Komunitas profesional sangat khawatir tentang risiko kebocoran informasi akses terbatas melalui surat perusahaan dan pribadi dari perangkat BYOD seluler. Di hampir setiap konferensi tentang perlindungan kebocoran data, muncul pertanyaan yang relevan bagi sebagian besar peserta untuk mengontrol surat perusahaan di perangkat seluler yang menjalankan platform Android dan iOS yang paling umum.
Mari kita coba atasi masalah ini.
Tentu saja, penggunaan aktif perangkat seluler pribadi untuk tujuan kerja, dan terutama untuk komunikasi operasional melalui email, sangat menyederhanakan penggunaan praktis data perusahaan dalam proses produksi, meningkatkan produktivitas karyawan, mobilitas dan efisiensi mereka. Namun, dari sudut pandang memastikan keamanan informasi, dilema muncul antara menyediakan akses ke email perusahaan dan informasi perusahaan dan memastikan perlindungannya ketika digunakan pada perangkat seluler.
Sebagai solusi untuk masalah ini, solusi kelas pembungkus aplikasi paling sering ditawarkan di pasar, di mana teknologi wadah isolasi untuk aplikasi seluler dapat melindungi informasi ketika perangkat seluler hilang, dan semua komunikasi email aplikasi perusahaan dapat dialihkan melalui terowongan VPN ke jaringan kantor organisasi, tempat gateway DLP digunakan untuk mengontrol konten surat "penampung". Opsi lain yang berlaku di segmen terbatas IP kritis adalah "telepon aman" yang mahal, yang, pada kenyataannya, adalah perangkat lunak khusus dan solusi perangkat keras MDM berdasarkan versi Android yang dipreteli. Upaya juga dilakukan untuk membuat agen seperti DLP untuk perangkat Android, di mana kontrol lalu lintas benar-benar turun untuk mengarahkannya ke terowongan VPN. Umum untuk semua opsi perlindungan email perusahaan ini adalah penggunaan gateway DLP atau server untuk memantau lalu lintas email yang diterima dari perangkat seluler melalui terowongan VPN.
Faktor penting yang memengaruhi arsitektur solusi untuk mencegah kebocoran data dari perangkat pribadi seluler adalah karena berbagai alasan, sistem operasi seluler modern tidak menyediakan operasi agen DLP yang andal. Platform iOS tidak menyediakan akses ke aplikasi ke kernel OS, sedangkan Android, sebaliknya, adalah platform terbuka, yang berarti bahwa setiap pengguna dapat, melalui prosedur sederhana, mendapatkan akses administratif penuh ke perangkat Android-nya dan menghapus aplikasi - dalam hal ini, agen DLP hipotetis, dengan menonaktifkan kontrol data yang dikirimkan dan mencegah kebocoran informasi berharga. Akhirnya, kita tidak boleh lupa bahwa perangkat pribadi selalu tetap pribadi, bahkan ketika disediakan oleh organisasi - ada banyak batasan, baik yang bersifat organisasi maupun teknis. Ini harus mempertimbangkan kompleksitas akses, ketidakmungkinan penyebaran terpusat otomatis, kurangnya kontrol administratif perangkat pribadi oleh layanan TI, dll.
Solusi DLP yang berpusat pada jaringan di balik gateway perusahaan dan terowongan VPN di banyak produk dalam negeri dibatasi oleh fungsi pemantauan komunikasi surat, dan untuk protokol MAPI dan Lotus mereka sepenuhnya tidak dapat diterapkan - enkripsi kepemilikan dalam protokol ini secara mendasar mengecualikan kemungkinan menganalisis isi pesan email setelah dikirim. Dalam kasus MAPI dan Lotus, analisis konten hanya dimungkinkan hingga saat pengiriman, yang memerlukan penggunaan arsitektur agen DLP dan intersepsi pesan melalui penerapan kode asli di ruang alamat proses klien email.
Bidang keamanan informasi yang berkembang secara dinamis lainnya adalah menyediakan akses ke aset informasi perusahaan melalui koneksi jarak jauh ke lingkungan kerja steril yang dibuat menggunakan solusi virtualisasi untuk lingkungan kerja dan aplikasi. Berkenaan dengan pencegahan kebocoran komunikasi surat pada perangkat Android dan iOS, ini diwujudkan dengan menyediakan akses jarak jauh ke server perusahaan pada umumnya dan surat kantor khususnya melalui sesi terminal. Pada saat yang sama, kontrol komunikasi surat dari setiap sesi terminal dilakukan oleh agen DLP yang bekerja pada server terminal. Dalam model ini, klien email untuk bekerja dengan surat perusahaan diterbitkan sebagai aplikasi tervirtualisasi: misalnya, di lingkungan Citrix XenApp, pengguna dapat bekerja dengan klien email dari perangkat apa pun - termasuk perangkat seluler Android dan iOS, dan kontrol DLP diimplementasikan langsung di lingkungan virtualisasi perusahaan di terminal server. Untuk melakukan ini, klien terminal (misalnya, Penerima Citrix) diinstal pada perangkat pribadi oleh pengguna atau departemen TI organisasi, atau browser web apa pun yang mendukung HTML5 dapat digunakan sebagai gantinya.
