Bilgi Güvenliği Bakış Açısı ile Kurumsal Mobilite Yönetimi Sistemleri

0
100
views
Kurumsal ortamlarda farklı işletim sistemleri ile platfomlar üzerinde çalışan akıllı telefonlar, tablet ile dizüstü bilgisayarları ve pos şeklinde çalışan mobil cihazların kullanımını güvenli hale getiren ve yöneten biri dizi teknoloji, süreç ve ilke bütünü Kurumsal Mobilite Yönetimi (Enterprise Mobility Management) olarak adlandırılır. Bu yazıda kurumlardaki EMM konusu incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

A) Mobil İşletim Sistemlerinin Güvenlik Değerlendirmesi

Mobil cihazlar daha az güç tüketmek, daha az işlemci ve hafıza gerektiren uygulamalar çalıştırmak üzere tasarlanmış cihazlardır. Bu anlamda bu cihazlar üzerinde Antivirüs, DLP, EDR gibi güvenlik ürünlerinin çalıştırılması kullanımı performansı ve kullanımı olumsuz etkilemektedir. Bunun yanında mobil cihazlar çok çeşitli olduğundan cihazlar üzerinde standart politika belirlemek ve politikaların uygulandığını kontrol etmekte oldukça güçtür.

Mobil cihazlarda yaygın 2 işletim sistemi bulunmaktadır. Bunlar özelinde de aşağıdaki genel değerlendirmeler yapılabilir.

A.1) Android

Android işletim sistemine sahip cihazlardaki temel güvenlik değerlendirmeleri aşağıdaki gibi sıralanabilir.

  • İrili ufaklı çok sayıda firma Android cihaz üretmektedir. Büyük firmalar dışında kalan firmaların güvenliğe vereceği öncelik şüphelidir.
  • Tespit edilen güvenlik açıklarını kapatmak için yayınladığı güncellemeler bazı büyük firmalar dışında çok yavaş kalmaktadır. Geciken güncellemeler ile cihazların güvenlik zafiyetlerinden etkilenme riski yüksektir.
  • Açık kaynak kodlu işletim sistemi olduğu için Play Store dışından da kolayca uygulama yüklenmesine olanak tanıyor. Bu esneklik daha fazla malware yüklenmesine olanak sağlamaktadır.
  • Kullanım alanı çok yüksek olduğundan çok fazla hedef olma riski bulunmaktadır.

 

A.2) iOS

iOS işletim sistemine sahip cihazlardaki temel güvenlik değerlendirmeleri aşağıdaki gibi sıralanabilir.

  • Kullanıcı profili ve göz önünde bir şirket olduğundan daha fazla hedef alınmaktadır. Android sistemlere göre daha fazla güvenlik açığı tespit edilmiştir.
  • Güvenlik açıklarını kapatmak için çok hızlı güncellemelerin yayınlandığı görülüyor.
  • Güvenlik açığı söz konusu olsa bile kısa sürede yayınlanan güncellemeler ile risk düşürülüyor.

 

B) Kurumsal Mobilite Yönetimi Sistemleri

Firma ağındaki cihazlar fiziksel olarak kurum yerleşkesinde bulunduğundan ve sadece kurum işlemlerinde kullanılması amaçlandığından bu cihazlardaki önlemleri uygulamak mobil cihazlardan daha kolaydır.

Mobil cihazlar ise kurum ağından başka ağlar üzerinden kurum kaynaklarına erişirler. İş amaçlı ve kişisel olarak kullanılırlar. Kaybolma ihtimalleri daha yüksek, kayboldukları durumda içerisindeki verilere erişim daha kolaydır. Kurum tarafından yönetilmediklerinden cihaz üzerinde kurum verisi ile yapılan işlemler takip edilemez.

Mobil cihazlar kurum ağına bağlanılması ve kurum verisinin cihazlarda işlenmesi durumunda temel olarak;

  • Kurum ağı ile güvenli iletişim,
  • Kurum verilerinin telefonda güvenli bir şekilde saklanması,
  • Kurum verilerini işleyen uygulamaların cihazlarda yönetimi

konularında güvenliğin sağlanması gerekir.

