mcafee enterprise mobility management 11

McAfee Confidential—Internal Use Only

McAfee EMM

Enterprise Mobility Management 11.0

релиз состоялся 29.05.13

Владислав Радецкий

[email protected]


Пару слов о себе:

June 21, 20132

Владислав Радецкий, работаю в компании БАКОТЕК

Отвечаю за техническую поддержку проектов по ИБ

Отвечаю за такие направления (McAfee):

• Data Protection

• Email Security

• Endpoint Security

• Mobile Security [ тема этого доклада ]

• One Time Password

• Security-as-a-Service

• Security Management

* Если у Вас возникнут вопросы по теме доклада или по направлениям,

которыми я занимаюсь – обращайтесь.

Мои контакты в конце презентации.

http://bakotech.ua/

http://www.mcafee.com/ru/products/data-protection/index.aspx

http://www.mcafee.com/ru/products/email-and-web-security/email-security.aspx

http://www.mcafee.com/ru/products/endpoint-protection/index.aspx

http://www.mcafee.com/ru/products/mobile-security/index.aspx

http://www.mcafee.com/ru/products/one-time-password.aspx

http://www.mcafee.com/ru/products/security-as-a-service/index.aspx

http://www.mcafee.com/ru/products/security-management/index.aspx


О чем я хочу рассказать:

June 21, 20133

• Особенности подхода McAfee к ИБ

• BYOD = задача ИБ

• Архитектура, функционал

• Подготовка к развертыванию

• Интеграция с ePO (что нового в 11-й версии)


Как ИБ превращается в «зоопарк»…

June 21, 20134

Host IPS

Agent

Systems

Management

Agent

Audit

Agent

Antivirus

Agent

Encryption

NAC

DLP

Agent

У каждого

решения есть

свой агент

Каждый

агент имеет

свою

консоль

Для каждой консоли

нужен отдельный

сервер

Каждому серверу

нужна ОС и БД

ОС и БД требуют

сопровожденияДля IT

департамента

это хаос.

Не оптимально.

Неэффективно.


Подход компании McAfee

June 21, 20135

Единая консоль

управления

Единый

агент

McAfee ePO Server

(VSE, DLP, Encryption,

Site Advisor)

*Консоль развертывается

на выделенном сервере

McAfee Agent

(политики, развертывание

клиентских модулей)

* Агент устанавливается на

рабочие станции и сервера

(Win / Lin / Mac)

С выходом 11-й версии

EMM мобильные

устройства теперь тоже

управляются из единой

консоли ePO


Подход компании McAfee

Network Security

Workstations/

Servers

EMM11

интегрируется с ePO

Mobile Security

NSP, DLP, VM

MDM

Access Control

GTI

Информация об

угрозах 0-day

Проверка

репутации

Endpoint Suites

ePolicy

Orchestrator

«Облако» McAfee


Почему BYOD это проблема ИБ ?

June 21, 20137

• Смартфоны и планшеты

превратились в инструмент

для бизнеса

• Если компания разрешает

сотрудникам обрабатывать

корпоративную информацию

на личных устройствах

возникают новые

операционные риски

• Разнообразие моделей и

платформ усложняет

достижение соответствия

• ActiveSync не достаточно


Функционал EMM

Управлениеустройствами

• Удаленное изменение настроек

• Применение корпоративных политик к устройствам сотрудников

• Удаленная блокировка и очистка (полная/выборочная)

• Управление устройствами из единой консоли ePO

• Инициализация удаленных устройств (Wi-Fi, 3G, VPN)

• Инвентаризация и сбор информации в реальном времени

• Масштабируемость до 25k устройств на сервер

Соответствие(Compliance)

• Определение jailbrake\root устройств

• Определение и блокирование устройств не соотв. нормам

• Контроль шифрования iOS и Android, Secure Container

• Отчеты о состоянии соответствия

• Мониторинг состояния устройств, аудит, отчетность

8

Безопасность

• «Черный список» приложений, которые запрещены к установке

• Настройка профилей Wi-Fi/VPN

• VirusScan Mobile для платформы Android

• Secure Container для Android (шифрование почты)

• Принудительное применение корпоративных политик

• Принудительное усиление аутентификации (запрос PIN, pass)


Что входит в EMM

• Консоль управления (MDM)

• Защита и контроль BYOD

• Инициализация устройств, применение политик для iOS, Android, WinPhone

Enterprise Mobility

Management (EMM)

• Защищенный почтовый клиент

• Шифрование почты, календарей и контактов (AES 256)

• Запрет копирования вложений

Secure Container for

Android

• Антивирусная защита

• Оптимизирована для моб. устройств

• Доступен отдельно от ЕММ

VirusScan Mobile for Android

9

Кроме самой консоли управления:

EMM также входит в состав двух наборов –

McAfee Complete Endpoint Protection Enterprise [CEB] и Business [CEE]


McAfee Secure Container for Android

10

• Полноценная синхронизация корпоративной

почты, календарей и контактов

• Все данные включая кэш помещаются в

шифрованный контейнер [AES 256]

• Запрет копирования, сохранения и передачи

вложений вне шифрованного контейнера

(опционально)

• Возможность автоматической очистки содержимого

при подборе пароля

• При увольнении сотрудника затираются только

данные компании (если это личное устройство)

• Защищенный просмотр Word, Excel, PDF и т.д.

