Die Fachwelt ist ernsthaft besorgt über das Risiko des Verlusts von Informationen mit eingeschränktem Zugriff durch Unternehmens- und persönliche E-Mails von mobilen BYOD-Geräten. In fast jeder Konferenz zum Schutz vor Datenlecks ist die Frage der E-Mail-Kontrolle von Unternehmen auf Mobilgeräten mit den gängigsten Android- und iOS-Plattformen für die meisten Teilnehmer relevant.
Versuchen wir, dieses Problem zu lösen.
Natürlich vereinfacht die aktive Nutzung persönlicher mobiler Geräte für Arbeitszwecke und vor allem für die operative Kommunikation per E-Mail die praktische Verwendung von Unternehmensdaten in Produktionsprozessen erheblich und erhöht die Produktivität der Mitarbeiter, ihre Mobilität und Effizienz. Unter dem Gesichtspunkt der Gewährleistung der Informationssicherheit besteht jedoch ein Dilemma zwischen der Bereitstellung des Zugriffs auf Unternehmenspost und Unternehmensinformationen und der Gewährleistung ihres Schutzes bei Verwendung auf Mobilgeräten.
Als Lösung für dieses Problem werden auf dem Markt am häufigsten Lösungen der Application Wrapper-Klasse angeboten, bei denen Isolationscontainertechnologien für mobile Anwendungen Informationen schützen können, wenn ein mobiles Gerät verloren geht, und die gesamte E-Mail-Kommunikation von Unternehmensanwendungen über einen VPN-Tunnel an das Büronetzwerk des Unternehmens umgeleitet werden kann Ein DLP-Gateway wird verwendet, um den Inhalt von Container-Mail zu steuern. Eine weitere Option, die in einem begrenzten Segment kritischer IPs anwendbar ist, sind teure „sichere Telefone“, bei denen es sich in der Tat um spezialisierte Software- und Hardware-MDM-Lösungen handelt, die auf einer abgespeckten Version von Android basieren. Es wird auch versucht, einen DLP-ähnlichen Agenten für Android-Mobilgeräte zu erstellen, bei dem die Verkehrssteuerung darauf hinausläuft, ihn in den VPN-Tunnel umzuleiten. Allen diesen E-Mail-Schutzoptionen für Unternehmen ist die Verwendung eines DLP-Gateways oder eines Servers zur Überwachung des von Mobilgeräten über VPN-Tunnel empfangenen E-Mail-Verkehrs gemeinsam.
Ein wichtiger Faktor, der die Architektur von Lösungen zur Verhinderung von Datenlecks von mobilen persönlichen Geräten beeinflusst, ist, dass moderne mobile Betriebssysteme aus verschiedenen Gründen keinen zuverlässigen Betrieb von DLP-Agenten bieten. Die iOS-Plattform bietet keinen Zugriff auf Anwendungen auf den Kernel des Betriebssystems, während Android im Gegenteil eine offene Plattform ist. Dies bedeutet, dass jeder Benutzer durch ein einfaches Verfahren vollen Administratorzugriff auf sein Android-Gerät erhalten und die Anwendung löschen kann - in diesem Fall ein hypothetischer DLP-Agent. durch Deaktivieren der Steuerung übertragener Daten und Verhindern des Verlusts wertvoller Informationen. Schließlich dürfen wir nicht vergessen, dass persönliche Geräte immer persönlich bleiben, auch wenn sie von der Organisation bereitgestellt werden - es gibt viele organisatorische und technische Einschränkungen. Dabei sollten die Komplexität des Zugriffs, die Unmöglichkeit einer automatisierten zentralen Bereitstellung, die mangelnde administrative Kontrolle eines persönlichen Geräts durch den IT-Dienst usw. berücksichtigt werden.
