Image
11.9.2017 0 Comments

Ako na bezpečnosť firemných dát? Odpoveď dáva platforma Samsung Knox

Mobilné telefóny a tablety musia byť v podnikovej infraštruktúre zabezpečené a ich správa jednoduchá. Platforma Samsung Knox ako jediná platforma s Androidom dnes tieto vlastnosti poskytuje. Samsung navyše niektoré vyspelé služby zabezpečenia Androidu ponúka aj pre spotrebiteľský segment.

Samsung Knox je upravená platforma operačného systému Android od spoločnosti Samsung. Je k dispozícii pre každé zariadenie Samsung s Androidom a spolupracuje s binárne, teda jednostranne a nevratne prepisovateľnými čipmi ARM Trust Zone na základnej doske. Systém Samsung Knox je založený na virtualizácii a v podstate umožňuje vytvoriť dve zariadenia v jednom – jedno súkromné ​​a jedno firemné. Okrem toho umožňuje vďaka API nastaviť používateľské profily a spravovať cez konzolu Mobile Device Management (MDM) viac zariadení naraz. Preto je toto riešenie vhodné a ideálne pre firmy, kde zamestnanci využívajú firemné zariadenia vrátane aplikácií aj na súkromné účely. Samsung má pre tretie strany zároveň k dispozícii SDK s balíkom API na tvorbu vlastných aplikácií a riešení.

Ako funguje ochrana Samsung Knox?
Nadstavba Samsung Knox má sedem vrstiev. Najdôležitejšie z hľadiska pochopenia, ako ochrana funguje, sú Samsung Knox kontajner, TIMA a ARM Trust Zone. V najvyššej vrstve kontajnera Knox sú uložené aplikácie so svojimi dátami. Ide o virtuálne prostredie daného používateľa. Kontajner je šifrovaný AES 256. Používateľ sa prihlasuje najskôr do telefónu, potom do kontajnera Knox, prípadne možno vynútiť prihlásenie Container only mode. Ide o akýsi „ďalší telefón“, do ktorého sa používateľ musí prihlásiť. Administrátor pritom môže povoliť prístup z firemnej časti do súkromnej a naopak, napríklad ku kontaktom, dokumentom, fotografiám a pod. Kontajner otvára firemný IT správca prostredníctvom nástroja MDM.

Kontajner ešte môže obsahovať zložku Knox Chamber na zvlášť citlivé dáta, ktorá je znovu šifrovaná AES 256. Každé heslo je síce prelomiteľné, ale za akú cenu. Prelomiť jedno šifrovanie AES 256 je veľmi ťažké a dvojaké šifrovanie až príliš nákladné. Zariadenia Samsung preto získali certifikát aj od Pentagonu a každoročne obhajujú Common Criteria a FIPS 140-2 za šifrovanie.

ARM Trust Zone komunikuje priamo s hardvérom a vie ho binárne prepísať v prípade ohrozenia korporátnej časti. Do ARM Trust Zone sa dajú ukladať aj certifikáty. Knox po zapnutí telefónu skontroluje všetky vrstvy až po kontajner.

Vrstva TIMA stráži systém aj aplikácie pri bootovaní aj v reálnom čase pri behu systému. Umožňuje inštalovať „nezabalené“ aplikácie do kontajnera, vie zistiť, či je zariadenie dôveryhodné, t. j. či beží na oficiálnom systéme, alebo či sa aplikácia nesnaží neautorizovane pristupovať k dátam ostatných aplikácií v systéme. Keď napríklad aplikácia siaha do kontaktov, TIMA ju ukončí a používateľa upozorní, že bola ukončená. Natívne totiž nie je umožnené skopírovať zoznam kontaktov. Keď sa napríklad používateľ pohybuje v privátnej časti telefónu a zavolá mu niekto z korporátnych kontaktov, telefonát sa dá uskutočniť, ale meno volajúceho sa mu nezobrazí (pokiaľ administrátor nenastaví inak, napríklad povolí iba zobrazenie, ale nie editáciu či kopírovanie do súkromnej časti).

