Содержание
- Защищенный доступ к корпоративным приложениям
- Управление мобильными устройствами и приложениями
- Защита и безопасность файлов и корпоративной почты
- Запуск компьютеров и приложений Windows на любом устройстве
- Мониторинг подозрительной активности и киберугроз
Вопрос безопасности данных на мобильных устройствах решается, как правило, значительным ограничением их функционала (ограничение доступных приложений, блокировка портов и каналов связи и другие жесткие политики безопасности). Но такой подход возможен только для устройств, которые компания выдает сотрудникам. Если же речь идет о личных устройствах, то службе безопасности часто приходится приходиться ограничиться общими правилами и инструкциями по безопасности и заниматься расследованиями уже по факту произошедших инцидентов. Совершенно другой подход предлагает Microsoft.
Решение EMS, построенное на продуктах вендора, обеспечивает управление мобильностью и безопасность корпоративных данных. EMS состоит из 5 компонентов, каждый из которых решает определенный набор задач. Все они тесно связаны и интегрированы друг с другом, а также с другими продуктами Microsoft, например, с Office 365 и Windows 10.
Защищенный доступ к корпоративным приложениям
Сервис на базе Azure Active Directory Premium позволяет предоставить пользователям защищенный доступ к корпоративным приложениям и сервисам с мобильных устройств. С его помощью можно организовать сценарии двухфакторной авторизации и single sign on (SSO). Все приложения, необходимые пользователям, можно опубликовать на специальном портале, для доступа к которому пользователю необходимо подтвердить свою личность вторым фактором (СМС-паролем, ответом на контрольный вопрос или одноразовым паролем). Когда сотрудник попадает на портал своих приложений, то получает доступ к каждому из них уже без дополнительной авторизации.
Пользователи могут сбрасывать забытый или потерянный доменный пароль, используя дополнительные факторы проверки. Это снимает часть нагрузки с сотрудников ИТ. Таким образом, этот подход удобен для всех. А если устройство потеряно, либо сотрудник покидает компанию, администратору достаточно просто отключить доступ пользователя к его порталу.
Управление мобильными устройствами и приложениями
Microsoft предлагает разграничивать личные и корпоративные сервисы путем создания закрытого контейнера для рабочих данных и приложений с помощью Intune. Это централизованное управление обновлениями и политиками безопасности, мониторинг и поддержка пользователей.
При таком сценарии создается список управляемых корпоративных приложений, внутри которых пользователь может комфортно работать и безопасно передавать информацию. Например, сотрудник может скопировать информацию из корпоративной почты и вставить в документ Word, а вот вставить ее в личную почту или социальную сеть он уже не сможет. Не сработает скриншот и функции вставки, перетаскивания. Также Intune позволяет запретить открывать определенные типы файлов сторонними приложениями, предоставляя пользователям защищенный и управляемый браузер. При этом не ограничиваются функции личных приложений.
Защита и безопасность файлов и корпоративной почты
Azure Rights Management Service (ARMS) делает рабочую переписку безопасной, применяя разные сценарии защиты для входящих и исходящих писем. Например, если письмо содержит важное вложение, которое необходимо защитить, его можно зашифровать, указать пользователей, которые будут иметь доступ к ключу шифрования, а также назначить срок действия доступа. Можно управлять возможностями получателя по работе с вложением: разрешить только чтение документа, запретив пересылку, копирование на жесткий диск, функцию скриншота или трансляцию через средства видеосвязи. При этом получателю совершенно не обязательно иметь в своей инфраструктуре сервис ARMS! Этот сценарий особенно полезен при переписке с партнерами и контрагентами, т.к. позволяет обеспечить защиту документов за периметром компании.
Запуск компьютеров и приложений Windows на любом устройстве
Azure RemoteApp упрощает виртуализацию компьютеров и приложений. Их можно запускать на самых разных устройствах: ноутбуках, планшетах и телефонах и работать, даже находясь в дороге. Это экономически эффективно, т.к. не тратятся средства на создание локальной инфраструктуры и управление ей. А данные безопасно хранятся в ЦОДе или в облаке.
Мониторинг подозрительной активности и киберугроз
Облачный сервис Advanced Treat Analytics (ATA) выявляет и предотвращает различные кибератаки, а также возможные утечки корпоративных данных. Он анализирует поведение пользователей в корпоративной инфраструктуре и на основе сложных алгоритмов машинного обучения Azure Machine learning определяет, является ли поведение нормальным или подозрительным. Сервис проводит сравнение различных ситуаций поведения пользователей с аналогичными ситуациями из базы знаний, которые когда-то уже приводили к неблагоприятным результатам.
Например, по регламенту компании, сотрудник обычно работает по будням, с 9 до 18, с офисного ПК, использует корпоративную почту, CRM и папку «Маркетинг» на SharePoint. Такое поведение считается нормальным. Если этот же сотрудник по ночам начнет с неизвестного устройства пытаться открыть корпоративную 1С или закрытую папку бухгалтерии – ATA позволит обнаружить это на самом раннем этапе.