Kurumsal Mobilite Yönetim Sistemleri de bu ihtiyacı karşılamak üzere ortaya çıkmıştır. Bu tür ürünler ilk olarak Mobile Device Management (MDM) – Mobil Cihaz Yönetimi olarak ortaya çıkmıştır. Cihazın tüm yönetimini kurum yapabilmektedir. Cihazı işletim sistemi seviyesinde hatta donanım seviyesinde kontrol etmeyi sağlamaktadır. Çok farklı cihaz modellerinde ve işletim sistemlerinde standart çalışma ihtiyacı, mobil uygulama yönetimi, içerik yönetimi ve bunlarla birlikte cihaz sahiplerinin kişisel kullanımını iş amaçlı kullanımdan ayırma ihtiyacı sonucu bu sistemler EMM (Enterprise Mobility Management) – Kurumsal Mobilite Yönetim Sistemleri olarak evrim geçirmiştir. Burada bahsedilen özellikler günden güne artacaktır. Ürünler de MDM olarak başladı, EMM oldu, şimdilerde UEM (Unified EndPoint Management) konuşuluyor.

 

C) EMM Fonksiyonları

Kurumsal Mobilite Yönetim Sistemi fonksiyonları aşağıdaki gibi sıralanabilir.

  • Mobile Device Management (MDM) – Mobil Cihaz Yönetimi
  • Mobile Application Management (MAM) – Mobil Uygulama Yönetimi
  • Mobile Identity (MI) – Mobil Kimlik Yönetimi
  • Mobile Content (Information) Management (MCM) – Mobil İçerik Yönetimi
  • Containment – Güvenli Alan Yönetimi

 

C.1) Mobile Device Management (MDM) – Mobil Cihaz Yönetimi

Envanter yönetimi, işletim sistemi yapılandırma yönetimi, uzaktan silme ve uzaktan izleme / kontrol gibi donanım ve işletim sistemi seviyesinde cihaz yönetimini sağlar.

 

C.2) Mobile Application Management (MAM) – Mobil Uygulama Yönetimi

MAM, uygulamalar üzerinde yönetim ve politika uygulanabilmesini sağlar. Uygulamalar EMM konsolu aracılığıyla yönetilebilir. Uygulamalar bir uygulama mağazası aracılığıyla cihaz üzerine kurulabilir.

MAM bileşenleri aşağıdaki gibi sıralanabilir.

  • Uygulamaları dağıtmak için kullanılabilecek bir kurumsal uygulama mağazası.
  • Uygulama dağıtımı ve yönetimi için arayüz.

 

C.3) Mobile Identity (MI) – Mobil Kimlik Yönetimi

EMM, kullanıcı ve cihaz sertifikaları, uygulama kodu imzalama, kimlik doğrulama ve birleşik oturum açma(Single Sign-on) gibi kimlik ve erişim yönetimi teknikleri kullanabilir. Bu şekilde yalnızca güvenilir cihazların ve kullanıcıların kurumsal uygulamalara erişmesini sağlar.

 

C.4) Mobile Content Management (MCM) – Mobil İçerik Yönetimi

EMM, mobil cihazlarda içerik dağıtımının erişim kurallarını yönetmek için MCM’i kullanmaktadır.

MCM üç temel role sahiptir:

  • Policy Enforcement – Politika Uygulama: Tüm dosyalara dosya paylaşım kuralları ve kopyalama / yapıştırma kısıtlamaları gibi politikalar uygulayabilir.
  • Content Push – Merkezi Dosya Yönetimi: Merkezden otomatik dosya dağıtımı, değiştirme ve silme işlemlerini gerçekleştirebilir.
  • Integration – Birlikte Çalışma: DLP gibi sistemlerle uyumlu çalışabilir.

 

C.5) Containment – Güvenli Alan Yönetimi

İş amaçlı kullanımı kişisel kullanımdan izole etmek için karantinaya alınmış ortamlarda MDM, MAM, MI, MCM’nin kapsüllenmesidir. Bu şekilde cihazlarda veri ve işlev izolasyonu yönetilebilir.