K pokynu TIMA do ARM Trust Zone na nevratné prepísanie čipu na základnej doske môže dôjsť v dvoch základných prípadoch. V prvom, keď vrstva TIMA spozná, že používateľ získa práva rootu, prípadne pri akomkoľvek pokuse o prístup do rootu. Potom dá pokyn do ARM Trust Zone na binárne prepísanie čipu a uzavrie kontajner Knox, kde bežia korporátne aplikácie a kde sú uložené korporátne dáta. V druhom prípade, keď si používateľ nahrá neautorizovanú verziu OS alebo jeho častí, ARM Trust Zone spozná odlišný obraz systému a opäť prepíše čip na doske. V oboch prípadoch možno smartfón alebo tablet používať ďalej, ale už nie v danom korporátnom prostredí, pre ktoré je trvalo uzamknutý. Odomknutie nemožno urobiť inak ako výmenou základnej dosky. Prakticky ide o výmenu zariadenia za nové. Pokiaľ k prepisu dôjde, o tejto zmene je informovaný aj IT správca prostredníctvom konzoly MDM. Navyše IT správca zvyčajne nastavuje pravidlo, že nedôveryhodné zariadenie sa okamžite odoberá z podnikovej správy a nie je umožnené ho opäť pod správu pridať. Eliminuje sa tým riziko zavedenia infikovaného zariadenia do podnikovej siete.

Hromadné sprevádzkovanie zariadení

Ak organizácia zaraďuje do správy väčšie množstvo zariadení (smartfónov a tabletov), dá sa využiť produkt Knox Mobile Enrollment, ktorý na základe vytvorenia profilu na Mobile Enrollment serveri umožní aktivovať zariadenia bez vlastného zásahu IT, čo šetrí čas a náklady na IT. Pri hromadnej dodávke niekoľkých stoviek kusov do organizácie sa tak dajú ušetriť až mesiace času.

Knox Framework a partnerské riešenia

Knox Framework je určený do korporátneho prostredia pre služby B2B. Je vybavený balíkom API na pripájanie príkazov externých aplikácií od partnerov, ktorí si zakúpili od Samsungu SDK, napríklad na tvorbu vlastných konzol MDM (Mobile Device Management) na účel ovládania, zablokovania zariadenia alebo zostavenia VPN či tvorby vlastných riešení. API umožňujú riadiť zariadenie aj pomocou rôznych systémov, napríklad s Active Directory, z koncového zariadenia možno vykonávať zmenu hesla po jeho vypršaní. Sú k dispozícii aj prepojenia pre Dropbox, Box, SharePoint a pod.

Existuje aj API pre VPN – „dáta na ceste“, Per-App-on demand na selektívne aplikácie v mobilnom zariadení s prenosmi dát cez VPN. Trvalé zostavenie VPN je totiž veľmi náročné na výdrž zariadenia – spotrebu energie. Toto umožňuje zapnúť zostavenie VPN len vtedy, keď je to nevyhnutné, t. j. iba pri prístupe aplikácie do firemného prostredia.

Riešenie plne pripravené pre firmy

Knox maximalizuje zabezpečenie Androidu a znamená úplné pripravenie smartfónov a tabletov Samsung pre firmy. Ide o zabezpečený dizajn hardvéru od výroby s bootovaním, zavádzačom a runtime ochranou. Samsung Knox má širokú podporu používateľov MDM – SAP, Citrix, CA, BlackBerry, AirWatch, Mobile Iron a ďalších. Sú k dispozícii aj vlastné kontajnery od tretích strán a existujú partneri z pohľadu aplikácií – Microsoft Office 365, MS Azure, CA, FireEye, Cisco, F5 a pod.

Systém dodáva aktualizácie vždy dvakrát ročne s radmi Samsung Galaxy S a Note, vždy však aj so spätnou podporou ostatných radov produktov Samsungu. Aktualizácia zabezpečenia platformy sa vykonáva nezávisle od štandardných aktualizácií.

Ďalšie informácie o riešení Samsung Knox sú k dispozícii na stránke www.samsungknox.com.


Mohlo by Vás zaujímať

Bezpečnosť

Europoslanci schválili pravidlá na prevádzku dronov. Niektoré funkcie budú musieť zabudovať už výrobcovia

19.06.2018 00:15

Poslanci Európskeho parlamentu schválili novelu pravidiel bezpečnosti civilného letectva, ktorá okrem iného zavádza celoúniové zásady na prevádzku dronov, zamerané na zvýšenie ich bezpečnosti. V súčas ...

Bezpečnosť

Ako na to: Čo robiť, keď dieťa prehltne gombíkovú batériu?

18.06.2018 00:20

V USA je ročne hospitalizovaných viac ako 3000 detí, ktorým sa podarilo rozobrať hračku či hodinky, pričom gombíkovú batériu vypadnutú z nich považovali za cukrík a prehltli ju. To môže spôsobiť vážne ...

Bezpečnosť 2

Slovensko čelí masívnym útokom hackerov

13.06.2018 00:11

Slovenský online priestor v posledných dňoch čelí masívnym DDOS útokom hackerov z celého sveta. Okrem iných slovenských webových adries útočníci v posledných dňoch napadli stránky Slovenského hydromet ...

q

Žiadne komentáre

Vyhľadávanie

HAMA_06

Najnovšie videá



PC forum button