MobileIron und iOS · Jeder Prozessor in einem iOS-Gerät (Anwendungs-prozessor, Baseband-Chipsatz...
15
1 MobileIron und iOS: Das Sicherheits-Backbone für das digitale Unternehmen MKT DE v1.1 415 East Middlefield Road Mountain View, CA 94043, USA [email protected] www.mobileiron.com Tel.: +1 877 819 3451 Fax: +1.650.919.8006
Transcript of MobileIron und iOS · Jeder Prozessor in einem iOS-Gerät (Anwendungs-prozessor, Baseband-Chipsatz...
1
MobileIron und iOS: Das Sicherheits-Backbone für das digitale Unternehmen
MKT DE v1.1
415 East Middlefield Road
Mountain View, CA 94043, USA
www.mobileiron.com
Tel.: +1 877 819 3451
Fax: +1.650.919.8006
2
Inhalt
Zusammenfassung für die Geschäftsleitung
Einführung: Absicherung des benutzerorientierten, modernen digitalen Unternehmens
iOS Sicherheit: Schutz von innen nach außen
Secure Boot: Sichere Vertrauenskette gewährleisten
Obligatorische Code-Signatur: Integrität aller iOS Updates sicherstellen
App Store: Anwendungen bereitstellen und aktualisieren
App-Ausführung: Gegen nicht autorisierten Code schützen
Standard-Verschlüsselung: Gespeicherte und übertragene Daten schützen
iOS-Gerätekonfiguration, Verwaltung und Zuständigkeit
Konfigurationsprofile: Geräteeinstellungen verteilen
Mobiles Gerätemanagement: Anmeldung und Ausführung von Befehlen zur Fernverwaltung
Überwachung: Erweiterte Sicherheitsfunktionen für Unternehmen
Geräteregistrierungsprogramm: Obligatorische MDM-Registrierung und OTA-Überwachung
MobileIron EMM: Schutz von außen
Erste Schritte: Benutzer-Autorisierung und Authentifizierung
Verknüpfung von Geräten, Benutzern und Richtlinien über Unternehmensverzeichnisse
Stärkere, einfachere Benutzerauthentifizierung mit digitalen Zertifikaten, Kerberos und Single Sign-On
In Größenordnungen verwalten und absichern: Das MDM-Protokoll als Kontrollebene für das Unternehmen
Einfache Gerätebereitstellung mit wenig Handarbeit
Verwaltung konkret: App-Sicherheit und Lebenszyklusmanagement
Verteilung mobiler Apps über einen Unternehmens-App Store
Mobiles Anwendungsmanagement: Die App-Sandbox erweitern
Mehr Sicherheit für interne Anwendungen: MobileIron AppConnect
Sichere dynamische Zugriffskontrolle
Schutz von Daten während der Übertragung mit Tunneling
MobileIron Access: Erweiterung der Sicherheit und Vertrauenswürdigkeit auf SaaS-Apps
MobileIron ServiceConnect: Integration mit Unternehmenssicherheitssystemen von Drittanbietern
EMM + iOS: Blaupause zur Absicherung des modernen mobilen Unternehmens
3
4
6
10
15
3
Zusammenfassung für die Geschäftsleitung
Das moderne mobile Unternehmen expandiert in jedem Teil der Welt und in jeder Branche schneller als je zuvor. In immer größerem Umfang suchen Unternehmen nach umfassenden Sicherheits-Blaupausen, mit denen sie ihre Mobilgeräte, Apps und Daten ohne Abstriche bei der Produktivität oder dem Benutzererlebnis absichern können. Aus diesem Grund ist iOS das bevorzugte mobile Betriebssystem für viele Unternehmen, denn es ist hoch intuitiv, benutzerfreundlich und leicht zu verwalten.
In den jüngsten Releases integrierte Apple mehrere Sicherheits- und App-Verwaltungsfunktionen, mit denen die IT-Teams die Integrität mobiler Apps und Daten auf jedem iOS-Gerät sicherstellen können. Zwar werden mit diesen Funktionen viele kritische Sicherheitsprobleme beseitigt, aber kein Betriebssystem ist immun gegen Datenverlust und Angriffe moderner Malware. Mit der Interprise Mobility Management Plattform (EMM) von MobileIron erhalten IT-Abteilungen eine umfassende mobile Lösung, die die Sicherheitsfunktionen in iOS ergänzt und erweitert.
Kurz, iOS bietet Sicherheit „von innen nach außen“, d. h. die iOS-Sicherheit beginnt schon mit der Chip-Produktion und erstreckt sich über den gesamten Lebenszyklus der Software und des Gerätes. Die EMM-Plattform von MobileIron bietet einen mobilen Schutz „von außen nach innen“, indem Unternehmen die Möglichkeit geboten wird, eine umfassende mobile Sicherheitsstrategie zu installieren, die Geräte, Apps und Daten schützt, unabhängig davon, wann und wo der Benutzer auf die Umgebung zugreift, beispielsweise auf Cloud-Ressourcen über ungesicherte Netzwerke. Die EMM-Plattform von MobileIron ist eine standardisierte Plattform zur automatischen Verteilung von Konfigurationen und Sicherheitseinstellungen für die Geräte im Unternehmen.
In diesem Whitepaper finden Sie eine eingehende Analyse der Sicherheitsfunktionen von iOS und der EMM-Plattform von MobileIron. Es erläutert außerdem, wie diese beiden Teile es Unternehmen ermöglichen, eine große Zahl von iOS-Geräten mit hoher Sicherheit bereitzustellen und auf einfache Weise zu konfigurieren, abzusichern und mit den aktuellsten Sicherheitsrichtlinien und App-Updates zu pflegen.
4
Einführung: Absicherung des benutzerorientierten, modernen digitalen Unternehmens
Tausende Unternehmen in aller Welt haben bereits begonnen, sich zu echten Echtzeitunternehmen zu entwickeln, bei denen das digitale Benutzererlebnis der Kern ihrer Wettbewerbsstrategien ist. Jeder wichtige Unternehmensprozess in jeder internationalen Branche, sei es Gesundheitswesen, Produktion, Einzelhandel, Technologie, Transport oder Finanzdienstleistungen, basiert heute auf sicheren und reibungslosen digitalen Transaktionen. Wettbewerbsfähig zu bleiben, erfordert daher heute mehr als nur die Einrichtung von E-Mail auf Mobilgeräten. Benötigt wird eine Blaupause zur Umsetzung einer Mobilstrategie, die die komplexen Sicherheitsanforderungen erfüllt, ohne das digitale Benutzererlebnis zu verschlechtern.
