Systémy, jež v kontextu aktuálních globálních výzev neztrácejí na významu. Naopak se staly klíčovými prvky moderních bezpečnostních řešení.
- MDM (Mobile Device Management)
- EMM (Enterprise Mobility Management)
- UEM (Unified Endpoint Management), pojmy, které jsou v oblasti IT užívány pro označení nástrojů pro hromadnou správu firemních zařízení.
Dnešním požadavkem většiny firem je poskytnout svým zaměstnancům jednoduchý a uživatelsky přívětivý způsob spolupráce a přístupu na firemní data. Tento trend výrazně akceleroval adopci cloudových nástrojů pro firemní spolupráci, které umožňují snadné sdílení souborů a komunikaci mezi členy týmů, a to odkudkoli na světě a z jakéhokoli zařízení. Tedy bez nutnosti provozu komplexní on‐premise IT infrastruktury a také bez nutnosti složitého připojování a ověřování klientů přes VPN.
Využití zařízení podle volby zaměstnance CYOD (Choose Your Own Device) anebo soukromých zařízení BYOD (Bring Your Own Device) je tak stále častější, stejně tak i využití více typů zařízení jedním uživatelem současně. Studie potvrzují, že zaměstnanci jsou při práci efektivnější, pokud používají zařízení podle svých znalostí a preference.
Tyto změny přinášejí firmám a zaměstnancům vysokou flexibilitu, ale zároveň je stavějí před řadu bezpečnostních výzev. Zejména jaká bezpečnostní pravidla stanovit pro přístup do cloudu a jak ochránit firemní data před neautorizovaným přístupem a případným únikem.
A právě zde dnešní Unified Endpoint Management systémy hrají velmi důležitou roli.
Jak se systémy pro správu firemních zařízení MDM, EMM a UEM vyvíjely a jaký je mezi nimi rozdíl?
Mobile Device Management
je označení pro správu mobilních zařízení s operačním systémem iOS nebo Android. Technologie v sobě obsahuje nástroje pro jejich konfiguraci a základní zabezpečení. Pomocí MDM jste schopní na všech zařízeních například nastavit zámek pro odemknutí, Wi‐Fi, e‐mailového klienta a nainstalovat aplikace.
Enterprise mobility management
je další evolucí správy firemní flotily zařízení, kde MDM je základním stavebním kamenem. Kromě toho však obsahuje nástroje pro zabezpečení firemních aplikací MAM (Mobile Application Management) a nástroje pro správu dokumentů a zabezpečení přístupu na firemní zdroje MCM (Mobile Content Management). Typicky EMM systémy umožňují zabezpečení firemních dat pomocí šifrovaného kontejneru a k dispozici jsou bezpečnostní brány pro přístup na interní webové stránky či síťová úložiště. Díky úzké integraci je možné v reálném čase povolit či zablokovat přístup na základě stavu spravovaného zařízení v MDM.
Unified endpoint management
systémy pak představují další stupeň, rozšiřující možnosti správy na všechna firemní zařízení. Tedy nejenom mobilní platformy, ale i desktopové systémy a IoT řešení. Díky modernímu API ve většině současných operačních systémů je tak možné z jedné administrativní konzole jednotně spravovat všechna firemní zařízení, a to kdekoli na světě. Stačí k tomu jen internetová konektivita. To je velká výhoda oproti tradičním způsobům správy počítačů s OS Windows pomocí Active Directory Group Policies (GPo) a nástrojů typu Microsoft SCCM/ConfigMg (System Center Configuration Manager). Ty byly navrženy pro správu stanic a serverů v rámci lokální sítě (LAN), a nejsou tak vhodné pro správu zařízení mimo síťový perimetr. Adopce moderního managementu Windows 10/11 začíná rezonovat u mnoha společností.
Dnes již prakticky na trhu neexistuje čistě MDM nástroj a většina řešení nabízí EMM funkcionalitu. Lídři trhu jako Microsoft, VMware, Soti nebo Ivanti poskytují komplexní řešení v oblasti jednotné správy – Unified Endpoint Management. Kromě toho si velmi silnou pozici drží např. Jamf coby specializovaný nástroj pro správu Apple zařízení. Soti je také velmi silné v oblasti správy odolných (rugged) Android zařízení hojně používaných např. v logistice.
Moderní bezpečnostní koncept
Vraťme se teď k potřebám firem, adopci cloudových technologií a bezpečnostním aspektům, které jsem zmínil na začátku článku. S přechodem do cloudu nelze opomenout bezpečnostní opatření.
Na začátku by si každá firma měla položit otázku, zda chce opravdu umožnit nekontrolovaný přístup na firemní data bez ohledu na to, zda dané zařízení splňuje alespoň základní bezpečnostní požadavky.
Co když ho uživatel ztratí a nebude mít nastavený zámek zařízení nebo nebude šifrováno? Co když používá zastaralý operační systém se známými zranitelnostmi?
Je také možné slepě považovat firemní počítač přistupující z internetu za bezpečný, když se dlouhodobě pohybuje mimo firmu?
Právě z těchto důvodů vstupují do popředí moderní bezpečnostní koncepty. Klasická ochrana síťovým perimetrem totiž s cloudem nefunguje a není snadné rozlišit, který přístup je či není bezpečný. Základní premisou tzv. Zero trustu je „nikomu nevěř, vždy ověřuj“. Díky úzké integraci mezi systémy pro správu identity (např. Azure AD, Okta) pro jednotnou správu zařízení (UEM), pro rozšířenou detekci a reakci XDR (Extended Detection and Response) je možné v reálném čase vyhodnotit důvěru pro přístup uživatele z daného zařízení na konkrétní aplikaci a přístup buď povolit, anebo zablokovat.
Unified endpoint management je tedy klíčovým systémem pro moderní správu a vyhodnocení důvěryhodnosti zařízení.
Autor: Ladislav Blažek, technický ředitel System4u