GIS-järjestelmän mobiilikäyttö tarjoaa joustavuutta ja kattaa yrityksen GIS-järjestelmään sisältyvät hyödylliset toiminnot. Tietoturva on tärkeässä roolissa, kun halutaan varmistaa, että aineiston luottamuksellisuus, eheys ja käytettävyys säilyvät kehittyvässä mobiiliympäristössä. Tässä aiheessa on kuvattu joitakin parhaiden käytäntöjen suosituksia, joilla voidaan pienentää yrityksen GIS-järjestelmään sisältyvään mobiilikäyttöön liittyviä riskejä.
Alla on lueteltu yleisiä mobiilikäyttöön liittyviä suojaussuosituksia ja ominaisuuksia, joilla voidaan parantaa mobiilikäyttöönoton suojaustasoa. Kattava luettelo mobiilikäytön riskeistä ja niiden pienentämisestä on kohdassa OWASP:n mobiililaitteille asettamat kymmenen suurinta riskiä.
Yrityksen mobiililaitteiden hallintajärjestelmäratkaisu (MDM) on hyvä suojatun mobiilikäytön aloituspiste. MDM tarkoittaa organisaation mobiililaitteiden hallintaa. Sitä käytetään yleensä sellaisen ohjelmiston kanssa, joka mahdollistaa mobiililaitteiden toimintojen ja suojauksenhallinnan keskittämisen ja optimoinnin. Ohjelmisto sisältää yleensä palvelinkomponentin, joka lähettää hallintakomentoja mobiililaitteisiin, joissa on asiakaskomponentti hallintakomentojen vastaanottamiseen ja suorittamiseen.
MDM-ratkaisu sisältää yleensä seuraavat ominaisuudet:
- laitteen valvonta, uudelleenkäynnistys ja salaus
- salasanakäytäntöjen pakotus, salasanojen nollaus
- etukäteen määritetyt Wi-Fi-asetukset/VPN-määritykset
- lukituksen poisto ja tietojen pyyhkiminen
- varmuuskopiointiasetusten pakotus
- murrettujen suojausten havaitseminen
Mobiilisovellusten hallinta (Mobile Application Management, MAM) tarjoaa lisäsuojan mobiililaitteille. Se tarkoittaa sellaisten ohjelmistojen ja palveluiden käyttöä, jotka mahdollistavat pääsyn yksittäisiin sovelluksiin laitteissa ja hallitsevat tätä pääsyä. Näin järjestelmänvalvojat voivat entistä tarkemmin hallita sovellustietoja ja suojata niitä sovellustasolla. MDM-ohjelmistoratkaisu voi sisältää MAM-ominaisuuksia osana sen toiminnallisuutta.
Esri on havainnut, että MDM-keskeiset MAM-ratkaisut, jotka edellyttävät sovelluksen luomista uudelleen MDM SDK:n avulla, eivät yleensä toimi hyvin. Osa Esrin asiakkaista käyttää MAM-ratkaisuja, jotka eivät edellytä MDM SDK:n sisällyttämistä. Esri tarjoaa tukea julkaistuille kaupan versioille, jotka on listattu vain tuotteen elinkaaren tuessa.
Esri Software Security and Privacy -tiimi on julkaissut teknisen ArcGIS Secure Mobile Implementation Patterns -raportin, josta IT-päälliköt ja GIS-järjestelmänvalvojat saavat lisätietoja yrityksen GIS-järjestelmän toteuttamisesta mobiilikenttäkomponentin kanssa.