Der Aufbau eines benutzerorientierten, digitalen Workspace wird durch die steigende Anzahl von Sicherheitsanforderungen kompliziert, die jedes Unternehmen heute erfüllen muss. Nach Angaben des Ponemon Institute trägt zur Komplexität der IT-Sicherheit vor allem die immer stärkere Nutzung von Cloud-Apps und Mobilgeräten bei.1 Zwar ist eine bestimmte Komplexität in jedem Unternehmen vorhanden, eine zu hohe Komplexität kann jedoch dazu führen, dass das Unternehmen schlechter in der Lage ist, auf Cyber-Bedrohungen zu reagieren. Komplexität kann auch zur Entstehung eines Umfeldes beitragen, das durch inkompatible Sicherheitstechnologien für verschiedene Plattformen, durch inkonsistent
angewendete Sicherheitsrichtlinien und durch ein überfordertes Sicherheitsteam fragmentiert ist, dem einfach die Ressourcen fehlen, um eine immer schneller wachsende Zahl von Mobilgeräten sicher zu verwalten. Die Komplexität erhöht sich auch durch die Explosion der unstrukturierten Daten und die ständigen Veränderungen aufgrund von Fusionen und Übernahmen, Ausgliederung und Reorganisation von Unternehmen oder Downsizing.2 Aufgabe der IT ist es, diese massive Komplexität vor dem Endbenutzer zu verbergen, sodass dieser nur sichere, intuitive und benutzerfreundliche mobile Apps und Daten zu sehen bekommt.
iOS hat sich u. a. deshalb zur dominierenden globalen Plattform für Mobilität entwickelt, weil es benutzerfreundlich ist und ein hoch produktives Benutzererlebnis bietet. iOS ist zwar weiter eine gute Adresse für Sicherheit, aber kein mobiles Betriebssystem ist gegen Bedrohungen immun. Die Unternehmens-IT benötigt daher eine umfassende iOS-Sicherheitsstrategie mit einer EMM-Plattform, die mobile Angriffe vorhersehen und verhindern kann. Vor allem aber brauchen Unternehmen eine Vereinheitlichung der fragmentierten, hochkomplexen IT-Infrastrukturen, damit sie die Vielzahl der iOS-Unternehmens-Apps und Geräte weltweit absichern können — auch Desktops, Wearables und andere Geräte, die noch nicht auf dem Markt sind.
1 Ponemon Institute LLC, “The Cost and Consequences of Security Complexity,” November 2016.
2 Ponemon Institute LLC
5
Anatomie moderner Sicherheitslücken und Attacken Oberflächlich betrachtet ähneln die Gefahren für moderne Mobilgeräte denjenigen traditioneller Endgeräte. Es gibt jedoch wichtige Unterschiede bei der Nutzung von Sicherheitslücken und der Ausführung von Angriffen.
Höhere Kosten durch Sicherheitslücken Ein Mobilgerät, das nicht die Compliance einhält oder gefährdet ist, erhöht das Risiko und die Kosten für das Unternehmen, da Datendiebstahl immer teurer wird. Im Jahr 2016 führte das Ponemon Institute eine Umfrage unter 383 Unternehmen in 12 Ländern durch. Es ergab sich, dass die durchschnittlichen Gesamtkosten einer Verletzung des Datenschutzes bei 4 Millionen US-Dollar liegen – gegenüber 2013 ein Anstieg um 29 %.3
Gerät und Betriebssystem Sicherheitslücken im Betriebssystem sind nichts Neues, mobile Betriebssysteme bieten jedoch eine bessere Sicherheit aufgrund der strikteren Durchsetzung von Grenzen zwischen Kernel und Benutzer-Space sowie Verfahren wie Anwendungs-Sandboxing. Diese Mechanismen sind jedoch nicht perfekt, und die Möglichkeit, das Betriebssystem zu verändern (sogenanntes „jailbreaking“ oder „rooting“) entfernt die Schutzfunktionen des Betriebssystems. Diese Modifikationen, die ursprünglich von Power Usern genutzt wurden, um das Verhalten ihrer Geräte zu verändern, werden jetzt zu Komponenten verschiedener Malwareattacken.
Netzwerke Mobilgeräte können Verbindungen mit weit mehr Netzwerken aufbauen als traditionelle Endgeräte, außerdem werden vergleichsweise wenige davon über das Unternehmen verwaltet. Weil die Sicherheit dieser Netzwerke sehr unterschiedlich sein oder auch komplett fehlen kann (in den meisten Fällen), stellen sie für Angreifer eine Chance dar, Daten abzuhören oder andere kriminelle Handlungen auszuführen. Unternehmen müssen sicherstellen, dass ihre Daten bei der Übertragung zwischen den Unternehmens-Repositories und den Endgeräten, die darauf Zugriff haben, geschützt sind.
Apps und Daten Traditionelle Malware hat bei Mobilgeräten aufgrund der Architektur der Mobilgeräte sowie der Maßnahmen in kommerziellen App Stores, welche das Eindringen und die Verbreitung von Malware verhindern, nur eine begrenzte Reichweite. Weil private und geschäftliche Apps auf Endbenutzergeräten gleichzeitig vorhanden sind, können nicht autorisierte „Benutzer-Agenten“ auf Unternehmensdaten zugreifen. Außerdem ist es möglich, dass die Apps die gespeicherten oder übertragenen Daten nicht angemessen schützen. Sie können auch sensible Informationen offenlegen oder versuchen, Anmeldeinformationen zu sammeln.
Benutzerverhalten Aufgrund der ständigen Vernetzung und der vielen verfügbaren Produktivitätstools entstehen durch Mobilgeräte Szenarien, bei denen die Endbenutzer bewusst oder unbewusst Unternehmensdaten offenlegen. Eine solche Aktion kann beispielsweise die Weiterleitung einer E-Mail sein, d. h. der Empfang einer Nachricht über die geschäftliche E-Mailadresse und deren Weiterleitung an eine private E-Mail-Adresse oder die Übertragung von Daten in Cloud-Speicherdienste für Privatpersonen. Um diese Risiken zu reduzieren, müssen Unternehmen mit einer Strategie sicherstellen, dass die Benutzer zwar Zugriff auf die benötigten Daten haben, deren Weitergabe jedoch kontrolliert werden kann, um eine unbefugte Offenlegung zu verhindern.
