mcafee enterprise mobility management 11

McAfee Confidential—Internal Use Only

McAfee EMM

Enterprise Mobility Management 11.0

релиз состоялся 29.05.13

Владислав Радецкий

vr@bakotech.com

McAfee Confidential—Internal Use Only

Пару слов о себе:

June 21, 20132

Владислав Радецкий, работаю в компании БАКОТЕК

Отвечаю за техническую поддержку проектов по ИБ

Отвечаю за такие направления (McAfee):

• Data Protection

• Email Security

• Endpoint Security

• Mobile Security [ тема этого доклада ]

• One Time Password

• Security-as-a-Service

• Security Management

* Если у Вас возникнут вопросы по теме доклада или по направлениям,

которыми я занимаюсь – обращайтесь.

Мои контакты в конце презентации.

McAfee Confidential—Internal Use Only

О чем я хочу рассказать:

June 21, 20133

• Особенности подхода McAfee к ИБ

• BYOD = задача ИБ

• Архитектура, функционал

• Подготовка к развертыванию

• Интеграция с ePO (что нового в 11-й версии)

McAfee Confidential—Internal Use Only

Как ИБ превращается в «зоопарк»…

June 21, 20134

Host IPS

Agent

Systems

Management

Agent

Audit

Agent

Antivirus

Agent

Encryption

NAC

DLP

Agent

У каждого

решения есть

свой агент

Каждый

агент имеет

свою

консоль

Для каждой консоли

нужен отдельный

сервер

Каждому серверу

нужна ОС и БД

ОС и БД требуют

сопровожденияДля IT

департамента

это хаос.

Не оптимально.

Неэффективно.

McAfee Confidential—Internal Use Only

Подход компании McAfee

June 21, 20135

Единая консоль

управления

Единый

агент

McAfee ePO Server

(VSE, DLP, Encryption,

Site Advisor)

*Консоль развертывается

на выделенном сервере

McAfee Agent

(политики, развертывание

клиентских модулей)

* Агент устанавливается на

рабочие станции и сервера

(Win / Lin / Mac)

С выходом 11-й версии

EMM мобильные

устройства теперь тоже

управляются из единой

консоли ePO

McAfee Confidential—Internal Use Only

Подход компании McAfee

Network Security

Workstations/

Servers

EMM11

интегрируется с ePO

Mobile Security

NSP, DLP, VM

MDM

Access Control

GTI

Информация об

угрозах 0-day

Проверка

репутации

Endpoint Suites

ePolicy

Orchestrator

«Облако» McAfee

McAfee Confidential—Internal Use Only

Почему BYOD это проблема ИБ ?

June 21, 20137

• Смартфоны и планшеты

превратились в инструмент

для бизнеса

• Если компания разрешает

сотрудникам обрабатывать

корпоративную информацию

на личных устройствах

возникают новые

операционные риски

• Разнообразие моделей и

платформ усложняет

достижение соответствия

• ActiveSync не достаточно

McAfee Confidential—Internal Use Only

Функционал EMM

Управлениеустройствами

• Удаленное изменение настроек

• Применение корпоративных политик к устройствам сотрудников

• Удаленная блокировка и очистка (полная/выборочная)

• Управление устройствами из единой консоли ePO

• Инициализация удаленных устройств (Wi-Fi, 3G, VPN)

• Инвентаризация и сбор информации в реальном времени

• Масштабируемость до 25k устройств на сервер

Соответствие(Compliance)

• Определение jailbrake\root устройств

• Определение и блокирование устройств не соотв. нормам

• Контроль шифрования iOS и Android, Secure Container

• Отчеты о состоянии соответствия

• Мониторинг состояния устройств, аудит, отчетность

8

Безопасность

• «Черный список» приложений, которые запрещены к установке

• Настройка профилей Wi-Fi/VPN

• VirusScan Mobile для платформы Android

• Secure Container для Android (шифрование почты)

• Принудительное применение корпоративных политик

• Принудительное усиление аутентификации (запрос PIN, pass)

McAfee Confidential—Internal Use Only

Что входит в EMM

• Консоль управления (MDM)

• Защита и контроль BYOD

• Инициализация устройств, применение политик для iOS, Android, WinPhone

Enterprise Mobility

Management (EMM)

• Защищенный почтовый клиент

• Шифрование почты, календарей и контактов (AES 256)

• Запрет копирования вложений

Secure Container for

Android

• Антивирусная защита

• Оптимизирована для моб. устройств

• Доступен отдельно от ЕММ

VirusScan Mobile for Android

9

Кроме самой консоли управления:

EMM также входит в состав двух наборов –

McAfee Complete Endpoint Protection Enterprise [CEB] и Business [CEE]

McAfee Confidential—Internal Use Only

McAfee Secure Container for Android

10

• Полноценная синхронизация корпоративной

почты, календарей и контактов

• Все данные включая кэш помещаются в

шифрованный контейнер [AES 256]

• Запрет копирования, сохранения и передачи

вложений вне шифрованного контейнера

(опционально)

• Возможность автоматической очистки содержимого

при подборе пароля

• При увольнении сотрудника затираются только

данные компании (если это личное устройство)

• Защищенный просмотр Word, Excel, PDF и т.д.

