يشعر المجتمع المهني بقلق بالغ إزاء مخاطر تسرب معلومات الوصول المحدود من خلال بريد الشركات والبريد الشخصي من أجهزة BYOD المحمولة. في كل مؤتمر تقريبًا حول حماية تسرب البيانات ، يظهر سؤال مناسب لمعظم المشاركين للتحكم في بريد الشركات على الأجهزة المحمولة التي تعمل على أكثر أنظمة Android و iOS شيوعًا.
دعونا نحاول التعامل مع هذه المشكلة.
بطبيعة الحال ، فإن الاستخدام النشط للأجهزة المحمولة الشخصية لأغراض العمل ، وقبل كل شيء للاتصالات التشغيلية عن طريق البريد الإلكتروني ، يبسط إلى حد كبير الاستخدام العملي لبيانات الشركة في عمليات الإنتاج ، ويزيد من إنتاجية الموظفين ، وقدرتهم على التنقل وكفاءتهم. ومع ذلك ، من وجهة نظر ضمان أمن المعلومات ، تنشأ معضلة بين توفير الوصول إلى بريد الشركة ومعلومات الشركة وضمان حمايتها عند استخدامها على الأجهزة المحمولة.
كحل لهذه المشكلة ، يتم تقديم حلول فئة مجمّع التطبيقات في السوق غالبًا ، حيث توفر تقنيات حاوية العزل لتطبيقات الأجهزة المحمولة حماية المعلومات عند فقد جهاز محمول ، ويمكن إعادة توجيه جميع اتصالات البريد الإلكتروني لتطبيقات الشركات عبر نفق VPN إلى شبكة مكتب المنظمة ، حيث يتم استخدام بوابة DLP للتحكم في محتوى البريد "الحاوي". هناك خيار آخر قابل للتطبيق في شريحة محدودة من عناوين IP المهمة وهو "الهواتف الآمنة" المكلفة ، والتي هي في الواقع حلول برامج وأجهزة MDM متخصصة تستند إلى إصدار تم تجريده من نظام Android. وتُبذل محاولات أيضًا لإنشاء وكيل يشبه DLP للأجهزة المحمولة التي تعمل بنظام Android ، حيث يرجع التحكم في حركة المرور في الواقع إلى إعادة توجيهه إلى نفق VPN. من بين الخيارات الشائعة لحماية البريد الإلكتروني للشركات استخدام بوابة DLP أو خادم لمراقبة حركة البريد التي يتم تلقيها من الأجهزة المحمولة عبر أنفاق VPN.
أحد العوامل المهمة التي تؤثر على بنية الحلول لمنع تسرب البيانات من الأجهزة الشخصية المحمولة هو أنه لأسباب مختلفة ، لا توفر أنظمة التشغيل المتنقلة الحديثة تشغيلًا موثوقًا لوكلاء DLP. لا يوفر نظام iOS إمكانية الوصول إلى التطبيقات إلى kernel في نظام التشغيل ، في حين أن Android ، على العكس من ذلك ، عبارة عن منصة مفتوحة ، مما يعني أنه يمكن لأي مستخدم ، من خلال إجراء بسيط ، الحصول على وصول إداري كامل إلى جهاز Android الخاص به وحذف التطبيق - في هذه الحالة ، وكيل DLP افتراضي ، عن طريق تعطيل التحكم في البيانات المرسلة ومنع تسرب المعلومات القيمة. أخيرًا ، يجب ألا ننسى أن الأجهزة الشخصية تظل دائمًا شخصية ، حتى عندما توفرها المؤسسة - هناك الكثير من القيود التنظيمية والفنية بطبيعتها. تعقيد الوصول واستحالة النشر المركزي الآلي وعدم التحكم الإداري في جهاز شخصي بواسطة خدمة تكنولوجيا المعلومات ، إلخ.
