ЭМУЧто такое управляемые и неуправляемые устройства? Как их защитить?

Что такое управляемые и неуправляемые устройства? Как их защитить?

Написано Танишк Мохит
ЭМУ

В этом блоге

По мере того, как современные модели работы смещаются от удалённой к гибридной и офисной, граница между личными и корпоративными устройствами становится всё более размытой. Сотрудники переключаются между ноутбуками, смартфонами и планшетами: некоторые из них выдаются ИТ-отделом, другие находятся в их личных руках и часто используются в рамках одного рабочего процесса.

Такое разнообразие устройств создало для ИТ-отделов двойную задачу: обеспечить безопасность управляемых (корпоративных) устройств, а также защиту растущего числа неуправляемых (BYOD) устройств. 

управляемые устройства

Давайте разберемся, чем отличаются управляемые и неуправляемые устройства, что они означают для вашей позиции по безопасности и как защитить оба устройства, не усложняя жизнь пользователям или вашей команде по обеспечению соответствия требованиям.

Управляемые и неуправляемые (BYOD) устройства: в чем разница?

ХарактеристикаУправляемые устройстваНеуправляемые устройства (BYOD)
СобственностьОрганизацияСотрудник
ИТ-контрольПолный (через UEM)Ограничено (обеспечивается UEM через контейнеры или контроль на уровне приложения)
Обеспечение соблюдения политики безопасностиОбщесистемнуюКонтейнер и специфичные для приложения
Примеры использованияТолько для работыРабота + личное
ПрозрачностьВысокий (мониторинг на уровне устройства)Ограничено (только корпоративные данные)
Профиль рискаНижний (полностью управляемый)Выше (совместное использование, меньший контроль)
Подходит для Регулируемые или ориентированные на безопасность среды, такие как BFSI и правительственные организации. Гибридные/удалённые рабочие среды, такие как корпорации, сервисные агентства. 
Управляемые и неуправляемые (BYOD) устройства: обзор 

При разработке современной стратегии управления устройствами крайне важно понимать, чем корпоративные и служебные устройства отличаются не только с точки зрения владельца, но и с точки зрения их настройки, защиты и мониторинга.

Что такое управляемые устройства?

Управляемые устройства — это конечные точки, принадлежащие организации и зарегистрированные в централизованном решении для управления устройствами, таком как программное обеспечение Unified Endpoint Management (UEM). Эти устройства полностью находятся под контролем ИТ-отдела, что позволяет администраторам применять политики безопасности, устанавливать обновления ОС и приложений, настраивать параметры политик, отслеживать активность устройств и пользователей, а также удалённо устранять неполадки при необходимости.

Ключевые характеристики управляемых устройств включают в себя: 

  • Аппаратное обеспечение, принадлежащее компании
  • Зарегистрировано на платформе MDM/UEM
  • Полная прозрачность и контроль для ИТ-отделов
  • Принудительные политики безопасности (шифрование, управление приложениями, политики паролей и т. д.)
  • Идеально подходит для корпоративного использования при минимальном личном использовании.

Случай использования: Логистическая компания выдает сотрудникам службы доставки планшеты Android, на которых предварительно установлены только рабочие приложения и которые заблокированы в режиме киоска для предотвращения несанкционированного использования.

Что такое неуправляемые устройства (BYOD)?

Неуправляемые устройства, обычно называемые BYOD (принеси свое устройство), — это личные смартфоны, ноутбуки или планшеты, которые сотрудники используют для доступа к корпоративным ресурсам. Эти устройства не полностью зарегистрированы в UEM, но могут иметь облегченные средства безопасности, такие как контейнеризация или управление через приложения, для защиты бизнес-данных.

Ключевые характеристики:

  • Аппаратное обеспечение, принадлежащее сотрудникам
  • Ограниченный или отсутствующий контроль на уровне устройства со стороны ИТ-отдела
  • Разделение данных с помощью контейнеров или политик, специфичных для приложений
  • Потенциально более высокий риск из-за особенностей личного использования
  • Часто используется в гибридной или удаленной рабочей среде.

Случай использования:

Сотрудник получает доступ к своей рабочей электронной почте и бизнес-приложениям со своего личного iPhone, на котором установлен защищенный рабочий контейнер, управляемый решением UEM компании.