Di sisi pengguna, dalam istilah organisasi, model akses ke klien email melalui sesi terminal cukup sederhana - Penerima Citrix tersedia di App Store dan di Play Market dan diinstal pada semua versi iOS dan Android tanpa kesulitan, dan instruksi untuk menghubungkan ke perusahaan klien email sebagai aplikasi tervirtualisasi akan cukup kompak.
Bagian terakhir, yang paling penting dari model yang dijelaskan adalah sistem DLP yang mengontrol komunikasi email dalam lingkungan virtualisasi. Agen perangkat lunak DeviceLock DLP, ketika diinstal pada server terminal, memberikan kontrol konteks dan penyaringan konten komunikasi jaringan untuk setiap sesi lingkungan perusahaan virtual. Teknologi DeviceLock Virtual DLP memungkinkan Anda untuk mencegat surat langsung dari aplikasi klien surat yang diterbitkan di Citrix XenApp, diakses oleh pengguna melalui sesi terminal, dan secara real time memeriksa konteks pesan (keberadaan lampiran, memeriksa pengidentifikasi email) dan konten (konten konten) ) pesan dan lampiran untuk kepatuhannya dengan kebijakan DLP yang ditentukan untuk pengguna ini. Jika terjadi pelanggaran, operasi pengiriman data akses terbatas diblokir untuk mencegah kebocoran, dan entri jurnal yang sesuai dan salinan bayangan dari pesan yang dikirimkan dengan lampiran dibuat, dan pemberitahuan alarm dibuat untuk diproses sebagai bagian dari prosedur manajemen insiden IS.
Virtual DLP berbeda dari opsi yang dijelaskan di atas untuk menyelesaikan masalah mengarahkan lalu lintas ke terowongan VPN dan menganalisis komunikasi surat pada tingkat server DLP, pertama-tama, di mana pengguna tidak mendapatkan akses ke data di klien surat seperti itu, tetapi untuk representasi grafis mereka di terminal sesi Selain itu, Virtual DLP menggunakan opsi agen khusus untuk memantau komunikasi jaringan ketika fungsi pemantauan dilakukan langsung pada titik di mana lalu lintas terjadi. Hanya dalam arsitektur seperti itu dimungkinkan untuk mencegat data sebelum mengenkripsi dengan protokol eksklusif baik dalam surat, seperti, misalnya, MAPI, dan dalam pesan instan (misalnya, Percakapan Pribadi di Skype). Selain itu, verifikasi real-time dari isi data yang dikirimkan melalui clipboard dan drive yang dapat dilepas disediakan, dialihkan dari perangkat pribadi ke sesi terminal desktop atau aplikasi, yang tidak kalah pentingnya untuk perlindungan terhadap kebocoran data perusahaan dari perangkat BYOD daripada kontrol surat .
Perlu dicatat bahwa DeviceLock DLP memungkinkan Anda untuk mengontrol semua protokol surat umum - SMTP / SMTP melalui SSL, MAPI dan IBM / Lotus Notes, dan hanya pengguna yang perlu menginstal dan mengonfigurasi aplikasi untuk akses terminal pada perangkat seluler. Selain itu, melalui penggunaan teknologi DeviceLock Virtual DLP, kontrol penuh berbagai opsi untuk menggunakan perangkat seluler pribadi dalam berbagai model menggunakan solusi virtualisasi (BYOD, kantor pusat, klien tipis) yang dibangun di atas platform virtualisasi dan akses terminal dari Microsoft, Citrix, VMware dan dari produsen lain - perusahaan dapat sepenuhnya mengendalikan tidak hanya komunikasi surat, tetapi juga lingkungan virtualisasi perusahaan secara umum, yang ditransfer ke perangkat seluler pribadi apa pun udnikov, termasuk ponsel, serta perangkat remote pada semua sistem operasi.
Nota bene: tentu saja, harus diingat bahwa bekerja dengan klien email lengkap pada smartphone dengan layar mungil akan sepenuhnya mustahil, dan berbicara serius tentang menggunakan Outlook, terutama versi yang lebih lama, pada layar 4 inci dalam resolusi 800x480 tidak serius. Tetapi jika Anda mengambil aplikasi yang lebih "kompak" dalam hal saturasi dengan elemen antarmuka yang berbeda sebagai klien surat tervirtualisasi, bekali diri Anda dengan perangkat dengan layar berkualitas tinggi dengan diagonal yang lebih besar - situasinya berubah secara dramatis. Sekali lagi, jangan lupa aspek organisasi dan teknis - jika seorang karyawan berdasarkan pekerjaan membutuhkan akses mobile ke komunikasi surat, mengapa tidak memberinya tablet atau ultrabook ringan?
Pada layar tablet, bahkan Outlook penuh menjadi benar-benar dapat digunakan, seperti yang Anda lihat pada gambar ini.
Pada artikel selanjutnya, kami berencana untuk memberi tahu lebih detail bagaimana kontrol data mengalir dalam sesi terminal dalam teknologi Virtual DLP. Tetap berkomunikasi!