专业社区严重担心通过移动BYOD设备通过公司邮件和个人邮件泄漏访问受限信息的风险。 在几乎所有有关数据泄漏保护的会议上,都会出现一个与大多数参与者有关在运行最常见的Android和iOS平台的移动设备上控制公司邮件有关的问题。
让我们尝试解决这个问题。
当然,积极地将个人移动设备用于工作目的,尤其是通过电子邮件进行操作通信,极大地简化了生产过程中公司数据的实际使用,提高了员工的生产率,人员流动性和效率。 但是,从确保信息安全的角度来看,在提供对公司邮件和公司信息的访问权以及在移动设备上使用时确保对信息的保护之间出现了难题。
作为此问题的解决方案,市场上通常会提供应用程序包装类解决方案,其中,当移动设备丢失时,用于移动应用程序的隔离容器技术可以保护信息,并且可以通过VPN隧道将企业应用程序的所有邮件通信重定向到组织的办公网络, DLP网关用于控制“容器”邮件的内容。 有限的关键IP中适用的另一种选择是昂贵的“安全电话”,实际上是基于精简版Android的专用软件和硬件MDM解决方案。 还尝试为Android移动设备创建类似DLP的代理,其中流量控制实际上归结为将其重定向到VPN隧道。 所有这些公司电子邮件保护选项的共同点是使用DLP网关或服务器来监视通过VPN隧道从移动设备接收的邮件流量。
影响解决方案架构以防止数据从移动个人设备泄漏的一个重要因素是,由于各种原因,现代移动操作系统无法提供DLP代理的可靠操作。 iOS平台不提供对操作系统内核的应用程序的访问权,而Android是开放平台,这意味着任何用户都可以通过简单的过程来获得对其Android设备的完全管理访问权,并删除该应用程序-在这种情况下,是假设的DLP代理,通过禁用对传输数据的控制并防止有价值信息的泄漏。 最后,我们决不能忘记,即使由组织提供,个人设备也始终是个人的-组织和技术上都有很多限制。 它应考虑访问的复杂性,自动集中部署的不可能,IT服务缺乏对个人设备的管理控制等。
在许多家用产品中,企业网关和VPN隧道背后的以网络为中心的DLP解决方案受到邮件通信监视功能的限制,并且对于MAPI和Lotus协议它们是完全不适用的-这些协议中的专有加密从根本上排除了发送邮件后分析邮件内容的可能性。 在使用MAPI和Lotus的情况下,内容分析只能在发送之前进行,这需要使用代理DLP架构并通过在邮件客户端进程的地址空间中实现本机代码来拦截消息。
信息安全的另一个动态发展领域是,通过远程连接到无菌工作环境来访问公司的信息资产,该无菌工作环境是使用针对工作环境和应用程序的虚拟化解决方案创建的。 关于防止Android和iOS设备上的邮件通信泄漏,这是通过提供对普通公司服务器和办公室邮件的远程访问(尤其是通过终端会话)进行的远程访问来实现的。 同时,每个终端会话的邮件通信的控制是由在终端服务器上工作的DLP代理执行的。 在此模型中,用于处理公司邮件的电子邮件客户端作为虚拟化应用程序发布:例如,在Citrix XenApp环境中,用户可以从任何设备(包括Android和iOS移动设备)使用电子邮件客户端,并且DLP控制直接在终端上的公司虚拟化环境中实现。服务器。 为此,用户或组织的IT部门将终端客户端(例如Citrix Receiver)安装在个人设备上,或者可以使用支持HTML5的任何Web浏览器代替。
在用户方面,从组织角度来讲,通过终端会话访问电子邮件客户端的模型非常简单-Citrix Receiver可在App Store和Play Market中获得,并且可以轻松安装在任何版本的iOS和Android上,并提供了与公司连接的说明邮件客户端作为虚拟化应用程序将非常紧凑。
所描述模型的最后一个最重要的部分是在虚拟化环境中控制邮件通信的DLP系统。 当DeviceLock DLP软件代理安装在终端服务器上时,它为虚拟公司环境的每个会话提供上下文控制和网络通信的内容过滤。 DeviceLock虚拟DLP技术使您可以直接截获在Citrix XenApp中发布的,由用户通过终端会话访问的邮件客户端应用程序中的邮件,并实时检查邮件上下文(附件的存在,检查电子邮件标识符)和内容(内容内容) )消息和附件,以使其符合为此用户指定的DLP策略。 如果发生违规,则会阻止传输有限访问数据的操作以防止泄漏,并创建适当的日记条目和带有附件的已传输消息的卷影副本,并生成警报通知以作为IS事件管理过程的一部分进行处理。
虚拟DLP与上述解决方案不同,它解决了将流量重定向到VPN隧道并在DLP服务器级别分析邮件通信的问题,首先,用户本身无法访问邮件客户端中的数据,而可以访问终端中的图形表示会议。 此外,当直接在发生流量的点执行监视功能时,Virtual DLP使用特定于代理的选项来监视网络通信。 只有在这样的体系结构中,才有可能在邮件(例如MAPI)和即时通讯程序(例如Skype中的私人对话)中使用专有协议对数据进行加密之前对其进行拦截。 此外,还提供了对通过剪贴板和可移动驱动器传输的数据内容的实时验证,并将其从个人设备重定向到台式机或应用程序的终端会话,这对于防止BYOD设备泄漏公司数据比邮件控制同样重要。 。
值得注意的是,DeviceLock DLP允许您控制所有常见的邮件协议-SSL,MAPI和IBM / Lotus Notes上的SMTP / SMTP,并且只有用户需要安装和配置应用程序以在移动设备上进行终端访问。 此外,通过使用DeviceLock虚拟DLP技术,可以完全控制各种选项,以各种模式使用基于Microsoft,Citrix,VMware和Microsoft的虚拟化和终端访问平台构建的虚拟化解决方案(BYOD,家庭办公室,瘦客户端)来使用个人移动设备。其他制造商的公司-公司不仅可以完全控制邮件通信,而且还可以完全控制通常转移到任何个人移动设备的公司虚拟化环境 udnikov,包括移动,以及任何其他遥控器上的所有操作系统设备。
注意:当然,应该记住,在具有小屏幕的智能手机上使用功能完善的电子邮件客户端是完全不可能的,并且认真讨论在800x480分辨率的4英寸屏幕上使用Outlook,尤其是较旧的版本并不严重。 但是,如果您使用饱和度更高,具有不同接口元素的“紧凑型”应用程序作为虚拟邮件客户端,则可以使用具有较大对角线高质量屏幕的设备武装自己-情况将发生巨大变化。 同样,不要忘记组织和技术方面-如果按职业划分的员工需要移动访问邮件通信,为什么不为他提供平板电脑或轻型超极本呢?
如图所示,在平板电脑屏幕上,甚至完整的Outlook也变得真正可用。
在下一篇文章中,我们计划更详细地介绍Virtual DLP技术中终端会话中数据流的控制如何工作。 保持联系!