Korzystanie z przenośnych rozwiązań GIS zapewnia elastyczność pracy i dostęp do funkcji korporacyjnych GIS. Kwestie bezpieczeństwa odgrywają ważną rolę w przypadku zapewniania poufności danych, integralności i ich dostępności w rozwijającym się środowisku rozwiązań mobilnych. W tym temacie opisano wybrane najważniejsze wskazówki dotyczące zmniejszania ryzyka ataków przeprowadzanych na rozwiązania mobilne działające w ramach korporacyjnych systemów GIS.
Poniżej przedstawiono ogólne zalecenia dotyczące zabezpieczania rozwiązań mobilnych i funkcje zwiększające bezpieczeństwo. Obszerną listę zagrożeń i strategii rozwiązywania problemów zachodzących w środowiskach mobilnych przedstawiono w publikacji OWASP Mobile Top 10.
Korporacyjne rozwiązania z zakresu zarządzania urządzeniami przenośnymi (Mobile Device Management — MDM) to dobry wstęp do zapewniania wyższego poziomu bezpieczeństwa w przypadku urządzeń przenośnych. MDM odnosi się do administrowania urządzeniami przenośnymi w instytucji. Rozwiązanie to wraz z odpowiednim oprogramowaniem pozwala na centralizowanie i optymalizowanie obsługi i funkcji bezpieczeństwa urządzeń przenośnych. Oprogramowanie obejmuje zwykle komponent serwera, który wysyła polecenia zarządzania do urządzeń przenośnych z zainstalowanym komponentem klienckim odbierającym i wykonującym te polecenia.
Rozwiązanie MDM udostępnia zwykle następujące możliwości:
- Monitorowanie, ponowne uruchamianie i szyfrowanie urządzeń
- Egzekwowanie zasad dotyczących haseł, resetowanie haseł
- Wstępnie zdefiniowane ustawienia sieci Wi-Fi / konfiguracje wirtualnych sieci prywatnych (Virtual Private Network — VPN)
- Funkcje odblokowywania i usuwania wszystkich danych
- Egzekwowanie ustawień dotyczących kopii zapasowych
- Wykrywanie usuwania ograniczeń systemów (jailbreak)
Zarządzanie aplikacjami mobilnymi (Mobile Application Management — MAM) oferuje dodatkowy poziom zabezpieczeń urządzeń przenośnych przez użycie oprogramowania oraz usług zapewniających i kontrolujących dostęp do poszczególnych aplikacji na urządzeniach. Daje to administratorom bardziej szczegółową kontrolę na poziomie aplikacji podczas zarządzania danymi aplikacji i ich zabezpieczania. Funkcje rozwiązania MDM mogą obejmować możliwości zarządzania aplikacjami mobilnymi (Mobile Application Management — MAM).
W firmie Esri zauważono, że produkty MAM oparte na MDM, które wymagają przebudowy aplikacji z użyciem pakietu MDM Software Development Kit (SDK), zwykle nie działają dobrze. Niektórzy klienci firmy Esri używają produktów MAM, które nie wymagają użycia pakietu MDM SDK. Firma Esri zapewnia obsługę wyłącznie wydanych wersji sklepowych wymienionych na liście obsługi cyklu życia produktu.
Więcej informacji zawiera opublikowane przez zespół ds. bezpieczeństwa i prywatności w oprogramowaniu Esri opracowanie techniczne zatytułowane ArcGIS Secure Mobile Implementation Patterns (Wzorce bezpiecznej implementacji mobilnej ArcGIS) zawierające instrukcje dla kierowników działów IT i administratorów GIS dotyczące wdrażania korporacyjnego systemu GIS z mobilnym komponentem do pracy w terenie.
