Мобильные устройства под контролем: цикл статей по Kaspersky Secure Mobility Management

Приветствуем вас на портале TS University!

Данный цикл статей посвящён решению для бизнеса по защите и управлению мобильных устройств Kaspersky Secure Mobility Management (далее просто KSMM) от российского разработчика «Лаборатория Касперского».

Материалы будут сфокусированы на подробном разборе решения, его основных технических моментов и нюансов развёртывания. В первой статье мы рассмотрим основные моменты: что и как работает в KSMM, а также сфокусируемся на основных понятиях и инфраструктуре.

Мы предполагаем, что к прочтению вы приступаете уже имея некое представление или знакомство с системой Kaspersky Endpoint Security.

Когда речь заходит о защите инфраструктуры, не стоит забывать и про мобильные устройства, использование которых в рабочих целях уже давно стало нормой (особенно после COVID19 с распространением удалённой формы работы).

Даже в случае, когда у большая часть работы сотрудника выполняется на корпоративном ПК/ноутбуке, он всё равно может пересылать корпоративные данные через мессенджеры доступные с личного устройства или хранить учётные данные на них.

И часто мобильные устройства используются вне зоны покрытия служб корпоративных ИТ и ИБ, через публичные и частные сети.

Мобильное устройство может быть подвержено таким стандартным для других видов устройств векторам атак:

• email, веб-атаки и другие
• атакам по Wi-Fi
• периферийным атакам через Bluetooth
• преднамеренной краже, простой потере устройства или передаче информации по незащищённым каналам и т.д

Соответственно, мобильные устройства нужно также защищать и контролировать, как и другие оконечные устройства, учитывая их специфику.

Для начала стоит разобрать несколько ключевых концептов, а именно системы/подходы к защите и управлению мобильных устройств и сценарии их использования.

Выделяют три сценария использования мобильных устройств в корпоративной среде:

BYOD (Bring Your Own Device) – персональные устройства сотрудников, может быть с выделенным разделением рабочего (рабочий контейнер) и личного пространства или без.
COPE (Company Owned, Personally Enabled) – корпоративные устройства с возможностью личного использования. ИБ имеет контроль над устройством, но оставляет зону для персональной информации.
COBO (Company Owned, Business Only) – корпоративные устройства только для работы. Возможность применять более жёсткие политики, включая режим «Киоска».

Соответственно тонкости и ограничения по защите и контролю будут ограничены своим сценарием. Если при COBO имеется наибольший функционал управления устройством, то в BYOD возможно обеспечить изоляцию корпоративных данных, но нельзя влиять на глобальные настройки.

Существует три типа подходов к управлению и защите мобильных устройств: MDM, EMM и UEM.

MDM – Mobile Device Management – фокусируется на управление и конфигурацию именно физическим устройством, как пароли, удалённая блокировка и т.д. В современных реалиях чаще является составной частью более продвинутых подходов.
Примеры: AirDroid Business, SimpleMDM, Jamf Now, Esper.

EMM – Enterprise Mobility Management – Функционал MDM + контроль приложений, контента, и контейнеризация. Фокусируется на больше на разделении и контроле данных. Данные системы намного лучше подходят для BYOD устройств чем MDM.
Примеры: MobileIron (ныне в составе Ivanti), SOTI Mobicontrol, Citrix Endpoint Management, WorksPad.

UEM - Unified Endpoint Management – более широкий подход, объединяющий EMM с контролем компьютеров, ноутбуков, серверов, IoT и других устройств.
Примеры: Microsoft Intune, Omnissa Workspace ONE (ранее VMware Workspace ONE), Ivanti Neurons for UEM.

Хотя KES (Kaspersky Endpoint Security) позволяет защищать мобильные устройства и базового управлять ими, KSMM (Kaspersky Secure Mobility Management) предоставляет полный EMM функционал вместе с KES, что ставит его между EMM и UEM решениями, а также дополнительную телеметрию в случае интеграции в экосистему «Лаборатории Касперского».

KSMM покрывает три операционные системы: Android, iOS и ОС Аврора, хотя функциональность средств защиты последней достаточно мала, и не будет сильно затрагиваться в статье.

