Introdução
Atualmente os usuários querem usar tecnologias mais recentes para acessar os aplicativos e dados corporativos, e isso acaba criando a necessidade de permitir o uso de dispositivos pessoais nesses acessos.
Assim, o BYOD – Bring Your Own Device – trás desafios significativos quando o assunto é a proteção dos dados corporativos residentes nos dispositivos móveis dos usuários.
Além disso, normalmente é solicitada uma transição fácil entre os aplicativos e dados pessoais e os corporativos.
Desafio
Com aplicativos corporativos e pessoais coexistindo nos dispositivos, como se certificar de que não há acesso a dados corporativos por aplicativos não autorizados? Como manter os dados do aplicativo corporativo seguros?
Enquanto o Mobile Device Management (MDM) é um componente crítico para a estratégia de segurança móvel, ele não é suficiente quando se trata de segurança de dados de aplicativos.
Para gerenciar dados de aplicativos corporativos é necessário utilizar outro conceito, o Mobile Application Management, ou MAM.
Mobile Application Management
O MAM é responsável por criar divisões entre os aplicativos pessoais dos usuários e aplicativos corporativos. A característica principal do MAM é a criação de barreiras para a segregação dos aplicativos pessoais e aplicativos corporativos.
Essa funcionalidade é conhecida como contêinerização, e separa os aplicativos corporativos e seus dados dentro de recipientes digitais que podem ser controlados. A conteinerização também evita a interação indesejada entre os aplicativos corporativos e os aplicativos pessoais.
Contêineres
Com o crescente número de ofertas de contêineres, é importante compreender as diferenças entre as diversas soluções e descobrir qual deles pode melhor atender as necessidades.
Dependendo de quem fala, um recipiente pode ser um workspace, hub, stack, JVM, wrapper, portal, sandbox, shell, partição, ou algum outro termo. A fim de tomar uma decisão clara sobre o tipo adequado de contêinerização, você precisa conhecer quais tipos, na prática, são oferecidos:
• Contêineres Físicos
• Contêineres Virtuais
• Contêineres Por Aplicação
Tipos de Contêineres
Image may be NSFW.
Clik here to view.
Contêineres Físicos
Contêineres Físicos trabalham no nível do kernel ou chipset de um dispositivo móvel e tem como objetivo separar os aplicativos corporativos e seus dados de aplicativos pessoais. Ele cria a segmentação do nível de hardware entre o ambiente corporativo e o ambiente pessoal.
Geralmente isso significa estabelecer, a partir do kernel, uma pilha completa do Sistema Operacional. A pilha do SO corporativo é completamente distinta da pilha do SO normal, onde as aplicações regulares dos usuários residem.
Um aspecto fundamental dos contêineres físicos é que a pilha do SO normalmente tem de aproveitar os recursos específicos do processador. Mesmo que alguns fornecedores dizem se enquadrar nessa categoria, na verdade, eles utilizam recipientes virtuais e só utilizam criptografia de nível de hardware.
Um dos benefícios oferecidos pelos contêineres físicos é o nível de isolamento que eles oferecem entre a pilha corporativa e a pilha normal do dispositivo, garantindo que nenhuma interação irá ocorrer entre os aplicativos corporativos e pessoais.
Um grande inconveniente é relativo ao isolamento, que prejudica a experiência do usuário. Sempre que os usuários estão no SO normal e querem usar um aplicativo corporativo, eles têm que sair e entrar no ambiente corporativo. A mudança constante entre contêineres físicos, além de criar um inconveniente ao usuário por um longo período de tempo, pode reduzir a sua produtividade.
As soluções de contêineres físicos só são oferecidos por poucos fabricantes de dispositivos móveis e normalmente no universo corporativo, fugindo do BYOD.
Para organizações que olham para o BYOD, ainda será necessário acomodar dispositivos com iOS, Android ou Windows Mobile. Uma aplicação maliciosa inserida no contêiner corporativo pode comprometer todos os dados ali existentes.
Contêineres Virtuais
Contêineres Virtuais são segmentos de aplicativos empresariais de um espaço de trabalho criptografado dentro do sistema operacional. Ele pode ser comparado a uma única sandbox ou Java Virtual Machine (JVM) com vários aplicativos em execução no seu interior.