Представляет ли BYOD риск для безопасности? Нет, если всё организовано правильно.

BYOD часто пользуется дурной репутацией в ИТ-кругах, и не без оснований. Персональные устройства различаются по конфигурации, подвержены неизвестным угрозам и имеют ограниченную видимость для ИТ-специалистов. 

Но вот правда: BYOD не является изначально небезопасным. 

Реальный риск заключается в том, как ею управляют или управляют неправильно. 

При правильной настройке и использовании средств управления концепция BYOD может быть одновременно безопасной и гибкой. Современные инструменты управления позволяют легко защитить данные, не мешая пользователям.

Современные инструменты, обеспечивающие безопасное использование BYOD

  • Решения UEM с поддержкой BYOD: Ведущие UEM теперь поддерживают BYOD с выборочным контролем, используя контейнеры и профили вместо полного управления устройствами.
  • Контейнеризация: Создаёт безопасное, изолированное рабочее пространство на персональных устройствах. Рабочие данные остаются зашифрованными, защищенными политиками безопасности и могут быть удалены без вмешательства в личные данные.
  • Условный и нулевое доверие к доступу: Применяет правила доступа на основе состояния устройства, операционной системы, местоположения и соответствия требованиям. Доступ к бизнес-приложениям получают только проверенные устройства.

Благодаря использованию этих инструментов BYOD перестает быть вектором риска и становится контролируемым, безопасным расширением экосистемы вашей компании.

Выбор правильной стратегии использования устройств: управляемые, неуправляемые или оба?

Универсального подхода к стратегии управления конечными устройствами не существует. Выбор оптимального сочетания — будь то управляемые устройства, BYOD или и то, и другое — зависит от особенностей деятельности организации, требований к соблюдению нормативных требований и особенностей работы ваших команд. 

На практике многие организации комбинируют эти два подхода: управляемые устройства для ролей, требующих строгого контроля, и защищенную концепцию BYOD для гибкости в ситуациях, когда риск ниже. Чтобы найти правильный баланс, ИТ-руководителям необходимо оценить как общеорганизационные приоритеты, так и требования к устройствам с точки зрения контроля, затрат и пользовательского опыта.

Факторы, которые следует учитывать в масштабах всего бизнеса:

  • Соответствие нормативным требованиям: В здравоохранении, финансах и авиации по умолчанию используются полностью управляемые и зашифрованные устройства.
  • Позиция безопасности: Организациям с высоким уровнем риска (например, государственным подрядчикам, объектам критической инфраструктуры) необходим контроль, который модели BYOD не могут полностью гарантировать. 
  • Рабочая модель: Удаленные рабочие места эффективно используют как управляемые, так и BYOD-устройства, поскольку управляемые устройства обеспечивают согласованность ИТ-систем; BYOD добавляет гибкости и ускоряет адаптацию.
  • ИТ-ресурсы и накладные расходы: Управление корпоративными устройствами требует больших ресурсов, в то время как BYOD сокращает расходы на оборудование, но усложняет реализацию политик.
  • Пользовательский опыт и гибкость: BYOD эффективен, когда доступ к персональным данным беспрепятственный, а конфиденциальность сохраняется. Это повышает удовлетворенность пользователей и производительность труда. 

Факторы, специфичные для устройства, которые следует оценить: 

факторУправляемые устройстваBYOD (неуправляемые устройства)
Требуется контрольВысокий (полный контроль над устройством и приложениями)Избирательный (на уровне данных или конкретного приложения)
Подготовка устройстваЦентрализовано ИТИнициировано сотрудниками
Управление жизненным цикломОтслеживается, обновляется, выводится из эксплуатации ИТ-отделомНе полностью видно ИТ-отделу
Распространение приложенийНапрямую через UEM или частный магазин приложенийОграничено одобренными контейнерами/приложениями
Поддержка и устранение неполадокУдаленный доступ, диагностика включенаМожет потребоваться участие пользователя или доступ на уровне приложения.
Стоимость владенияВысокий (приобретение и обслуживание устройства)Низкий (затраты перекладываются на сотрудника)

Как защитить управляемые устройства

Обеспечение безопасности управляемых устройств — основополагающий элемент любой корпоративной ИТ-стратегии. Благодаря ИТ-отделам, они могут защитить операционную систему, приложения, данные и сетевой доступ, не полагаясь на пользователей или сторонние инструменты.

