Obvladovanje mobilnih naprav v informacijskem sistemu (IS)

Posted on 13/06/2012

0


I. del: Centralizirana kontrola dostopa v IS za mobilne naprave

Brezmejna komunikacija je tukaj in sedaj

Informacijske storitve, ki jih organizacija potrebuje za svoje poslovanje, morajo biti zagotovljene v vsakem trenutku. To je eno od osnovnih zagotovil, ki jih organizacija in poslovanje dandanes zahtevata in pričakujeta od informacijskega sistema. Zaradi dinamike sodobnega načina dela postaja vse pomembnejša tudi lokacijska neodvisnost. Sprva smo lokacijsko neodvisnost omogočili znotraj poslovnih objektov. S tehnološkega vidika so nam to omogočili prenosni računalniki in razširitev žičnega lokalnega omrežja z brezžičnim. Tehnologije VPN so nam omogočile, da smo se preko javnega komunikacijskega omrežja s svojim računalnikom v naš informacijski sistem varno povezali tudi od doma. Enaka storitev nam je bila omogočena tudi tam, kjer smo imeli na voljo fizični priključek v internet. Pojav mobilnih komunikacijskih tehnologij pa je do konca odstranil lokacijske omejitve dostopa. Za Slovenijo lahko trdimo, da je pokritost s signalom mobilne telefonije odlična. Torej smo lahko »on-line« neodvisno od tega, kje se nahajamo. Novim pogojem se zelo hitro prilagaja trg osebnih sistemov. Vse aktualnejši postajajo prenosni osebni računalniki, v zadnjem času pa tudi tablični računalniki in pametni telefoni. V letu 2011 je prišlo do prelomne situacije, ko je število prodanih mobilnih naprav preseglo število klasičnih namiznih in prenosnih osebnih računalnikov. Gartner v letu 2012 postavlja tablične računalnike in pametne telefone na prvo mesto lestvice najpomembnejših strateških tehnoloških področij.

Heterogenost okolja klientov narašča

Če je bila do sedaj MS Windows običajna platforma operacijskega sistema namiznega in prenosnega računalnika, pa se danes v okviru tabličnih računalnikov, pametnih telefonov in drugih mobilnih naprav srečujemo z novimi operacijskimi platformami, kot so iOS, Android, Symbian itd. Iz »udobnega« uporabniškega okolja Windows, za katerega je na voljo vrsto kakovostnih in učinkovitih orodij za nadzor in upravljanje, torej prehajamo v multiplatformno heterogeno uporabniško okolje. Z vidika upravljanja informacijskega sistema se s tem pojavljajo izzivi v zvezi z obvladovanjem takega okolja. Eden od izzivov je prav gotovo kontrola dostopa v informacijski sistem.

Slika 1: Kontrola dostopa v informacijski sistem.

Kontrola dostopa v informacijski sistem

Uporabniki vstopajo v informacijski sistem preko komunikacijskega omrežja. Potencialne vstopne komunikacijske točke v informacijski sistem so lokalno žično omrežje, lokalno brezžično omrežje in vstopna točka preko ponudnika javne komunikacijske storitve. Zanima nas, kako omenjene vstopne točke učinkovito in enostavno nadzirati z vidika dostopa uporabnikov in uporabniških naprav. Najpogostejše rešitve na trgu, ki obravnavajo omenjeno problematiko, so poznane po imenom NAC (Network Admission Control), NAP (Network Access Protection), ISE (Identity Service Engine) in druge. Najnovejše rešitve, ki so trenutno še v razvoju, omogočajo celo sledenje uporabniške identitete preko vseh naprav komunikacijskega omrežja v informacijskem sistemu in s tem tudi vršenje varnostne politike na vseh omenjenih komunikacijskih točkah.

Osnovni mehanizmi kontrole dostopa do omrežja

Kot osnovne mehanizme kontrole dostopa uporabljamo tako imenovani trojni A (AAA).

Prvi A predstavlja postopek preverjanja pristnosti oz. avtentikacije (Authentication), kjer uporabnik oz. naprava, ki želi vstopiti v informacijski sistem, poda svojo identiteto. Le-ta je lahko podana z uporabniškim imenom in geslom, ki je lahko permanentno ali enkratno (OTP – One Time Password). Identiteta je lahko predstavljena tudi s certifikatom naprave oz. uporabnika. Poznamo tudi biometrične identitete, kot so prstni odtis, očesna šarenica itd. Drugi A predstavlja postopek pooblaščanja oz. avtorizacije (Authorization). Napravam in uporabnikom, ki jim je dostop v informacijski sistem odobren, lahko na ravni komunikacijske vstopne točke apliciramo vnaprej definirano varnostno politiko.

Tretji A predstavlja postopek vodenja računov (Accounting). Z omenjenim postopkom beležimo vse uspešne in neuspešne poizkuse avtentikacije in avtorizacije z namenom dostopa v informacijski sistem.

Slika 2: Osnovni mehanizmi kontrole dostopa v informacijski sistem.

