Anasayfa
Insight17.03.2021

Mobil cihazlarda veri ayrıştırma

Motivasyon

Mobil cihazlar kullanılırken her türlü veriye erişilir. Veri koruma uyumluluğu sağlanmalıdır. Burada "Corporate Owned Devices" (COD) olarak adlandırılan şirkete ait cihazlar ile "Bring Your Own Device " (BYOD) olarak adlandırılan kullanıcıya ait cihazlar arasında bir ayrım yapılmaktadır. Her iki kullanım türü için de mobil cihaz işletim sistemleri iOS ve Android üreticileri artık verileri ayırmak için kendi teknolojilerini sunuyor. Bu "yerleşik cihazlar" ve Relution'daki uygulamaları aşağıda ayrıntılı olarak açıklanmaktadır.

iOS - Corporate Owned Devices

Yönetilen / yönetilmeyen ayrımı

Apple, iOS12'den bu yana aşağıdaki nesneler için "yönetilen" ve "yönetilmeyen" arasında ayrım yapmaktadır:

Yönetilen Cihazlar

  1. Apps - Relution tarafından itilir veya Relution Enterprise Appstore aracılığıyla yüklenir, sunucu tarafında yapılandırılabilir.
  2. Posta Hesapları - Relution tarafından bir ilke aracılığıyla yapılandırılır
  3. Kişiler - yönetilen posta hesabından cihaza yüklenir (senkronize edilir).
  4. Belgeler - yönetilen posta hesabından cihaza yüklenir (senkronize edilir)

Yönetilmeyen Cihazlar

  1. Apps - kullanıcı tarafından Apple AppStore'dan yüklenir, sunucu tarafında yapılandırılamaz.
  2. Posta Hesapları - cihazdaki kullanıcı tarafından yapılandırılır
  3. Kişiler - kullanıcının kendisi tarafından oluşturulur
  4. Belgeler - kullanıcı tarafından yönetilmeyen uygulamalarda oluşturulur veya yönetilmeyen posta hesaplarına alınır.

Yönetilmeyen bir uygulama, Relution'dan yeniden gönderilerek yönetilen bir uygulamaya dönüştürülebilir. Bunu yaparken, cihazdaki aynı adlı yönetilmeyen uygulamanın yerini alır. Ancak, yönetilmeyen posta hesapları, kişiler ve belgeler yönetilene aktarılamaz.

Erişim kısıtlamaları

iOS'ta veriler, yönetilmeyen uygulamalardan yönetilen verilere erişime izin verilip verilmeyeceğini belirleyen bir ilke ayarlanarak sistem tarafında ayrılır. Bu amaçla, Relution'da bir ilkenin parçası olarak "Kısıtlamalar" yapılandırması aşağıdaki kısıtlama seçeneklerini sunar:

  • Yönetilmeyen uygulamalarda yönetilen belgelerin açılmasını yasaklayın.
  • Yönetilmeyen belgelerin yönetilen uygulamalarda açılmasına izin verin
  • Yönetilmeyen uygulamaların yönetilen kişilere erişimini reddetme
  • Yönetilmeyen belgelerin yönetilen uygulamalarda açılmasına izin verin
  • Yönetilen uygulamaların yönetilmeyen kişilere yazmasına izin verin
  • AirDrop hedeflerini her zaman yönetilmeyen olarak düşünün
  • Postaların yönetilmeyen posta hesaplarına taşınmasını yasaklayın.