С Решение для унифицированного управления конечными точками (UEM) при наличии возможности организации смогут применять эти меры в любом масштабе на Android, iOS, Windows, macOS, ChromeOS и Linux.

Вот как современные организации могут эффективно защитить свои управляемые устройства:

1. Обновление ОС и управление исправлениями

Поддержание операционной системы в актуальном состоянии — непреложный факт. Решения UEM позволяют ИТ-отделам автоматизировать обновления ОС и устанавливать исправления безопасности без ручного вмешательства пользователя.

  • Для Android это включает своевременное обновление версии ОС для минимизации риска известных уязвимостей.
  • Для Windows, ChromeOS и macOS UEM могут применять как крупные обновления, так и критические исправления безопасности на конечных точках.
  • Это гарантирует, что все устройства будут постоянно соответствовать новейшим стандартам безопасности и наборам функций.

2. Исправление сторонних приложений

Помимо ОС, большинство уязвимостей кроется в сторонних приложениях. UEM позволяют ИТ-отделам:

  • Мониторинг и исправление часто используемых приложений, таких как браузеры, инструменты обмена сообщениями и офисные пакеты.
  • Автоматизируйте обновления для таких приложений, как Zoom, Chrome и Slack
  • Снижение рисков независимо от действий пользователя

3. Шифрование данных

Данные должны быть в безопасности при хранении. UEM могут применять собственные протоколы шифрования на всех платформах устройств. Например: 

  • Шифрование BitLocker для конечных точек Windows.
  • Шифрование FileVault для устройств macOS.

Это гарантирует, что даже в случае утери или кражи устройства данные останутся нечитаемыми и защищенными от несанкционированного доступа.

4. Режим киоска

Для корпоративных устройств первой линии, режим киоска ограничивает использование одного приложения или предопределенного набора приложений и помогает: 

  • . режим киоска с одним приложением для блокировки устройств на одном конкретном приложении или выбранной группе приложений.
  • В кассах розничной торговли, полевых приборах и киосках обратной связи
  • Повышение концентрации и производительности за счет ограничения отвлекающих факторов
  • Минимизация рисков безопасности путем блокирования ненужного доступа к системе

5. Аутентификация устройства (контекстно-зависимое управление доступом)

Используя контекстные параметры, ИТ-отдел может:

  • Определите правила доступа на основе контекста, например времени, местоположения и сети.
  • Ограничьте доступ в нерабочее время или из опасных регионов
  • Применять 'в стиле ключ-карты«логика, разрешающая только доверенные условия доступа»
  • Предотвратить несанкционированный доступ без постоянного ручного контроля

6. Доступ администратора Just-in-Time (JIT)

Постоянные права администратора создают угрозу безопасности. Доступ «точно вовремя» (JIT) Позволяет временно повышать привилегии для выполнения определённых задач, а затем автоматически отзывает права администратора по истечении заданного периода. Это особенно важно для управляемых настольных компьютеров и ноутбуков, поскольку гарантирует, что пользователи получают повышенные права доступа только при крайней необходимости, и ни секундой дольше.

7. VPN-туннелирование

Безопасный зашифрованный туннель крайне важен при подключении устройств к публичным или домашним сетям. Интегрированные решения для защиты конечных точек UEM могут обеспечить постоянное или условное использование VPN, гарантируя маршрутизацию всего корпоративного трафика по защищенным каналам. Это защищает данные при передаче и скрывает корпоративную активность от злоумышленников.

8. Фильтрация веб-контента

Ограничивая доступ к не связанным с работой или вредоносным веб-сайтам, веб-фильтрация предотвращает случайное воздействие фишинга, вредоносного ПО или ненужного контента. Администраторы могут напрямую блокировать определённые категории доменов, такие как социальные сети, контент для взрослых или электронная коммерция, повышая производительность и улучшая безопасность конечных точек.

9. Аутентификация Wi-Fi и VPN на основе сертификатов

Вместо использования общих учётных данных UEM могут распространять цифровые сертификаты по конечным точкам для бесперебойной и безопасной сетевой аутентификации. Это особенно эффективно на корпоративных устройствах Android и Windows, обеспечивая автоматическое подключение к разрешённым сетям и VPN.