Сам KSMM ставится на Kaspersky Security Center (KSC) и управляется через единую веб-консоль KSC.

KSMM состоит из серверных и клиентских компонентов, которые ставятся на мобильные устройства. Приложение Kaspersky Endpoint Security for Android покрывает полный функционал защиты и контроля Android. Приложение Kaspersky Endpoint Security for Aurora защищает устройства и имеет очень ограниченный функционал, представленный только защитой от вредоносного ПО. Однако с iOS всё интереснее.

Из-за особенностей iOS, для его защиты и контроля существует два клиентских компонента:

• Приложение Kaspersky Protection for iOS 
• и конфигурационный профиль iOS MDM Profile. 

Более подробный разбор защиты iOS будет представлен в третьей статье этого цикла.

Серверными компонентами являются:

• сервер администрирования KSC,
• Шлюз соединений
• Веб сервер разворачиваемый вместе с KSC
• веб консоль KSC, через которую будет производиться настройка и управление системой,
• плагины для веб консоли Kaspersky Mobile Devices Protection and Management и параметров Сервера iOS MDM,
• сервер iOS MDM 
• корпоративный каталог приложений.

Также KSMM взаимодействует с двумя сервисами уведомлений от Google и Apple, Google Firebase Cloud Messaging (GFCM) и Apple Push Notification Service (APNs) для отправки push-уведомлений в реальном времени, более подробно они будут затронуты дальше.

Надо отметить, что на данный момент актуальные версии KSMM развёртываются только на KSC Linux, и дальше в статье речь будет идти только про Linux версии.

Сервер iOS MDM предназначен для подключения и управления iOS устройствами через профили iOS MDM и службу push-уведомлений Apple (APNs). Может быть установлен на любой компьютер с Windows и Linux с агентом администрирования или на сервер с KSC, но рекомендуется ставить Linux.

Корпоративный каталог является веб-порталом на базе Apache HTTP Server для Windows, даёт возможность сотрудникам самостоятельно подключать свои мобильные устройства (только KES Android и iOS MDM Profile), а также сформировать собственный каталог разрешённых к установке приложений. Поставить возможно только на Windows устройства.

Есть три схемы развёртывания серверных компонентов:

1. All-in-one (всё вместе)
2. с подчинённым сервером администрирования
3. и шлюзом соединения в DMZ. 

Но на практике последние два достаточно похожи, с подчинённым сервером менее безопасный и чаще используется либо All-in-one или со шлюзом, поэтому вариант с подчинённым сервером мы затрагивать не будем.

All-in-one сценарий подразумевает развёртывание всех ключевых серверных компонентов (включая iOS MDM сервер) на одном узле с доступом из публичной сети. Достаточно простой в реализации план, но более рискованный с точки зрения безопасности.

Шлюз соединения в DMZ – в данном случае KSC, консоль и веб сервер разворачиваются в локальной сети, а в DMZ на узел ставится агент администрирования, выступающий в роли шлюза и на этот же узле разворачивается iOS MDM сервер. Мобильные устройства будут подключаться через шлюз. KSC устанавливает подключения к шлюзу через 13000 TCP порт, но не наоборот.

На версии KSC Linux 15.2 и выше на шлюзе соединения Linux есть возможность развернуть веб сервер для загрузки инсталляционных пакетов с шлюза соединения, что позволит полностью изолировать KSC со стороны публичной сети. В противном случае у мобильных устройств должен быть доступ к веб-серверу KSC по портам 8061 и 8061 для загрузки инсталляционных пакетов с веб-сервера. 

Также стоит упомянуть, что запросы к push-сервисам Google Firebase Cloud Messaging (Google FCM) будут инициироваться с KSC, а к APNs с сервера iOS MDM.

