View
708
Download
2
Category
Tags:
Preview:
DESCRIPTION
Обзор новой версии MDM системы от McAfee. Архитектура, принцип работы, возможности. http://bakotech.ua/news/mcafee-vipustila-novuyu-versiyu-mdm-sistemi/
Citation preview
McAfee Confidential—Internal Use Only
McAfee EMM
Enterprise Mobility Management 11.0
релиз состоялся 29.05.13
Владислав Радецкий
vr@bakotech.com
McAfee Confidential—Internal Use Only
Пару слов о себе:
June 21, 20132
Владислав Радецкий, работаю в компании БАКОТЕК
Отвечаю за техническую поддержку проектов по ИБ
Отвечаю за такие направления (McAfee):
• Data Protection
• Email Security
• Endpoint Security
• Mobile Security [ тема этого доклада ]
• One Time Password
• Security-as-a-Service
• Security Management
* Если у Вас возникнут вопросы по теме доклада или по направлениям,
которыми я занимаюсь – обращайтесь.
Мои контакты в конце презентации.
McAfee Confidential—Internal Use Only
О чем я хочу рассказать:
June 21, 20133
• Особенности подхода McAfee к ИБ
• BYOD = задача ИБ
• Архитектура, функционал
• Подготовка к развертыванию
• Интеграция с ePO (что нового в 11-й версии)
McAfee Confidential—Internal Use Only
Как ИБ превращается в «зоопарк»…
June 21, 20134
Host IPS
Agent
Systems
Management
Agent
Audit
Agent
Antivirus
Agent
Encryption
NAC
DLP
Agent
У каждого
решения есть
свой агент
Каждый
агент имеет
свою
консоль
Для каждой консоли
нужен отдельный
сервер
Каждому серверу
нужна ОС и БД
ОС и БД требуют
сопровожденияДля IT
департамента
это хаос.
Не оптимально.
Неэффективно.
McAfee Confidential—Internal Use Only
Подход компании McAfee
June 21, 20135
Единая консоль
управления
Единый
агент
McAfee ePO Server
(VSE, DLP, Encryption,
Site Advisor)
*Консоль развертывается
на выделенном сервере
McAfee Agent
(политики, развертывание
клиентских модулей)
* Агент устанавливается на
рабочие станции и сервера
(Win / Lin / Mac)
С выходом 11-й версии
EMM мобильные
устройства теперь тоже
управляются из единой
консоли ePO
McAfee Confidential—Internal Use Only
Подход компании McAfee
Network Security
Workstations/
Servers
EMM11
интегрируется с ePO
Mobile Security
NSP, DLP, VM
MDM
Access Control
GTI
Информация об
угрозах 0-day
Проверка
репутации
Endpoint Suites
ePolicy
Orchestrator
«Облако» McAfee
McAfee Confidential—Internal Use Only
Почему BYOD это проблема ИБ ?
June 21, 20137
• Смартфоны и планшеты
превратились в инструмент
для бизнеса
• Если компания разрешает
сотрудникам обрабатывать
корпоративную информацию
на личных устройствах
возникают новые
операционные риски
• Разнообразие моделей и
платформ усложняет
достижение соответствия
• ActiveSync не достаточно
McAfee Confidential—Internal Use Only
Функционал EMM
Управлениеустройствами
• Удаленное изменение настроек
• Применение корпоративных политик к устройствам сотрудников
• Удаленная блокировка и очистка (полная/выборочная)
• Управление устройствами из единой консоли ePO
• Инициализация удаленных устройств (Wi-Fi, 3G, VPN)
• Инвентаризация и сбор информации в реальном времени
• Масштабируемость до 25k устройств на сервер
Соответствие(Compliance)
• Определение jailbrake\root устройств
• Определение и блокирование устройств не соотв. нормам
• Контроль шифрования iOS и Android, Secure Container
• Отчеты о состоянии соответствия
• Мониторинг состояния устройств, аудит, отчетность
8
Безопасность
• «Черный список» приложений, которые запрещены к установке
• Настройка профилей Wi-Fi/VPN
• VirusScan Mobile для платформы Android
• Secure Container для Android (шифрование почты)
• Принудительное применение корпоративных политик
• Принудительное усиление аутентификации (запрос PIN, pass)
McAfee Confidential—Internal Use Only
Что входит в EMM
• Консоль управления (MDM)
• Защита и контроль BYOD
• Инициализация устройств, применение политик для iOS, Android, WinPhone
Enterprise Mobility
Management (EMM)
• Защищенный почтовый клиент
• Шифрование почты, календарей и контактов (AES 256)
• Запрет копирования вложений
Secure Container for
Android
• Антивирусная защита
• Оптимизирована для моб. устройств
• Доступен отдельно от ЕММ
VirusScan Mobile for Android
9
Кроме самой консоли управления:
EMM также входит в состав двух наборов –
McAfee Complete Endpoint Protection Enterprise [CEB] и Business [CEE]
McAfee Confidential—Internal Use Only
McAfee Secure Container for Android
10
• Полноценная синхронизация корпоративной
почты, календарей и контактов
• Все данные включая кэш помещаются в
шифрованный контейнер [AES 256]
• Запрет копирования, сохранения и передачи
вложений вне шифрованного контейнера
(опционально)
• Возможность автоматической очистки содержимого
при подборе пароля
• При увольнении сотрудника затираются только
данные компании (если это личное устройство)
• Защищенный просмотр Word, Excel, PDF и т.д.
