设备安全指南-移动设备

admin
admin
admin
101962
文章
87
评论
2023年5月18日09:54:28评论32 views字数 2353阅读7分50秒阅读模式

组织如何安全地选择、配置和使用设备的指南

移动设备管理

关于企业移动设备管理选择和实施的建议
移动设备管理 (MDM) 服务结合了设备应用程序、内置设备管理功能和基础设施服务。通过这些组件组织可以远程控制、监控和实施员工设备上的策略。
接下来将讨论 MDM 的重要性、在选择 MDM 时的建议,以及如何最好地使用它们来安全地管理智能手机、平板电脑、笔记本电脑和台式电脑。

为什么要使用 MDM?

移动设备管理旨在简化组织内设备的管理。

典型功能包括设备注册、控制设备配置、保护数据、监控设备状态和合规性以及管理企业批准的应用程序的能力。跨越一系列平台和操作系统。

大多数 MDM 服务通过 Internet 运行,允许设备在世界任何地方进行管理和远程控制意味着员工可以安全地在场外工作。

一些示例用例包括在设备上实施策略,例如使用VPN如果设备丢失则执行远程设备擦除MDM 允许对设备进行监控,以帮助确定是否已保持最新状态、是否越狱或是否发生策略违规。此外,保持 MDM 的安全很重要,因为它们拥有解锁、解密和远程擦除企业内所有设备的密钥。

准备移动设备管理

在为组织选择 MDM 之前,有几件事需要考虑。

设备安全指南-移动设备

部署模式

MDM 服务可以在本地或在云中,例如作为 SaaS 解决方案。有些产品有两种模式,有些只有一种。

两种方法之间在功能支持方面也可能存在显着差异和权衡。例如,使用本地服务进行修补可能会较慢,因此组织不会始终拥有最新的功能。

对于本地 MDM 部署,在围墙花园架构中,应该决定是要将服务部署在边界防火墙内部还是外部。

如果将 MDM 服务置于网络边界内,包含可以控制、访问和擦除设备的加密密钥的高价值资产可以更好地免受外部攻击者的攻击,但如果还想远程擦除丢失的设备,则可能会变得更加困难撤销其 VPN 凭据。

设备和功能支持

单个 MDM 服务通常仅支持某些设备类型、安全功能和管理选项。因此,确定使用的设备是否支持以下功能非常重要:

设备注册

需要的注册选项会因设备管理方法而异。如果组织拥有并完全管理设备,与运行BYOD方案相比,需求可能更容易得到满足

对于企业自有设备,应该使用支持零触摸注册的 MDM 平台如果选择使用还允许管理员注册或自注册的技术方法,请务必在注册期间考虑可用的身份验证方法,包括用于用户和设备身份验证的 MFA。

设备配置

可用且可以实施的技术控制将因个人在组织中使用的设备而异。

需要考虑需要实施哪些设备配置策略,以及这些策略在选择的 MDM 中是否可用。

设备合规性和监控

MDM 可以提供用于监控设备和报告设备合规性的选项。这可以告诉组织设备和应用程序是否是最新的、检测越狱或是否存在被禁止的应用程序等信息。一些 MDM 还包括更高级的报告,使用设备证明,可以提供更强大的设备合规性和设备健康断言。

如果这些功能可用,并且身份验证服务支持,则可以与身份验证过程集成以提供更细粒度的访问策略。这将能够在允许设备访问组织数据和应用程序之前检查设备合规性。

应用管理和数据隔离

一些 MDM 提供自定义应用程序商店功能。可以使用它来确保用户只安装允许列表中的应用程序,例如企业应用程序目录。

在设备完全托管的情况下,这通常是首选选项,这意味着公司拥有和仅限企业 (COBO) 或公司拥有和个人启用 (COPE)。如果使用完全托管的方法,请务必考虑支持自动更新以及监控和报告移动设备上已安装应用程序的状态的能力

如果使用BYOD方法进行设备管理,则可能无法强制实施设备范围的限制。在这种情况下,应该考虑支持结合移动设备管理 (MDM) 和移动应用程序管理 (MAM) 的替代方法总之,这可以提供工作和个人应用程序和数据的隔离,并在设备丢失或被盗时防止数据丢失。

进一步的考虑

MDM 服务的其他理想特性是响应性和可靠性。在必须快速应用策略的情况下,例如擦除丢失或被盗的设备,高响应能力至关重要。

如何选择 MDM 服务

设备安全指南-移动设备

在选择和使用移动设备管理服务时,基于上述考虑,应该:

  • 根据组织使用的技术方法,选择支持需要的设备和功能的 MDM 服务。应该注意的是,如果使用BYOD 方法,这可能会显着限制组织能够实施的技术控制和可用的功能。

  • 如果可能,试行一系列 MDM 服务并评估对所需的设备和功能的支持。在此试点阶段,还应该考虑可访问性、可靠性和响应能力。

  • 选择一个 MDM 服务,为服务本身提供自动更新,并确保 MDM 软件保持最新。

  • 根据选择完全在本地部署 MDM 服务还是使用 IaaS 或 SaaS 模型在云中部署 MDM 服务,请确保具备强大的修补流程以保持后端基础架构处于最新状态。在 IaaS 模型中,有更多的责任自己修补服务。

  • 首选使用内置平台管理功能并与现有应用商店集成的 MDM 服务,而不是需要额外客户端代理的服务。

  • 如果使用的是企业应用程序目录,那么这应该支持自动应用程序更新。一旦应用程序在公共商店中更新,这些更新应立即应用。

  • 在可能的情况下,应应用设备配置策略以反映平台的 NCSC平台特定指南

  • 设备注册应支持针对零接触注册和自我注册的用户和设备的强身份验证方法,包括对多因素身份验证 (MFA) 的支持

  • 管理员界面和用户自助服务门户应该有很强的方法Ë nterprise认证

  • 选择支持设备日志记录和监控的 MDM 服务这应该包括配置适当的设备合规性策略以监控设备状态的能力。如果支持设备证明,这可用于对设备的状态和健康状况提供更有力的断言。

参考来源:英国国家网络安全中心官网

网络安全等级保护:来一份定级指南思维导图学定级

网络安全等级保护:等级保护对象的定级过程

网络安全等级保护:等级保护对象的定级与保护
网络安全等级保护:等级保护中的密码技术
网络安全等级保护:网络产品和服务安全通用要求之基本级安全通用要求
网络安全等级保护:政务计算机终端核心配置规范思维导图
网络安全等级保护:网络安全等级保护基本技术


原文始发于微信公众号(祺印说信安):设备安全指南-移动设备

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月18日09:54:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   设备安全指南-移动设备https://cn-sec.com/archives/563579.html

发表评论

匿名网友 填写信息