View
353
Download
1
Category
Preview:
DESCRIPTION
BYOD vai varjo-IT, kumpi teillä on? Sovelto Aamiaisseminaari 6.9.2013 Jukka Vuola
Citation preview
BYOD
"Bring your own device, or BYOD, is a disruptive phenomenon where employees bring non‐company IT into the organization and demand to be connected to everything – without proper accountability or oversight."‐ Gartner‐
BYOD – mitä se on?
• Käyttö www‐selaimella• Esim. ssl‐suojattu webmail• Selaimen käyttötuntuma• Skaalautuu helposti erilaisille päätelaitteille• Vaati yhteyden toimiakseen• Jonkin verran paikallista dataa
• Erillinen mobiililaitteelle tuotettu ohjelma"natiivisovellus"• Päätelaitteen käyttötuntuma• Maksimaalinen suorituskyky• Offline mahdollisuus• Jonkin verran paikallista dataa
• Virtuaalinen etätyöpöytä• Ei paikallista dataa• Maksimaalinen tietoturva• Työpöydällä siirretty (tuttu?) käyttökokemus• Vaatii yhteyden toimiakseen
2
www‐selain
DataCenter
Natiivi‐sovellus
DataCenter
VDIDataCenter
HTML
Natiivi‐sovellus
Virtuaalisettyöpöydät
BYOD – salliako vai ei?
• BYOD vai varjo‐IT?
• SkyBox tutkimus 2012: 60% työntekijöistä käyttää ilmaisia tiedostonjakopalveluja ("dropbox") ‐ 55% ei kerro käytöstä IT‐osastolle. 1.)
• VisionCritical tutkimus 2012: 2/3 nuorista työntekijöistä (20‐29 –vuotiaat) kiertää BYOD‐rajoituksia ja 1/3 asentaa omia ohjelmia (joko työn tai pelaamisen vuoksi) työlaitteisiinsa –olipa se sallittua tai ei. 2.)
• Kielletään mahdollinen luvaton käyttö ja "varjo‐IT"• Sallitaan vastattava haasteisiin
1. Vaatimustenmukaisuus2. Yhteensopivuus3. Mobiili‐ ym. vieraiden laitteiden hallinta4. Tietoturva
3
• Päivitysten ajantasaisuus• Virus‐ ja
haittaohjelmasuojauksen ajantasaisuus
• Laitekohtainen palomuuri käyttö ja säädöt
• Laitteen etähallinta ja tyhjennys
BYOD suunnittelu
1. Verkkoon pääsyn hallinta
2. Laitteiden hallinta ja kontrolli
3. Sovellusten hallinta ja kontrolli
Vierailijaverkko
Rajoitetut oikeudet
Kaikki oikeudet
• Turvallisten ja ajantasaisten sovellusten käyttö
• Yhteydet pilvipalveluihin• Yritysdatan säilytys• Henkilökohtaisen datan
säilytys
BYOD politiikka
Verkkoon pääsyn hallinta
1. Päätä, minkälaisia laitteita tuetaan ja päästetään verkkoon2. Päätä, minkälaisia pääsytasoja tarjotaan (esim. vierailijaverkko,
rajoitettu verkko‐oikeudet, täydet verkko‐oikeudet) em. verkkoon hyväksytyille laitteille.
3. Määrittele kuka saa, mitä saa, missä saa ja milloin saa verkon kautta.
4. Määrittele, mitä työntekijäryhmiä nämä oikeudet koskevat.
"Toimistotyöntekijöille sallitaan pääsy työsähköpostiin mistä tahansa ja milloin vain omilla matkapuhelimillaan"
Laitteen todentaminen
• Tunnistetaanko laite, käyttäjä vai molemmat• Mitä laitteesta voidaan tunnistaa?
Onko laitteella Applen MAC‐osoite?
Sisältääkö laitteen nimi sanan "iPAD"?
Onko yhteyttä ottava selain Safari?
Onko tunteeko laite esijaetun avaimen tai varmenteen?
OK, uskon laite on sallittu
OK, uskon että laite on
iPAD
Käyttäjän tunnistaminen
• Mitä käyttäjä…
• Tietää?• Käyttäjätunnus / salasana / pin‐koodi
• Omistaa?• Jokin laite• Kertakäyttösalasanojen lappu• Mobiilivarmenne• Varmenne sirukortilla, SIM‐kortilla tms.
• On?• Biometrinen tunnistaminen• Sormenjälki, ääninäyte, kasvojen tunnistus jne…
• Vahva tunnistaminen = useamman menetelmän yhdistelmä7
Laitteiden hallinta ja kontrolli
1. Luetteloi ja inventoi valtuutetut ja valtuuttamattomat laitteet2. Luetteloi ja inventoi valtuutetut ja valtuuttamattomat käyttäjät3. Varmista liitettyjen laitteiden jatkuva haavoittuvuuden arviointi ja
kuntoon saattaminen 4. Luo pakolliset ja hyväksyttävät päätelaitteiden
tietoturvakomponentit:• Ajantasainen ja toimiva virusturva• Toimiva konsepti laitteiden tietoturvapäivityksille• Hyväksyttävät www‐selaimen tietoturva‐asetukset ja niiden ylläpito
Mobiililaitteiden haittaohjelmasuojaus• Antivirus ohjelmia on tarjolla paljon – etenkin Androidille
9LÄHDE: http://mobile‐security‐software‐review.toptenreviews.com/
Mobiililaitteiden selainten tietoturva
"Many mobile platform attacs happen through compromised apps orexploited mobile web browser" – Kapersky LabYli 20% online kaupankäynnistä tehdään mobiililaitteilla 1.)
