило: необходима система-привратник, обеспечивающая удобную работу пользователей мобильных устройств с широким спектром облачных приложений.

Шаг 3. Менеджмент BYOD

В понятие менеджмента BYOD входит все, что связано с управлением мобильными устройствами, сбором данных с устройств, защита корпоративных данных, к которым имеет доступ данное устройство. В случае применения BYOD возникает интересная ситуация: мобильное устройство является имуществом сотрудника организации, и поэтому может содержать какую-либо личную информацию. Разумеется, работник не будет предоставлять постоянный доступ к своему гаджету службе ИТ-безопасности копании. Хотя и существует возможность защиты канала передачи данных от устройства пользователя до системы-привратника и облачного ПО, например с помощью ключей шифрования и ЭЦП, остается незащищенная зона между устройством ручного ввода информации мобильного устройства (клавиатура, сенсорная панель и пр.) и браузером. Перехват такого потока информации не составит труда, если злоумышленник имеет доступ к устройству пользователя.

Что служба ИТ-безопасности может сделать в таком случае:

  • приобрести и установить антивирусное ПО на устройства пользователей, поскольку в большинстве случаев пользователи пренебрегают этим;
  • по возможности, настроить брандмауэр;
  • производить сбор информации о характеристиках мобильных устройств в момент подключения их к системе-привратнику;
  • следить за изменением некоторых характеристик устройства, подключающегося к системе-привратнику, например IP-адрес, операционная система, версия браузера, MAC-адрес сетевого адаптера и пр.;
  • тщательно вести журналы активности каждого пользователя;
  • производить разграничение доступа пользователей к той или иной информации и облачным приложениям;
  • доступ к конфиденциальным данным осуществлять только со специализированных, защищенных по всем правилам, терминальных клиентов, доступ к которым (в том числе физический) ограничен и строго регламентирован.

Правило третье: на сколько это возможно, защитить BYOD и не предоставлять пользователям доступ к конфиденциальной информации с помощью BYOD (см. рисунок ниже).

secure_01

Несмотря на все трудности “облака” и BYOD могут гармонично сосуществовать. Постепенно созревает HTML5, возможности программного обеспечения, повышающего безопасность мобильных устройств, увеличиваются, облачные провайдеры идут навстречу к BYOD. В ближайшем будущем каждая компания будет задумываться о собственной стратегии совместного внедрения облачных сервисов и BYOD.

А какаю стратегию предложили бы вы?