Image
11.9.2017 0 Comments

Ako na bezpečnosť firemných dát? Odpoveď dáva platforma Samsung Knox

Mobilné telefóny a tablety musia byť v podnikovej infraštruktúre zabezpečené a ich správa jednoduchá. Platforma Samsung Knox ako jediná platforma s Androidom dnes tieto vlastnosti poskytuje. Samsung navyše niektoré vyspelé služby zabezpečenia Androidu ponúka aj pre spotrebiteľský segment.

Samsung Knox je upravená platforma operačného systému Android od spoločnosti Samsung. Je k dispozícii pre každé zariadenie Samsung s Androidom a spolupracuje s binárne, teda jednostranne a nevratne prepisovateľnými čipmi ARM Trust Zone na základnej doske. Systém Samsung Knox je založený na virtualizácii a v podstate umožňuje vytvoriť dve zariadenia v jednom – jedno súkromné ​​a jedno firemné. Okrem toho umožňuje vďaka API nastaviť používateľské profily a spravovať cez konzolu Mobile Device Management (MDM) viac zariadení naraz. Preto je toto riešenie vhodné a ideálne pre firmy, kde zamestnanci využívajú firemné zariadenia vrátane aplikácií aj na súkromné účely. Samsung má pre tretie strany zároveň k dispozícii SDK s balíkom API na tvorbu vlastných aplikácií a riešení.

Ako funguje ochrana Samsung Knox?
Nadstavba Samsung Knox má sedem vrstiev. Najdôležitejšie z hľadiska pochopenia, ako ochrana funguje, sú Samsung Knox kontajner, TIMA a ARM Trust Zone. V najvyššej vrstve kontajnera Knox sú uložené aplikácie so svojimi dátami. Ide o virtuálne prostredie daného používateľa. Kontajner je šifrovaný AES 256. Používateľ sa prihlasuje najskôr do telefónu, potom do kontajnera Knox, prípadne možno vynútiť prihlásenie Container only mode. Ide o akýsi „ďalší telefón“, do ktorého sa používateľ musí prihlásiť. Administrátor pritom môže povoliť prístup z firemnej časti do súkromnej a naopak, napríklad ku kontaktom, dokumentom, fotografiám a pod. Kontajner otvára firemný IT správca prostredníctvom nástroja MDM.

Kontajner ešte môže obsahovať zložku Knox Chamber na zvlášť citlivé dáta, ktorá je znovu šifrovaná AES 256. Každé heslo je síce prelomiteľné, ale za akú cenu. Prelomiť jedno šifrovanie AES 256 je veľmi ťažké a dvojaké šifrovanie až príliš nákladné. Zariadenia Samsung preto získali certifikát aj od Pentagonu a každoročne obhajujú Common Criteria a FIPS 140-2 za šifrovanie.

ARM Trust Zone komunikuje priamo s hardvérom a vie ho binárne prepísať v prípade ohrozenia korporátnej časti. Do ARM Trust Zone sa dajú ukladať aj certifikáty. Knox po zapnutí telefónu skontroluje všetky vrstvy až po kontajner.

Vrstva TIMA stráži systém aj aplikácie pri bootovaní aj v reálnom čase pri behu systému. Umožňuje inštalovať „nezabalené“ aplikácie do kontajnera, vie zistiť, či je zariadenie dôveryhodné, t. j. či beží na oficiálnom systéme, alebo či sa aplikácia nesnaží neautorizovane pristupovať k dátam ostatných aplikácií v systéme. Keď napríklad aplikácia siaha do kontaktov, TIMA ju ukončí a používateľa upozorní, že bola ukončená. Natívne totiž nie je umožnené skopírovať zoznam kontaktov. Keď sa napríklad používateľ pohybuje v privátnej časti telefónu a zavolá mu niekto z korporátnych kontaktov, telefonát sa dá uskutočniť, ale meno volajúceho sa mu nezobrazí (pokiaľ administrátor nenastaví inak, napríklad povolí iba zobrazenie, ale nie editáciu či kopírovanie do súkromnej časti).

