便携式电子设备,尤其是智能手机和平板电脑的飞速发展,为企业信息安全带来了许多新的挑战。 实际上,如果以前所有网络安全都基于创建安全边界及其后续保护,那么现在几乎每个员工都使用自己的移动设备来解决工作问题,则控制安全边界变得非常困难。 对于每个员工都有电子邮件和其他公司资源的用户名和密码的大型企业而言,尤其如此。 通常,在购买新的智能手机或平板电脑时,企业的员工会在其上输入其凭据,而常常忘记注销旧设备。 即使在企业中只有5%的此类不负责任的员工,如果没有管理员的适当控制,移动设备访问邮件服务器的情况也会很快变成一团糟。
另外,很多时候移动设备会丢失或被盗,随后被用于搜索危害性信息,以及访问代表商业秘密的公司资源和数据。 通常,如果攻击者可以访问员工的电子邮件,则企业网络安全最有害。 因此,他们可以访问全球地址和联系人列表,不幸的员工应参加的会议时间表以及他的信件。 此外,获得公司邮件访问权限的攻击者将能够从受信任的电子邮件地址发送网络钓鱼或感染了恶意软件的邮件。 所有这一切为攻击者提供了几乎无限的机会进行网络攻击,以及利用社会工程手段实现其目标。
为了监视安全范围内包括的移动设备,有ABQ技术或“允许/阻止/隔离”。 它允许管理员控制允许与邮件服务器同步数据的移动设备列表,并在必要时阻止受感染的设备并隔离可疑的移动设备。
但是,正如Zimbra Collaboration Suite开源版免费版的任何管理员所知道的,它与移动设备的交互非常有限。 严格来说,免费版Zimbra的用户只能使用POP3或IMAP协议接收和发送电子邮件,而没有内置功能可以将日记,通讯录和便笺中的数据与服务器同步。 免费版本的Zimbra Collaboration Suite和ABQ技术未实现,该技术自动终止了在企业中创建封闭式信息边界的所有尝试。 在管理员不知道哪些设备连接到其服务器的情况下,企业可能会出现信息泄漏,并且根据上述情况进行网络攻击的可能性会急剧增加。
Zextras Mobile模块化扩展将帮助Zimbra Collaboration Suite开源版解决此问题。 此扩展允许您将对ActiveSync协议的完全支持添加到Zimbra的免费版本中,并且由于此,它为移动设备和邮件服务器之间的交互提供了很多机会。 除其他功能外,扩展Zextras Mobile还提供对ABQ的全面支持。
我们将立即警告您,由于错误配置的ABQ可能导致某些用户无法将其移动设备上的数据与服务器同步,因此您需要格外小心地解决设置数据的问题。 从Zextras命令行完成ABQ的配置。 在命令行上配置Zimbra中的ABQ操作模式,并管理设备列表。
它的实现方式如下:用户在移动设备上登录公司邮件后,会将授权数据以及其设备的凭据发送到服务器,这些凭据以ABQ的形式遇到障碍,它将扫描凭据并将其与这些凭据进行比较。在允许,隔离和阻止的设备列表中。 如果该设备不在任何列表中,则ABQ会根据其操作模式与它配合使用。
Zimbra的ABQ提供三种操作模式:
允许的 :在这种操作模式下,在用户身份验证之后,根据移动设备的第一个请求自动执行同步。 在这种操作模式下,可以阻止单个设备,但是其他所有人都可以自由地将数据与服务器同步。
交互式 :在这种操作模式下,用户身份验证之后,安全系统会立即请求设备标识数据并将其与允许的设备列表进行比较。 如果该设备被列为允许的设备,则同步将自动继续。 如果该设备不在“白名单”中,它将被自动隔离,以便管理员稍后可以决定是允许该设备与服务器同步还是阻止它。 在这种情况下,将向用户发送通知。 定期(在可配置的时间内)通知管理员。 在这种情况下,每个新通知将仅包含已隔离的新设备。
严格 :在此操作模式下,在用户身份验证之后,将立即进行检查以验证设备标识数据是否在允许列表中。 如果出现在该位置,同步将自动继续。 如果设备不在允许的列表中,则该设备会立即进入阻止列表,并且用户会通过邮件收到通知。
另外,如果需要,Zimbra管理员可以完全禁用其邮件服务器上的ABQ。
可以使用以下命令来设置ABQ操作模式:
zxsuite config全局设置属性abqMode值允许的
zxsuite config全局设置属性abqMode值交互式
zxsuite config全局设置属性abqMode值严格
zxsuite配置全局设置属性abqMode值禁用
您可以使用
zxsuite config全局获取属性abqMode命令找出当前的ABQ模式。
如果使用交互式或严格的ABQ操作模式,则通常必须使用允许和禁止的设备列表以及隔离区中的设备。 假设有两台设备连接到我们的服务器:一台iPhone和一台具有相应标识数据的Android。 后来证明,该企业的首席执行官在前一天购买了iPhone,并决定使用iPhone上的邮件,而Android属于通常的经理,出于安全原因,他无权在智能手机上使用工作邮件。
在交互模式下,所有这些都将被隔离,管理员将从此处将iPhone转移到允许的设备列表中,将Android转移到被阻止的设备列表中。 为此,他使用命令
zxsuite mobile abq allow iPhone和
zxsuite mobile abq block Android 。 此后,首席执行官将能够完全使用其设备中的邮件,而经理仍将只能从工作笔记本电脑中查看邮件。
值得注意的是,在使用“交互”模式时,即使Android设备上的管理员正确输入了用户名和密码,他仍将无法访问其帐户,但会进入一个虚拟邮箱,在该邮箱中他将收到一条通知他的设备已被隔离,他将无法使用他的邮件。
在严格模式下,所有新设备都将被阻止,并且在明确它们属于谁之后,管理员只需使用
zxsuite mobile ABQ set iPhone Allowed命令将CEO添加到允许的iPhone设备列表中,就可以保留经理电话号码。
允许的操作模式与企业中的任何安全规则都不太兼容,但是,如果您仍然需要阻止任何允许的移动设备,例如,如果管理器突然因丑闻而
退出 ,则可以使用
zxsuite mobile ABQ set Android命令来执行此操作
受阻如果员工收到办公小工具来处理邮件,则下次所有者更改时,可以将该设备从ABQ列表中完全删除,以便随后再次决定是否允许其与服务器同步。 这是使用
zxsuite移动ABQ delete Android命令完成的。
因此,如您所见,通过使用Zimbra中的Zextras Mobile扩展,您可以为使用的移动设备实现非常灵活的控制系统,适用于对办公室外公司资源的使用具有相当严格政策的企业以及这个计划。
有关Zextras Suite的所有问题,您可以通过电子邮件katerina@zextras.com与Zextras Katerina Triandafilidi的代表联系。