• Приложение контролируется политиками EMM,
может быть развернуто принудительно
Secure Container
McAfee Confidential—Internal Use Only
McAfee Secure Container for Android
June 21, 201311
McAfee Confidential—Internal Use Only
McAfee Secure Container for Android
June 21, 201312
McAfee Confidential—Internal Use Only
McAfee VirusScan Mobile for Android
13
• Надежный мобильный антивирус
• VirusScan начинает проверку только при попытке
доступа к файлу и при таких событиях:
• Загрузка файла;
• Попытка установки нового приложения
• Обновление приложений
• Смена SIM
• Смена/подключение SD карты
• Включение устройства
[не «садит» батарею]
• Возможность планирования проверок
• Сигнатуры + McAfee GTI
• Развертывается из консоли EMM
McAfee Confidential—Internal Use Only
Управление корпоративным ПО
• Blacklisting для iOS и Android
• Запрет на установку выбранных
приложений
• Это могут быть игры, недоверенные
приложения и другое ПО
• Список рекомендуемых
приложений в зависимости от
принадлежности/отдела
• Список формируется на ЕММ
• Ссылки на Store и дистрибутивы
• Инвентаризация используемого
ПО на мобильных устройствах
McAfee Confidential—Internal Use Only
Архитектура решения
• EMM Compliance Manager
• EMM Self-service Portal
• EMM Push Notifier
DMZ
EMM DMZ Proxy
Internal Network
443
443
Mail Server(Exchange/Lotus)
1433
MS SQLDatabase Server
21952196
EMM Console Hub Server
Directory Server (LDAP)
McAfee ePolicy Orchestrator (ePO)
iPad
Android
iPhone
Windows
Phone 7/8
Android
Tablet
443
GCM
APNS
1433
443
389
88Internet
GSM
WAP
* APNS- Apple Push Notification Service
GCM - Android Cloud to Device Messaging
McAfee Confidential—Internal Use Only
Что должно быть до развертывания
• Apple MDM Certificate [KB73382]– Для работы с iOS устройствами (инициализация, настройка профилей)
• Google Cloud Messaging (GCM) Sender ID and Token [KB77397]– Заменяет механизм Google Cloud to Device Messaging (C2DM)
– Используется для доставки Push сообщений на Android
– Обеспечивает безопасную коммуникацию EMM с устройствами
– Для создания токена необходим Google аккаунт
• Portal SSL Certificate– Должен быть подписан доверенным CA (!не самоподписанный!)
– Используется для шифрования SSL сессий между EMM и устройствами
– Используется для подписания OTA и MDM профилей
• Port forwarding (проброс портов) + DNS запись для портала
• Наличие развернутой консоли ePolicy Orchestrator (ePO)
16 June 21, 2013
McAfee Confidential—Internal Use Only
Cистемные требования
June 21, 201317
OS: Server 2008 64-bit w/ SP2 or later
Server 2008 R2 64-bit w/ SP1 or later
Hardware (Minimum) : 4GB RAM
Dual-Core CPU
Recommended: 8GB RAM
(larger deployment ) Quad-Core CPU
Требования к серверу Поддерживаемые платформы
Apple iPhone, iPad, and iPod Touch
• iOS 4.3 и выше
Google Android Smartphones and Tablets
• Android 2.2 и выше
Microsoft Windows Phone 7/8
McAfee Enterprise Mobility Management 11.0
Microsoft SQL Server 2005 w/ SP3 и выше (32 & 64-bit)
Microsoft SQL Server 2008 / 2008 R2 (64-bit only)
McAfee ePolicy Orchestrator 4.6.5 и выше (включая 5.0)
Deployable to Physical or Virtual Servers
McAfee Confidential—Internal Use Only
Инициализация iOS [пользователь]
Easy, Secure, Automated
Загрузить EMM
агент из
App Store
1 2
Ввести
логин:пароль от
корпоративной
почты
Политики и
профиля
применяться
сразу
4
Принять
соглашение
3
Просто, Безопасно, Оперативно
McAfee Confidential—Internal Use Only
Инициализация Android [пользователь]
19
1
Загрузить EMM
агент из Google
Play
2
Ввести
логин:пароль от
корпоративной
почты
3
Принять
соглашение
4
Политики и
профиля
применяться
сразу
Просто, Безопасно, Оперативно
McAfee Confidential—Internal Use Only
EMM11 – инициализация Android
June 21, 201320
McAfee Confidential—Internal Use Only
Функционал по платформам
June 21, 201321
McAfee Confidential—Internal Use Only
Политики - Android
June 21, 201322
McAfee Confidential—Internal Use Only
Политики - iOS
June 21, 201323
McAfee Confidential—Internal Use Only
Политики - iOS
June 21, 201324
McAfee Confidential—Internal Use Only