K pokynu TIMA do ARM Trust Zone na nevratné prepísanie čipu na základnej doske môže dôjsť v dvoch základných prípadoch. V prvom, keď vrstva TIMA spozná, že používateľ získa práva rootu, prípadne pri akomkoľvek pokuse o prístup do rootu. Potom dá pokyn do ARM Trust Zone na binárne prepísanie čipu a uzavrie kontajner Knox, kde bežia korporátne aplikácie a kde sú uložené korporátne dáta. V druhom prípade, keď si používateľ nahrá neautorizovanú verziu OS alebo jeho častí, ARM Trust Zone spozná odlišný obraz systému a opäť prepíše čip na doske. V oboch prípadoch možno smartfón alebo tablet používať ďalej, ale už nie v danom korporátnom prostredí, pre ktoré je trvalo uzamknutý. Odomknutie nemožno urobiť inak ako výmenou základnej dosky. Prakticky ide o výmenu zariadenia za nové. Pokiaľ k prepisu dôjde, o tejto zmene je informovaný aj IT správca prostredníctvom konzoly MDM. Navyše IT správca zvyčajne nastavuje pravidlo, že nedôveryhodné zariadenie sa okamžite odoberá z podnikovej správy a nie je umožnené ho opäť pod správu pridať. Eliminuje sa tým riziko zavedenia infikovaného zariadenia do podnikovej siete.

Hromadné sprevádzkovanie zariadení

Ak organizácia zaraďuje do správy väčšie množstvo zariadení (smartfónov a tabletov), dá sa využiť produkt Knox Mobile Enrollment, ktorý na základe vytvorenia profilu na Mobile Enrollment serveri umožní aktivovať zariadenia bez vlastného zásahu IT, čo šetrí čas a náklady na IT. Pri hromadnej dodávke niekoľkých stoviek kusov do organizácie sa tak dajú ušetriť až mesiace času.

Knox Framework a partnerské riešenia

Knox Framework je určený do korporátneho prostredia pre služby B2B. Je vybavený balíkom API na pripájanie príkazov externých aplikácií od partnerov, ktorí si zakúpili od Samsungu SDK, napríklad na tvorbu vlastných konzol MDM (Mobile Device Management) na účel ovládania, zablokovania zariadenia alebo zostavenia VPN či tvorby vlastných riešení. API umožňujú riadiť zariadenie aj pomocou rôznych systémov, napríklad s Active Directory, z koncového zariadenia možno vykonávať zmenu hesla po jeho vypršaní. Sú k dispozícii aj prepojenia pre Dropbox, Box, SharePoint a pod.

Existuje aj API pre VPN – „dáta na ceste“, Per-App-on demand na selektívne aplikácie v mobilnom zariadení s prenosmi dát cez VPN. Trvalé zostavenie VPN je totiž veľmi náročné na výdrž zariadenia – spotrebu energie. Toto umožňuje zapnúť zostavenie VPN len vtedy, keď je to nevyhnutné, t. j. iba pri prístupe aplikácie do firemného prostredia.

Riešenie plne pripravené pre firmy

Knox maximalizuje zabezpečenie Androidu a znamená úplné pripravenie smartfónov a tabletov Samsung pre firmy. Ide o zabezpečený dizajn hardvéru od výroby s bootovaním, zavádzačom a runtime ochranou. Samsung Knox má širokú podporu používateľov MDM – SAP, Citrix, CA, BlackBerry, AirWatch, Mobile Iron a ďalších. Sú k dispozícii aj vlastné kontajnery od tretích strán a existujú partneri z pohľadu aplikácií – Microsoft Office 365, MS Azure, CA, FireEye, Cisco, F5 a pod.

Systém dodáva aktualizácie vždy dvakrát ročne s radmi Samsung Galaxy S a Note, vždy však aj so spätnou podporou ostatných radov produktov Samsungu. Aktualizácia zabezpečenia platformy sa vykonáva nezávisle od štandardných aktualizácií.

Ďalšie informácie o riešení Samsung Knox sú k dispozícii na stránke www.samsungknox.com.


Mohlo by Vás zaujímať

Bezpečnosť

Google Mapy vám umožnia zdieľať aj stav vašej batérie. Aby ostatní videli či ste ok, keď sa nehlásite

16.02.2018 00:05

Ak hľadáte priateľa na hromadnom podujatí alebo čakáte na niekoho, kto je na ceste k vám, zdieľanie polohy je nástroj, ktorý vám môže skvele poslúžiť. No keď sa priateľovi vybije batéria v telefóne, t ...

Bezpečnosť

Komplexné zabezpečenie od Jablotronu s videoverifikačnou kamerou

16.02.2018 00:00

Najväčšou slabinou prakticky všetkých zabezpečovacích zariadení sú falošné poplachy. Nejde len o zbytočné výjazdy k mačke, ktorá aktivovala niektorý senzor, ale hlavne o postupné otupenie pozornosti, ...

Bezpečnosť

Ako funguje zabezpečenie domácej siete od Esetu

06.02.2018 13:25

Nadväzujeme na článok o zabezpečení zariadení IoT v domácej sieti. Téma vás zaujala a dostali sme od vás niekoľko otázok, ktoré by sa podľa prvého slova dali rozdeliť do troch skupín: Prečo by niekto ...

Žiadne komentáre

Vyhľadávanie

PC forum button

Najnovšie videá