Güvenli Alan Bileşenleri aşağıdaki gibi sıralanabilir:

  • Hazır Uygulamalar: E-posta, takvim ve kişi yönetimi, tarama ve dosya paylaşımı gibi yaygın uygulamaların hazır olarak sunulması
  • Uygulama Kütüphaneleri: SDK sunularak uygulama kodu içinden wrapping ile kısıtlama sağlanması

Cihazlardan kurum sistemlerine erişimin güvenli alandaki (container) uygulamalar üzerinden yapılması işletim sisteminden kaynaklanan risklerin etkisini azaltabilir.

 

D) Kurumsal Mobil Cihaz Yönetim Sistemlerinin Sağladığı Güvenlik Özellikleri

Kurumsal mobil cihaz yönetim sistemlerinin sağladığı güvenlik özelliklerinin en önemli olanları aşağıdaki gibi sıralanabilir:

 

D.1) Erişim Güvenliği

Kurum dışı cihazların kontrollü bir şekilde kurum ağına erişmesi sağlanabilir. Örnek kontroller aşağıdaki gibi sıralanabilir.

  • Kayıt olmayan cihazların kurum ağına erişememesi (MDM, IM, Containment)
  • JailBreak/Root yapılmış cihazların kurum ağına erişememesi(MDM)
  • Kurum ağıyla güvenli iletişim kurulması

 

D.2) Web Uygulamalarını Çalıştırma

Web uygulamalarının mobil cihazlardan güvenli bir şekilde çalışması sağlanabilir. Örnek kontroller aşağıdaki gibi sıralanabilir.

  • Kopyala/yapıştır işlemlerinin engellenmesi (MAM, Containment)
  • Ekran görüntüsü alınmasının engellenmesi (MAM, Containment)
  • Uygulamalarda dosya yükleme ve indirme işlemlerinin güvenli alan(container) içinde yapılması (MAM, Containment)
  • Güvenli alana parola ile erişilmesi, bu alana kurulan uygulamalara gerekli görüldüğünde Single Sign On (SSO) ile erişilmesi (IM, Containment, MAM)
  • Çoklu Active Directory desteği (Genel)
  • Cihazların gps ile takibi, uzaktan güncelleme yapılması, çalınma/kaybolma durumlarında cihaz verilerinin uzaktan silinmesi, pil durumunun izlenmesi gibi cihaz yönetim ihtiyaçlarının sağlanması (MDM, MAM, Containment)
  • İçerik paylaşımı ile uygulama ve epostalardaki iletişim yükünün azaltılması(MCM)

 

D.3) Mobil Uygulamaları Çalıştırma

Mobil uygulamaların mobil cihazlardan güvenli bir şekilde çalışması sağlanabilir. Örnek kontroller aşağıdaki gibi sıralanabilir.

  • Mobil uygulamaların kurumsal mağazamızda yayınlanması (MAM)
  • Mobil uygulamaların mobil cihazlara dağıtılması ve otomatik kurulması (MAM)
  • Mobil uygulamanın yeni versiyonu çıktığında kullanıcılara ek bir işlem yaptırmadan güncelleme yapılması(MAM)
  • Kuruma özel uygulama mağazası kurulması (MAM)
  • Kopyala/yapıştır işlemlerinin engellenmesi (MAM, Containment)
  • Ekran görüntüsü alınmasının engellenmesi (MAM, Containment)

 

D.4) Kurumsal E-Posta Uygulamalarını Çalıştırma

Kurumsal e-posta hesaplarına güvenli bir şekilde erişmesi ve veri sızıntısının önüne geçilmesi sağlanabilir. Örnek kontroller aşağıdaki gibi sıralanabilir.

  • Belirlenen e-posta istemcisi dışındaki uygulamalardan e-posta alınamaması (MDM, IM, Containment)
  • E-posta eklentilerinin ekran görüntüsünün alınamaması, güvenli alan dışına çıkartılamaması, bulut depolama alanlarına aktarılamaması (Containment, MAM)
  • E-Posta linklerinin güvenli bir uygulama ile açılması (Containment, MAM)

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.