Netzwerkzentrierte DLP-Lösungen hinter Unternehmensgateways und VPN-Tunneln in vielen inländischen Produkten sind durch die Funktion der Überwachung der E-Mail-Kommunikation eingeschränkt und für die MAPI- und Lotus-Protokolle vollständig nicht anwendbar. Die proprietäre Verschlüsselung in diesen Protokollen schließt die Möglichkeit der Analyse des Inhalts von E-Mail-Nachrichten nach dem Senden grundsätzlich aus. Bei MAPI und Lotus ist eine Inhaltsanalyse nur bis zum Zeitpunkt des Sendens möglich, was die Verwendung der DLP-Agentenarchitektur und das Abfangen von Nachrichten durch die Implementierung von nativem Code im Adressraum der Mail-Client-Prozesse erfordert.
Ein weiterer sich dynamisch entwickelnder Bereich der Informationssicherheit ist die Bereitstellung des Zugriffs auf Informationsressourcen des Unternehmens über eine Remoteverbindung zu einer sterilen Arbeitsumgebung, die mithilfe von Virtualisierungslösungen für Arbeitsumgebungen und Anwendungen erstellt wurde. Im Hinblick auf die Verhinderung von Lecks in der E-Mail-Kommunikation auf Android- und iOS-Geräten wird dies durch die Bereitstellung des Remotezugriffs auf Unternehmensserver im Allgemeinen und auf Office-E-Mails im Besonderen über Terminalsitzungen erreicht. Gleichzeitig wird die Steuerung der E-Mail-Kommunikation jeder Terminalsitzung von einem DLP-Agenten ausgeführt, der auf einem Terminalserver arbeitet. In diesem Modell wird der E-Mail-Client für die Arbeit mit Unternehmenspost als virtualisierte Anwendung veröffentlicht: In der Citrix XenApp-Umgebung kann der Benutzer beispielsweise von jedem Gerät aus mit dem E-Mail-Client arbeiten - einschließlich mobiler Android- und iOS-Geräte, und die DLP-Steuerung wird direkt in der Unternehmensvirtualisierungsumgebung auf dem Terminal implementiert Server. Zu diesem Zweck wird vom Benutzer oder der IT-Abteilung des Unternehmens ein Terminal-Client (z. B. Citrix Receiver) auf dem persönlichen Gerät installiert, oder es kann stattdessen ein beliebiger Webbrowser verwendet werden, der HTML5 unterstützt.
Auf der Benutzerseite ist das Modell des Zugriffs auf den E-Mail-Client über die Terminalsitzung organisatorisch recht einfach: Der Citrix Receiver ist im App Store und im Play Market verfügbar und kann problemlos auf jeder Version von iOS und Android installiert werden. Außerdem gibt es Anweisungen zum Herstellen einer Verbindung zum Unternehmen Der Mail-Client als virtualisierte Anwendung ist recht kompakt.
Der letzte, wichtigste Teil des beschriebenen Modells ist das DLP-System, das die E-Mail-Kommunikation in einer Virtualisierungsumgebung steuert. Der DeviceLock DLP-Software-Agent bietet bei Installation auf einem Terminalserver eine Kontextsteuerung und Inhaltsfilterung der Netzwerkkommunikation für jede Sitzung einer virtuellen Unternehmensumgebung. Mit der virtuellen DLP-Technologie von DeviceLock können Sie E-Mails direkt von einer in Citrix XenApp veröffentlichten E-Mail-Client-Anwendung abfangen, auf die ein Benutzer über eine Terminalsitzung zugreift, und in Echtzeit den Nachrichtenkontext (Vorhandensein von Anhängen, Überprüfen von E-Mail-Kennungen) und den Inhalt (Inhaltsinhalt) überprüfen. ) Nachrichten und Anhänge zur Einhaltung der für diesen Benutzer angegebenen DLP-Richtlinien. Im Falle eines Verstoßes wird der Vorgang der Übertragung von Daten mit eingeschränktem Zugriff blockiert, um ein Auslaufen zu verhindern, und ein geeigneter Journaleintrag und eine Schattenkopie der übertragenen Nachricht mit Anhängen werden erstellt, und eine Alarmbenachrichtigung wird zur Verarbeitung als Teil des IS-Vorfallverwaltungsverfahrens generiert.