Todennus
Todennukseen liittyy yhteydenmuodostusyrityksen tunnistetietojen tarkistus asiakkaan henkilöllisyyden varmistamiseksi. Varmista, että todennus on käytössä käytettäessä GIS-palveluja. Erityisesti mobiililaitteita varten mahdollisia vaihtoehtoja on useita sen mukaan, mitä ominaisuuksia yrityksessä on käytettävissä (kuten onko yrityksessä käytössä mobiilikäyttöön tarkoitettu suojausyhdyskäytävä tai voivatko mobiililaitteet hyödyntää olemassa olevaa VPN-verkkoa). Näitä vaihtoehtoja ovat:
- Integroitu Windows-todennus (IWA) – käyttää Kerberosta (tai NTLM:ää, jos Kerberos ei ole käytettävissä), joka mahdollistaa kertakirjautumisen Windows-pohjaisessa ympäristössä.
- Tunnusperusteinen todennus – käyttää ArcGIS-tunnuksia, jotka mahdollistavat todentamisen koko ArcGISissä.
- Organisaatiokohtainen todennus, joka käyttää SAML 2.0:aa tai OpenID Connectia – ArcGIS Online tai ArcGIS Enterprise mahdollistaa asiakkaille SAML 2.0:n tai OpenID Connectin käytön verkon kertakirjautumiskokemuksen tuottamiseen.
Valtuutus
Valtuutus on prosessi, jossa asiakkaan käyttöoikeudet tarkistetaan ennen resurssin käyttöä tai tietyn toiminnon suoritusta. Käyttäjille tulisi määrittää käyttöoikeudet roolin ja vähimmäiskäyttöoikeusperiaatteen perusteella. Mobiililaitteissa tämä voidaan tehdä eri tasoilla:
- Valtuutusten hallinta ArcGISissa käytettävissä olevien roolien, kuten pääkäyttäjän, julkaisijan ja käyttäjän, tasolla.
- Karkeansovellustason valtuutuksen ja käyttöönoton käyttö EMM (Enterprise Mobility Management) -tasolla.
Salaus
Salauksessa tietoja muunnetaan siten, etteivät henkilöt, joilla ei ole käytössään salauksen purkuavainta, voi lukea tietoja.
- Salaa siirtyvä aineisto edellyttämällä HTTPS-suojausta koko yrityksen GIS-järjestelmässä.
- Salaa käyttämätön aineisto mobiililaitteessa. Tämä voidaan toteuttaa teknisesti käyttämällä seuraavia:
- Yrityksen MDM
- MS Exchange ActiveSync:iä, jos käytössä on Microsoft Exchange -palvelin
Kirjaus ja tarkistus
Kirjaus tarkoittaa kiinnostavien tapahtumien tallennusta järjestelmässä. Tarkistuksessa tutkitaan kyseiset lokit sen varmistamiseksi, että järjestelmä toimii halutulla tavalla, tai tiettyä tapahtumaa koskevaan kysymykseen vastaamista varten. Kirjausta ja tarkistusta voidaan helpottaa seuraavilla tasoilla mobiilikäytössä:
- laitetasolla EMM (Enterprise Mobility Management) -ratkaisun avulla
- sovellustasolla kirjaamalla tietyt käyttäjätapahtumat.
Nämä tulokset tulisi syöttää yrityksen suojaustietojen ja tapahtumien hallintajärjestelmäratkaisuun (SIEM) lokin aineiston automaattisen korreloinnin helpottamiseksi, kun tunnistetaan haitallista toimintaa.
Tiukennus
Tiukennus on prosessi, jossa järjestelmät määritetään suojatusti mahdollisimman monen suojausriskin poistamiseksi. Hyökkäyksille alttiita pinta-aloja voidaan pienentää mobiilikäyttöönotoissa toimimalla seuraavasti:
- Palvelimen päätepisteiden tiukennus
- Rajoita sovelluksia käyttämällä mobiilisovellusten hallintaratkaisua.
- Palvelinpuolen suojausta pidetään OWASP:n mobiililaitteille asettaman kymmenen suurimman riskin mukaan ensisijaisena mobiililaitteiden riskinä.
- Noudata palvelimen suojauksessa vakiotiukennussuosituksia, jotka ovat alan parhaiden käytäntöjen mukaisia.