3 https://www.mobileiron.com/en/quarterly-security-reports/q2-2016-mobile-security-and-risk-review
6
iOS Sicherheit: Schutz von innen nach außen
Alles begann 2007 mit einer innovativen Hardware, die ein tolles Benutzererlebnis bot, sowie einem hervorragenden mobilen Browser, der zum soliden Fundament einer grundlegenden Umgestaltung in den Unternehmen geworden ist. Als Apple das iPhone und das iOS-Betriebssystem auf den Markt brachte, war der Weg frei für ein ganz neues Konzept des Endpunkt-Computing und der Endpunkt-Sicherheit. Die erfolgreiche Kombination von Sicherheitsfunktionen und Benutzerfreundlichkeit trug dazu bei, dass iOS sich im Unternehmen eine dominierende Position verschaffte und diese mit über 80 % Marktanteil bei mobilen Unternehmensgeräten verteidigen konnte.4
Die Sicherheit der iOS-Geräte wird durch eine spezifische Kombination aus Hardware und Softwarefunktionen erreicht, die das Gerät schützen sollen. Die gespeicherten bzw. übertragenen Daten und das Ökosystem aus Apps und Internetdiensten, die vom Gerät genutzt werden, werden ebenfalls geschützt. Sicherheit ist ein zentrales Ziel des iOS, sodass die Integration von Sicherheitskomponenten und Sicherheitsfunktionen bereits mit der Chip-Produktion beginnt. Die iOS-Sicherheit reicht über das Gerät und den Softwarelebenszyklus hinaus. Viele der im Folgenden besprochenen Sicherheitsfunktionen sind standardmäßig aktiviert und bis auf einige Fälle vom Endbenutzer nicht konfigurierbar.
Sicherer Start: Gewährleistung einer sicheren Vertrauenskette
Jeder Prozessor in einem iOS-Gerät (Anwendungs-prozessor, Baseband-Chipsatz sowie Secure Enclave auf Geräten mit dem Chip A7 oder neueren Chips) nutzt einen sicheren Startprozess, der in jeder Phase kryptografisch signierte Komponenten benötigt und eine Vertrauenskette sicherstellt, so dass der Startvorgang nur fortgesetzt wird, wenn diese Vertrauenskette verifiziert wurde.
Nicht autorisierte Modifikation des Betriebssystems
Die Modifikation von iOS ohne die übliche Standard-Aktualisierungsprozedur, das sogenannte „jailbreaking“, bezieht sich auf eine Reihe von Verfahren, mit denen iOS gehackt wird, um die Funktionalität zu verändern. Bei solchen Modifikationen werden viele Sicherheitsfunktionen umgangen, die wesentlicher Bestandteil von iOS sind, und die Geräte können einer Vielzahl unerwünschter Nebenwirkungen ausgesetzt sein,5 beispielsweise:
• Verkürzte Akkunutzungsdauer
• Instabiles Betriebssystem
• Störung von Diensten wie Voice, Daten und Apple Push-Benachrichtigungen (APNs)
• Kein Schutz gegen Malware und andere Sicherheitslücken
• Keine Möglichkeit zukünftiger Updates oder komplette Deaktivierung des Gerätes
Der allgemeine Trend, das Betriebssystem ohne Genehmigung zu modifizieren, ist relativ gering oder hat sich sogar abgeschwächt. Geräte mit gefährdeten Betriebssystemen können jedoch ein signifikantes Risiko für Benutzer- und Unternehmensdaten darstellen, daher sollten Maßnahmen dagegen ergriffen werden.6
4 Quelle: MobileIron 2Q16 Security and Risk Review.5 Weitere Informationen: https://support.apple.com/en-us/HT201954
6 Quelle: MobileIron 2Q16 Security and Risk Review
7
Obligatorische Code-Signatur: Integrität aller iOS Updates sicherstellen
Die Nutzung der verschlüsselten Verifizierung beschränkt sich aber nicht auf den sicheren Startvorgang. Verwendet wird sie auch ständig, um die Integrität aller iOS Updates sicherzustellen. Bei einem Betriebssystem-Upgrade empfangen die Apple-Installationsautorisierungs-server eine Liste verschlüsselter „Maßnahmen“ für jede Komponente des Installationspaketes, die eindeutige ID des Gerätes und einer Einmalmarkierung, mit der Replay-Angriffe verhindert werden. Wenn die Maßnahmen zu den Versionen passen, für die Upgrades zulässig sind, signiert der Autorisierungsserver das Ergebnis und gibt es mit dem Upgrade-Payload zurück. Auf diese Weise sind Betriebssystemupdates weitgehend vor Manipulationen geschützt.
Die Code-Signatur spielt für installierte und im iOS gestartete Anwendungen ebenfalls eine Rolle. Sämtlicher ausführbarer Code im iOS muss aus einer bekannten und genehmigten Quelle stammen, die durch Nutzung des von Apple ausgestellten Zertifikates überprüft wird. Die obligatorische Code-Signatur validiert nicht nur die Quelle, sondern verhindert auch, dass Apps von Drittanbietern nicht signierte Module laden oder mit polymorphen Code die Funktion der App dynamisch ändern.
App Store: Anwendungen bereitstellen und aktualisieren
Der App Store hat vor allem die Aufgabe, die Infrastruktur für die Bereitstellung und Aktualisierung der Anwendungen anzubieten. Der App Store spielt jedoch auch eine zentrale Rolle bei der Gerätesicherheit. Alle im App Store angebotenen Apps werden von Apple geprüft; es wird getestet, ob sie wie beschrieben funktionieren, frei von offensichtlichen Fehlern sind und allgemein die Best Practices für die iOS App-Entwicklung berücksichtigen. Damit Entwickler eine App über den App Store verteilen können, müssen sie sich zudem für das Apple Developer Program registrieren. Mit dieser Registrierung kann Apple die Identität des Entwicklers validieren und ein Zertifikat
ausstellen, mit dem die App des Entwicklers in den App Store hochgeladen und auf dem Gerät gestartet werden kann (weitere Informationen dazu auf der Seite mit Ausführungen zur obligatorischen Code-Signatur). Die Notwendigkeit einer gültigen Identität schreckt Entwickler ab, die Schadsoftware programmieren. Vor allem aber kann das Entwicklerzertifikat zurückgezogen werden, wenn bei einer App Schadsoftware festgestellt wird. Dadurch wird der Start aller Anwendungen dieses Entwicklers verhindert.
App-Ausführung: Gegen nicht autorisierten Code schützen
Die App-Ausführung in iOS unterscheidet sich signifikant von traditionellen Betriebssystemen. Im Gegensatz zu den alten Betriebssystemen laufen die meisten Systemprozesse und alle Apps von Drittanbietern in iOS als Prozess bzw. App eines Benutzers ohne Rechte. Apps werden zudem in der Sandbox ausgeführt, was verhindert, dass sie das Gerät und das Betriebssystem modifizieren, auf die Daten anderer Apps zugreifen und diese modifizieren. Apps können Frameworks oder Bibliotheken öffnen, die auf andere Apps des gleichen Entwicklers zugreifen können. Integrierte ausführbare Dateien können jedoch keine Verbindung mit einer Bibliothek aufbauen, die nicht zusammen mit dem System ausgeliefert wurde, sodass auch dadurch die Ausführung von nicht autorisiertem Code verhindert wird.