В процессе работы используются следующие порты:

1. 13292/13293 TCP – подключение мобильных устройств по KES Android и KP iOS
2. 443 TCP – подключение iOS по MDM профилям, обращения к Google FCM, KSN и серверам обновлений Лаборатории Касперского
3. 8060/8061 TCP – для загрузки пакетов, профилей и сторонних приложений с веб-сервера KSC
4. 8080 TCP – веб консоль KSC
5. 13299 – подключение веб консоли к KSC
6. 2197 TCP обращения к APNs
7. 13000 TCP – соединения KSC со вторым сервером или шлюзом в DMZ случае его использования

Типовая схема взаимодействия компонентов в инсталляции KSMM со шлюзом соединений:

Рассматриваются требования для версии KSMM 8.0.
Хост сервера Kaspersky Security Center Linux должен удовлетворять следующим требованиям:

Рекомендуемые программные требования:

• Сервер администрирования Kaspersky Security Center Linux 15.4 или выше;
• Web Console Kaspersky Security Center Linux 15.4 или выше;
• плагин Kaspersky Mobile Devices Protection and Management 10.56;
• Сервер iOS MDM для Linux 15.4;
• плагин параметров Сервера iOS MDM 15.4.

Минимальные аппаратные требования:

• Для развертывания Kaspersky Secure Mobility Management должны удовлетворяться аппаратные требования Kaspersky Security Center.
• Для Сервера iOS MDM:
• процессор с частотой 1 ГГц или выше; для 64-разрядных операционных систем – 1,4 ГГц или выше;
• 4 ГБ оперативной памяти;
• 4 ГБ свободного места на диске.

Для установки Kaspersky Endpoint Security для Android мобильное устройство должно удовлетворять следующим требованиям:

• смартфон или планшет с разрешением экрана от 320x480 пикселей;
• 65 МБ свободного места в основной памяти устройства;
• Android 5 или выше (включая Android 12L, исключая Go Edition);
• архитектура процессора x86, x86-64, Arm5, Arm6, Arm7, Arm8;
• приложение устанавливается только в основную память устройства.

Для установки Kaspersky Protection для iOS мобильное устройство должно удовлетворять следующим требованиям:

• iOS 15 или выше / iPadOS 15 или выше;
• подключение к интернету.

Для установки управляющего профиля (iOS MDM-профиля) мобильное устройство должно удовлетворять следующим требованиям:

• iOS 10 или выше / iPadOS 13 или выше;
• подключение к интернету.

Исходить мы будем из того, что уже есть установленный KSC Linux со всеми его компонентами. В первую очередь нужно активировать лицензию KSMM, без неё будет доступен только базовый функционал KES.

В веб консоли в разделе «Лицензии» добавляем лицензию KSMM, которая поставляется в виде кода активации и файлов ключа.

• Код активации – активирует единую продвинутую лицензию на серверную и клиентскую части, но требует доступ в интернет для валидации. В случаях, когда у мобильных устройств не будет доступа к интернету, используются файлы ключа.

• Файлы ключа – их четыре: на базовый функционал KES for Android, KES for iOS и продвинутые KSMM, KSC. Файл ключа KSC будет использоваться KSC, пока продвинутый KSMM будем добавлять в политику. Активация ключом не требует доступа в интернет и им нельзя активировать KP for iOS.

Мобильные устройства будут получать ту лицензию, которую вы прикрепили к политике, и сменить можно в настройках политики в правой верхней части.

Далее в настройках веб-консоли необходимо установить веб плагины “Kaspersky Mobile Devices Protection and Management” и “Параметры Сервера iOS MDM”. Сделать это можно в настройках веб-консоли в разделе веб-плагинов.

Их можно скачать прямо в консоли с хранилищ или добавить из файла, скачанного с официального сайта Лаборатории Касперского (https://www.kaspersky.ru/small-to-medium-business-security/downloads/endpoint). Этот шаг идентичен при всех схемах внедрения.
Вне зависимости от того, используется ли шлюз или нет, необходимо открыть порты для мобильных устройств: В свойствах KSC Общие  — Дополнительные порты  — Открыть порт для мобильных устройств, после чего сразу будет выпущен сертификат на FQDN сервера указанный в свойствах KSC.

Проверить адрес на который выпущен сертификат можно в свойствах сервера администрирования во вкладке «Сертификаты».