• Приложение контролируется политиками EMM,

может быть развернуто принудительно

Secure Container



June 21, 201311



June 21, 201312


McAfee VirusScan Mobile for Android

13

• Надежный мобильный антивирус

• VirusScan начинает проверку только при попытке

доступа к файлу и при таких событиях:

• Загрузка файла;

• Попытка установки нового приложения

• Обновление приложений

• Смена SIM

• Смена/подключение SD карты

• Включение устройства

[не «садит» батарею]

• Возможность планирования проверок

• Сигнатуры + McAfee GTI

• Развертывается из консоли EMM


Управление корпоративным ПО

• Blacklisting для iOS и Android

• Запрет на установку выбранных

приложений

• Это могут быть игры, недоверенные

приложения и другое ПО

• Список рекомендуемых

приложений в зависимости от

принадлежности/отдела

• Список формируется на ЕММ

• Ссылки на Store и дистрибутивы

• Инвентаризация используемого

ПО на мобильных устройствах


Архитектура решения

• EMM Compliance Manager

• EMM Self-service Portal

• EMM Push Notifier

DMZ

EMM DMZ Proxy

Internal Network

443

443

Mail Server(Exchange/Lotus)

1433

MS SQLDatabase Server

21952196

EMM Console Hub Server

Directory Server (LDAP)

McAfee ePolicy Orchestrator (ePO)

iPad

Android

iPhone

Windows

Phone 7/8

Android

Tablet

443

GCM

APNS

1433

443

389

88Internet

GSM

WAP

* APNS- Apple Push Notification Service

GCM - Android Cloud to Device Messaging


Что должно быть до развертывания

• Apple MDM Certificate [KB73382]– Для работы с iOS устройствами (инициализация, настройка профилей)

• Google Cloud Messaging (GCM) Sender ID and Token [KB77397]– Заменяет механизм Google Cloud to Device Messaging (C2DM)

– Используется для доставки Push сообщений на Android

– Обеспечивает безопасную коммуникацию EMM с устройствами

– Для создания токена необходим Google аккаунт

• Portal SSL Certificate– Должен быть подписан доверенным CA (!не самоподписанный!)

– Используется для шифрования SSL сессий между EMM и устройствами

– Используется для подписания OTA и MDM профилей

• Port forwarding (проброс портов) + DNS запись для портала

• Наличие развернутой консоли ePolicy Orchestrator (ePO)

16 June 21, 2013

https://kc.mcafee.com/corporate/index?page=content&id=KB73382

http://kb.mcafee.com/agent/index?page=content&id=KB77397

http://www.mcafee.com/us/products/epolicy-orchestrator.aspx


Cистемные требования

June 21, 201317

OS: Server 2008 64-bit w/ SP2 or later

Server 2008 R2 64-bit w/ SP1 or later

Hardware (Minimum) : 4GB RAM

Dual-Core CPU

Recommended: 8GB RAM

(larger deployment ) Quad-Core CPU

Требования к серверу Поддерживаемые платформы

Apple iPhone, iPad, and iPod Touch

• iOS 4.3 и выше

Google Android Smartphones and Tablets

• Android 2.2 и выше

Microsoft Windows Phone 7/8

McAfee Enterprise Mobility Management 11.0

Microsoft SQL Server 2005 w/ SP3 и выше (32 & 64-bit)

Microsoft SQL Server 2008 / 2008 R2 (64-bit only)

McAfee ePolicy Orchestrator 4.6.5 и выше (включая 5.0)

Deployable to Physical or Virtual Servers


Инициализация iOS [пользователь]

Easy, Secure, Automated

Загрузить EMM

агент из

App Store

1 2

Ввести

логин:пароль от

корпоративной

почты

Политики и

профиля

применяться

сразу

4

Принять

соглашение

3

Просто, Безопасно, Оперативно


Инициализация Android [пользователь]