Standard-Verschlüsselung: Gespeicherte und übertragene Daten schützen
Die Daten im Flashspeicher eines iOS-Gerätes werden durch die sogenannte Datenschutztechnologie geschützt. Die Datenschutztechnologie basiert auf den Verschlüsselungshardwarefunktionen zur dateiweisen Verschlüsselung mit einem dedizierten AES-256-Verschlüsselungsmodul, das in jedem Gerät integriert ist. Jeder neuen Datei wird eine Datenschutzklasse zugewiesen, wenn sie erstellt wird. Die Dateiver-schlüsselungsschlüssel werden entsprechend der zugewiesenen Klasse verschlüsselt. Der Datenschutz ist für alle Apps von Drittanbietern ab iOS 7 aktiviert. Vor allem aber bietet die Datenschutztechnologie
8
einen Mechanismus, Verschlüsselungsschlüssel aus dem Speicher zu entfernen, sodass kontrolliert werden kann, ob und wie Daten verschlüsselt und zugänglich gemacht werden.
Neben dem Schutz der gespeicherten Daten auf dem Gerät unterstützt iOS auch den Schutz der Daten, die übertragen werden. Ab iOS 9 steht mit App Transport Security (ATS) ein Mechanismus zur Verfügung, der die Verschlüsselung von Verbindungen für Internetdienste mit Transport Layer Security (TLS) v1.2. erzwingt. Apple wollte damit die Verwendung von ATS bzw. explizit definierten Ausnahmen ab 1. Januar 2017 für alle im App Store angebotenen Apps erzwingen. Dieser Zwang wurde vorübergehend aufgehoben, Apple empfiehlt jedoch sehr die Verwendung von HTTPS, sodass die Daten, die Endbenutzer und Unternehmen abrufen, besser gegen versehentliche Offenlegung oder Abhören während der Übertragung geschützt sind. Durch die Verwendung von TLS v1.2 sind außerdem die Backend-Dienste weniger durch Angriffe gefährdet, die Schwachstellen älterer Protokollversionen ausnutzen.
iOS-Gerätekonfiguration, Verwaltung und Zuständigkeit
iOS-Sicherheitsüberlegungen betreffen neben der Integrität des Betriebssystems und der Anwendung auch den Lebenszyklus bei der Verwaltung und Aktualisierung der Geräteeinstellungen. Diese Parameter können entsprechend eingestellt werden, je nachdem, ob das Gerät ein unternehmenseigenes Gerät ist oder als Eigentum des Mitarbeiters sowohl für private als auch berufliche Aufgaben verwendet wird.
Konfigurationsprofile: Geräteeinstellungen verteilen
iOS bietet einen Mechanismus zur Verteilung kundenspezifischer Einstellungen in Form von Konfigurationsprofilen an.7 Diese XML-Dateien können diverse Einstellungen enthalten, beispielsweise digitale Zertifikate, E-Mail-Konten (POP, IMAP und Microsoft Exchange), LDAP-Verzeichnisdienste, Web-Clips, WLAN und VPN. Konfigurationsprofile können mit einer macOS-App erstellt werden, dem Apple Configurator 2. Anschließend können sie durch Verbindung der Geräte mit dem gestarteten Apple Configurator 2 über USB oder
mehrere over-the-air-Verfahren (OTA) installiert werden. In den Konfigurationsprofilen definierte Einstellungen können von dem Benutzer nicht modifiziert werden. IT-Administratoren des Unternehmens haben damit eine bequeme Möglichkeit, die Konfiguration von iOS-Geräten zu standardisieren.
Mobiles Gerätemanagement: Anmeldung und Ausführung von Befehlen zur Fernverwaltung
Das Konzept des mobilen Gerätemanagements (MDM) wurde in iOS 4 eingeführt und ermöglicht den Geräteadministratoren die Ausführung von Verwaltungsaufgaben aus der Ferne. MDM nutzt eine Kombination aus http, TLS und APNs und besteht aus dem MDM-Anmeldeprotokoll und dem MDM-Protokoll. Mit dem Anmeldeprotokoll wird verifiziert, ob das Gerät für die MDM-Registrierung geeignet ist, und es wird sichergestellt, dass der Verwaltungsserver mit dem Gerät kommunizieren kann. Das MDM-Protokoll definiert die aktuellen Befehle, mit denen Administratoren Operationen auf den Geräten ausführen können. Die Befehle lassen sich in zwei Kategorien unterteilen: Abfragen und Aktionen. Mit Abfragen können Administratoren Informationen über das Gerät sammeln, mit Aktionen können sie Funktionen ausführen, beispielsweise eine App entfernen oder das Gerät auf die Werkeinstellung zurücksetzen.
Überwachung: Erweiterte Sicherheitsfunktionen für Unternehmen
In MDM registrierte mitarbeitereigene Geräte werden mit einem Basissatz von Sicherheits- und Verwaltungsfunktionen verwaltet, unternehmenseigene iOS-Geräte im überwachten Modus jedoch durch restriktivere IT-Funktionen als bei dem MDM-System. Beispielsweise wird die Überwachung häufig bei Geräten eingesetzt, die im Einzel-App-Modus arbeiten sollen, d. h. auf dem Gerät kann im gesperrten Kiosk-Modus oder in einer dedizierten Konfiguration nur eine einzige App gestartet werden. Die IT kann außerdem den Zugang zu Funktionen verbieten, die für Verbraucher und persönliche Nutzung freigegeben sind, beispielsweise den Zugriff auf die iCloud Photo Bibliothek und das automatische Herunterladen von Apps. Dafür definiert die IT Restriktionen, die der Benutzer nicht ändern kann.
7 Weitere Informationen: https://developer.apple.com/library/content/featuredarticles/iPhoneConfigurationProfileRef/Introduction/Introduction.html
9
Auf überwachten Geräten können IT-Administratoren verhindern, dass die Benutzer Anwendungen aufrufen, die Beschränkungen unterliegen. Der Benutzer kann zwar eine App aus der Blacklist herunterladen, ein EMM-Server kann jedoch mit MDM-Kontrollen die Ausführung der App sperren oder sogar die Anzeige der App unterbinden. Beispielsweise kann ein Unternehmen die Nutzung von Social Media wie Facebook auf überwachten betrieblichen Geräten unterbinden. Überwachte Geräte können so gesperrt werden, dass die Mitarbeiter nur Zugriff auf vom Unternehmen genehmigte Apps und nicht auf andere Apps haben, d. h. auch nicht auf die Apps, die in iOS standardmäßig vorhanden sind. Die IT-Administratoren können zudem kontrollieren, welche Apps, Symbole und Web-Clips auf dem Startbildschirm angezeigt werden und Anwendungen mit Hilfe von MDM-Kontrollen permanent im Dock platzieren.
