service-center informationssysteme sicherheit durch smartphonemanagement von windows mobile zum...
TRANSCRIPT
Service-Center Informationssysteme
Sicherheit durch Smartphonemanagement
Von Windows Mobile zum iPhone
Detlev Rackow, Landeshauptstadt Hannover
Informations- und [email protected]
Service-Center Informationssysteme
Eigentlich waren sie schon immer da– Lage bis 2007:– Heterogene Ausstattung, durchgehend
Offlinegeräte mit Desktopsynchronisierung
2
Service-Center Informationssysteme
2007: Pushmailrealisierung•Projektauftrag zur sicheren Neugestaltung von PDAs und Smartphones•Marktlage: PDAs sterben aus, Smartphones bieten neue Möglichkeiten
3
Service-Center Informationssysteme
Plattformsuche•Anforderungen:– Gute Exchangekompatibilität– Gerätesicherheit– Einfache Administration– Wenig zentraler Aufwand
•Geschätzes Volumen: Ca. 50-100 Geräte
4
Service-Center Informationssysteme
• Windows Mobile:– Gute Exchangekompatibilität– Großes Softwareangebot für mobile
Anwendungen– Support über Microsoft möglich– Verschlüsselung möglich– Ersteinrichtung aufwändig– Fehlende Administratorrolle, fast nur PIN-Policies
5
Service-Center Informationssysteme
Stufe 1: Windows Mobile mit zugekaufter Sicherheitslösung UbiControl– Administratorrolle durch UbiControl: • Lockdown: Einstellungen werden einmal gemacht und
gesperrt• Anwender können keine Software installieren oder
deinstallieren• Verschlüsselung der notwendigen Daten durch WM6-
Funktionalität• PIN-Policy und Remotelöschung durch Exchange
6
Service-Center Informationssysteme
• Es kam, wie es kommen mußte…• Nach 1 Jahr ca. 150 Geräte,
Tendenz steigend• Die Erkenntnis:– Installation automatisieren– Automatische Inventarisierung
7
Service-Center Informationssysteme
Stufe 2:Update von UbiControl auf UbiSuite MDM– Automatische Installation, webbasiert– Userübernahme aus dem Active Directory– Gruppenweise Konfiguration o.t.a.– Technisches Inventar wird automatisiert erhoben
8
Service-Center Informationssysteme
Gerade noch rechtzeitig…
Bis 2010 stieg die Gerätezahl auf 270 an.
9
Service-Center Informationssysteme
2010: Das Bessere ist der Feind des Guten
•Windows Mobile stirbt•Windows Phone 7 ist inkompatibel
10
Service-Center Informationssysteme
Stufe 3: Plattformsuche– Windows Phone 7– RIM/Blackberry– Android 2.x– iPhone (iOS)– Nicht betrachtet: Symbian, Bada
11
Service-Center Informationssysteme
Exchange-kompatibilität
+ (2007+)- (2003)
+ + ++
Installation,Management
-- ++ - ++
Update- versorgung
0 + - ++(mind. 2 J.)
Sicherheits-funktionen
0(nur Pinpolicy)
++ 0/-(nur Pinpolicy)
+
Gerätever- schlüsselung
- ++ - ++
Business- Apps (*)
0 + + ++
12
Service-Center Informationssysteme
Sicherheitsfunktionen iOS 4
• Kryptografie:– Hardwareverschlüsselung des Flashspeichers– PIN-gesicherte Verschlüsselung von Exchange-daten– Crypto-APIs für Appentwickler– Codesignatur: Apps nur aus Store mit Vorabprüfung
13
Service-Center Informationssysteme
Sicherheitsfunktionen iOS 4+
• Lockdown: – Kamera, Schnittstellen etc. sperrbar– App-Store, Youtube, … sperrbar– Altersgrenzen für App-Store und iTunes– Blacklisting für Apps (reaktiv)– Browseroptionen, Reputationsfilter– Policies analog Windows Mobile 6.1
14
Service-Center Informationssysteme
– Keine Endgeräteverschlüsselung– Exchange-Integration ist OEM-spezifisch– Rudimentäre automatische Installation, kein
Exchange– User kann Software aus beliebigen Quellen
installieren– PIN-Policy nur teilweise umgesetzt– Eingeschränkter Lockdown über lokales Kennwort
15
Android 2.x im Vergleich
Service-Center Informationssysteme
– Ab Q4/2010: iPhone als neues Standardsmartphone freigegeben
– Management weiter über UbiSuite– Keine neuen Lizenzen nötig– Zentral kein erhöhter Betriebsaufwand
16
iPhone 4: Ändert alles? Nein.
Service-Center Informationssysteme
– Q1/2011: Auf der CeBit wird Ubisuite 4.0 angekündigt
– Q2/2011: RIM kauft Ubitexx– Q3/2011: Ubisuite 4.0 wird abgekündigt– Q3/2011: Ubisuite 3.7 wird nicht mehr auf iOS 5
angepasst-> Produktsuche, neue Lösung: Airwatch
17
Wechsel der Managementlösung
Service-Center Informationssysteme
18
Service-Center Informationssysteme
19
Dürfen Anwender…
Apps installieren?
Fotos machen?
Pushmail im Ausland?
Multiplayerspiele?
Service-Center Informationssysteme
20
Youtube?
„Erwachsene“ Musik/Podcasts?
Safari oder Kioskbrowser?
Javascript?
Cookies?
Service-Center Informationssysteme
21
Public Cloud? No way!
Wieviel darf Apple wissen?
Backups bitte vertraulich!
Service-Center Informationssysteme
22
Service-Center Informationssysteme
MDM-Protokoll
TriggereventStatus- und Konfigurationsdaten 23
Service-Center Informationssysteme
MDM bietet over-the-air:•Installation/Personalisierung•Konfiguration (jederzeit änderbar)•Richtlinien/Lockdown•Inventarisierung/Status•Remotewipe•(Remote-Lock/Unlock)
24
Service-Center Informationssysteme
Zeitaufwand für Erstprovisionierung
Windows Mobile manuell: >30 Min. Windows Mobile gemanaget: 15 Min. iPhone gemanaget: 5 Min.
25
Service-Center Informationssysteme
Was bringt Management sonst?
– Fernlöschung ohne Exchangerechte(User und Helpdesk)
– Audit für iOS-Versionen– Softwareinventar inkl. Blacklisting– Softwarekiosk für Anwender: Empfohlene/verbotene Anwendungen– Funktionspostfächer– Userselfserviceportal
26
Service-Center Informationssysteme
One more thing…– Fallstricke:• Firewallintegration war schwierig (LHH-Problem)
– Unerledigt:• Automatisches Zertifikatsrollout• Zertifikatsbasierte Exchangeauthentisierung• Mobiles Arbeiten:
Dateibereitstellung per Sharepoint
27
Service-Center Informationssysteme
Lessons learned:– Gerätebedarf ist immer höher als gedacht– Auswahl MDM-Anbieter:• Leistungsfähiger Anbieter• Breite OS-Unterstützung• Abbildbarkeit der Kundenorganisation:
Mandanten und Rollen• In-house-Test ist aufschlussreicher
– Monokultur spart IT-Aufwand
28
Service-Center Informationssysteme
29