10. Политики паролей и аутентификации

Обязательное использование надежных и регулярно обновляемых паролей имеет основополагающее значение. Эти меры снижают риск несанкционированного доступа к устройствам. UEM могут обеспечить:

  • Минимальная сложность пароля
  • Требования к биометрической аутентификации
  • Автоматическая блокировка после периодов простоя

11. Интеграция с Mobile Threat Defense (MTD)

 Интеграция UEM и MTD расширяет защиту от таких специфичных для мобильных устройств угроз, как:

  • Устройства с root-доступом или джейлбрейком
  • Вредоносные приложения
  • Незащищенные соединения Wi-Fi
    UEM могут запускать автоматизированные ответные действия, такие как изоляция или очистка устройства, при обнаружении угроз.

12. Периферийные ограничения

Для предотвращения несанкционированной передачи данных UEM могут блокировать использование периферийных устройств, таких как USB-порты, слоты для SD-карт и внешние накопители, такие как флеш-накопители и жёсткие диски. Это необходимо в регулируемых отраслях и для защиты конфиденциальных данных.

13. Отслеживание местоположения и геозонирование.

UEM предоставляют отслеживание местоположения в реальном времени для потерянных или украденных устройств. Кроме того, геозонирование позволяет администраторам создавать виртуальные границы и применять политики на основе местоположения. Например, отключать камеру или блокировать определённые приложения при попадании устройства на охраняемую территорию.

14. Управление конфигурацией сети

Администраторы могут удалённо настраивать параметры Wi-Fi, VPN и прокси-сервера для множества устройств. Использование общедоступного Wi-Fi можно ограничить, а защищённые корпоративные сети могут быть автоматически активированы, что снижает вероятность атак типа «человек посередине» (MitM).

15. Политики пользователей, устройств и подгрупп

UEM поддерживают логическую группировку пользователей и устройств по ролям, местоположению или отделу. Это позволяет применять индивидуальные политики, упрощать делегирование ИТ-контроля и масштабировать управление жизненным циклом устройств.

16. Управление настройками связи

ИТ-отдел может регулировать функции связи устройств, такие как исходящие телефонные звонки, SMS/MMS и совместное использование Bluetooth. Ограничение этих возможностей помогает предотвратить утечку данных и обеспечить соблюдение организационных политик.

17. Удаленный мониторинг и управление (УММ)

Администраторы могут принудительно выполнять такие команды, как блокировка, перезагрузка, очистка или сброс, с центральной консоли. Параметры состояния устройства, включая состояние аккумулятора, памяти и хранилища, можно отслеживать в режиме реального времени. Удалённое устранение неполадок также минимизирует время простоя и снижает потребность в выездной поддержке.

18. Автоматизированный мониторинг соответствия и устранение неполадок

Благодаря непрерывному автоматическому мониторингу устройства проактивно сканируются на предмет проблем с соответствием требованиям, таких как отключенное шифрование, устаревшая ОС или несоответствие устройства политике; автоматические меры по устранению проблем срабатывают мгновенно. Такие действия, как:

  • Автоматическая блокировка экрана
  • Отображение предупреждающих сообщений
  • Удаление корпоративных данных

помогают поддерживать безопасность без ручного вмешательства.

Как работать с неуправляемыми устройствами (BYOD)

Управление и обеспечение безопасности неуправляемых устройств или устройств, используемых по программе BYOD (Bring Your Own Device), представляет собой особую сложность. Поскольку организация не владеет этими устройствами и не контролирует их полностью, применение стандартных мер безопасности может быть затруднено. Однако, используя правильные инструменты и стратегии, ИТ-отделы могут гарантировать соответствие устройств BYOD корпоративным стандартам безопасности.

Вот как организации могут защитить неуправляемые устройства:

1. Контейнеризация

Контейнеризация — один из наиболее эффективных способов разделения рабочих и личных данных на устройствах BYOD. Рабочий контейнер инкапсулирует корпоративные приложения, данные и документы, изолируя их от личных приложений и файлов пользователя. 

