BYOD в корпоративной сети: пишем первый регламент и не теряем почту на личном iPhone
Gartner прогнозирует волну BYOD к 2014. Мы уже получаем запросы от бизнеса и пишем первый внутренний регламент: MDM, отдельный SSID, шаблон политики.
Gartner прогнозирует: к 2014 году 90% компаний поддержат BYOD; запросы от бизнеса на подключение личных смартфонов резко участились
Полгода назад директор одного из клиентов пришёл с простым запросом: «Хочу читать корпоративную почту с личного iPad, без лишних движений». Мы объяснили, почему так нельзя просто взять и сделать, - он кивнул и ушёл. Через неделю его ассистент самостоятельно настроила Exchange ActiveSync на своём iPhone, подключила личный телефон к рабочей сети через гостевой Wi-Fi и сохранила вложения в личный Dropbox. Вот тогда-то и стало ясно, что игнорировать тему не получится.
Gartner на прошлой неделе опубликовал прогноз: к 2014 году девять из десяти компаний так или иначе будут поддерживать BYOD. Мы в это охотно верим - не потому что читаем Gartner, а потому что за последние два месяца подобные запросы пришли от четырёх разных клиентов. Личные Android-смартфоны и iPhone 4S уже попали в корпоративные сети - просто без какого-либо контроля.
Что именно требуют люди и что это означает на практике
Запросы звучат просто: «подключи мой телефон к почте» и «дай Wi-Fi». За этим стоит несколько отдельных задач, которые легко перепутать.
Корпоративная почта на личном устройстве - это Exchange ActiveSync или IMAP/SMTP с аутентификацией. Технически несложно. Сложно то, что устройство вне контроля IT: его могут потерять, продать, передать ребёнку. Письма с коммерческой тайной останутся в «Удалённых».
Wi-Fi в офисе - отдельная история. Пустить личный телефон в основную корпоративную сеть - значит поставить рядом с файловыми серверами устройство без антивируса, с неизвестным набором приложений и, возможно, с джейлбрейком.
Корпоративные приложения - 1С, CRM, внутренние порталы - это третий слой, который без предыдущих двух вообще не имеет смысла обсуждать.
Что мы написали в регламент
После нескольких итераций с юристом и службой безопасности одного из клиентов получился документ, который мы теперь адаптируем как шаблон. Основные разделы:
Первое - MDM как обязательное условие. Устройство подключается к корпоративной инфраструктуре только после регистрации в системе управления мобильными устройствами. Мы смотрели на несколько решений, остановились на AirWatch и Cisco MDM в зависимости от размера клиента. MDM даёт минимальный набор: удалённый вайп корпоративного контейнера, политику пин-кода, шифрование хранилища, запрет на скриншоты в корпоративных приложениях.
Важный момент: MDM-агент устанавливается только на корпоративный контейнер, а не на всё устройство целиком. IT не видит личные фото и приложения - и это нужно проговорить с пользователем явно, иначе половина откажется подписывать согласие.
Второе - отдельный SSID для личных устройств. Никакого доступа к основной сети. Только интернет и, при необходимости, DMZ с Exchange и VPN-концентратором. VLAN изолирован, трафик фильтруется на уровне межсетевого экрана. Называем сеть что-нибудь нейтральное - не «BYOD», а, например, «Office-Guest», чтобы не привлекать лишнего внимания.
Третье - разграничение корпоративных данных и личных приложений. Корпоративная почта - только через Exchange ActiveSync с принудительной политикой: минимальная длина пин-кода, максимальный период неактивности перед блокировкой, запрет хранения вложений за пределами корпоративного контейнера. Это закрывает самый очевидный вектор утечки.
Четвёртое - согласие пользователя. Документ с подписью: сотрудник понимает, что при увольнении или потере устройства корпоративные данные будут удалены удалённо, что личные данные вне контейнера IT не затрагивает, что нарушение политики - основание для отзыва доступа.
Что осталось за скобками
Несколько вещей мы честно оставили открытыми.
Android-устройства сложнее iPhone в части контейнеризации - там много версий, производителей и кастомных прошивок. AirWatch справляется с популярными моделями Samsung и HTC, но у нескольких тестовых устройств с кастомными прошивками MDM-агент установился, но политики применял криво. Пока рекомендуем в регламенте указывать список «поддерживаемых устройств» и обновлять его по мере тестирования.
Джейлбрейк и рут - отдельная головная боль. Технически MDM можно обойти на рутованном устройстве. Мы добавили в регламент пункт о том, что рутованные устройства не допускаются, но надёжного способа проверить это автоматически у нас пока нет. AirWatch умеет определять джейлбрейк с определённой точностью, но не стопроцентно.
Где сейчас находимся
В рамках управляемой поддержки регламент прошёл первое внедрение у двух клиентов. Одному потребовалось три недели от первого разговора до подписанных согласий и работающего MDM. Второй - компания с юридическим отделом - занял полтора месяца только на согласование формулировок в документе о согласии.
Шаблон политики выкладываем в закрытый раздел для клиентов - там четыре страницы с пунктами, которые можно адаптировать под конкретную компанию. Если нужен - напишите.
Главное наблюдение: BYOD - это не технический проект, это организационный. MDM настраивается за день. Регламент и согласования занимают недели. И чем раньше начать этот разговор с юристами и HR, тем меньше потом придётся переделывать.