Geräteregistrierungsprogramm: Obligatorische MDM-Registrierung und OTA-Überwachung
Das Geräteregistrierungsprogramm (DEP) verbindet das Gerät mit dem Beschaffungskonto des Unternehmens bei Apple über die eindeutige Seriennummer des Gerätes. Der Kunde erhält damit Zugang zu einem Onlineportal, in dem er Seriennummern oder komplette Bestellungen konfigurieren kann, um die OTA-Überwachung oder bei Bedarf eine MDM-Registrierung zu erzwingen, sodass der Benutzer das MDM-Profil nicht entfernen kann.
DEP bietet für IT-Administratoren einen Mechanismus zur rationelleren Einbeziehung der Mitarbeiter an. Mit DEP kann die IT das standardmäßige Benutzererlebnis modifizieren und viele unnötige Eingaben entfernen, indem sie die Schritte im iOS Setup-Assistenten anpasst und ggf. bestimmte Bildschirmanzeigen überspringt. Weniger Eingaben und weniger Mitteilungen bedeuten weniger Frustration für die Mitarbeiter und sorgen dafür, dass die Mitarbeiter das Gerät schneller akzeptieren sowie schneller betriebsbereit und produktiv sind.
„Verwaltete“ und „Überwachte“ Geräte: der Unterschied
Verwaltetes Gerät: Ein verwaltetes Gerät kann Eigentum des Mitarbeiters oder des Unternehmens sein. Bei einem verwalteten Gerät kann die IT-Abteilung Unternehmensdaten und Unternehmens-App separat von den privaten Daten des Mitarbeiters sichern und verwalten, indem sie ein MDM-Profil installiert. Unternehmens-Content und Unternehmens-Apps können gelöscht werden, wenn das Gerät verloren geht, gestohlen wird oder die Compliance-Bedingungen nicht mehr erfüllt. Private Informationen bleiben davon unberührt. Ein verwaltetes Gerät erfüllt die Sicherheitsanforderungen des Unternehmens und kann ein privates Konto und ein getrenntes Firmenkonto sowie entsprechende Apps und Daten enthalten. Es kann aber nicht verhindert werden, dass ein Endbenutzer die meisten Verbraucherfunktionen des Apple-Betriebssystems sowie das Apple-Ökosystem nutzt.
Überwachtes Gerät: Apple betont, dass der Überwachungsmodus der einzige wünschenswerte Modus ist, weil nur dann ein Unternehmen die volle Kontrolle besitzt und die iOS-Gerätefunktionen beschränken kann. Den Überwachungsmodus gibt es nur für unternehmenseigene Geräte. Die IT erhält damit eine umfangreichere Kontrolle als bei einem verwalteten Gerät. Im überwachten Modus kann ein iOS-Gerät mit verschiedenen Verwaltungsfunktionen gesichert werden, beispielsweise dem Single-App-Modus und VPN. Die IT kann außerdem Funktionen beschränken, beispielsweise Downloads automatischer Apps sowie die iCloud-Fotobibliothek. Diese Beschränkungen kann der Benutzer nicht aufheben. Die Überwachung beginnt in der Regel mit der Gerätekonfiguration über eine USB-Verbindung oder OTA und DEP.
10
MobileIron EMM: Schutz von außen
Apple verbessert laufend die Sicherheit der iOS-Geräte. Dies ist einer der Gründe, weshalb Apple-Geräte bei Verbrauchern und professionellen Anwendern so beliebt sind. Die IT-Abteilungen müssen die iOS-Sicherheit für hunderte oder tausende Geräte vereinheitlichen, damit der Schutz von Unternehmensdaten sich nicht nur auf das Gerät selbst beschränkt. Wenn Geräte Verbindungen mit offenen Netzwerken aufbauen, muss die IT in der Lage sein, Apps und Daten außerhalb der iOS-Plattform abzusichern.
Enterprise Mobility Management (EMM) ist ein umfassender Satz von Prozessen und Technologien, die zur Vereinheitlichung eines Produktes während seines Lebenszyklus zusammengeführt werden, damit Mobilgeräte verwaltet, der WLAN-Zugriff abgesichert und andere mobile Computerdienste in einem Unternehmenskontext bereitgestellt werden können. Eine solide EMM-Strategie löst nicht nur Sicherheitsprobleme, sondern hilft den Mitarbeitern auch, produktiver zu werden, indem sie die Tools erhalten, die sie für ihre berufsspezifischen Aufgaben auf Mobilgeräten brauchen. EMM-Lösungen kombinieren mindestens drei der Funktionen zur Verwaltung des Lebenszyklus von Mobilgeräten:
• Mobiles Gerätemanagement (MDM): Diese Funktionen gewährleisten die fundamentale Transparenz und die Kontrolle, die die IT benötigt, um Geräte sicher zu konfigurieren, bereitzustellen, zu verwalten und abzuschalten.
• Mobiles Anwendungsmanagement (MAM): Die Tools und Technologien zur Bereitstellung, Verwaltung und Erweiterung der Sicherheit von Anwendungen.
• Mobiles Content-Management (MCM): Ein eng integriertes Content-Management-System (CMS), das Content sicher speichern und Dateidienste für Mobilgeräte anbieten kann.
• Zusätzliche erweiterte Integrationsfunktionen: Dazu gehören Verzeichnisdienste und die Integration von
Identitätsanbietern, die Ausstellung von Zertifikaten für öffentliche Verschlüsselungsschlüssel (PKI), die Verwaltung und vieles mehr.
EMM ist die ideale Lösung zur effizienten Nutzung der iOS-Sicherheitstools zur Verbesserung der Geräte-sicherheit bei jedem Zugriff auf die Benutzerumgebung, beispielsweise auf Cloud-Ressourcen über ungesicherte Netzwerke in Hotels, Flughäfen und Cafés. Wenn Sie alle Vorteile der erweiterten MDM- und MAM-Funktionen in Apple iOS im vorhergehenden Abschnitt nutzen wollen, müssen Sie eine EMM-Plattform auswählen und bereitstellen. Bei einer EMM-Plattform wie MobileIron profitieren Unternehmen umfassend von der inhärenten Sicherheit des iOS-Betriebssystems und dem unterstützten MDM-Protokoll, da damit eine standardisierte Plattform zur Verwaltung der Konfigurationen und Sicherheitseinstellungen der Geräte im Unternehmen verfügbar ist. Die Produktivität im Unternehmen und die Prozesstransformation durch Einführung von Mobilität kann durch weitere moderne Funktionen unterstützt werden. Eine solide EMM-Plattform wie MobileIron bietet die Infrastruktur zur Bereitstellung einer umfassenden Unternehmens-Mobilitätsstrategie.