В случае внедрения All-in-One он должен быть выпущен на адрес идентичный адресу подключения мобильных устройств. (в примере мобильные устройства будут подключаться к KSC по адресу ksc.tssolution.ru)

Также необходимо создать инсталляционный пакет для KES Android и сервера iOS MDM, что делается абсолютно так же, как и с обычными пакетами KES.

Раздел с инсталляционными можно найти в Операции  — Хранилища  — Инсталляционные пакеты и Обнаружение устройств и развёртывание  —Развёртывание и назначение  — Инсталляционные пакеты.

Там запускаем мастер создания инсталляционного пакета.

Можем использовать фильтры для упрощения нахождения пакета.

Примерно на 75% скачивание пакета приостановится и надо будет принять лицензионное соглашение, после чего загрузка продолжится.

После завершения мастера в свойствах пакета будет указан адрес подключения из сертификата сервера, который будет использоваться мобильными устройствами. В некоторых из способов установки эти данные подключения будут вшиты и сменить их будет нельзя.

Он должен быть идентичным адресу в сертификате сервера.

iOS MDM сервер устанавливаем на сервер KSC с помощью задачи удалённой установки. Создать её можно в «Активы», «Задачи», или выбрав сам пакет. Удалённая установка подойдёт к устройствам с уже установленным агентом администрирования. Также есть варианты установки с помощью инсталляционного пакета на месте в интерактивном и тихом режимах, что лучше для устройств без агента.

Сейчас достаточно установить сервер, настройка будет рассматриваться нами в четвертой статье.

В случае внедрения со шлюзом в DMZ есть некоторые отличия в настройке от схемы All-in-One. Добавление плагинов, добавление инсталляционных пакетов и открытие портов для мобильных устройств проходит также как и в All-in-One.
Шлюзом соединения является агент администрирования, работающий в одноимённом режиме.
Агент администрирования в роли шлюза можно развернуть:

• Через задачу удалённой установки, включив опцию «Use Network Agent as a connection gateway in DMZ» в её свойствах,
• На месте в интерактивном или тихом режимах с файлом ответов (про создание файла ответов подробно написано по ссылке: https://support.kaspersky.ru/ksc-linux/16.1/199693).

Дальше надо убедиться, что между шлюзом и KSC открыт порт 13000 и затем вручную зарегистрировать шлюз на сервере администрирования.
В свойствах сервера добавить шлюз как «точку распространения» 

Затем зайти в свойства точки распространения и во вкладке шлюз соединения включить переключатель и открыть нужные порты (по умолчанию 13292 для односторонней и 13293 для двухсторонней проверки сертификатов, подробнее на этом остановимся дальше в статье).

Также необходимо указать публичный адрес/имя по которому будут подключаться мобильные устройства.

Также надо перевыпустить сертификат сервера на имя/адрес шлюза, указанный  в его свойствах. При использовании шлюза адрес в сертификате сервера должен быть идентичным публичному адресу подключения мобильных устройств (в примере публичным адресом шлюза является mdm.tssolution.ru).

Надо убедиться, что в свойствах инсталляционного пакета KES for Android указан адрес сервера идентичный адресу в сертификатах, т.е. адресу фактическому адресу подключения.

Начиная с KSC Linux 15.2 на шлюзе можно запустить службы веб-сервера. Для этого в свойствах сервера во вкладке «Веб-сервер» включить опцию «Запустить дополнительный веб-сервер на шлюзе соединения», выбрать нужный шлюз из списка, открыть нужные порты (8060 TCP для http и 8061 TCP для https). 

В данной схеме развёртывания iOS MDM сервер разворачивается на том же ПК где и шлюз.  Перед установкой надо убедится, что в свойствах инсталляционного пакета iOS MDM сервера указан правильный адрес подключения, он должен совпадать с адресом шлюза.

После установки плагина Kaspersky Mobile Devices Protection and Management в веб консоли должны были появиться вкладка «Мобильные» с разделами:

В первую очередь нужно создать политику для устройств, они для устройств обязательны. При создании политики нужно выбрать ОС управляемых устройств и их режимы работы.

Одна политика может покрывать устройства трёх операционных систем сразу, но режим работы только один на каждую ОС и сменить его без создания новой политики нельзя.