Večina omenjenih mehanizmov kontrole dostopa zahteva standardizacijo klientov. To pomeni, da mora biti na končni napravi ustrezno nastavljena aplikacija, ki omogoča predpisano izvedbo postopka preverjanja pristnosti. Tak način je zato primeren predvsem za vnaprej poznane korporativne uporabnike in uporabnike partnerskih podjetij, ki redno dostopajo v naš informacijski sistem.

Osnovni mehanizmi kontrole dostopa obravnavajo tudi dostop v informacijski sistem za goste podjetja oz. organizacije. Gre za nepoznane naprave in uporabnike, ki jim zaradi varnostnih razlogov običajno ponudimo le dostop do javnega internetnega omrežja. Če imamo v podjetju organiziran proces dodeljevanja začasnih uporabniških računov gostom podjetja, potem govorimo o sledenem dostopu za goste, za katere je omogočena izvedba postopka preverjanja pristnosti preko spletnega portala. Kadar procesa dodeljevanja računov ni možno zagotoviti, pa izvajamo nesledeni dostop za goste. Ker njihovi osebni sistemi niso ustrezno prilagojeni, le-ti ne morejo uspešno opraviti predpisanega postopka preverjanja pristnosti, zato jih enostavno izoliramo na ravni komunikacijskega omrežja, od koder jim dodelimo le dostop do internetnega omrežja.

Napredni mehanizmi kontrole dostopa

Če so osnovni mehanizmi kontrole dostopa usmerjeni predvsem v identiteto tistega, ki dostopa, so napredni mehanizmi usmerjeni v ugotavljanje lastnosti naprave oz. uporabnika, ki dostopa, in posledično vršenje varnostne politike.

Najpogostejši napredni mehanizem je preverjanje stanja naprave, ki dostopa v informacijski sistem (Posture Validation). Pri tem nas zanima, ali naprava ustreza vsem predpisanim standardom informacijskega sistema organizacije. Stanje uporabniške naprave sporoča sistemu posebni agent, ki ga predstavlja programska oprema, nameščena na uporabniški napravi. Navadno nas zanimata tip in verzija operacijskega sistema, nameščenost predpisanih varnostnih popravkov, nastavitev predpisanih varnostnih mehanizmov, izvajanje ustreznih protivirusnih zaščit, prisotnost predpisanih datotek itd. Če uporabniška naprava ne ustreza predpisanim standardom, ji omejimo dostop v informacijski sistem do t. i. karantene, od koder ne more ogrožati informacijskega sistema. V karanteni se za omenjeno napravo zažene avtomatizirani postopek urejanja (Remediation). Ko je postopek uspešno zaključen, se napravi omogoči dostop, ki ji po definirani varnostni politiki podjetja pripada. Ker postopka preverjanja stanja in urejanje zahtevata namestitev agentov na končnih napravah, sta zanimiva predvsem za osebne sisteme internih uporabnikov podjetja. Potrebujemo torej še postopek preverjanja nepoznanih naprav brez omenjenih agentov (Agentless scanning, Auditing), s katerim bomo zagotovili tudi preverjanje stanja končnih naprav, ki informacijskemu sistemu še niso poznane. V veliko pomoč pri izvajanju kontrole dostopa nam je tudi profiliranje (Profiling) končnih naprav. Inteligenca, ki je vgrajena v omenjeno funkcionalnost, nam omogoča, da sistem avtomatsko profilira naprave in jih nato razporedi v ustrezne skupine, za katere se posledično vrši predpisana varnostna politika. Sistem je sposoben avtomatsko profilirati končne naprave glede na proizvajalca, model, tip generiranega omrežnega prometa, naprave, s katerimi komunicira, uporabljene protokole itd.

Slika 3: Napredni mehanizmi kontrole dostopa v informacijski sistem.

Poročanje (Reporting) je ena ključnih funkcionalnosti, ki jih mora zagotavljati dobra rešitev kontrole dostopa. Omogoča nam vpogled v zgodovino dostopanja v informacijski sistem in s tem predstavlja odlično izhodišče za upravljanje pomanjkljivosti sistema kontrole dostopa. Le-te lahko odpravimo in še dodatno povišamo raven varovanja vstopnih točk v informacijski sistem.

Predpogoj za uvedbo rešitve kontrole dostopa v informacijski sistem je natančno definirana korporativna varnostna politika informacijskega sistema.

Kontrola dostopa in mobilne naprave

Poglejmo, kakšne posebnosti in izzive nam v zvezi s kontrolo dostopa prinaša pojav heterogenega okolja mobilnih naprav. Danes najpogosteje uporabljane naprave, ki nam kvarijo homogenost do sedaj udobnega okolja Windows, so predvsem tablični računalniki in pametni telefoni. Omenjene naprave se v omrežja priključujejo preko brezžične povezave lokalnega omrežja ali preko komunikacijske vstopne točke mobilnih operaterjev. Žična povezava za omenjene naprave ni zanimiva. Za to skupino naprav sta torej glede kontrole dostopa zanimivi le dve vstopni točki v informacijski sistem. To sta brezžično lokalno omrežje in oddaljeni dostop, pri katerem se vstopna točka kontrole nahaja med našim, internim, in javnim, zunanjim omrežjem.

