BYOD: когда сотрудники приходят со своим iPhone и ждут корпоративной почты
Разрабатываем BYOD-политику для клиента с 300 сотрудниками: MDM, контейнер с данными, сегрегация сети и юридическое согласие владельца устройства.
BYOD-тренд 2011: сотрудники требуют подключить личные iPhone и iPad к корпоративным ресурсам
Этой осенью к нам пришёл клиент - торгово-производственный холдинг, около 300 человек - с довольно предсказуемой проблемой. Топ-менеджеры и часть коммерческого блока купили себе iPhone 4 и iPad 2, а теперь хотят корпоративную почту, SharePoint и VPN прямо с них. ИТ-директор попросил «оформить это как-то официально, потому что безопасники нервничают». Мы занялись аудитом ситуации и разработкой политики.
Первое, что бросилось в глаза: никакой политики не было вообще. Сисадмин вручную добавлял Exchange-аккаунты на личные телефоны директоров по их личной просьбе. Устройства не числились нигде, контроль над ними нулевой, при увольнении человека данные на смартфоне оставались. Классика.
Что хотят сотрудники - понятно: удобный доступ с привычного устройства без перехода на казённый кирпич. Что хочет ИТ-безопасность - контроль над данными, возможность remote wipe при утере и гарантию, что личный телефон не станет дырой в корпоративную сеть. Интересы разумные с обеих сторон, задача - найти техническое и организационное решение, которое их совместит.
Что решили внедрить
Архитектура вышла трёхслойная.
Первое - регистрация устройства. Никакого самовольного подключения. Сотрудник подаёт заявку, указывает IMEI, серийный номер, модель и версию OS. Устройство вносится в реестр. Без регистрации - нет доступа к корпоративным ресурсам, 802.1X на Wi-Fi срабатывает по сертификату, который выдаётся только после регистрации. Про то, как мы настраивали 802.1X на этом же объекте, мы писали раньше - тут та же инфраструктура NPS и SCEP заработала на новую задачу.
Второе - MDM и контейнеризация. Решение выбрали из числа доступных на рынке - остановились на платформе с поддержкой iOS 5 и Android 2.3+. На устройство устанавливается MDM-профиль, который создаёт изолированный контейнер для корпоративных приложений. Почта, документы, VPN-клиент - всё живёт внутри контейнера, зашифрованного отдельным ключом. Личные фото, приложения и переписка администратора не касаются - это принципиальный момент, который снимает большую часть возражений сотрудников.
Политики MDM-профиля получились такие:
- принудительный PIN от 6 символов на контейнер (не на весь телефон - это право владельца)
- автоблокировка контейнера через 10 минут
- запрет копирования корпоративных данных из контейнера в личное пространство (copy-paste между приложениями блокируется)
- запрет скриншотов корпоративных экранов на Android (на iOS 5 эта функция тогда была ограничена)
- при 10 неудачных попытках разблокировки контейнера - wipe контейнера, личные данные не трогаем
Сегрегация на уровне сети: личный трафик устройства идёт через гостевой VLAN с выходом в интернет напрямую, корпоративный трафик через VPN-тоннель от MDM-клиента в рабочий VLAN. Физически один Wi-Fi, логически - два независимых потока.
Третье - юридическое оформление. Это оказалось неожиданно важной частью. Сотрудник подписывает соглашение, в котором:
- даёт согласие на установку MDM-профиля и описывает, что профиль делает и не делает
- подтверждает, что личные данные не затрагиваются и не мониторятся
- соглашается на remote wipe контейнера при увольнении, утере или нарушении политик
- берёт на себя ответственность за физическую сохранность устройства
Последний пункт - больная тема. Компания не страхует личный телефон сотрудника. Потерял - сам виноват, но корпоративные данные мы сотрём дистанционно. Несколько человек на этом этапе передумали подключать личные устройства и попросили корпоративные - что тоже нормальный исход.
Что вышло на практике
Из примерно 60 человек, которые изначально хотели BYOD, к концу внедрения подключились около 40. Часть отсеялась на этапе соглашения, часть - узнав, что придётся ставить MDM-профиль («а он что, за мной следить будет?»). С последними помогли прозрачные разъяснения: показали в документации, какие именно данные MDM собирает - модель, OS, статус соответствия профилю, наличие PIN. Никаких SMS, геолокации, личных фото.
Android оказался головной болью - фрагментация версий означает, что не все политики работают одинаково на разных прошивках. На некоторых устройствах с кастомными лончерами контейнер вёл себя непредсказуемо. Пришлось составить список одобренных моделей - только устройства из него допускаются в корпоративный периметр. Про опыт с Android в корпоративной среде мы писали отдельно, часть выводов оттуда вошла прямо в регламент.
iOS в этом плане проще - закрытая экосистема даёт предсказуемое поведение MDM-профилей. Не удивительно, что большинство подключившихся - владельцы iPhone или iPad.
Что осталось открытым
Вопрос с обновлениями OS завис. Когда Apple выпускает новую версию iOS, сотрудник обновляется сам - и иногда это ломает MDM-профиль. Отзывать доступ каждый раз до повторной проверки совместимости - неудобно. Автоматической проверки совместимости нового релиза с нашим контейнером нет, приходится проверять вручную при каждом крупном обновлении.
Второй открытый вопрос - что делать при увольнении, если сотрудник отказывается предъявить телефон для ручного wipe и MDM-команда не проходит (телефон выключен или вне сети). По соглашению мы вправе отозвать сертификат доступа, что делаем немедленно. Данные в контейнере остаются зашифрованными и недоступными без корпоративного ключа - это приемлемый уровень защиты, но не идеальный.
BYOD - не столько техническая задача, сколько организационная. Технически всё решается MDM и 802.1X. Сложнее - убедить людей подписать соглашение, объяснить границы контроля и выстроить процедуру при инцидентах. Без регламента любая техническая защита - декорация.
- Android в корпоративной среде: ActiveSync-политики и MDM без иллюзий · 6 сентября 2011
- 802.1X на Wi-Fi и проводных портах: SCEP, NPS и карантинный VLAN · 15 августа 2011