2018/12/04 10:55:22

Как контролировать корпоративную почту на мобильных устройствах iOS и Android

Вопрос о контроле корпоративной почты на мобильных устройствах под управлением наиболее распространенных платформ Android и iOS – один из наиболее актуальных на конференциях по защите данных от утечки. Практически всех их участников беспокоит риск утечки информации ограниченного доступа через корпоративную и личную почту с мобильных BYOD-устройств.


Активное применение персональных мобильных устройств в рабочих целях, и прежде всего для оперативных коммуникаций по электронной почте, значительно упрощает практическое использование корпоративных данных в производственных процессах, повышает производительность труда сотрудников, их мобильность и работоспособность. Переломить эту тенденцию распространения BYOD-устройств в корпоративных информационных системах не только невозможно, но и контрпродуктивно для бизнеса.

Однако, с точки зрения обеспечения информационной безопасности, возникает дилемма между предоставлением доступа к служебной почте и корпоративной информации и обеспечением ее защиты при использовании на мобильных устройствах.

В качестве решения этой проблемы чаще всего на рынке предлагаются решения класса application wrapper, в которых технологии изолирующих контейнеров для мобильных приложений позволяют обеспечить защиту информации при утере мобильного устройства, а все почтовые коммуникации корпоративных приложений – перенаправить через VPN-туннель в офисную сеть организации, где для контроля контента «контейнерной» почты используется DLP-шлюз. Другой вариант, применимый в ограниченном сегменте критически важных ИС – дорогостоящие «защищенные телефоны», которые, по сути, есть специализированные программно-аппаратные MDM-решения на базе урезанной версии Android. Отмечаются также попытки создать DLP-подобный агент для мобильных устройств Android, где контроль трафика на самом деле сводится к его перенаправлению в VPN-туннель. Общим для всех этих вариантов защиты корпоративной почты является использование DLP-шлюза или сервера мониторинга почтового трафика, полученного с мобильных устройств по VPN-туннелям.

Важным фактором, влияющим на архитектуру решений по предотвращению утечек данных с мобильных персональных устройств, является то, что по разным причинам современные мобильные операционные системы не обеспечивают надежное функционирование DLP-агентов. Платформа iOS не предоставляет доступа приложениям к ядру ОС, тогда как Android, напротив, является открытой платформой, а значит, любой пользователь может путём несложной процедуры получить полный административный доступ к своему устройству Android и удалить приложение – в данном случае гипотетический DLP-агент, тем самым отключив контроль передаваемых данных и предотвращение утечек ценной информации. Наконец, нельзя забывать, что личные устройства всегда остаются личными, даже будучи предоставленными организацией – возникает масса ограничений как организационного, так и технического характера. Следует учитывать сложность доступа, невозможность автоматизированного централизованного развертывания, отсутствие административного контроля личного устройства службой ИТ и т.д.

Сетецентричные DLP-решения, стоящие за корпоративными шлюзами и VPN-туннелями, во многих отечественных продуктах ограничены функцией мониторинга почтовых коммуникаций, а для протоколов MAPI и Lotus и вовсе неприменимы – проприетарное шифрование в этих протоколах принципиально исключает возможность анализа содержимого почтовых сообщений после их отправки. В случае MAPI и Lotus анализ контента возможен только до момента отправки, что требует использования агентской DLP-архитектуры и перехвата сообщений посредством внедрения собственного кода в адресное пространство процессов почтового клиента.

