Meegebrachte mobiele apparatuur veilig beheren

05/01/15 om 09:26 - Bijgewerkt om 09:25

Bron: Datanews

Met de Kaseya BYOD Suite kunnen organisaties hun medewerkers de vrijheid geven te werken met hun eigen mobiele apparatuur zonder bedreiging voor de vertrouwelijkheid en veiligheid van bedrijfsgegevens en -applicaties. Een test.

Meegebrachte mobiele apparatuur veilig beheren

Kaseya BYOD Suite © Kaseya

Met de BYOD Suite van Kaseya, specialist in systeembeheer voor interne it-afdelingen en it-dienstverleners, kunnen werknemers hun eigen mobiele apparatuur veilig op het bedrijfsnetwerk gebruiken. De privégegevens en persoonlijke data van de medewerkers blijven buiten schot, maar deze beheersoftware voor meegebrachte mobiele apparatuur garandeert wel dat bedrijfsgegevens en -applicaties niet misbruikt of besmet kunnen wordt.

'Bring your own device' of byod is voor veel systeembeheerders een bron van zorgen. Werknemers willen hun eigen apparatuur gebruiken binnen de bedrijfsmuren en/of in combinatie met bedrijfsapplicaties en -data. Maar hoe kun je als systeembeheerder zeker zijn dat het meegebrachte mobieltje geen malware bevat die het bedrijfsnetwerk besmet? Hoe kun je als bedrijf ervoor zorgen dat gevoelige bedrijfsdata al dan niet gewild buiten de bedrijfsmuren gesmokkeld wordt?

Omgekeerd hebben medewerkers ook niet graag dat hun bedrijf hun persoonlijke data zomaar kan lezen. Denk aan privé e-mailaccounts, persoonlijke documenten, WhatsApp of andere chatberichten ...

Met zijn BYOD Suite tracht Kaseya deze twee bekommernissen tegelijk op te lossen. In essentie creëert de BYOD Suite een beveiligd zakelijk gebied of 'container' op de smartphone of tablet van de gebruiker die volledig gescheiden is van het privégedeelte. Dankzij speciale beveiligde apps krijgen gebruikers toegang tot bedrijfse-mail, bedrijfsdocumenten, bedrijfsapplicaties en bedrijfsgegevens.

Technische werking

BYOD Suite beheert bedrijfsdata en is dus niet bedoeld voor het beheer van apparatuur. Het platform bestaat uit een Windows-serverapplicatie, de Kaseya BYOD Gateway, die de beveiligde verbinding verzorgt tussen de bedrijfsinfrastructuur en beveiligde mobiele apps voor Apple iOS en Google Android.

Er zijn drie van die mobiele Kaseya-apps. Secure Browser is een html5-browser waarmee gebruikers op een veilige manier intranetapplicaties zoals Microsoft SharePoint en (vanaf mei) Microsoft Office 365 kunnen gebruiken. Secure Docs heeft een ingebouwde Microsoft Office compatibele-editor (oem-versie van Picsel SmartOffice) waarmee gebruikers Word-, Excel- en PowerPoint-documenten kunnen bekijken, bewerken, creëren en opslaan. Pdf's kunnen alleen worden bekeken. Secure Mail ten slotte is een ActiveSync-compatibele e-mailclient gebaseerd op een oem-versie van NitroDesk TouchDown.

Gebruikers kunnen de apps via een single sign-on (sso) verbinding gebruiken. Alle communicatie tussen de beveiligde apps en het bedrijfsnetwerk is in de twee richtingen én in rusttoestand versleuteld met aes256-encryptie die bovenop de standaard ssl-encryptie draait. Kaseya BYOD Suite is bovendien gecertificeerd voor beveiligingsstandaarden zoals FINRA, FIPS 140-2 en HIPAA.

Mobieltjes zijn dus nooit direct verbonden met het bedrijfsnetwerk: uitsluitend de speciale Kaseya-apps hebben toegang tot vooraf in de gateway geconfigureerde bedrijfsbronnen. Een specifieke gebruiker is bovendien steeds aan een specifiek mobieltje gekoppeld via 'device access control' met multifactor-beveiliging.

De Kasye BYOD Gateway kan op een Windows-server of op een toegewezen Windows-pc worden geïnstalleerd en draait als Windows-service. Het beheer gebeurt via een webinterface. Gebruikers kunnen manueel of vanuit Microsft Active Directory of ldap aan het systeem worden toegevoegd. Verbindingen met opslagsystemen binnen het bedrijf verlopen via traditionele 'shares' of via WebDAV.

Bedrijven kunnen dankzij de application programming interface (api) ook zelf ontwikkelde apps uitrollen naar gebruikers. Dit kan rechtstreeks, zonder dat men via de app stores van Apple of Google hoeft te werken. Apps uitrollen en beheren gebeurt allemaal centraal en de apps kunnen ook specifieke apparatuureigenschappen zoals de gps, de camera of de accelerometer gebruiken.