Virtual DLP unterscheidet sich von den oben beschriebenen Optionen zur Lösung des Problems der Umleitung des Datenverkehrs in einen VPN-Tunnel und der Analyse der E-Mail-Kommunikation auf DLP-Serverebene zunächst dadurch, dass der Benutzer keinen Zugriff auf die Daten in den E-Mail-Clients als solche erhält, sondern auf deren grafische Darstellung im Terminal Sitzung. Darüber hinaus verwendet Virtual DLP eine agentenspezifische Option zur Überwachung der Netzwerkkommunikation, wenn die Überwachungsfunktionen direkt an dem Punkt ausgeführt werden, an dem Datenverkehr auftritt. Nur in einer solchen Architektur ist es möglich, Daten abzufangen, bevor sie mit proprietären Protokollen verschlüsselt werden, sowohl in E-Mails wie beispielsweise MAPI als auch in Instant Messenger (z. B. Private Conversations in Skype). Darüber hinaus wird eine Echtzeitüberprüfung des Inhalts von Daten bereitgestellt, die über die Zwischenablage und Wechseldatenträger übertragen werden und von einem persönlichen Gerät zur Terminalsitzung des Desktops oder der Anwendung umgeleitet werden. Dies ist für den Schutz vor Unternehmensdatenlecks von BYOD-Geräten nicht weniger wichtig als die E-Mail-Steuerung .
Es ist erwähnenswert, dass Sie mit DeviceLock DLP alle gängigen E-Mail-Protokolle steuern können - SMTP / SMTP über SSL, MAPI und IBM / Lotus Notes. Nur Benutzer müssen eine Anwendung für den Terminalzugriff auf einem mobilen Gerät installieren und konfigurieren. Darüber hinaus können Sie mithilfe der DeviceLock Virtual DLP-Technologie verschiedene Optionen für die Verwendung persönlicher Mobilgeräte in verschiedenen Modellen für die Verwendung von Virtualisierungslösungen (BYOD, Home Office, Thin Clients) vollständig steuern, die auf Virtualisierungs- und Terminalzugriffsplattformen von Microsoft, Citrix, VMware und Microsoft basieren anderer Hersteller - Unternehmen können nicht nur die E-Mail-Kommunikation, sondern auch die Virtualisierungsumgebungen von Unternehmen im Allgemeinen, die auf alle persönlichen Mobilgeräte übertragen werden, vollständig steuern udnikov, einschließlich mobiler sowie jede andere Fernvorrichtung bei allen Betriebssystemen.
Hinweis: Natürlich sollte beachtet werden, dass die Arbeit mit einem vollwertigen E-Mail-Client auf einem Smartphone mit einem winzigen Bildschirm völlig unmöglich ist. Es ist nicht ernst, ernsthaft über die Verwendung von Outlook, insbesondere älterer Versionen, auf 4-Zoll-Bildschirmen mit einer Auflösung von 800 x 480 zu sprechen. Wenn Sie jedoch als virtualisierter E-Mail-Client eine Anwendung verwenden, die hinsichtlich der Sättigung mit verschiedenen Schnittstellenelementen „kompakter“ ist, können Sie sich mit einem Gerät mit einem hochwertigen Bildschirm mit einer größeren Diagonale ausrüsten - die Situation ändert sich dramatisch. Vergessen Sie auch hier nicht den organisatorischen und technischen Aspekt. Wenn ein Mitarbeiter von Beruf einen mobilen Zugang zur E-Mail-Kommunikation benötigt, können Sie ihm ein Tablet oder ein leichtes Ultrabook zur Verfügung stellen.
Auf einem Tablet-Bildschirm kann sogar ein vollständiger Outlook wirklich verwendet werden, wie Sie in dieser Abbildung sehen können.
Im nächsten Artikel möchten wir detaillierter erläutern, wie die Steuerung des Datenflusses in Terminalsitzungen in der Virtual DLP-Technologie funktioniert. Bleib in Kontakt!