حلول DLP المرتكزة على الشبكة وراء عبّارات الشركات وأنفاق VPN في العديد من المنتجات المحلية مقيدة بوظيفة مراقبة اتصالات البريد ، وبالنسبة لبروتوكولات MAPI و Lotus فهي غير قابلة للتطبيق تمامًا - يستبعد تشفير الملكية في هذه البروتوكولات بشكل أساسي إمكانية تحليل محتويات رسائل البريد بعد إرسالها. في حالة MAPI و Lotus ، يكون تحليل المحتوى ممكنًا فقط حتى وقت الإرسال ، الأمر الذي يتطلب استخدام بنية DLP للوكيل واعتراض الرسائل من خلال تطبيق التعليمات البرمجية الأصلية في مساحة العنوان لعمليات عميل البريد.
مجال آخر حيوي من أمن المعلومات هو توفير الوصول إلى أصول المعلومات للشركة من خلال الاتصال عن بعد ببيئة عمل معقمة تم إنشاؤها باستخدام حلول المحاكاة الافتراضية لبيئات العمل والتطبيقات. فيما يتعلق بمنع التسريبات في اتصالات البريد على أجهزة Android و iOS ، يتم تحقيق ذلك من خلال توفير الوصول عن بعد إلى خوادم الشركات بشكل عام وبريد المكتب بشكل خاص من خلال جلسات العمل الطرفية. في الوقت نفسه ، يتم التحكم في اتصالات البريد لكل جلسة طرفية بواسطة وكيل DLP يعمل على خادم طرفي. في هذا النموذج ، يتم نشر عميل البريد الإلكتروني للعمل مع بريد الشركة كتطبيق افتراضي: على سبيل المثال ، في بيئة Citrix XenApp ، يمكن للمستخدم العمل مع عميل البريد الإلكتروني من أي جهاز - بما في ذلك أجهزة Android و iOS المحمولة ، ويتم تطبيق التحكم DLP مباشرة في بيئة المحاكاة الافتراضية للشركات على الجهاز الخادم. للقيام بذلك ، يتم تثبيت عميل المحطة الطرفية (على سبيل المثال ، Citrix Receiver) على الجهاز الشخصي من قبل المستخدم أو قسم تكنولوجيا المعلومات في المنظمة ، أو يمكن استخدام أي متصفح ويب يدعم HTML5 بدلاً من ذلك.
من ناحية المستخدم ، من الناحية التنظيمية ، فإن نموذج الوصول إلى عميل البريد الإلكتروني من خلال جلسة عمل المحطة الطرفية بسيط للغاية - يتوفر Citrix Receiver في App Store وفي Play Market ويتم تثبيته على أي إصدار من iOS و Android دون أي صعوبات ، وتعليمات الاتصال بالشركة عميل البريد كتطبيق افتراضي سيكون مضغوطًا تمامًا.
الجزء الأخير والأكثر أهمية من النموذج الموصوف هو نظام DLP الذي يتحكم في اتصالات البريد في بيئة افتراضية. وكيل برنامج DeviceLock DLP ، عند تثبيته على خادم طرفي ، يوفر التحكم في السياق وتصفية المحتوى لاتصالات الشبكة لكل جلسة من بيئة الشركة الافتراضية. تتيح لك تقنية DeviceLock Virtual DLP اعتراض البريد مباشرة من تطبيق عميل البريد المنشور في Citrix XenApp ، والوصول إليه من خلال المستخدم من خلال جلسة عمل طرفية ، والتحقق في الوقت الحقيقي من سياق الرسالة (وجود المرفقات ، والتحقق من معرفات البريد الإلكتروني) والمحتوى (محتوى المحتوى) ) الرسائل والمرفقات للتوافق مع سياسات DLP المحددة لهذا المستخدم. في حالة حدوث انتهاك ، يتم حظر تشغيل عملية إرسال بيانات وصول محدودة من أجل منع التسرب ، ويتم إنشاء إدخال دفتر يومية مناسب ونسخة احتياطية للرسالة المرسلة مع المرفقات ، ويتم إنشاء إشعار إنذار للمعالجة كجزء من إجراء إدارة حادث IS.