Erste Schritte: Benutzer-Autorisierung und Authentifizierung
Verknüpfung von Geräten, Benutzern und Richtlinien über Unternehmensverzeichnisse
Die Anwendung von Richtlinien und die Ausstellung von Berechtigungen erfordert zur Skalierung im Unternehmen eine verlässliche „Referenzquelle“. Bei dem konventionellen Konzept sind Richtlinien und Berechtigungen in der Regel mit einem Unternehmensverzeichnis verbunden und basieren auf verschiedenen Attributen des Verzeichnisses, beispielsweise der Zugehörigkeit zu Benutzergruppen. Dieses Konzept hat in der Vergangenheit für Endgeräte sehr gut funktioniert, eignet sich jedoch für moderne Verbrauchergeräte weniger, da diese keine Verzeichnisse kennen. Mit der EMM-Plattform von MobileIron können Unternehmen ihre existierenden Sicherheitsmodelle
11
umfassend nutzen und eine Verbindung zwischen dem Gerät und dem Unternehmensverzeichnis erstellen, d. h. Richtlinien und Konfigurationen Benutzern und Geräten so zuordnen, als würde es sich um normale Endgeräte handeln. Mit dem Lightweight Directory Access Protocol (LDAP) sowie einer internen Datenbank mit mehr als 200 spezifischen Geräteattributen kann MobileIron Benutzer- und Gerätedaten in flexiblen Regeln so kombinieren, dass die Benutzerrechte korrekt zugewiesen werden.
Stärkere, einfachere Benutzerauthentifizierung mit digitalen Zertifikaten, Kerberos und Single Sign-On
MobileIron bietet auch einen robusten Support für die PKI-Verschlüsselung. Digitale Zertifikate bieten ein besseres Benutzererlebnis für Mobilgeräte, weil sie eine stärkere Authentifizierung anbieten können, ohne dass die Benutzer sich komplizierte Passwörter merken müssen. Die EMM-Plattform von MobileIron besitzt eine integrierte Zertifizierungsstelle und kann Geräte mit PKI-Schlüsseln von Entrust, OpenTrust, Symantec und anderen PKI-Anbietern über das Simple Certificate Enrollment Protocol (SCEP) registrieren.
Digitale Zertifikate lassen sich auch zusammen mit der Kerberos Constrained Delegation (KCD) verwenden, die eine hohe Sicherheit und ein reibungsloses Benutzererlebnis bietet, weil die Benutzer sich bei Kerberos-fähigen Diensten authentifizieren können, ohne dass die Unternehmen die Kerberos-Infrastruktur extern offenlegen müssen.
MobileIron unterstützt außerdem die Single Sign-On-Funktionen (SSO) von Kerberos in iOS durch einen Kerberos Key Distribution Center Proxy (KKDCP). Auf diese Weise können iOS-Geräte Kerberos-Tickets direkt anfordern und empfangen, um auf Unternehmensdienste zuzugreifen, gleichzeitig wird der Server für das kritische Schlüsselverteilungszentrum (KDC) geschützt.
In Größenordnungen verwalten und absichern: Das MDM-Protokoll als Kontrollebene für das Unternehmen
Sobald die Verzeichnisrichtlinien- und Authentifizierungs-regeln festliegen, kann die Gerätebereitstellung im großen Maßstab beginnen. Ein Administrator kann den MDM Payload in einem Konfigurationsprofil platzieren und per E-Mail oder über eine Website an die verwalteten Geräte verteilen. Sobald der Registrierungsprozess abgeschlossen ist, können per OTA zusätzliche Konfigurationsprofile verteilt werden. Über den MDM-Dienst installierte Konfigurations- und Bereitstellungsprofile werden als „verwaltete Profile“ bezeichnet und automatisch gelöscht, sobald der MDM Payload entfernt wird. Ein MDM-Dienst kann berechtigt sein, die Vollständigkeit der Liste der Konfigurationsprofile oder Bereitstellungsprofile zu prüfen, darf aber nur die Apps, Konfigurations-profile und Bereitstellungsprofile entfernen, die er ursprünglich installiert hatte. Ein über MDM installiertes Konfigurationsprofil kann vom Endbenutzer nicht entfernt oder verändert werden. Dies ist eine ideale Option für unternehmenseigene Geräte sowie Geräte mit einer einzigen App, die eine strengere Kontrolle durch die IT und eine höhere Sicherheit erfordern.
Einfache Gerätebereitstellung mit wenig Handarbeit
Bei diesem OTA-Verwaltungsmodell kann iOS über SCEP für eine MDM-Konfiguration registriert werden, die dann alle weiteren Profile verwaltet. Auf diese Weise können Großunternehmen ganz einfach eine Vielzahl von Geräten gleichzeitig konfigurieren und die MDM Payloads über einen Server zusammen mit kundenspezifischen E-Mail-Einstellungen, Netzwerkeinstellungen oder Zertifikaten verteilen. Mit dem MDM-Protokoll kann ein Administrator einen MDM-Registrierungs-Payload verteilen, indem er diesen in ein Konfigurationsprofil einbettet und per E-Mail oder über eine Website für die ausgewählten Geräte zugänglich macht. Mit dem MDM-Protokoll können Systemadministratoren an verwaltete iOS-Geräte mit iOS 4 oder höher Befehle zur Geräteverwaltung senden. IT-Administratoren können Profile prüfen, installieren oder entfernen, Passcodes löschen und ein verwaltetes Gerät selektiv sicher löschen. MDM-Server
12
können mit dem MDM-Protokoll sicherstellen, dass nur autorisierte Benutzer Zugriff auf Unternehmens-Apps und Unternehmensdaten auf ihren Geräten haben.
Da Konfigurationsprofile durch MDM verschlüsselt und gesperrt werden können, werden sie zu verwalteten Profilen, welche die Benutzer nicht nach eigenem Gutdünken entfernen oder verändern können. Auch die Einstellungen können nicht an andere weitergegeben werden. Über den MDM-Dienst als verwaltete Profile installierte Konfigurations- und Anwendungsbereitstellungsprofile werden automatisch gelöscht, wenn der MDM Payload entfernt wird. Standardmäßig kann der MDM-Payload jederzeit vom privaten Gerät des Endbenutzers entfernt werden.