Bu, örneğin, önlemek için kullanılabilir:

  • Özel bir uygulama (örneğin WhatsApp) iş (Exchange) kişilerini görür.
  • Bir iş postasının keyfi olarak yönlendirilmesi
  • Herhangi bir uygulamada açılan bir iş postasının eki (örn. Dropbox)

iCloud kısıtlamaları

Kontrolsüz veri çıkışını önlemek için Relution, bulut hesaplarını tamamen yasaklama veya en azından kısıtlama imkanı sunar. Ayrıntılı olarak, aşağıdaki işlevler kapatılabilir:

  • iCloud yedeklemeleri
  • iCloud anahtar zincirinin senkronizasyonu
  • Yönetilen uygulamaların iCloud'da veri depolamasına izin verme
  • Fotoğrafları iCloud'da saklama
  • iCloud belgelerinin senkronizasyonu

Fonksiyonel sınırlamalar

Son olarak, veri güvenliği kriterleri kapsamında değerlendirilebilecek ve kısıtlama ile kapatılabilecek bazı iOS sistem fonksiyonları da bulunmaktadır:

  • Uygulama Engeli/Listelemeye İzin Ver

  • Web URL'si engelleme/izin verme listesi

  • AirDrop (tamamen kapatılabilir)

  • Şifre paylaşımı

  • Apple AppStore'a erişim

  • Ekran görüntüleri ve ekran kayıtları

  • Kamera (uygulama içi işlevler için de tamamen kapatılabilir)

  • Hesap oluşturma ve değiştirme (Mail, Apple ID'leri)

  • Bluetooth

  • VPN profillerinin kurulumu

  • USB bağlantıları

Uygulama Başına VPN

Önemli bir veri koruma önlemi olarak iOS, uygulamaların veri bağlantısını bir VPN bağlantısına sıkıca bağlama seçeneği sunar ve bu da Relution sunucusu tarafından yapılandırılabilir. Bu, belirli uygulamaların yalnızca şirketin kendi ağı üzerinden çalışmasını ve harici erişimin engellenmesini sağlar (yalnızca intranet).

iOS - Bring Your Own Device

iOS 12'ye kadar, iOS BYOD cihazlarında sunucu tarafında yapılandırılabilen ve böylece iş ve özel verilerin ayrılmasını sağlayan bir konteyner uygulaması kullanmak yaygındı.

Ancak bu arada iOS, iş uygulamalarını özel uygulamalardan ve verilerden ayırmak için yerleşik bir "konteyner çözümü" sunuyor. Bunu yapmak için, Relution'daki envantere bir (BYOD) kaydı yoluyla bir iOS cihazı eklenir. Bu, cihaza bir MDM profili yükleyerek Relution aracılığıyla yönetilmesini sağlar. Teknik olarak, "yönetilen" ve "yönetilmeyen" uygulamalar ve içerikler arasında bir ayrım yapılır. Bu, iOS cihazını "çift kişilikli" bir cihaza dönüştürür ve verileri tamamen ayırır. Kısıtlamalar, verilerin "yönetilen" ve "yönetilmeyen" uygulamalar arasında paylaşılıp paylaşılamayacağını kontrol etmek için de kullanılabilir.

Cihazlara farklı konfigürasyonlar yüklenebilir ve Relution üzerinden yönetilebilir:

  • Uygulamalar
  • VPN yapılandırması
  • Notlar (gelecekteki iOS sürümlerinde daha fazla sistem uygulaması gelecektir)
  • iCloud hesabı
  • Anahtarlık
  • Posta Hesapları / Ekler
  • Takvim Hesapları / Ekler

MDM profili kaldırılırsa, yönetilen tüm uygulamalar ve içerik silinecektir. Bu işlem Relution aracılığıyla veya cihazın kendisinde yapılabilir.

Android - Corporate Owned Devices

Android 9'dan: Android Enterprise Enrollment (eksiksiz cihaz yönetimi)

En son Relution 5'ten bu yana, tam olarak yönetilen bir cihaz (cihaz sahibi) olarak Android Enterprise Enrollment, Relution'daki Android cihazlarının yönetiminde giderek yaygınlaşmaktadır. MDM işlevleri işletim sistemine entegre edilmiş ve standartlaştırılmıştır. Bu, Android platformunda büyük ölçüde üreticiden bağımsız, tek tip bir MDM işlevselliği sağlar. Android Enterprise işlevleri yalnızca sertifikalı cihazlar için kullanılabilir. Samsung cihazları KNOX fonksiyonları sayesinde daha da kapsamlı bir şekilde yönetilebilir ve güvenlik altına alınabilir. Relution İstemci Uygulaması artık Android Enterprise kaydı için gerekli değildir. Buna ek olarak, "Cihaz Yöneticisi" olarak klasik kayıt hala mevcuttur. Bu durumda Relution İstemci Uygulaması, MDM işlevlerini yürütebilmesi için cihaz üzerinde özel haklar alır. Ancak bu tür bir kayıtta MDM müdahalesi olasılıkları büyük ölçüde kullanılan Android cihaza bağlıdır. Android cihazları yönetirken çok çeşitli yapılandırmalar ve işlevler kullanılabilir:

