Об авторе: Анатолий Петров, директор по продукту «Аврора Центр»
Один из фундаментальных элементов построения современной безопасной IT-инфраструктуры — это платформы управления корпоративными устройствами: MDM-решения (Mobile Device Management, управляющие мобильными устройствами) и UEM-решения (Unified Endpoint Management, более широкое понятие, предполагающие контроль над любыми пользовательскими устройствами, в том числе стационарными, IOT и др.).
Такие решения закрывают два ключевых риска: возможность утечки корпоративных данных и остановки критичных бизнес-процессов при сбое в работе устройств. Политики и настройки, назначаемые на устройства централизованно, позволяют значительно снижать эти риски, а также своевременно проводить обновления ПО, обеспечивать надлежащую поддержку. В случае, если устройство всё же выходит из строя (на программном уровне), UEM помогает максимально оперативно восстановить его работоспособность, тем самым сводя к минимуму остановку бизнес-процессов.
Среди главных задач платформ управления: первичная настройка оборудования, регулярные обновления (ПО, ОС, политики безопасности), мониторинг соответствия устройств требуемому состоянию, регулярный ввод новых партий устройств и вывод из эксплуатации старых, а также техническая поддержка.
Платформы управления особенно востребованы там, где каждое корпоративное устройство – это звено в цепочке создания ценности. Когда таких устройств сотни или тысячи, ручное управление ими становится фактически невозможным. Это особенно актуально в таких сегментах, как ретейл, логистика, промышленность, банки, государственные учреждения.
Только доверенные решения могут обеспечить стабильность
С 2022 года иностранные вендоры MDM/UEM лишают своих клиентов поддержки и возможности обновления. Система, которая отвечает за непрерывность бизнес-процессов и защищает корпоративные данные, сама попадает под риск остановки. Это первая причина, почему важно выбрать именно отечественное решение.
Вторая причина — это скорость и качество поддержки, когда у компании возникает проблема или особенная задача. Отечественный вендор глубоко понимает наш контекст и нормативные требования. Ваш запрос не будет ждать очереди в другой часовой пояс или теряться при переводе специфики. По сути, вы получаете прямую линию связи с разработчиком, который говорит с вами на одном языке — и в прямом, и в переносном смысле.
Важно, чтобы решение вендора было способно хранить данные в пределах корпоративного окружения, обеспечивать строгий контроль над всем парком устройств и корпоративных данных, снижать затраты на внедрение устройств в эксплуатацию и поддерживать высокий уровень безопасности управления устройствами с минимальным вовлечением администраторов.
Функциональность платформ управления корпоративными устройствами
На рынке доступны отечественные решения, которые управляют различным парком устройств, включающим как мобильные устройства под управлением ОС Аврора, Android или AOSP, так и рабочие станции на базе дистрибутивов Linux, включая «Астру», «Альт», Red OS, Ubuntu и другие.
В стеке Windows вместе с Active Directory (AD) часто используется System Center (SCCM) для более гибкой работы с парком устройств. Отечественные решения получат большую популярность, если смогут предложить пользователям привычный по MS SCCM опыт управления парком, но для устройств на Linux.
Почему недостаточно возможностей доменных контроллеров для управления рабочими станциями: допустим, у вас сотрудники часть времени работают из дома. Вы используете только средства доменного контроллера для установки обновлений и патчей ОС. Но доменный контроллер никогда нельзя выставлять за пределы корпоративной сети. В таком случае без использования VPN невозможно оперативно накатывать политики на устройства. Нужно ждать, когда сотрудник подключится к корпоративной сети через VPN. А это может произойти не сегодня, а через неделю. Если патч критический, то такой срок ожидания недопустим. Точно так же может страдать и процесс инвентаризации устройств.
Качественные платформы управления поддерживают контроль за устройствами как внутри сети, так и за её пределами. Через UEM-решения вы получаете картину условно сразу и можете планировать действия по обновлению устройств. Более того, для компаний с офисами по всей стране важна возможность оптимизации доставки контента (приложений, файлов) через кеширующие серверы в регионах.
