O uso de GIS móvel oferece flexibilidade e fornece funcionalidade benéfica como parte de um GIS enterprise. A segurança desempenha um papel importante para garantir que a confidencialidade, integridade e disponibilidade dos dados sejam mantidas em um ambiente móvel em evolução. Este tópico descreve algumas recomendações de práticas recomendadas para mitigar riscos específicos para dispositivos móveis como parte de um GIS enterprise.
Recomendações de segurança para ambientes móveis em geral e recursos para melhorar a postura de segurança de uma implantação móvel estão listados abaixo. Para obter uma lista abrangente de riscos móveis e estratégias de mitigação, consulte OWASP Mobile Top 10.
Uma solução de gerenciamento de dispositivos móveis enterprise (MDM) é um bom ponto de partida para uma postura móvel mais segura. MDM é a administração de dispositivos móveis em uma organização. Isso geralmente é aplicado com software que permite a centralização e otimização da funcionalidade e gerenciamento de segurança para dispositivos móveis. O software geralmente inclui um componente de servidor que envia comandos de gerenciamento para dispositivos móveis que têm um componente cliente para receber e executar os comandos de gerenciamento.
Uma solução MDM normalmente inclui os seguintes recursos:
- Monitoramento, reinicialização e criptografia de dispositivos
- Aplicação de políticas de senha, redefinição de senha
- Configurações de WiFi pré-definidas/configurações de rede privada virtual (VPN)
- Remover recursos de bloqueio e limpeza
- Aplicação de configurações da cópia de segurança
- Detecção de Jailbreak
O gerenciamento de aplicativos móveis (MAM) fornece um nível adicional de segurança para dispositivos móveis; é o uso de software e serviços que fornecem e controlam o acesso de aplicativos individuais nos dispositivos. Isso permite que os administradores tenham um controle mais granular no nível do aplicativo para gerenciar e proteger os dados do aplicativo. Uma solução de software MDM pode incluir recursos MAM como parte de sua funcionalidade.
A Esri observou que as ofertas de MAM centradas em MDM que exigem a reconstrução do aplicativo com o MDM Software Development Kit (SDK) normalmente não funcionam bem. A Esri tem alguns clientes usando ofertas de MAM que não exigem a incorporação de um MDM SDK. A Esri fornecerá suporte para versões de loja lançadas, listadas apenas no suporte ao ciclo de vida do produto.
Para obter informações mais detalhadas, a equipe de Segurança e Privacidade de Software da Esri lançou um documento técnico intitulado ArcGIS Secure Mobile Implementation Patterns para ajudar a orientar gerentes de TI e administradores de GIS na implantação de um GIS enterprise com um componente de campo móvel.
Autenticação
A autenticação envolve verificar as credenciais em uma tentativa de conexão para confirmar a identidade do cliente. Garanta que a autenticação esteja habilitada para acessar serviços GIS. Especificamente para aplicativo móvel, há várias opções potenciais dependendo dos recursos disponíveis na sua empresa, como se um portal de segurança móvel está presente ou se uma rede privada virtual existente (VPN) pode ser alavancada pelos dispositivos móveis. Estas opções incluem o seguinte:
- Autenticação Integrada do Windows (IWA)—Utilizando Kerberos (ou se indisponível, NTLM), que fornece um registro único na experiência para um ambiente baseado em Windows.
- Autenticação baseada em token—Utilizando tokens do ArcGIS, que fornece autenticação através do ArcGIS.
- Organização específica usando SAML 2.0 ou OpenID Connect—O ArcGIS Online ou ArcGIS Enterprise permite que os clientes usem SAML 2.0 ou OpenID Connect para fornecer uma experiência de registro único na web.
Autorização
A autorização é o processo pelo o qual as permissões de cliente são verificadas antes de acessar um recurso ou executar uma função específica. Os usuários devem receber privilégios baseados em papel e no princípio de menos privilégio. Para aplicativo móvel, isto pode estar em diferentes níveis:
- Gerencie de forma adequada a autorização dentro dos papéis disponíveis no ArcGIS como administrador, publicador e usuário.
- No nível de EMM, utilize aprovisionamento e autorização de nível do aplicativo inferior.
Criptografia
A criptografia é o processo de transformar dados de forma que sejam ilegíveis por aqueles sem acesso para uma chave de decodificação.
- Codifique dados em trânsito exigindo HTTPS em todo seu GIS enterprise.
- Codifique dados em repouso no dispositivo móvel. Isto pode ser tecnicamente forçado utilizando o seguinte:
- UM MDM enterprise
- MS Exchange ActiveSync se utilizar Microsoft Exchange
Registro e auditoria
O registro envolve gravar eventos de interesse a partir de um sistema. Auditoria é a prática de inspecionar esses logs para garantir que o sistema esteja funcionando adequadamente ou para responder a uma pergunta sobre uma transação específica que ocorreu. O registro e auditoria podem ser facilitados nos seguintes níveis para dispositivos móveis:
- No nível do dispositivo, como facilitado pela solução de gerenciamento de mobilidade enterprise
- No nível do aplicativo, por registro de transações de usuário específico
Estes resultados devem ser alimentados em uma solução das Informações de Segurança e Gerenciamento de Evento (SIEM) corporativo para facilitar a correlação automática dos dados de log para ajudar na detecção de atividade maliciosa.
Estabilização
Estabilização é o processo de configurar sistemas de forma segura para mitigar tantos riscos de segurança forem possíveis. A superfície de ataque pode ser minimizada para implantações móveis fazendo o seguinte:
- Estabilizando parâmetros do servidor
- Use uma solução de gerenciamento de aplicativos móveis (MAM) para restringir os aplicativos.
- A segurança do servidor é identificada como o risco móvel número um de acordo com o OWASP Mobile Top 10.
- Siga as recomendações do servidor padrão que alinham com as melhores práticas da indústria.