يختلف DLP الظاهري عن الخيارات الموضحة أعلاه لحل مشكلة إعادة توجيه حركة المرور إلى نفق VPN وتحليل اتصالات البريد على مستوى خادم DLP ، أولاً وقبل كل شيء ، بحيث لا يتمكن المستخدم من الوصول إلى البيانات الموجودة في عملاء البريد على هذا النحو ، ولكن تمثيلهم البياني في المحطة الجلسة. بالإضافة إلى ذلك ، يستخدم Virtual DLP خيارًا خاصًا بالوكيل لمراقبة اتصالات الشبكة عندما يتم تنفيذ وظائف المراقبة مباشرةً عند النقطة التي تحدث فيها حركة المرور. في مثل هذه البنية فقط ، يمكن اعتراض البيانات قبل تشفيرها باستخدام بروتوكولات خاصة بالبريد ، على سبيل المثال ، MAPI ، والمراسلات الفورية (على سبيل المثال ، المحادثات الخاصة في Skype). بالإضافة إلى ذلك ، يتم توفير التحقق في الوقت الفعلي من محتويات البيانات المرسلة من خلال الحافظة ومحركات الأقراص القابلة للإزالة ، وإعادة توجيهها من جهاز شخصي إلى الجلسة الطرفية لسطح المكتب أو التطبيق ، والذي لا يقل أهمية للحماية ضد تسرب بيانات الشركة من أجهزة BYOD من التحكم في البريد .
تجدر الإشارة إلى أن DeviceLock DLP يسمح لك بالتحكم في جميع بروتوكولات البريد الشائعة - SMTP / SMTP عبر SSL و MAPI و IBM / Lotus Notes ، ويحتاج المستخدمون فقط لتثبيت وتثبيت تطبيق للوصول إلى المحطة الطرفية على جهاز محمول. علاوة على ذلك ، من خلال استخدام تقنية DeviceLock Virtual DLP ، يمكنك التحكم الكامل في الخيارات المختلفة لاستخدام الأجهزة المحمولة الشخصية في نماذج مختلفة من استخدام حلول المحاكاة الافتراضية (BYOD ، "المكتب المنزلي" ، العملاء الرقيقين) المبنية على أنظمة المحاكاة الافتراضية والوصول الطرفية من Microsoft و Citrix و VMware و الشركات المصنعة الأخرى - يمكن للشركات التحكم بشكل كامل ليس فقط في اتصالات البريد ، ولكن أيضًا في بيئات المحاكاة الافتراضية للشركات بشكل عام ، والتي يتم نقلها إلى أي أجهزة خلوية شخصية udnikov، بما في ذلك، وكذلك أي جهاز عن بعد أخرى المحمول على جميع أنظمة التشغيل.
Nota bene: بالطبع ، يجب أن يؤخذ في الاعتبار أن العمل مع عميل بريد إلكتروني متكامل على هاتف ذكي بشاشة صغيرة سيكون مستحيلًا تمامًا ، وأن التحدث بجدية عن استخدام Outlook ، وخاصة الإصدارات القديمة ، على شاشات بحجم 4 بوصات بدقة 800 × 480 ليس بالأمر الخطير. ولكن إذا كنت تأخذ تطبيقًا أكثر "ضغطًا" فيما يتعلق بالتشبع مع عناصر واجهة مختلفة كعميل بريد افتراضي ، فاستعن بجهاز مزود بشاشة عالية الجودة ذات قطري أكبر - يتغير الموقف بشكل كبير. مرة أخرى ، لا تنس الجانب التنظيمي والتقني - إذا كان الموظف بحكم وظيفته يحتاج إلى الوصول عبر الهاتف المحمول إلى الاتصالات عبر البريد ، فلماذا لا يوفر له جهازًا لوحيًا أو جهازًا خفيفًا جدًا؟
على شاشة الجهاز اللوحي ، يصبح حتى Outlook الكامل قابلاً للاستخدام حقًا ، كما ترون في هذا الشكل.
في المقالة التالية ، نعتزم أن نوضح بمزيد من التفصيل كيف يعمل التحكم في البيانات في جلسات العمل الطرفية في تقنية Virtual DLP. ابقى على اتصال