Это гарантирует защиту конфиденциальной корпоративной информации даже в случае компрометации личной части устройства. Благодаря решениям UEM контейнеризация также обеспечивает детальный контроль над рабочими приложениями, например, принудительное шифрование, контроль доступа к данным и даже удалённое удаление данных из рабочего контейнера без ущерба для персональных данных.

2. Управление приложениями

Хотя устройства BYOD могут не управляться централизованно, ИТ-отделы всё равно могут контролировать приложения, развёрнутые в рабочем контейнере на этих устройствах. Администраторы могут блокировать и разрешать приложения или создавать список разрешённых приложений, который можно применять принудительно, чтобы гарантировать, что конечные пользователи будут иметь доступ только к доверенным приложениям. 

Кроме того, управляемые конфигурации приложений можно применять для настройки приложений в соответствии с корпоративными политиками. Например, организации могут применять такие настройки, как ограничение функции копирования и вставки для конфиденциальных документов.

3. Обеспечение соблюдения политик безопасности

Чтобы обеспечить безопасность рабочих данных на устройствах BYOD, организации могут применить ряд политик безопасности к рабочему контейнеру, например:

  • Шифрование рабочих данных, хранящихся в контейнере (для обеспечения защиты данных даже в случае утери или кражи устройства).
  • Политики паролей для рабочих контейнеров, требующие от пользователей ввода надёжного пароля перед доступом к корпоративным ресурсам. Для дополнительной безопасности могут использоваться биометрические методы аутентификации, такие как сканирование отпечатков пальцев или распознавание лиц.
  • Внедряя эти политики, организации могут снизить риск несанкционированного доступа к рабочим данным, позволяя пользователям хранить свои персональные данные отдельно.

4. Условный доступ к электронной почте

Электронная почта часто является основным источником утечек данных, особенно на устройствах BYOD, где владелец устройства может устанавливать и использовать сторонние приложения. Для защиты доступа к электронной почте организации могут использовать политики условного доступа, которые гарантируют, что доступ к корпоративным почтовым аккаунтам будет предоставлен только устройствам, соответствующим определенным требованиям безопасности, таким как шифрование, версия ОС и т. д. Это гарантирует, что даже если устройство не полностью соответствует требованиям, доступ к корпоративной электронной почте можно ограничить или контролировать.

5. Предотвращение потери данных (DLP) на уровне контейнера

Предотвращение потери данных (DLP) Возможности могут быть реализованы на уровне контейнера, чтобы гарантировать, что корпоративные данные внутри рабочего контейнера не будут переданы ненадлежащим образом. Это может включать:

  • Ограничение функции копирования и вставки от рабочих приложений до личных приложений или других несанкционированных областей.
  • Отключение скриншотов для предотвращения сбора и распространения конфиденциальных данных.
  • Ограничение обмена файлами между рабочими и личными приложениями для предотвращения несанкционированной передачи данных.
    Инструменты DLP на уровне контейнера гарантируют, что даже в случае взлома или утери устройства конфиденциальная информация останется защищенной.

6. Управление контентом

Управление контентом на устройствах BYOD, особенно документами и файлами, являющимися частью рабочего контейнера, критически важно для обеспечения безопасности данных. ИТ-отделы могут применять политики, определяющие доступность контента и способы его использования. 

Например, просмотр документов может быть возможен только в определённых приложениях, а загрузка или печать документов может быть ограничена для предотвращения несанкционированного доступа к данным. Системы управления контентом гарантируют сотрудникам доступ к необходимым рабочим документам без ущерба для безопасности.

7. Удаленная поддержка

В случае инцидента безопасности или если пользователю требуется помощь, инструменты удалённой поддержки позволяют ИТ-администраторам устранять неполадки или предлагать решения непосредственно на устройствах BYOD. Например, если устройство BYOD скомпрометировано или сотрудник сталкивается с проблемой, которая может привести к нарушению безопасности, ИТ-отдел может получить удалённый доступ к устройству, отслеживать его состояние и применять необходимые исправления или политики безопасности. Это обеспечивает быстрое решение проблем, сохраняя при этом безопасность устройства.

Благодаря Scalefusion защита как управляемых, так и неуправляемых устройств становится беспроблемной

По мере роста популярности гибридной работы и внедрения концепции BYOD обеспечение безопасности как управляемых, так и неуправляемых устройств становится одной из основных обязанностей ИТ-отделов. Scalefusion помогает ИТ-отделам управлять устройствами и защищать их на таких платформах, как Windows, Android, iOS, macOS, Linux и ChromeOS.