Miten suojautua?1. Turvallinen selainohjelma – ei "mitä tahansa"2. Selainohjelma ajan tasalla3. Selainkohtaiset säädöt kuntoon – keskitetty hallinta?4. Lisäksi haittaohjelmasuojaus
10
Muistilista mobiililaitteille:1. Käytä lukitusta2. Salaa arkaluontoinen tieto – tai kaikki sisältö3. Seuraa, miten käyttämäsi sovellukset toimivat ja käyttäytyvät4. Suojaa puhelimesi (haittaohjelmat / virussuoja)5. Huomaa – että myös puhelimen käyttöjärjestelmä voidaan
murtaa6. Pidä bluetooth poissa käytöstä aina, kun sitä ei nimenomaan
tarvita7. WLAN‐verkoissa on aina salakuuntelun vaara (arp‐spoofing)
– salaa yhteydet mikäli mahdollista1. Ota käyttöön ratkaisumalli laitevarkauden varalle
• Datan varmuuskopiointi• Puhelimen etälukitus• Puhelimen etätyhjennys• Puhelimen paikantaminen 11
Sovellusten kontrolli ja hallinta
1. Määrittele, mitä käyttöjärjestelmiä (ja niiden versioita) verkkoon hyväksytään
2. Määrittele, mitkä sovellukset ovat kiellettyjä ja mitkä pakollisia jokaisella laitetyypillä
3. Kontrolloi yrityssovellusten pääsyä4. Opeta työntekijöille käytössä oleva BYOD‐politiikka
BYOD politiikka ‐ esimerkkiLÄHDE: ISACA Journal 4/2013
Yleiset BYOD periaatteet
Mitä laitteita ja niiden käyttöjärjestelmäversioita
tuetaan
Yksityisyys ja sen kunnioittaminen
IT‐osaston vastuut ja niiden rajaukset
Työntekijän vastuut ja niiden rajaukset
Työntekijän hyväksyntä ja kuittaukset
Yksilöidyt työntekijätiedot, laitetiedot, päiväys ja allekirjotus
Virtualisointi ratkaisuna
• Virtuaalinen työpöytä, joka on käytettävissä kaikkialta
Päätelaitteet y p yVirtuaaliset työpöydät
Virtualisointi‐alusta
Jaetut resurssit
Hypervisoresim.
VMware ESXMS Hyper‐VLinux KVM
.
.
.Tallennus
Palvelimet
Verkko
VDI palveluportaali
Natiivi client
html5
Datan osastointi – "sandboxing"
• Sovellusten ja datan osastointi• Erotellaan ja osastoidaan eri sovellukset ja niiden data erillisiin
toimintaympäristöihin• Yhden "hiekkalaatikon" voi tuhota muiden häiriintymättä• Yhden sovelluksen heikkous, heikko tietoturva, toimintahäiriöt tms. eivät
vaikuta muihin
• Esim. • Yritysdata / yksityinen data erikseen• Erotetaan kaikki sovellukset toisistaan, yhden tietoturvan murtuminen ei
vaikuta muihin• Tietty herkkää tietoa sisältävä sovellus• jne.
BYOD hacking
• Ladataan USB‐muistilta haitta‐ / vakoiluohjelma laitteeseen• Perinteisesti "autorun" –toiminto on estetty USB‐muisti esittelee itsensä
näppäimistönä "Human Interface Device"• Ei näppäimiä, vaan syöte tulee ohjelmoidulta MicroSD‐kortilta• Toimii useissa käyttöjärjestelmissä
Entä bluetooth‐laitteet?
QR‐koodien väärinkäyttö
• QR‐koodeilla voi syöttää mobiililaitteille esim.• SMS‐viestejä• Vcard –käyntikortteja• www‐linkkejä jne.
• Itse kuviosta ei näe, mitä se tekee• Muutetaan aiemmin harmiton kohde haittaohjelmalinkiksi
• ongitaan päätelaitetietoa esim. javascriptillä tai yritetään käyttää hyväksi laitteessa jo mahdollisesti olevaa heikkoutta (esim. selaimessa).
17
Sovelton koulutukset
• 20687 Configuring Windows 8 (3 pv) 14.‐16.10.• 20688 Managing and Maintaining Windows 8 (3 pv) 30.10.‐1.11.• 20415 Implementing a Desktop Infrastructure (4 pv) 8.‐11.10.• 20416 Implementing Desktop Application Environments (4 pv) 22. 25.10.• Mountain Lion 101 ‐ OS X Support Essentials 10.8 (3 pv) 28.‐30.10.• Windows 8.1 ja Windows Server 2012 R2 Saminaari vol. 2 (1 pv) 29.10.• Tietoturvaprosessit ja menetelmät (1 pv) 23.9.• PKI ja varmenteet Microsoft‐ympäristöissä (3 pv) 18.‐20.11.• Tekninen tietoturva (2 pv) 8.‐9.10.• Lähiverkkojen tietoturva (2 pv) 21.‐22.10.
Copyright©Sovelto 2013
Recommended