Отдельной проблемой может быть работа со специализированными устройствами на базе Android. Зачастую это терминалы сбора данных (ТСД), POS-терминалы, промышленные планшеты. Они могут работать под уникальной «кастомизированной» прошивкой от производителя, с особыми ограничениями в интерфейсе или политиках безопасности. От платформы управления требуется индивидуальный подход к управлению такими устройствами.
Безопасность: почему сертификация важна не только для «режимных» объектов
В дискуссиях о платформах управления устройствами часто возникает вопрос сертификации. Принято считать, что наличие сертификата ФСТЭК — удел тех, кто обязан аттестовывать свои информационные системы по требованию регуляторов. Для остальных, мол, это лишняя бюрократия. Но такой взгляд упускает главное: сертификация — это прежде всего независимая проверка.
Когда продукт проходит сертификацию по четвёртому уровню доверия, это означает, что он действительно работает так, как заявлено. Что в его коде нет «закладок», неустранимых уязвимостей или намеренных слабостей. Поэтому даже если ваша компания не работает с гостайной и не обязана проходить аттестацию, сам факт наличия сертификата у платформы, которую вы выбираете, — это весомый аргумент в пользу её надежности. Это гарантия того, что производитель прошёл серьезный контроль и готов нести ответственность за безопасность.
Однако сертификат — это лишь фундамент. Над ним надстраивается конкретная функциональность защиты, которая должна быть у любой современной UEM-платформы.
Условно механизмы защиты можно разделить на два уровня.
- Первый — базовый, стандарт де-факто. Это шифрование корпоративного раздела на устройстве, возможность дистанционно заблокировать или полностью очистить устройство, если оно потеряно или украдено. Сегодня это обязательная программа, без которой продукт просто не имеет права выходить на корпоративный рынок.
- Второй уровень — более тонкая настройка безопасности, ориентированная на автономную работу. Устройство не всегда находится в онлайне. Сотрудник может уехать в зону неуверенного приема, на склад с толстыми стенами или просто оказаться вне сети. Ждать возвращения связи для применения политик безопасности в таких случаях рискованно.
Поэтому современные платформы предлагают механизмы офлайн-политик. Это заранее заданные сценарии, которые устройство выполняет автономно при наступлении определенных событий. Например, если зафиксирована попытка получения root-доступа (рутирования), устройство может само, без команды из центра инициировать очистку данных. Или если гаджет вышел за пределы разрешённой географической зоны или слишком долго не может связаться с управляющим сервером, он автоматически блокируется.
Кроме того, система безопасности должна уметь контролировать целостность того, что уже доставлено на устройство. Любое несанкционированное изменение скриптов, конфигурационных файлов или установленных приложений — это сигнал для автоматического реагирования.
Таким образом, доверие к платформе складывается из двух составляющих. Формальной — подтверждённой сертификатом регулятора, и фактической — заложенной в логику работы продукта. Сочетание этих факторов и позволяет говорить о том, что корпоративный парк устройств находится под надёжной защитой, независимо от того, требует ли этого закон или просто здравый смысл руководителя IT-службы.
Выгода для пользователя платформы управления
Внедрение доверенной платформы управления обеспечит снижение операционных затрат до 70% и сократит 3650 человеко-часов в год, что эквивалентно двум полнозанятым IT-специалистам, не считая затрат на возможную логистику устройств с места эксплуатации до присутствия администратора. Экономия на логистике позволяет закрыть потребности компании регионального и федерального масштаба.
Только отечественное доверенное решение, имеющее необходимые сертификаты российских регуляторов, а также опыт промышленной эксплуатации, может стать качественным элементом современной отечественной IT-инфраструктуры. Такая платформа управления может гарантировать корректную работу оборудования, которое используется в критически важных бизнес-процессах.