ИТ-отдел может централизованно применять политики безопасности, используя профили устройств, гарантируя соответствие требованиям как корпоративных, так и личных устройств. Благодаря автоматизированному контролю и последовательному применению Scalefusion снижает риски, не полагаясь на вмешательство пользователя.

Он также защищает конфиденциальные данные, сохраняя удобство использования устройств, обеспечивая гибкость без ущерба для безопасности. Scalefusion упрощает управление рисками и соответствие требованиям, независимо от того, принадлежат ли устройства компании или сотрудникам.

Укрепите свои меры безопасности и управляйте устройствами правильно.

Обеспечьте единый контроль над всеми устройствами уже сегодня.

Часто задаваемые вопросы (FAQ)

 1. Что такое управление устройствами безопасности?

Управление устройствами безопасности включает в себя использование таких инструментов, как UEM или MDM, для мониторинга, настройки и применения политик безопасности как на корпоративных, так и на персональных устройствах. Оно обеспечивает защиту конфиденциальных данных, соблюдение требований нормативных актов и безопасность устройств за счёт контроля доступа, установки исправлений и принудительного шифрования.

2. Могут ли устройства BYOD соответствовать отраслевым нормам, таким как HIPAA или GDPR?

Да, устройства BYOD могут соответствовать таким нормам, как HIPAA или GDPR, при условии применения соответствующих мер безопасности. Благодаря UEM, контейнеризации и предотвращению утечек данных (DLP) компании могут защищать конфиденциальные данные на персональных устройствах с помощью шифрования, удалённого стирания данных и условного доступа, обеспечивая соблюдение требований и предотвращая несанкционированный доступ.

5. Чем опасны неуправляемые устройства?

Неуправляемые устройства представляют риск из-за отсутствия централизованного контроля безопасности, что делает конфиденциальные корпоративные данные уязвимыми для таких угроз, как вредоносное ПО, утечка данных и несанкционированный доступ. Без надлежащего мониторинга и шифрования эти устройства могут легко стать точками входа для кибератак. Отсутствие единых мер безопасности затрудняет применение политик и обеспечение соответствия персональных устройств стандартам безопасности организации.

3. Каковы основные риски, связанные с неуправляемыми устройствами на рабочем месте?

Неуправляемые устройства BYOD создают такие риски, как утечка данных, вредоносное ПО и отсутствие единых мер безопасности. Без централизованного управления сложнее обеспечить соблюдение протоколов безопасности, а потеря или кража устройства может привести к утечке корпоративных данных. Эти риски можно минимизировать с помощью таких инструментов, как контейнеризация и удаленное стирание данных.

4. Как контейнеризация защищает корпоративные данные на персональных устройствах?

Контейнеризация изолирует корпоративные данные в безопасной среде на персональных устройствах, обеспечивая их разделение с персональными приложениями. Это предотвращает несанкционированный доступ и позволяет ИТ-специалистам шифровать данные, применять контроль доступа и при необходимости удалённо очищать корпоративный контейнер, не затрагивая персональные данные.

Танишк Мохит
Танишк Мохит
Танишк — стажер-контент-райтер в Scalefusion. Он заядлый библиофил, любитель литературы и кино. Если он не работает, вы обнаружите, что он читает книгу и пьет горячий кофе.
Баннер статьи

Больше из блога

MacOS

Пошаговое руководство по настройке единого входа в платформу для macOS.

Platform SSO — это результат партнерства между Apple, решениями для управления устройствами и поставщиками удостоверений. Это функция единого входа, созданная...
Атишай Джайн -
Надежное управление устройствами

Регистрация устройств Zebra с помощью StageNow: полное руководство по...

StageNow позволяет организациям без проблем регистрировать устройства Zebra и превращать производительность на передовой в конкурентное преимущество. Однако...
Атишай Джайн -
MacOS

Объяснение работы платформы SSO: функции, преимущества и принцип действия.

Анонсированная в 2022 году на Всемирной конференции разработчиков (WWDC) функция единого входа (SSO) платформы — это функция единого входа, разработанная...
Атишай Джайн -