Como não há separação física entre os aplicativos corporativos e pessoais, o mesmo sistema operacional controla as operações e interações de todos os aplicativos, independentemente de esses aplicativos estarem dentro ou fora do recipiente virtual.
Contêineres virtuais podem receber políticas destinadas a controlar que tipos de interações podem ocorrer entre aplicativos internos. É o principal benefício de segurança fornecido por contêineres virtuais, pois todas as interações entre aplicativos corporativos no contêiner ficam dentro do contêiner.
Uma grande desvantagem dos contêineres virtuais é que é pressuposto que todos os aplicativos dentro do contêiner são confiáveis. As políticas normalmente não têm controles granulares que permitem controlar cada aplicativo individualmente, portanto um applicativo malicioso pode comprometer todos os aplicativos e dados corporativos.
Similar ao container físico, contêineres virtuais criam um local separado para acessar aplicativos corporativos. Pode gerar desconforto na experiência do usuário, uma vez que os usuários têm de entrar e sair do contêiner virtual para alternar entre seus aplicativos pessoais e corporativos, mas é mais amigável ao BYOD.
Contêineres Por App
Como o nome indica, Contêineres Por App oferecem uma sandbox auto-suficiente para garantir a segurança de cada aplicativo, e seus dados, individualmente. Esta segmentação no nível da aplicação proporciona benefícios de segurança semelhantes ao de ambos os recipientes virtuais e físicos, mas através de sua abordagem mais granular.
Além disso, esse tipo de segmentação oferece aos administradores maior flexibilidade na forma como os aplicativos são protegidos, oferecendo aos usuários uma experiência de utilização mais transparente e amigável.
As politícas ainda governam a interação entre os aplicativos corporativos e o ambiente do usuário, mas não forçam o chamado “one size fits all”.
Ainda, as politícas podem variar dependendo da criticidade do aplicativo. Os administradores podem configurar politícas gerais que se aplicam a todos os aplicativos, políticas específicas para aplicativos individuais, ou uma combinação de ambos.
Com isso, é possível o controle granular do fluxo de dados para cada aplicativo e a interação com aplicativos não confinados.
O contêiner por app não confia nas chaves criptográficas do SO e cada aplicativo possui uma chave criptográfica individual.
Essa abordagem oferece às organizações um nível adicional de segurança, mantendo seus aplicativos e dados corporativos seguros, garantindo uma experiência mais transparente e fácil para os usuários, semelhante ao aplicativo nativo.
A utilização do contêiner por app não exige qualquer treinamento ou curva de aprendizado. Os usuários podem facilmente ver e acessar todos os aplicativos corporativos no mesmo local onde estão os seus pessoais.
Contêineres por app oferecem também single sign-on, o que torna a transição segura a partir de um aplicativo confiável para outro. Apesar do fácil acesso, o contêiner por app pode ser criptografado individualmente abrangendo cada uma das diferentes aplicações garantindo a sua proteção.
Existem dois métodos principais para a implementação de contêinerização por app no Symantec Mobility: Suite, utilizando o SDK da Symantec ou fazendo o wrap do app.
Política de App – Symantec Mobility: Suite
Image may be NSFW.
Clik here to view.
Política de Conteúdo – Symantec Mobility: Suite
Image may be NSFW.
Clik here to view.
Conclusão
Diante de tudo exposto nesse artigo, é importante lembrar que apenas o gerenciamento do dispositivo através de MDM – Mobile Device Management – não é suficiente quando o assunto é proteção de informações.
Enquanto o foco do MDM é o dispositivo, o MAM – Mobile Application Management – tem como alvo a proteção das informações, através da utilização de contêineres para segregação das informações.
A solução Symantec Mobility: Suite oferece o que existe de mais novo quando o assunto é proteção de informação através de contêineres, com políticas abrangentes que garantem o acesso fácil e seguro às informações e aplicativos corporativos.
Para saber mais sobre essa solução, acesse: http://www.symantec.com/pt/br/mobility