19

1

Загрузить EMM

агент из Google

Play

2

Ввести

логин:пароль от

корпоративной

почты

3

Принять

соглашение

4

Политики и

профиля

применяться

сразу

Просто, Безопасно, Оперативно


EMM11 – инициализация Android

June 21, 201320


Функционал по платформам

June 21, 201321


Политики - Android

June 21, 201322


Политики - iOS

June 21, 201323



June 21, 201324



June 21, 201325


Политики

Отдельные политики могут быть применены к различным устройствам,

в зависимости от типа платформы и степени риска:

• Apple iOS 4 и выше – управление встроенным шифрованием,

принудительная блокировка устройства по паролю,

отключение iTunes backup, блеклистинг приложений;

• Android 4.0 и выше – использование встроенного почтового

клиента, контроль встроенного шифрования, принудительная

блокировка по паролю;

• Android 2.3 и выше – использование McAfee Secure Container

для защиты корпоративной переписки


Порядок выполнения операций

June 21, 201327

Немедленно*:

• Wipe/Wipe Corporate Data

• Pushed Packages

• Unlock

• MDM Uninstall

• Policy Changes

• Agent Wakeup

• Push Notifications

• Web Clip Replacement

• Web Clip Removal

• BlacklistedApp Notification

* При условии, что устройство

подключено к Интернету

Every 24 Hours Status Updates -

Каждые 24 часа:

• Device Information

• List of Configuration Profile

• List of Provisioning Profile

• Installed Certificates

• Encryption Status

• Applied Restrictions

• Installed Applications

• Roaming and Usage Settings


ePO + EMM11 = единая консоль

28

• Мобильные устройства являются для ePO такими же

объектами, как сервера и рабочие станции, а значит:

– Сортировка, поиск, выполнение групповых операций;

– Распределение устройств по группам (в т.ч. автоматически);

– Применение политик в зависимости от группы;

– Управление всеми конечными точками из одной консоли



29



30


Работа с политиками в ePO

31

• Выборочные политики

настраиваться в консоли ePO и

применяться к устройствам в

зависимости от их расположения

в дереве систем

(группа/подгруппа) System Tree.

• Политики применяются

– глобально

– на ОС (iOS, Android, Win Phone)

– на группу

– на пользователя

– на устройство


Изменения в новой версии

June 21, 201332

• При смене SSL сертификата

портала возникала необходимость

переинициализации устройств

• Профиль подписывается

сертификатом устройства.

Не нужно инициализировать

заново.

EMM 11.0EMM 9-10

• При смене учетных данных в AD

пользователям iOS необходимо

было несколько раз подтвердить

смену пароля на устройствах

• Работа с большим списком

устройств отнимала много

времени

• Только 1 раз

• Интеграция с ePO позволяет

выполнять групповые

операции


Изменения в новой версии

June 21, 201333

• Не было уведомления об

окончании строка действия

сертификата портала

• Встроенная задача ePO

позволяет получать

уведомления

EMM 11.0EMM 9-10

• Необходимо было вводить

ключ в отдельную консоль.

• Никакой мороки с ключами.

Лицензирование через ePO

• При смене политик для iOS

изменения затрагивали весь

профиль

• Каждая вкладка политики

является отдельным

профилем.


Преимущества McAfee EMM

June 21, 201334

• Расширений набор политик на уровне API

• Интеграция с ePO

• Контроль и обеспечение compliance

• Защита данных

• Расширяемость (развитие решения)


Контактная информация

June 21, 201335

Официальный сайт McAfee (описание продуктов, документация)

http://www.mcafee.com/ru/

Раздел McAfee на сайте БАКОТЕК (каталог решений, новости)

http://bakotech.ua/vendor/mcafee/

McAfee Ukraine Technical Club (заметки о технологиях на русском)

http://www.facebook.com/McAfeeUkraineTechnical

Мой блог (статьи по настройке решений, новости, заметки)

http://radetskiy.wordpress.com/

Техническая поддержка McAfee (первая линия)

http://www.mcafee.com/ru/support.aspx

База знаний (спецификации, FAQ, руководства и др.)

http://kc.mcafee.com/corporate/index?page=home

http://www.mcafee.com/ru/

http://bakotech.ua/vendor/mcafee/

http://www.facebook.com/McAfeeUkraineTechnical


http://www.mcafee.com/ru/support.aspx

http://kc.mcafee.com/corporate/index?page=home

Владислав Радецкий

+38 (095) 880-73-70 | Моб.

facebook.com/McAfeeUkraineTechnical

radetskiy.wordpress.com

[email protected]

http://facebook.com/McAfeeUkraineTechnical


mailto:[email protected]

mcafee enterprise mobility management 11

Technology

mcafee agent

mcafee byod

mcafee secure container

mcafee virusscan mobile

mcafee epo server vse

sim sd mcafee gti emm

tablets android

android tablet