Gledano z vidika osnovnih mehanizmov kontrole dostopa, ki preverjajo identiteto naprave oz. uporabnika, je danes mogoče brez večjih težav zagotoviti kontroliran dostop do informacijskega sistema tako tabličnim računalnikom kot pametnim telefonom preko brezžičnega lokalnega omrežja. Vse omenjene naprave namreč omogočajo večino najpopularnejših avtentikacijskih standardov, ki pa morajo biti seveda ustrezno nastavljeni.

Gostom, ki bodo želeli s pomočjo mobilne naprave dostopati preko našega lokalnega brezžičnega omrežja, bomo lahko brez težav ponudili že omenjeni sledeni dostop v internet s preverjanjem pristnosti preko spletnega portala.

Pri oddaljenih uporabniških dostopih se za dostop uporabljajo različne tehnologije VPN, ki  zagotavljajo varno, kriptirano komunikacijo do informacijskega sistema preko javnih komunikacijskih poti. Nekatere tehnologije VPN zahtevajo odjemalca VPN, ki ga predstavlja posebna aplikacija na uporabniški napravi. Odjemalci VPN mobilnih naprav morajo biti kompatibilni s standardi agregacijske naprave, ki predstavlja vstopno točko VPN v informacijski sistem, kar pa vedno ne drži. V tem primeru smo v prednosti, če uporabljamo agregator, na katerem je omogočena natančna parametrizacija standarda VPN. Nekateri večji proizvajalci rešitev za agregacijo povezav VPN so za najpogosteje uporabljene operacijske sisteme pripravili svoje aplikacije, ki predstavljajo odjemalce VPN. Pri omenjenih kompatibilnost med odjemalcem in vstopno točko seveda ni vprašljiva. Problematiko kompatibilnosti nam rešujejo tudi vedno aktualnejše WEB VPN tehnologije, kjer ustreznega odjemalca VPN uporabniški mobilni napravi priskrbi kar sam agregator povezav VPN.

Kaj pa napredni mehanizmi kontrole dostopa? Zavedati se moramo, da bomo s priključevanjem vedno večjega števila nestandardnih mobilnih naprav v naš informacijski sistem morali poskrbeti tudi za nadzor stanja le-teh. V nasprotnem primeru bodo mobilne naprave lahko potencialni kandidati za proženje neprijetnih varnostnih incidentov, kot so npr. vnos zlonamerne kode, vdori ipd. Napredne rešitve kontrole dostopa so v razvoju in nam do neke mere že omogočajo kontrolirati dostop mobilnih končnih naprav glede na njihovo stanje, vendar pa je implementacij zaenkrat malo, saj rešitvam primanjkuje zrelosti in celovitosti, organizacijam pa volje in pripravljenosti za implementacijo. To lahko za informacijske sisteme, kot jih poznamo danes, predstavlja velik varnostni problem, za podjetja pa nevarnost finančne škode zaradi morebitnega varnostnega incidenta.

Slika 4: Število prodanih mobilnih naprav je v letu 2011 prvic preseglo število klasicnih osebnih
racunalnikov (vir: Cisco, 2011).

V zadnjem času se pojavlja nov princip obravnave uporabniških naprav informacijskega sistema. Imenujemo ga BYOD – Bring Your Own Device. To pomeni, da vsak zaposleni lahko v podjetje prinese in uporablja poljubni osebni sistem s poljubnim operacijskim sistemom, ki mu je najbolj pri srcu. Podjetje uporabniku preko ustreznega terminalskega odjemalca zagotovi izključno prezentacijsko raven poslovnih aplikacij, ki jih potrebuje za svoje delo. Podjetja ugotavljajo, da s takim načinom ogromno privarčujejo, saj se znebijo stroška nabave in upravljanja okolja osebnih uporabniških sistemov. Če bo prišlo v prihodnosti do množične uporabe principa BYOD, bo to močno vplivalo tudi na reševanje problematike kontrole uporabniškega dostopa v informacijski sistem, saj bodo odjemalci v tem primeru za nemoteno delo potrebovali minimalno odprtost informacijskega sistema, kar bo posledično zmanjšalo ogroženost informacijskega sistema in s tem najverjetneje tudi potrebo po principih kontrole dostopa, ki jih v tem članku obravnavamo pod kategorijo »napredni«.

Na trgu se poleg rešitev za kontrolo dostopa pojavljajo tudi rešitve za centralizirano upravljanje mobilnih naprav v informacijskem sistemu. Če smo nekako razrešili izziv izvajanja kontrole dostopa za mobilne naprave, nas čaka še težja naloga pri centraliziranem upravljanju mobilnih naprav, kjer bomo iskali univerzalni sistem, ki bo obvladoval heterogeno okolje klientov z različnimi operacijskimi sistemi. Več o tem pa v eni od naslednjih izdaj revije InfoSRC.

Klemen Renko