• Приложение контролируется политиками EMM,

может быть развернуто принудительно

Secure Container

McAfee Confidential—Internal Use Only

McAfee Secure Container for Android

June 21, 201311

McAfee Confidential—Internal Use Only

McAfee Secure Container for Android

June 21, 201312

McAfee Confidential—Internal Use Only

McAfee VirusScan Mobile for Android

13

• Надежный мобильный антивирус

• VirusScan начинает проверку только при попытке

доступа к файлу и при таких событиях:

• Загрузка файла;

• Попытка установки нового приложения

• Обновление приложений

• Смена SIM

• Смена/подключение SD карты

• Включение устройства

[не «садит» батарею]

• Возможность планирования проверок

• Сигнатуры + McAfee GTI

• Развертывается из консоли EMM

McAfee Confidential—Internal Use Only

Управление корпоративным ПО

• Blacklisting для iOS и Android

• Запрет на установку выбранных

приложений

• Это могут быть игры, недоверенные

приложения и другое ПО

• Список рекомендуемых

приложений в зависимости от

принадлежности/отдела

• Список формируется на ЕММ

• Ссылки на Store и дистрибутивы

• Инвентаризация используемого

ПО на мобильных устройствах

McAfee Confidential—Internal Use Only

Архитектура решения

• EMM Compliance Manager

• EMM Self-service Portal

• EMM Push Notifier

DMZ

EMM DMZ Proxy

Internal Network

443

443

Mail Server(Exchange/Lotus)

1433

MS SQLDatabase Server

21952196

EMM Console Hub Server

Directory Server (LDAP)

McAfee ePolicy Orchestrator (ePO)

iPad

Android

iPhone

Windows

Phone 7/8

Android

Tablet

443

GCM

APNS

1433

443

389

88Internet

GSM

WAP

* APNS- Apple Push Notification Service

GCM - Android Cloud to Device Messaging

McAfee Confidential—Internal Use Only

Что должно быть до развертывания

• Apple MDM Certificate [KB73382]– Для работы с iOS устройствами (инициализация, настройка профилей)

• Google Cloud Messaging (GCM) Sender ID and Token [KB77397]– Заменяет механизм Google Cloud to Device Messaging (C2DM)

– Используется для доставки Push сообщений на Android

– Обеспечивает безопасную коммуникацию EMM с устройствами

– Для создания токена необходим Google аккаунт

• Portal SSL Certificate– Должен быть подписан доверенным CA (!не самоподписанный!)

– Используется для шифрования SSL сессий между EMM и устройствами

– Используется для подписания OTA и MDM профилей

• Port forwarding (проброс портов) + DNS запись для портала

• Наличие развернутой консоли ePolicy Orchestrator (ePO)

16 June 21, 2013

McAfee Confidential—Internal Use Only

Cистемные требования

June 21, 201317

OS: Server 2008 64-bit w/ SP2 or later

Server 2008 R2 64-bit w/ SP1 or later

Hardware (Minimum) : 4GB RAM

Dual-Core CPU

Recommended: 8GB RAM

(larger deployment ) Quad-Core CPU

Требования к серверу Поддерживаемые платформы

Apple iPhone, iPad, and iPod Touch

• iOS 4.3 и выше

Google Android Smartphones and Tablets

• Android 2.2 и выше

Microsoft Windows Phone 7/8

McAfee Enterprise Mobility Management 11.0

Microsoft SQL Server 2005 w/ SP3 и выше (32 & 64-bit)

Microsoft SQL Server 2008 / 2008 R2 (64-bit only)

McAfee ePolicy Orchestrator 4.6.5 и выше (включая 5.0)

Deployable to Physical or Virtual Servers

McAfee Confidential—Internal Use Only

Инициализация iOS [пользователь]

Easy, Secure, Automated

Загрузить EMM

агент из

App Store

1 2

Ввести

логин:пароль от

корпоративной

почты

Политики и

профиля

применяться

сразу

4

Принять

соглашение

3

Просто, Безопасно, Оперативно

McAfee Confidential—Internal Use Only

Инициализация Android [пользователь]