Политики - iOS
June 21, 201325
McAfee Confidential—Internal Use Only
Политики
Отдельные политики могут быть применены к различным устройствам,
в зависимости от типа платформы и степени риска:
• Apple iOS 4 и выше – управление встроенным шифрованием,
принудительная блокировка устройства по паролю,
отключение iTunes backup, блеклистинг приложений;
• Android 4.0 и выше – использование встроенного почтового
клиента, контроль встроенного шифрования, принудительная
блокировка по паролю;
• Android 2.3 и выше – использование McAfee Secure Container
для защиты корпоративной переписки
McAfee Confidential—Internal Use Only
Порядок выполнения операций
June 21, 201327
Немедленно*:
• Wipe/Wipe Corporate Data
• Pushed Packages
• Unlock
• MDM Uninstall
• Policy Changes
• Agent Wakeup
• Push Notifications
• Web Clip Replacement
• Web Clip Removal
• BlacklistedApp Notification
* При условии, что устройство
подключено к Интернету
Every 24 Hours Status Updates -
Каждые 24 часа:
• Device Information
• List of Configuration Profile
• List of Provisioning Profile
• Installed Certificates
• Encryption Status
• Applied Restrictions
• Installed Applications
• Roaming and Usage Settings
McAfee Confidential—Internal Use Only
ePO + EMM11 = единая консоль
28
• Мобильные устройства являются для ePO такими же
объектами, как сервера и рабочие станции, а значит:
– Сортировка, поиск, выполнение групповых операций;
– Распределение устройств по группам (в т.ч. автоматически);
– Применение политик в зависимости от группы;
– Управление всеми конечными точками из одной консоли
McAfee Confidential—Internal Use Only
ePO + EMM11 = единая консоль
29
McAfee Confidential—Internal Use Only
ePO + EMM11 = единая консоль
30
McAfee Confidential—Internal Use Only
Работа с политиками в ePO
31
• Выборочные политики
настраиваться в консоли ePO и
применяться к устройствам в
зависимости от их расположения
в дереве систем
(группа/подгруппа) System Tree.
• Политики применяются
– глобально
– на ОС (iOS, Android, Win Phone)
– на группу
– на пользователя
– на устройство
McAfee Confidential—Internal Use Only
Изменения в новой версии
June 21, 201332
• При смене SSL сертификата
портала возникала необходимость
переинициализации устройств
• Профиль подписывается
сертификатом устройства.
Не нужно инициализировать
заново.
EMM 11.0EMM 9-10
• При смене учетных данных в AD
пользователям iOS необходимо
было несколько раз подтвердить
смену пароля на устройствах
• Работа с большим списком
устройств отнимала много
времени
• Только 1 раз
• Интеграция с ePO позволяет
выполнять групповые
операции
McAfee Confidential—Internal Use Only
Изменения в новой версии
June 21, 201333
• Не было уведомления об
окончании строка действия
сертификата портала
• Встроенная задача ePO
позволяет получать
уведомления
EMM 11.0EMM 9-10
• Необходимо было вводить
ключ в отдельную консоль.
• Никакой мороки с ключами.
Лицензирование через ePO
• При смене политик для iOS
изменения затрагивали весь
профиль
• Каждая вкладка политики
является отдельным
профилем.
McAfee Confidential—Internal Use Only
Преимущества McAfee EMM
June 21, 201334
• Расширений набор политик на уровне API
• Интеграция с ePO
• Контроль и обеспечение compliance
• Защита данных
• Расширяемость (развитие решения)
McAfee Confidential—Internal Use Only
Контактная информация
June 21, 201335
Официальный сайт McAfee (описание продуктов, документация)
http://www.mcafee.com/ru/
Раздел McAfee на сайте БАКОТЕК (каталог решений, новости)
http://bakotech.ua/vendor/mcafee/
McAfee Ukraine Technical Club (заметки о технологиях на русском)
http://www.facebook.com/McAfeeUkraineTechnical
Мой блог (статьи по настройке решений, новости, заметки)
http://radetskiy.wordpress.com/
Техническая поддержка McAfee (первая линия)
http://www.mcafee.com/ru/support.aspx
База знаний (спецификации, FAQ, руководства и др.)
http://kc.mcafee.com/corporate/index?page=home
Владислав Радецкий
+38 (095) 880-73-70 | Моб.
facebook.com/McAfeeUkraineTechnical
radetskiy.wordpress.com
vr@bakotech.com
Recommended