Použití mobilního GIS nabízí flexibilitu a poskytuje užitečné funkce v rámci podnikového GIS. Bezpečnost hraje důležitou roli při zajišťování zachování důvěrnosti, integrity a dostupnosti dat ve vyvíjejícím se mobilním prostředí. Toto téma popisuje některé osvědčené postupy s cílem omezit rizika specifická pro mobilní prostředí používaná v rámci podnikových geografických informačních systémů.
Níže je uveden seznam obecných doporučení a funkcí zabezpečení mobilních prostředí s cílem zlepšit stav zabezpečení mobilního nasazení. Úplný seznam mobilních rizik s informacemi o tom, jak je zmírnit, naleznete na stránkách OWASP Mobile Top 10.
Podnikové řešení správy mobilních zařízení (MDM) je dobrým výchozím bodem pro posílení zabezpečení mobilních zařízení. MDM je správa mobilních zařízení v organizaci. Obvykle se používá software, který umožňuje centralizovat a optimalizovat správu funkcionality a zabezpečení mobilních zařízení. Software běžně obsahuje serverovou komponentu, která odesílá příkazy pro správu do mobilních zařízení, jež mají klientskou komponentu, která tyto příkazy přijímá a spouští.
Řešení MDM obvykle zahrnuje následující funkce:
- Monitorování, restart a šifrování zařízení
- Vynucování zásad hesla, resetování hesla
- Předdefinovaná nastavení WiFi/konfigurace virtuální privátní sítě (VPN)
- Odstranění zámku a možnosti vymazání
- Vynucení nastavení zálohování
- Detekce modifikací jailbreak
Správa mobilních aplikací (MAM) poskytuje další úroveň zabezpečení mobilních zařízení; jedná se o využití softwaru a služeb, které zajišťují a řídí přístup k jednotlivým aplikacím v zařízeních. Správci tak mohou mít podrobnější kontrolu na úrovni aplikací a spravovat a zabezpečovat data aplikací. Součástí softwarového řešení MDM mohou být funkce MAM.
Esri zjistila, že nabídky MAM zaměřené na MDM, které vyžadují přestavbu aplikace pomocí sady pro vývoj softwaru MDM (SDK), obvykle nefungují dobře. Esri má některé zákazníky využívající nabídky MAM, které nevyžadují začlenění MDM SDK. Esri bude poskytovat podporu pouze pro vydané verze úložiště uvedené v rámci podpory životního cyklu produktu.
Pro podrobnější informace vydal tým Esri Software Security and Privacy technický dokument s názvem Modely bezpečné mobilní implementace systému ArcGIS, který má pomoci manažerům IT a správcům GIS při nasazení podnikového GIS s komponentou pro využití v terénu.
Ověřování
Proces ověřování zahrnuje ověření přihlašovacích údajů během pokusu o přihlášení a jeho cílem je potvrdit totožnost klienta. Ujistěte se, že je ověřování aktivováno pro přístup ke službám GIS. Konkrétně pro mobilní zařízení existuje několik potenciálních možností v závislosti na funkcích, které jsou dostupné ve vašem podniku (například existence mobilní bezpečnostní brány nebo možnost využití existující virtuální privátní sítě (VPN) mobilními zařízeními). Tyto možnosti zahrnují:
- Integrované ověřování systému Windows (IWA) – použití protokolu Kerberos (pokud není k dispozici, NTLM), který umožňuje přidání jednotného přihlášení do prostředí systému Windows.
- Ověřování na základě tokenů – využití tokenů ArcGIS, které umožňují ověřování napříč ArcGIS.
- Specifické pro organizaci s použitím SAML 2.0 nebo OpenID Connect – ArcGIS Online nebo ArcGIS Enterprise umožňuje zákazníkům poskytovat možnost jednotného webového přihlášení pomocí protokolu SAML 2.0 nebo OpenID Connect.
Autorizace
Autorizace je proces, při kterém jsou před udělením přístupu ke zdroji nebo provedením určité funkce ověřena oprávnění klienta. Uživatelům přiřazujte oprávnění na základě rolí a podle principu přiřazování nejnižší možné úrovně oprávnění. V případě mobilních zařízení to může být na různých úrovních:
- Vhodná správa autorizace v rámci dostupných rolí v ArcGIS, jako jsou administrátor, vydavatel a uživatel.
- Pokud jde o úroveň EMM, použití hrubé autorizace a zřizování na úrovni aplikací.
Šifrování
Při šifrování jsou data přeměněna tak, aby nebyla čitelná osobami bez přístupu k dešifrovacímu klíči.
- Šifrujte přenášená data vyžadováním protokolu HTTPS v rámci vašeho podnikového geografického informačního systému.
- Šifrujte data uložená na mobilním zařízení. To lze technicky vynutit pomocí:
- podnikového řešení správy mobilních zařízení (MDM),
- služby MS Exchange ActiveSync, používáte-li prostředí Microsoft Exchange.
Vytváření protokolů a postupy kontrol
Vytváření protokolů zahrnuje zaznamenávání určitých sledovaných událostí v rámci systému. Postupy kontrol zahrnují kontrolu těchto záznamů za účelem ověření, že systém funguje správně, nebo zodpovězení otázek týkajících se konkrétních transakcí. Vytváření protokolů a postupy kontrol lze pro mobilní prostředí zprostředkovávat na následujících úrovních:
- na úrovní zařízení, zprostředkováno řešením správy mobilních podnikových systémů (EMM);
- na úrovni aplikace vytvářením protokolů specifických uživatelských transakcí.
Tyto výsledky je vhodné předávat do korporátního řešení správy bezpečnostních informací a událostí (SIEM) za účelem usnadnění automatické korelace dat protokolů s cílem odhalit škodlivou aktivitu.
Posílení zabezpečení
Posílení zabezpečení je proces bezpečné konfigurace systému za účelem zmírnění co největšího počtu bezpečnostních rizik. Prostor pro útok je u mobilních nasazení možné minimalizovat následujícími způsoby:
- Posílení zabezpečení koncových bodů serveru
- Použijte řešení správy mobilních aplikací (MAM) k omezení aplikací.
- Zabezpečení na straně serveru představuje podle projektu OWASP Mobile Top 10 největší riziko pro mobilní systémy.
- Řiďte se standardními doporučeními pro zabezpečení serveru, která jsou v souladu s osvědčenými postupy používanými v tomto prostředí.