  • Uygulamaların kurulumu ve yapılandırılması (örn. Exchange istemcisi)
  • Yönetilen Google Play Store
  • WLAN ve VPN yapılandırması
  • Cihazların tam otomatik kaydı (KNOX Mobile Enrollment)

Android - Bring Your Own Device

"İş Profili" Kaydı

Android Enterprise ayrıca, özel cihazlar için tasarlanan ve cihazda Relution tarafından yönetilebilen bir konteyner ("iş") kuran "iş profili" olarak adlandırılan bir profil sunar. Bu kapsayıcı, yükleme için yalnızca onaylı uygulamaları sağlayan bir "Yönetilen Play Store" içerir. "Yönetilen Google Play Store "dan uygulamaların yüklenmesi yerel bir Google hesabı olmadan mümkündür. Ayrıca, ilgili uygulama tarafından bir "Yönetilen Uygulama Yapılandırması "nın desteklenmesi koşuluyla uygulamalar Relution aracılığıyla yapılandırılabilir (örneğin, önceden tanımlanmış bir sunucu adresi ve kullanıcı kimliği olan bir e-posta uygulaması). Konteyner, iş ve özel kişileri ayırmak için kendi adres defterini de içerebilir.

Konteynerin ("Kişisel") dışındaki her şey Relution tarafından etkilenemez, örneğin cihaz sıfırlanamaz veya kilitlenemez. Bununla birlikte, konteyner Relution aracılığıyla kaldırılabilir ve bu da içindeki tüm verileri siler.

Relution, Android Enterprise'ın eksiksiz cihaz yönetimine ve sistem yöneticisi olarak klasik kayda paralel olarak bir kuruluştaki çalışma profilini destekler. Böylece Relution'da farklı cihazlarla karışık çalışma mümkündür.

Fonksiyonel kısıtlamalar

Ayrıca, aşağıdaki fonksiyonlar da "Çalışma" konteynerindeki kısıtlama ile kapatılabilir:

  • Uygulama Engeli/Listelemeye İzin Ver
  • Yeni kullanıcılar ve profiller oluşturma
  • Hesap ekleme ve kaldırma
  • Uygulamaları yükleyin
  • Uygulamaları kaldırma
  • Kamerayı kullanma
  • Ekran görüntüsü alma
  • Bluetooth'u yapılandırma ve kullanma
  • Bluetooth aracılığıyla kişileri paylaşma
  • Mobil ağın yapılandırılması
  • VPN'i Yapılandırma
  • Varsayılan WiFi ağlarını özelleştirin
  • Uygulama verilerini paylaşmak için Android Beam'i (NFC) kullanma
  • Harici fiziksel medya bağlama
  • USB üzerinden dosya aktarımı

Özet

Mevcut sürümlerinde Android ve iOS, iş ve özel verilerin ayrılması da dahil olmak üzere güvenli kullanım için kapsamlı seçenekler sunmaktadır. Bu olanaklar her yeni işletim sistemi sürümüyle daha da genişlemektedir.

Bu çerçevede, sistem düzeyinde bu kadar katı bir ayrıma izin vermediği (örneğin ayrı bir dosya sistemi olmadığı) ve işletim sistemi tarafındaki verilerin ayrılmasıyla karşılaştırıldığında hem maliyet hem de kullanılabilirlik açısından açık dezavantajlara sahip olduğu için klasik, uygulama tabanlı konteynerin günü gelmiştir.