19

1

Загрузить EMM

агент из Google

Play

2

Ввести

логин:пароль от

корпоративной

почты

3

Принять

соглашение

4

Политики и

профиля

применяться

сразу

Просто, Безопасно, Оперативно

McAfee Confidential—Internal Use Only

EMM11 – инициализация Android

June 21, 201320

McAfee Confidential—Internal Use Only

Функционал по платформам

June 21, 201321

McAfee Confidential—Internal Use Only

Политики - Android

June 21, 201322

McAfee Confidential—Internal Use Only

Политики - iOS

June 21, 201323

McAfee Confidential—Internal Use Only

Политики - iOS

June 21, 201324

McAfee Confidential—Internal Use Only

Политики - iOS

June 21, 201325

McAfee Confidential—Internal Use Only

Политики

Отдельные политики могут быть применены к различным устройствам,

в зависимости от типа платформы и степени риска:

• Apple iOS 4 и выше – управление встроенным шифрованием,

принудительная блокировка устройства по паролю,

отключение iTunes backup, блеклистинг приложений;

• Android 4.0 и выше – использование встроенного почтового

клиента, контроль встроенного шифрования, принудительная

блокировка по паролю;

• Android 2.3 и выше – использование McAfee Secure Container

для защиты корпоративной переписки

McAfee Confidential—Internal Use Only

Порядок выполнения операций

June 21, 201327

Немедленно*:

• Wipe/Wipe Corporate Data

• Pushed Packages

• Unlock

• MDM Uninstall

• Policy Changes

• Agent Wakeup

• Push Notifications

• Web Clip Replacement

• Web Clip Removal

• BlacklistedApp Notification

* При условии, что устройство

подключено к Интернету

Every 24 Hours Status Updates -

Каждые 24 часа:

• Device Information

• List of Configuration Profile

• List of Provisioning Profile

• Installed Certificates

• Encryption Status

• Applied Restrictions

• Installed Applications

• Roaming and Usage Settings

McAfee Confidential—Internal Use Only

ePO + EMM11 = единая консоль

28

• Мобильные устройства являются для ePO такими же

объектами, как сервера и рабочие станции, а значит:

– Сортировка, поиск, выполнение групповых операций;

– Распределение устройств по группам (в т.ч. автоматически);

– Применение политик в зависимости от группы;

– Управление всеми конечными точками из одной консоли

McAfee Confidential—Internal Use Only

ePO + EMM11 = единая консоль

29

McAfee Confidential—Internal Use Only

ePO + EMM11 = единая консоль

30

McAfee Confidential—Internal Use Only

Работа с политиками в ePO

31

• Выборочные политики

настраиваться в консоли ePO и

применяться к устройствам в

зависимости от их расположения

в дереве систем

(группа/подгруппа) System Tree.

• Политики применяются

– глобально

– на ОС (iOS, Android, Win Phone)

– на группу

– на пользователя

– на устройство

McAfee Confidential—Internal Use Only

Изменения в новой версии

June 21, 201332

• При смене SSL сертификата

портала возникала необходимость

переинициализации устройств

• Профиль подписывается

сертификатом устройства.

Не нужно инициализировать

заново.

EMM 11.0EMM 9-10

• При смене учетных данных в AD

пользователям iOS необходимо

было несколько раз подтвердить

смену пароля на устройствах

• Работа с большим списком

устройств отнимала много

времени

• Только 1 раз

• Интеграция с ePO позволяет

выполнять групповые

операции

McAfee Confidential—Internal Use Only

Изменения в новой версии

June 21, 201333

• Не было уведомления об

окончании строка действия

сертификата портала

• Встроенная задача ePO

позволяет получать

уведомления

EMM 11.0EMM 9-10

• Необходимо было вводить

ключ в отдельную консоль.

• Никакой мороки с ключами.

Лицензирование через ePO

• При смене политик для iOS

изменения затрагивали весь

профиль

• Каждая вкладка политики

является отдельным

профилем.

McAfee Confidential—Internal Use Only

Преимущества McAfee EMM

June 21, 201334

• Расширений набор политик на уровне API

• Интеграция с ePO

• Контроль и обеспечение compliance

• Защита данных

• Расширяемость (развитие решения)

McAfee Confidential—Internal Use Only

Контактная информация

June 21, 201335

Официальный сайт McAfee (описание продуктов, документация)

http://www.mcafee.com/ru/

Раздел McAfee на сайте БАКОТЕК (каталог решений, новости)

http://bakotech.ua/vendor/mcafee/

McAfee Ukraine Technical Club (заметки о технологиях на русском)

http://www.facebook.com/McAfeeUkraineTechnical

Мой блог (статьи по настройке решений, новости, заметки)

http://radetskiy.wordpress.com/

Техническая поддержка McAfee (первая линия)

http://www.mcafee.com/ru/support.aspx

База знаний (спецификации, FAQ, руководства и др.)

http://kc.mcafee.com/corporate/index?page=home

Владислав Радецкий

+38 (095) 880-73-70 | Моб.

facebook.com/McAfeeUkraineTechnical

radetskiy.wordpress.com

vr@bakotech.com