Режимы Android:

• Personal Device
• Device with corporate container
• Corporate device

iOS:

• Basic protection
• Basic Control
• Supervised

У ОС Аврора только один режим – Protection
Политика iOS MDM (для Basic Control и Supervised) применяется не к устройствам, а к серверу iOS MDM к которому они подключены.

Есть три основных сценария подключения нового устройства:

• Вручную – самостоятельно скачиваешь приложения из магазина приложений или apk и вручную указываешь данные подключения
• Мастер подключения нового устройства
• Через корпоративный каталог

При подключении через Мастер подключения источником приложения могут выступать веб-сервер, RuStore и веб-сайт «Лаборатории Касперског»о. При использовании корпоративного каталога и мастера подключения данные подключения, указанные в свойствах инсталляционного пакета, будут вшиты в пакет и автоматически будет выпущен мобильный сертификат с сервера. В зависимости от режима работы некоторые источники могут быть недоступными.

Применяемые в работе KSMM сертификаты можно разделить на:

• Серверные
• Клиентские (пользовательские)

Сначала поговорим про мобильный сертификат сервера. По умолчанию он выпускается сразу после открытия портов для мобильных устройств на FQDN сервера администрирования, указанных в свойствах KSC. Адрес, на который он выпущен должен полностью совпадать с фактическим адресом, по которому будет устанавливаться соединения, т. е. если используется шлюз соединения, то сертификат должен быть выпущен на его адрес. По умолчанию этот сертификат будет также использоваться веб-сервером для https подключений по 8061 порту.

Для перевыпуска сертификата надо в свойствах сервера открыть вкладку «Сертификаты» и перевыпустить сертификат на нужный адрес. 

Также есть мобильный сертификат пользователя, используемый для идентификации владельца устройства в консоли и аутентификации при синхронизации. При подключении через мастер подключения или корпоративный каталог он выпускается автоматически и устройствам остаётся лишь его подхватить. В других случаях установки сертификат надо выпустить вручную в разделе мобильных сертификатов.  

Все клиентские сертификаты хранятся в хранилище Управление активами  — Мобильные  — Сертификаты, где также можно увидеть их статус. Выпускаются они на 365 дней и автоматически обновляются за 30 дней до истечения срока.

Есть два варианта подключении мобильных устройств:

• С односторонней SSL-аутентификацией (неавторизированный) – проверяется только сертификат сервера
• С двухсторонней SSL-аутентификацией (авторизированный) – проверяется серверный и пользовательский (клиентский) сертификат

KSC использует 13292 порт для авторизированных и неавторизированных подключений, а шлюз соединения использует 13292 для неавторизированных и 13293 для авторизированных подключений.

По умолчанию при отсутствии клиентского сертификата KSC не будет разрывать соединение – оно будет считаться неавторизованным. Но будет разрывать при недействительности сертификата.

В случае ручной установки клиентского сертификата на сервере должны быть разрешены неавторизованные соединения, иначе передать сертификат не получиться.

Изменения в политике и команды администратора передаются на устройства при синхронизации. Интервал синхронизации задаётся в политике и отличается между разными ОС. По умолчанию период синхронизации у Android – 3 часа, у KP for iOS – 3 часа, а у iOS MDM – 360 минут. Период синхронизации для iOS MDM задаётся не в политике, а в свойствах его сервера.

Есть возможность подключения сервисов пуш-уведомлений: Google Firebase Cloud Messaging (GFCM) и Apple Push Notification Service (APNs). Они позволяют в реальном времени передавать пуш-уведомления, применять политику и команды.

Подключение GFCM является опциональным, но APNs является обязательным для работы iOS MDM профилей.

В этой статье мы рассмотрели фундамент, базовые принципы, моменты развёртывания и работы серверной части KSMM. Мы в основном затрагивали общую серверную часть, не специфичную к каждому ОС и теорию.

В следующих статьях мы подробно пройдёмся по оставшимся серверным частям специфичным к Android и iOS, подключению мобильных устройств и настроек политик, больше нацеленные на практическую часть.

До встречи в следующей статье!