Uwierzytelnianie
Uwierzytelnianie obejmuje weryfikację poświadczeń podczas próby nawiązania połączenia w celu potwierdzenia tożsamości klienta. Należy się upewnić, że uwierzytelnianie jest włączone podczas uzyskiwania dostępu do usług GIS. Zwłaszcza w przypadku aplikacji mobilnych istnieje kilka potencjalnych opcji uzależnionych od funkcji dostępnych w korporacji, np. czy jest stosowana brama bezpieczeństwa rozwiązań mobilnych lub czy urządzenia przenośne mogą korzystać z wirtualnych sieci prywatnych. Dostępne są między innymi następujące opcje:
- Zintegrowane uwierzytelnianie systemu Windows (IWA) – korzystanie z rozwiązania Kerberos (lub NTLM, jeśli dostępne) zapewniającego funkcję jednokrotnego logowania do środowisk Windows.
- Uwierzytelnianie za pomocą tokena – używanie tokenów ArcGIS pozwalających na uwierzytelnianie na platformie ArcGIS.
- Właściwe dla instytucji z użyciem protokołu SAML 2.0 lub OpenID Connect — usługa ArcGIS Online i oprogramowanie ArcGIS Enterprise umożliwiają klientom korzystanie z protokołu SAML 2.0 lub OpenID Connect w celu stosowania internetowego jednokrotnego logowania.
Autoryzacja
Autoryzacja to proces, podczas którego uprawnienia klienta są weryfikowane przed zapewnieniem możliwości wykonania określonej funkcji lub dostępu do zasobu. Uprawnienia użytkowników powinny być dostosowane do ich ról i zasady zapewniania minimalnego wymaganego poziomu uprawnień. W przypadku rozwiązań mobilnych te zasady można stosować na różnych poziomach:
- Odpowiednie zarządzanie uwierzytelnieniami w ramach dostępnych ról na platformie ArcGIS, np. administrator, osoba publikująca i użytkownik
- W ramach EMM stosowanie mniej szczegółowych opcji uwierzytelniania na poziomie aplikacji i obsługi administracyjnej
Szyfrowanie
Szyfrowanie oznacza przekształcanie danych do postaci nieodczytywalnej bez odpowiedniego klucza odszyfrowującego.
- Szyfrowanie przesyłu danych wymagające stosowania protokołu HTTPS w ramach całego systemu GIS w korporacji.
- Szyfrowanie danych przechowywanych na urządzeniach przenośnych. Technicznie tę opcję można wdrożyć za pomocą:
- Korporacyjne rozwiązanie MDM
- Rozwiązania MS Exchange ActiveSync, jeśli używany jest produkt Microsoft Exchange
Rejestrowanie i inspekcja
Rejestrowanie oznacza zapisywanie zdarzeń zachodzących w systemie. Inspekcja polega na badaniu dzienników w celu zagwarantowania, że system działa poprawnie. Dzienniki zapewniają również informacje na temat występowania określonych transakcji. Stosowanie opcji rejestrowania i inspekcji można uprościć na następujących poziomach w przypadku rozwiązań mobilnych:
- Na poziomie urządzenia dzięki zastosowaniu funkcji zarządzania EMM
- Na poziomie aplikacji poprzez rejestrowanie określonych transakcji użytkownika
Wyniki należy przesyłać do korporacyjnego rozwiązania zarządzającego zdarzeniami i informacjami związanymi z bezpieczeństwem (SIEM) w celu ułatwienia zapewniania automatycznej korelacji rejestrowanych danych, co wspomaga wykrywanie szkodliwych działań.
Uszczelnianie zabezpieczeń
Proces uszczelniania zabezpieczeń to zapewnianie bezpiecznej konfiguracji systemu w celu zminimalizowania narażenia systemu na zagrożenia. Zakres ataku można zminimalizować we wdrożeniu mobilnym przez:
- Uszczelnianie zabezpieczeń punktów końcowych serwera
- Stosowanie funkcji zarządzania aplikacjami mobilnymi (MAM) umożliwiającymi ograniczenie dostępu aplikacji.
- Bezpieczeństwo po stronie serwera jest uznawane za najważniejszy aspekt w ramach zarządzania ryzykiem rozwiązań mobilnych wg rankingu OWASP Mobile Top 10.
- Zaleca się dostosowanie do standardowych zasad pełnego zabezpieczenia serwerów w celu zachowania zgodności z najlepszymi praktykami branżowymi.