Durch die Berechtigungen je nach Eigentümer des Geräts kann der IT-Administrator eines Unternehmens über das MDM-Protokoll von Apple Sicherheitslücken zwischen Geräten, die uneingeschränktes Unternehmenseigentum sind, und komplett vom Netzwerk getrennten, benutzereigenen Geräten schließen. Aus diesem Grund muss bei einem benutzereigenen Gerät MDM immer entfernbar sein. Das Unternehmen spart Geld, weil es das Gerät selbst nicht kaufen muss. Andererseits hat die IT-Abteilung nur eingeschränkte Kontrolle über das Gerät und die Gerätedaten; der Endbenutzer muss der IT allerdings gestatten, Unternehmensdaten und Einstellungen nachhaltig zu löschen, wenn das Gerät gefährdet ist oder gestohlen wird. Dazu stellt Apple sicher, dass die persönlichen Benutzereinstellungen und Daten vom Endbenutzer gesichert und wiederhergestellt werden können; das Unternehmen kann diesen Prozess bei nicht überwachten Geräten nicht verhindern.
Verwaltung konkret: App-Sicherheit und Lebenszyklusmanagement
Verteilung mobiler Apps über den Unternehmens-App StoreNatürlich reicht eine Sicherheitsmaßnahme allein nicht aus. Hacker finden immer Möglichkeiten, ein Ziel anzugreifen. Daher werden zusätzliche Sicherheitsmaßnahmen empfohlen – insbesondere in Unternehmensumgebungen mit vielen sensiblen Firmendaten. Durch sorgfältige Pflege und
Bereitstellung einer Liste mit von der IT genehmigten Apps im Unternehmens-App Store kann die IT-Abteilung verhindern, dass nicht genehmigte Apps über den App Store auf unternehmenseigene Geräte heruntergeladen werden.
Seit der Freigabe von iOS 9 kann die IT den App Store weltweit deaktivieren. Der IT-Administrator kann dennoch weiter über MDM Apps aus dem App Store installieren, verwalten, aktualisieren und entfernen. Die IT-Abteilung kann jetzt im Hintergrund über den EMM-Server Apps per Push auf überwachte Geräte übertragen oder einem Gerät zuordnen, die dann vom Endbenutzer installiert werden. Auf diese Weise können die Administratoren einfacher eine Standardvorlage für die Bereitstellung pflegen und müssen sich nicht darum kümmern, ob die Endbenutzer private Apps auf den Geräten installieren. Die IT kann bequem ausgewählte Apps sowie Whitelists und Blacklists in einem EMM-App-Katalog verwalten und so das Risiko von Datenverlust reduzieren, weil die Benutzer keine nicht genehmigten und potenziell gefährlichen Apps installieren können. Diese App-Sicherheitsfunktionen sind besonders für die Verwaltung von Kiosk-Geräten und großen Gerätezahlen vorteilhaft.
Verwaltung mobiler Anwendungen: App-Sandbox erweitern
Wenn die Anwendungsinstallationen über einen Unternehmens-App-Store mit dem MDM-Protokoll gestartet werden, werden die Anwendungen als verwaltete Apps erkannt. Durch Installation verwalteter Apps erhält die IT eine bessere Kontrolle darüber, wie die Apps und deren Daten auf dem Gerät genutzt werden. Verwaltete Apps nutzen die Schutzfunktionen des Sandboxing für Anwendungen und ermöglichen es Unternehmen, die Anwendung zu entfernen sowie Anwendungsdaten selektiv zu löschen. Verwaltete Apps unterstützen auch Sicherheitsfunktionen wie „Open In“ und können die Datensicherung in der iCloud oder bei iTunes aktivieren oder deaktivieren.
Eine verwaltete „Open-In“-Funktion beschränkt die Unternehmensdaten, die auf Geräte von Mitarbeitern gesendet werden, da diese nur durch bestimmte verwaltete Apps verarbeitet werden dürfen. Wenn die
13
EMM-Plattform beispielsweise Microsoft Word als Anwendung zur Verfügung stellt, können die Benutzer nur Dateianhänge mit der Endung .docx in Word oder einer anderen, über die EMM-Plattform installierten App öffnen, die den gleichen Datentyp verarbeiten kann.
Wenn ein Gerät aus der EMM-Plattform entfernt oder durch den Benutzer bzw. einen Administrator in Quarantäne gestellt wird, werden alle über die EMM-Plattform installierten Payloads entfernt. Dazu gehören auch die verwalteten Apps und alle Daten, die über diese Apps auf dem Gerät gespeichert wurden. Wenn es sich bei der Aktion nicht um eine Komplettlöschung handelt, d. h. nicht sämtliche Firmen-Apps, Unternehmensdaten und Einstellungen gelöscht werden, werden effektiv nur die Inhalte und Erweiterungen in der Firmen-Sandbox entfernt und nur der persönliche Content des Benutzers bleibt unberührt.
Da immer mehr Unternehmensdaten außerhalb der üblichen Repositories sowie lokal auf den Mobilgeräten gespeichert werden, ist die Nutzung dieser Funktionen für eine ganzheitliche Strategie zur Vermeidung von Datenverlust (DLP) unverzichtbar. In extremen Fällen startet die IT-Abteilung eine Komplettlöschung oder einen Reset des Gerätes auf die Werkeinstellungen.
Mehr Sicherheit für interne Anwendungen: MobileIron AppConnect
Mit MobileIron AppConnect können Unternehmen zusätzliche Sicherheits- und Verwaltungsfunktionen über eine spezielle SDK in ihre Anwendungen einbetten. AppConnect kapselt Apps in Containern, um die gespeicherten Unternehmensdaten zu schützen, ohne persönliche Daten zu verändern, und ermöglicht eine detailliertere Richtlinienkontrolle als die Standardverwaltungsfunktionen in iOS. Jede App wird damit zu einem sicheren Container, dessen Daten verschlüsselt, gegen den Zugriff Unbefugter geschützt und entfernbar sind.
Jeder App-Container ist außerdem mit anderen sicheren App-Containern verbunden. Auf diese Weise können Sicherheitsrichtlinien und Unternehmensdaten zwischen sicheren Apps geteilt werden. Richtlinien für das Verhalten der App-Container werden über die EMM-Konsole von MobileIron kontrolliert. AppConnect-
fähige Anwendungen können auch MobileIron Sentry umfassend nutzen, um Informationen mit den Backend-Systemen des Unternehmens über Per-App-VPN-Verbindungen oder MobileIron AppTunnel auszutauschen. Darüber hinaus ist MobileIron Access eine Cloud-Sicherheitslösung, die einen bedingten Zugriff von mobilen Apps und Browsern auf Cloud-Dienste ermöglicht. Dabei wird die Benutzeridentität mit eindeutigen Informationen verknüpft, beispielsweise der Gerätegefährdung und dem App-Status, damit Unternehmensdaten nur von verifizierten Benutzern abgerufen, nur auf sicheren Geräten gespeichert und nur mit autorisierten Cloud-Diensten geteilt werden können.