Другим динамично развивающимся направлением ИБ является предоставление доступа к информационным активам компании через удаленное подключение к стерильной рабочей среде, созданной с помощью решений для виртуализации рабочих сред и приложений. Применительно к предотвращению утечек в почтовых коммуникациях на устройствах Android и iOS это реализуется посредством предоставления удаленного доступа к корпоративным серверам в целом и служебной почте в частности через терминальные сессии. При этом контроль почтовых коммуникаций каждой терминальной сессии осуществляется DLP-агентом, работающим на терминальном сервере. В данной модели почтовый клиент для работы с корпоративной почтой публикуется как виртуализованное приложение: например, в среде Citrix XenApp пользователь может работать с почтовым клиентом с любого устройства – включая мобильные устройства Android и iOS, а DLP-контроль реализуется непосредственно в корпоративной среде виртуализации на терминальном сервере. Для этого на личном устройстве самим пользователем или ИТ-подразделением организации устанавливается терминальный клиент (например, Citrix Receiver) или же вместо него может использоваться любой веб-браузер, поддерживающий HTML5.

На стороне пользователя в организационном плане модель доступа к почтовому клиенту через терминальную сессию реализуется достаточно просто – Citrix Receiver доступен и в App Store, и в Play Market и без каких-либо сложностей устанавливается на любые версии iOS и Android, а инструкция по подключению к корпоративному почтовому клиенту как виртуализованному приложению будет довольно компактной.


Последняя, самая важная часть описываемой модели – это DLP-система, контролирующая почтовые коммуникации в среде виртуализации. Агент программного комплекса DeviceLock DLP, будучи установленным на терминальном сервере, обеспечивает контроль контекста и контентную фильтрацию сетевых коммуникаций каждой сессии виртуальной корпоративной среды. Технология DeviceLock Virtual DLP позволяет перехватывать почтовые сообщения непосредственно из опубликованного в Citrix XenApp приложения-почтового клиента, доступ к которому пользователь получает через терминальную сессию, и в режиме реального времени осуществлять проверку контекста сообщения (наличие вложений, проверку почтовых идентификаторов) и контента (содержимого контента) сообщений и вложений на их соответствие DLP-политикам, заданным для этого пользователя. В случае выявления нарушения операция передачи данных ограниченного доступа блокируется в целях предотвращения их утечки, при этом создается соответствующая запись в журнале и теневая копия передаваемого сообщения с вложениями, а также генерируется тревожное оповещение для обработки в рамках процедуры менеджмента инцидентов ИБ.

Отличие Virtual DLP от описанных выше вариантов решения задачи c перенаправлением трафика в VPN-туннель и анализом почтовых коммуникаций на уровне DLP-сервера прежде всего состоит в том, что пользователь получает доступ не к данным в почтовых клиентах как таковым, а их графическому представлению в терминальной сессии. Кроме того, Virtual DLP использует агентский вариант контроля сетевых коммуникаций, когда функции контроля выполняются непосредственно в точке возникновения трафика. Только в такой архитектуре возможны перехват данных до их шифрования проприетарными протоколами как в почте, такой, например, как MAPI, так и в мессенджерах (например, Private Conversations в Skype). Кроме того, в режиме реального времени обеспечивается проверка содержимого данных, передаваемых через буфер обмена и съемные накопители, перенаправленные с личного устройства в терминальную сессию рабочего стола или приложения, что не менее важно для защиты от утечек корпоративных данных с BYOD-устройств, чем контроль почты.


Стоит отметить, что DeviceLock DLP позволяет контролировать все распространенные почтовые протоколы – SMTP/SMTP over SSL, MAPI и IBM/Lotus Notes, а на мобильное устройство пользователей потребуется установить и настроить только приложение для терминального доступа. Более того, благодаря использованию технологии DeviceLock Virtual DLP обеспечивается полный контроль разнообразных вариантов использования персональных мобильных устройств в различных моделях использования решений виртуализации (BYOD, «домашний офис», тонкие клиенты), построенных на платформах виртуализации и терминального доступа от Microsoft, Citrix, VMware и других производителей – компании могут полностью контролировать не только почтовые коммуникации, но и в целом корпоративные среды виртуализации, передаваемые на любые персональные устройства сотрудников, включая мобильные, равно как и любые другие удаленные устройства на любых операционных системах.