BYOD по-русски: Android в Exchange без MDM - ждём катастрофы
Сотрудники массово подключают личные Android-устройства к корпоративной почте. Внедряем MDM с remote wipe и шифрованием карты памяти, пока не поздно.
Взрывной рост Android-смартфонов в корпоративном использовании ставит вопрос MDM в повестку 2013 года.
В какой-то момент мы посмотрели на список устройств в Exchange ActiveSync у одного из клиентов и поняли, что ситуация вышла из-под контроля тихо, без шума и торжественных объявлений. Там было около сорока устройств. Из них примерно треть - Android-смартфоны, большинство личные. Настройку Exchange на свой телефон сотрудники делали самостоятельно: погуглили IMAP-настройки, ввели корпоративные учётные данные - и вот тебе вся рабочая переписка у них в кармане.
Формально это BYOD. На практике - корпоративные данные на устройствах, которые IT-отдел видит только в логах ActiveSync, и то не всегда.
Что конкретно не устраивало
Проблема не в самом факте доступа к почте с личного телефона. Проблема в том, что никаких требований к этим устройствам нет вообще. Ни ПИН-кода, ни шифрования, ни возможности удалённо стереть данные при утере телефона.
Несколько конкретных сценариев, которые мы обсуждали с клиентом:
- Сотрудник теряет телефон. Корпоративная почта за полгода, контакты, вложения - всё это у того, кто нашёл телефон. Без ПИН-кода и без шифрования карты памяти доступ мгновенный.
- Сотрудник увольняется. Блокируем учётку в AD - хорошо. Но всё что уже скачалось на телефон никуда не делось. Письма из Outlook, которые Android кешировал на карту памяти, остаются.
- Устройство с malware. Android 2013 года - это довольно дикий рынок приложений, особенно за пределами Google Play. Устройство без PIN'а, подключённое к корпоративному Exchange, - отличная точка для горизонтального перемещения, если на нём что-то нехорошее.
Выбор инструмента
Exchange ActiveSync сам по себе поддерживает базовые политики устройств - это называется EAS Policy. Можно через Exchange Management Console или PowerShell установить требования к устройствам: минимальная длина PIN-кода, таймаут блокировки, максимальное число неверных попыток ввода PIN перед вайпом.
Для начала этого достаточно. MDM-решения класса MobileIron или AirWatch дают существенно больше: инвентаризацию приложений, geo-fencing, раздельное управление корпоративным и личным контентом. Но они требуют времени на развёртывание и денег, а клиент хотел начать с чего-то работающего прямо сейчас.
Решили двигаться поэтапно: сначала EAS-политика через Exchange, как обязательный минимум для всех устройств. Параллельно - изучение MDM-решений для полноценного управления.
Что настроили в EAS-политике
Через Exchange 2010 Management Console создали новую политику ActiveSync Mailbox Policy и применили её к нужным почтовым ящикам. Ключевые параметры:
- Требование PIN. Минимум 4 цифры, таймаут блокировки 5 минут. Без обсуждений.
- Шифрование устройства и карты памяти.
RequireStorageCardEncryption = $trueиRequireDeviceEncryption = $trueв параметрах политики. Тут выяснился первый нюанс - не все Android-устройства это корректно поддерживают. Часть телефонов ответила «политика принята», но шифрование фактически не включила. - Remote wipe. Возможность через Exchange Control Panel послать команду удалённого сброса устройства. При следующей синхронизации телефон получает команду и стирает данные до заводских настроек.
- Максимальное число попыток ввода PIN. Поставили 10 - после десяти неверных попыток устройство само стирается. Для корпоративного устройства могли бы поставить меньше, для личного 10 - разумный компромисс.
Отдельно составили список одобренных устройств - AllowedDeviceIDs - нет, это лишнее. Белый список устройств - следующий шаг, когда будет нормальный MDM.
Первое столкновение с реальностью
Когда политика разъехалась по устройствам, несколько сотрудников пришли с вопросами. Не все Android-телефоны поддерживают шифрование карты памяти на уровне прошивки. Часть устройств вообще отказалась подключаться к Exchange после включения политики - клиент Exchange на телефоне сообщал об ошибке без внятного объяснения.
Провели небольшое ручное исследование: Samsung Galaxy S2 на Android 4.0 - нормально принял политику. Китайский бюджетник на Android 2.3 - Exchange вообще не смог применить политику и просто отсоединился. HTC One X на Android 4.1 - принял, но шифрование карты не включил, хотя ответил «ОК».
Это предсказуемая проблема раздробленности Android. EAS-протокол устройство получает, но исполнение зависит от того, как производитель реализовал поддержку в прошивке. Никакого способа проверить реальное состояние шифрования на устройстве через Exchange нет - можно только доверять отчёту устройства.
Пришлось зафиксировать это как ограничение и идти дальше. Минимум - ПИН и remote wipe - работает везде. Шифрование карты - только на части устройств, и это надо учитывать в политике безопасности.
Где мы сейчас
EAS-политика работает. Все устройства, которые хотят получать корпоративную почту, теперь обязаны соответствовать минимальным требованиям - иначе Exchange отклоняет подключение. Remote wipe протестировали на одном тестовом устройстве - работает, данные стёрты при следующей синхронизации.
Реального MDM с нормальной инвентаризацией и управлением приложениями у нас пока нет - это следующий этап. На сопровождении мы договорились с клиентом вернуться к этому вопросу после того, как разберёмся с уязвимостями в браузерном стеке, которые сейчас важнее.
Самое неприятное наблюдение: проблема не техническая, а организационная. Инструменты для базового управления мобильными устройствами в Exchange существуют давно. Но никто не включил политику, потому что никто не видел в этом срочности - пока не посмотрели на список устройств. Данные уходили на личные телефоны тихо, без уведомлений, и это продолжалось бы ещё долго.
- Java zero-day в браузере: отключить нельзя, оставить опасно · 24 января 2013