Sichere dynamische Zugriffskontrolle
Verletzungen der Compliance kommen bei Geräten immer wieder vor, insbesondere bei BYOD-Programmen. Die IT benötigt daher ein automatisches Konzept, um die Sicherheitsrisiken von Geräten zu überwachen und zu verhindern, dass nicht kompatible Geräte auf Unternehmensressourcen zugreifen. MobileIron AppTunnel bietet eine dynamische Zugriffskontrolle durch Kombination der sicheren Übertragung über die konventionelle VPN-Verbindung mit einer durch Zertifikate bestätigten Identität und einer Risikorichtlinie. Damit vereinfacht sich der Unternehmenszugriff für den Benutzer; zugleich ist sichergestellt, dass nur autorisierte Geräte auf Unternehmensressourcen zugreifen können.
Schutz von Daten während der Übertragung mit Tunneling
Die Fähigkeit von MobileIron, Kerberos als Proxy zu nutzen, ermöglicht die Verwendung von iOS SSO auf iOS-Geräten, die nicht in ein Firmennetzwerk eingebunden sind, ohne dass die Kerberos KDC offengelegt werden muss. Damit werden die Daten bei der Übertragung und die Kerberos-Infrastruktur im Unternehmen geschützt. Über MobileIron Tunnel kann der Safari Browser von Apple beispielsweise mit einer transparenten Authentifizierung sicher auf Intranet-Sites hinter der Firewall zugreifen, sodass die Benutzer ihre Benutzernamen und Passwörter nicht neu eingeben müssen, wenn sie von Site zu Site wechseln.
14
MobileIron Access: Erweiterung der Sicherheit und Vertrauenswürdigkeit auf SaaS-Apps
Da immer mehr Unternehmen ihre mobilen Apps und Daten in die Cloud verlagern, müssen sie ihre Sicherheitsanforderungen überdenken. Traditionelle Cloud-Sicherheitslösungen, die sich vorrangig auf eine Benutzer-ID und ein Passwort stützen, können nicht ausreichend verhindern, dass Cloud-Daten über unsichere mobile Apps und Geräte in falsche Hände kommen. Die Erweiterung der Vertrauenswürdigkeit und Sicherheit auf Apps nach dem Prinzip Software-as-a-Service (SaaS), beispielsweise für Office 365, Salesforce, G Suite und Box, erfordert eine Lösung, die bedingte Zugriffsrichtlinien in Abhängigkeit von der Benutzeridentität, dem Sicherheitsrisiko des mobilen Geräts und dem Status der mobilen App erzwingt. MobileIron Access ist eine Cloud-Sicherheitslösung, mit der die IT-Administratoren granulare Cloud-Zugriffs-kontrollrichtlinien in Abhängigkeit von der Anwendung, der IP-Adresse, der Identität, der Gerätegefährdung und anderen Kriterien definieren können. Damit kann die IT die Lücke zwischen mobiler Sicherheit und Cloud-Sicherheit schließen und besser kontrollieren, wie Benutzer auf Unternehmens-Cloud-Dienste zugreifen.
MobileIron ServiceConnect: Integration mit Unternehmenssicherheitssystemen von Drittanbietern Die exklusive 1:1-Beziehung zwischen einem verwalteten Gerät und einer EMM-Plattform verschafft MobileIron die einmalige Chance, Rollen auszufüllen, die bisher durch verschiedene Softwareagenten übernommen wurden. MobileIron ServiceConnect erweitert die Transparenz der EMM-Plattform von MobileIron auf andere IT- und Sicherheitssysteme des Unternehmens, sodass diese iOS-Geräte genauso unterstützen können wie bisherige Endpunkte. Ob es sich nun um eine Dienstverwaltungskonsole (ITSM) der IT, eine Plattform zur Netzwerkzugriffskontrolle (NAC) oder ein System zur Sicherheitsinformations- und Ereignisverwaltung (SIEM) handelt, die Unternehmen können problemlos ihre vorhandenen Richtlinien und Prozeduren auch für iOS-Geräte nutzen, wenn sie der EMM-Plattform von MobileIron als „Referenzquelle“ sowie als Richtlinieninstrument vertrauen.
15
EMM + iOS: Blaupause zur Absicherung des modernen mobilen Unternehmens
Eine mobile Sicherheitsstrategie, die EMM mit iOS kombiniert, kann Unternehmen die Gewissheit geben, selbst die höchsten Sicherheitsherausforderungen der heutigen Zeit zu meistern. Durch die Kombination aus iOS und EMM entstehen eine umfassende, sichere Verwaltungsplattform und ein Betriebssystem, welche die IT-Sicherheitsteams nach Bedarf proaktiv zur Verwaltung der immer schneller wachsenden Zahl mobiler Geräte skalieren können. Eine EMM-Lösung wie MobileIron ist eine umfassende Plattform, die Unternehmensdaten unabhängig vom Speicherort schützt: im Rechenzentrum, in der Cloud, in mobilen Apps, auf Mobilgeräten und während der Übertragung.
Bei Verwaltung aller Mobilgeräte mit EMM können Unternehmen sicherstellen, dass alle iOS-Geräte mit den aktuellsten Richtlinienkonfigurationen gesichert sind, die aktuellen Apps und Betriebssystemversionen nutzen und nur autorisierte Benutzer Zugriff haben. Durch die Verwaltung eines einheitlichen Endpunktes mit der EMM-Plattform sinken zudem die Gesamtbetriebskosten (TCO), weil die Unternehmen viele arbeitsintensive Konfigurationsprozesse einsparen, Apps und Richtlinienupdates aus der Ferne installieren, Probleme aus der Ferne beseitigen und der IT die Möglichkeit geben können, sowohl unternehmenseigene als auch BYOD-Geräte zu verwalten.
Mit der modernen, mobilen Sicherheitsplattform von MobileIron und den erweiterten iOS-Sicherheits-funktionen von Apple kann die IT-Abteilung die Mobilität im iOS-Unternehmen umfassend nutzen, ohne Daten zu gefährden. Unsere EMM-Plattform soll die vorhandenen Sicherheitsfunktionen in iOS vereinfachen und erweitern, sodass Unternehmen die Sicherheit und Benutzerfreundlichkeit bei jedem iOS-Gerät und jeder App in Ihrer Umgebung sicherstellen können.
415 East Middlefield Road
Mountain View, CA 94043, USA
www.mobileiron.com
Tel.: +1 877 819 3451
Fax: +1.650.919.8006