Praktijk

De BYOD Gateway kan zowel op een 32-bit als een 64-bit Windows-computer worden geïnstalleerd. Wij installeerden hem op een toegewezen pc met 32-bit Windows 7 Ultimate. De Gateway draait als Windows-service. Het verdere beheer gebeurt via de webbrowser.

Na de installatie van de service dient de systeembeheerder zijn Gateway een unieke naam te geven en de locatie te kiezen van de Kaseya BYOD Gateway Relay server. Die zorgt ervoor dat u dit platform zonder eigen vpn kunt gebruiken. Organisaties kunnen de Gateway desgewenst ook direct aan het eigen virtual private network (vpn) koppelen. Ten slotte genereert de Gateway een unieke zescijferige toeganscode. Met deze code kunnen gebruikers de BYOD Gateway van hun organisatie koppelen aan de Kaseya BYOD apps.

Gebruikers moeten eerst de Kaseya Secure Browser installeren en koppelen aan de gateway van hun organisatie. Naast de unieke code hebben ze daarvoor ook een gebruikersnaam en wachtwoord nodig. De beheerder stelt die in via het webbeheer.

In het Users-menu kan de beheerder naar keuze manueel gebruikers toevoegen of ze importeren uit het gebruikersbeheer van Windows, uit Windows Active Directory of uit een ldap-directory. Per gebruiker kan de beheerder bepalen hoeveel mobieltjes hij of zij mag gebruiken (tussen 0 en 1) en hoe lang hij of zij dit mag doen (voor een periode die varieert tussen tien minuten en twee weken). Het aantal actieve gebruikers is alleen beperkt door het aantal gekochte licenties.

In de Secure Browser wordt de gebruiker geconfronteerd met een menu met bedrijfsinhoud. De beheerder configureert dit menu in het Site-menu van het webbeheer. Men kan de volgende informatie toevoegen aan het menu: de inhoud van een bestand, bestanden en mappen in een map op een netwerk-share, een niet-beveiligde directe link naar een externe website, een beveiligde intranet-tunnel naar een interne bedrijfswebsite of statische webinhoud van een directory. Het menu kan eenvoudig ingedeeld worden in submenu's om het overzichtelijk te houden.

Gebruikers die eerst een verbinding hebben gelegd met de gateway via de Secure Browser kunnen daarna ook de Secure Docs en Secure Mail apps installeren en gebruiken. De systeembeheerder moet zelf de nodige beveiligde verbindingen configureren in het webbeheer.

Voor e-mail wordt alleen Microsoft Exchange ActiveSync ondersteund, maar men kan wel meerdere servers definiëren in het Mail-menu van de gateway. Document-bronnen kan men alleen via het WebDAV-protocol delen. In het Documents-menu van het webbeheer kan men (groepen) van gebruikers koppelen aan specifieke documentverzamelingen.

Statistieken over het gebruik van de gateway vraagt u op via het Devices-menu van het webbeheer. Tijdstip, gebruiker, soort apparaat en besturingssysteem worden getoond en men kan de lijst ook op al deze onderwerpen doorzoeken of sorteren. Ze exporteren is echter niet mogelijk.

Ten slotte kan de beheerder in het Policies-menu van de gateway bepaalde globale toegangsbeperkingen configureren. Zo kan men het onderling e-mailen van inhoud of het printen van inhoud in- of uitschakelen of bepalen dat gebruikers geen foto's van de bedrijfsinhoud in hun privé-opslag mogen bewaren. Men kan ook bepalen hoe vaak gebruikers hun wachtwoord opnieuw moeten invoeren (tussen 15 minuten en 4 dagen) en/of gebruikers hun pin opnieuw moeten invoeren (nooit, telkens wanneer een Kaseya-app wordt gestart of periodiek na 1 minuut tot 4 uur inactiviteit).

Conclusie

Binnen het aanbod van beveiligingsproducten om meegebrachte mobiele apparatuur in bedrijven te beheren, kiest Kaseya met zijn BYOD Suite voor een benadering die de gebruiker zo weinig mogelijk stoort. Bedrijfsgegevens worden beveiligd in een speciale vpn-loze container die verder geen invloed heeft op de normale werking van de meegebrachte smartphone of tablet. Bedrijven hebben geen inzage in de privégegevens op het meegebrachte apparaat en tegelijk blijven bedrijfsgegevens veilig opgeslagen binnen de door BYOD Suite gecreëerde geëncrypteerde container. Uiteraard is een goede configuratie van het systeem belangrijk: als de beheerder alles té streng instelt, dan vervalt voor een deel het voordeel van de niet-storende werking.

De Kaseya BYOD Suite is verkrijgbaar vanaf 89 euro per gebruiker per jaar

Bron: www.diskidee.be

Lees meer over:

Onze partners