fb
IT Systems 4/2024 IT Security 9. 5. 2024 15:54

MDM a jeho současné postavení v zajištění bezpečného firemního IT prostředí

Práce z domova, různé typy mo­bil­ních zařízení a notebooků či vzdá­le­ný přístup k firemním da­tům, to vše při dodržení maxi­mál­ní možné bez­peč­nos­ti, jsou dnes standardní po­ža­dav­ky na firemní IT prostředí. Moderní bez­peč­nost­ní koncept vyžaduje komplexní bezpečnostní přístup a MDM systémy v něm stále hrají svou nezastupitelnou roli.

Vznik MDM a fáze jeho vývoje

Bylo již mnohokrát napsáno, že původní termín Mobile Device Management – MDM je překonán a nahrazen novou generací systémů zvaných Enterprise Mobility Management – EMM a následně Unified Endpoint Management – UEM. To je samozřejmě pravda a rozdíly mezi MDM, EMM a UEM jsou jasně vymezené. V praxi však termín MDM zůstává stále nejčastějším a mnoho výrobců i uživatelů tento termín stále používá. I přestože čistý MDM systém již nikdo, možná s výjimkou několika okrajových řešení, nenabízí. Vždy se jedná o širší platformy, včetně funkcionalit typických pro EMM a UEM. Asi to tak i zůstane, stejně jako je vysavač lux či ohřívač na vodu karma. V dalším textu proto budu používat pouze termín MDM.

V praxi je termín MDM stále používán, přestože systémy MDM už byly nahrazeny novou generací EMM a UEM.

Správa všech koncových bodů a IoT

Oproti minulosti mají současné systémy pro správu a zabezpečení zařízení výrazně širší možnosti. Zatímco původní MDM řešení umožňovala spravovat výhradně mobilní zařízení (telefony a tablety), současný záběr a možnosti správy jsou výrazně širší – tomu napovídá i termín UEM – Unified Endpoint Management. Spravovat je dnes možné i stolní počítače a notebooky, ať už běží na operačním systému Windows, macOS či Linux. A trendem poslední doby je samozřejmě správa tzv. wearable (hodinky, brýle) či zařízení podporujících standardy IoT.

Co zvládne a co nezvládne MDM

Občas je možné zaslechnout hlasy, že MDM řešení jsou překonaná a nahrazená jinými systémy. S tím si dovolím nesouhlasit – MDM řešení jsou stále nezbytnou součástí firemní infrastruktury a bezpečnosti. A domnívám se, že to tak i nějakou dobu zůstane. Samotné MDM však rozhodně není komplexní odpovědí na problémy a požadavky moderní firemní bezpečnosti – je nutná kombinace s dalšími zásadami a sys­té­my. Nasazení pouze samotného MDM zajistí správu a zabezpečení koncových zařízení či distribuci aplikací. Moderní řešení firemní bez­peč­nos­ti však vyžaduje více – kombinaci MDM s dalšími bez­peč­nost­ní­mi nástroji, jako je Identity and Access Management (IAM), Zero Trust Concept, Extended detection and response (XDR) a další.

Můžeme se setkat i s názory (a některé firmy na tom dokonce staví svůj marketing), že MDM plní funkci zejména ‚velkého bratra‘, sleduje uživatele a jejich činnost a jeho přítomnost ve firemním IT prostředí je škodlivá. Pokud se ale podíváme, jak je správa koncových bodů navržena a jak MDM funguje, můžeme s klidným svědomím podobná tvrzení zařadit mezi hoaxy a polopravdy.

Nelze rozporovat, že je možné sledovat polohu uživatele, využití aplikací či například monitorovat komunikaci. Jsou situace, kdy je podobná funkcionalita vyžadována, třeba při sledování vozidel dispečerem.

Vždy však platí, že o jakémkoliv sběru dat a přístupu k citlivým informacím je uživatel informován a nic se neděje bez jeho vědomí. Moderní MDM systémy jsou stavěny s ohledem na ochranu soukromí a v souladu se zákonnými požadavky. Podporují striktní oddělení soukromých a firemních informací, ať už v modelu BYOD (zařízení uživatele používané i pro firemní práci), COPE (firemní zařízení používané i pro soukromé účely) či COBO (firemní zařízení jen pro firemní účely).

Moderní MDM systémy jsou stavěny s ohledem na ochranu soukromí.

Obecné a speciální nástroje na správu zařízení

Převážná většina moderních řešení pro správu zařízení pokryje standardní potřeby zákazníků očekávaných od MDM – správu, evidenci a zabezpečení zařízení, distribuci aplikací, zabezpečený přístup do firemní sítě a podobně. Existuje však několik úzce specializovaných systémů, rozšiřujících standardní možnosti správy a nabízejících řešení specifických zákaznických potřeb.

Mezi tyto systémy patří zejména dvě technologie: Jamf, orientovaná na správu zařízení s operačním systémem macOS, a technologie SOTI One, specializovaná na správu průmyslových zařízení.

Jamf, oproti jiným MDM řešením, výrazně rozšiřuje možnosti správy zařízení na platformě Apple. Je s to zajistit kompletní řízení životního cyklu zařízení – automatizované nastavení zařízení včetně požadovaných aplikací, aktualizaci operačního systému i aplikací. Platforma Jamf je postavena na moderních pilířích a přístupech, jako je Zero-Trust, prevence bezpečnostních hrozeb a vyhodnocování rizik v reálném čase.

Systém Soti One Platform je specializován na správu průmyslových zařízení, takzvaných rugged devices. Jedná se například o podpisové tablety, čtečky čárových kódů či o mobilní průmyslové tiskárny a terminály. Soti umožňuje detailní řízení a správu těchto zařízení, včetně vzdáleného přístupu na zařízení a pokročilého monitoringu. Soti také umožňuje výrazné zrychlení low-code vývoje mobilních aplikací, nabízí vlastní řešení pro identity management a mnoho dalších funkcí.

(Pozn. Kdybych chtěl být důsledný, je vývoj řešení pro správu zařízení, většinou znázorněný jako MDM → EMM → UEM, nutné doplnit o symbol BB →?. Modří vědí, o čem mluvím – pohledů je více, naštěstí i bohužel bezpečnostní ohledy ne vždy vítězí nad uživatelskou přívětivostí.)

Edward Plch Edward Plch
Autor článku je Managing Partner společnosti System4U.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 10 IT Systems 9 IT Systems 7-8 IT Systems 6
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1