despliegue empresarial de smartphones mdm
DESCRIPTION
Charla impartida por Juan Miguel Aguayo, de la empresa Informática 64 para el evento Asegur@itCamp4! que tuvo lugar durante los días 26, 27 y 28 de Octubre de 2012 en El Escorial, Madrid.TRANSCRIPT
iOS
en el Entorno Corporativo
iOS en el entorno corporativoContents at a glance
Bloque I: Introducción.
Bloque II: Perfiles de configuración.
Bloque III: Distribución de perfiles y despliegue.
iOS en el entorno corporativoContents
Introducción Evolución de los dispositivos móviles y tendencias. Introducción de iOS en el mundo corporativo. Tipos de dispositivos. Peligros y amenazas.
Perfiles de configuración. ¿Qué son? Parámetros configurables. Tools.
Distribución de perfiles. Posibilidades de distribución. Mobile Device Management (MDM).
Bloque I:
Introducción
IntroducciónDispositivos móviles
IntroducciónMega Trends
Más del 30% de uso de los smartphones en el espacio de la empresa.
Smartphones y tablets son los SO dominantes.
Habrá más de 10.000 millones de trabajadores móviles en 2013.
“Consumerization of IT” o “BYOD” afecta a:
Deparmentos de IT. Operadores. Fabricantes de dispositivos.
IntroducciónConsumerization of IT
La nube.Facebook.Linkedin.Skype.Google.Mail.MySpace. …
IntroducciónIntroducción de iOS en la empresa
Los dispositivos iOS han ido ganando mucha popularidad.
Empresas de tendencias, ¿dependen de “amiguismos”?, pero dan una idea de por donde van los tiros…
IntroducciónTipos de dispositivos iOS en la empresa
Los dispositivos iOS han ido ganando mucha popularidad.
El índice de penetración de los iDevices está aumentando de manera considerable, más aún si se compara con otros SO móviles.
Dos posibilidades en el entorno corporativo:
Corporativos: La empresa compra, distribuye y gestiona completamente los dispositivos que van a acceder a información sensible de la compañía.
BYOD: Permitir acceso con los iDevices de los propios empleados.
IntroducciónBYOD – Apprentice Level
IntroducciónBYOD – Master Level
IntroducciónPeligros, amenazas y nuevos retos
Hay que evaluar y sopesar las ventajas y los nuevos riesgos de seguridad que presentan estos dispositivos.
Cualquier dispositivo puede extraviarse, perderse, o ser robado.
Desde el momento que los iDevices acceden a info corporativa sensible, o simplemente la almacenen, hay un riesgo de que dicha información pueda ser recuperada o que caiga en malas manos.
Hay que poner medios para protegerse ante estos nuevos riesgos, es decir, configurar los terminales con políticas de empresa.
IntroducciónPeligros, amenazas y nuevos retos
Aparecen nuevos peligros, amenazas, pero todo no es tan malo…
Pero también surgen nuevas e interesantes opciones para optimizar y mejorar el negocio.
Las apps corporativas ofrecen un alto ROI.
Mejoran el rendimiento, fluidez en las comunicaciones, trabajo remoto, y muchas cosas más (muchas aún por venir)…
Bloque II:
Perfiles de configuración
Perfiles de ConfiguraciónProtección ante amenazas: Políticas Corporativas
Para protegerse ante estos nuevos peligros y amenazas emergentes en el entorno corporativo con iOS, hay que utilizar Perfiles de Configuración.
Dichos perfiles sirven para asegurarse de que los dispositivos cumplen con la política de seguridad de la empresa.
Para crear y gestionar perfiles de configuración, con un número elevado de dispositivos, es necesario un Sistema de Gestión de Dispositivos Móviles, conocido como Mobile Device Management (MDM) service/system.
Se puede utilizar el sistema MDM de Apple (Lion’s Server Profile Manager) o utilizar un sistema MDM de terceros.
Perfil de Configuración¿Qué es?
Un perfil de configuración, es un fichero plist (XML Property List), típicos en sistemas operativos de Apple, que almacena los valores en base64.
Los perfiles de configuración pueden ser firmados o cifrados, de manera opcional, acorde al RFC 3852 Cryptographic Message Syntax (CMS). Esta opción es fundamental si el perfil contiene datos sensible, como contraseñas Wi-Fi o de usuario. Esto lo realiza automáticamente el sistema MDM.
Perfil de configuración: Metadatos. Payload.
Perfil de Configuración¿Qué se configura?
La mayoría de opciones que se configuran en un perfil de configuración aparecen en Configuración General (General Settings) del dispositivo.
Algunas configuraciones están sólo disponibles en el perfil de configuración, mientras que otras están sólo en el General Settings.
SÓLO son configurables de manera centralizada las opciones que aparecen en el perfil de configuración.
Véase la lista de parámetros u opciones a configurar en la siguiente transparencia.
Perfil de ConfiguraciónTools: iPhone Configuration Utility (iPCU)
Para crear y gestionar perfiles de configuración, Apple proporciona Apple proporciona la Utilidad de Configuración de iPhone (iPhone Configuration Utility), que es la forma más fácil crear y gestionar perfiles, y que además es gratuita.
Es una herramienta gratuita y disponible para Windows y Mac OS X.
La última versión es la 3.5, que cubre las nuevas actualizaciones de iOS.
La herramienta de por sí sola, no es todo lo útil que se desea, ya que es necesario un sistema MDM, para distribuir los perfiles de configuración creados (sino sólo por USB!).
Perfil de ConfiguraciónTools: iPhone Configuration Utility
Windows: http://support.apple.com/kb/DL1466Mac OS X: http://support.apple.com/kb/DL1465
Perfil de ConfiguraciónCreación perfil: Metadatos
El perfil contiene datos obligatorios, que son los metadatos, es decir, la parte de información del perfil, para que los usuarios/empleados que vayan a utilizarlo, sepan que configuraciones contiene, etc.
Los datos a rellenar son: nombre del perfil, identificador del perfil, nombre de la empresa, descripción del perfil, y la seguridad del perfil.
Perfil de ConfiguraciónCreación perfil: Metadatos - Seguridad del Perfil
Al perfil de configuración se le puede establecer el nivel de seguridad, es decir, si puede ser eliminado o no, y bajo que condiciones.
Las tres opciones presentes son: Siempre. Con autorización. Nunca.
Además se podría eliminar el perfil de las siguientes maneras. Jailbreak (eliminando el perfil directamente del sistema de ficheros). Comando de wipeo de iCloud’s Find my iPhone. Comando de wipeo de ActiveSync. Comando de wipeo de MDM.
Perfil de ConfiguraciónCreación perfil: Payloads
Zero configuration payloads.
Diferentes tipos de payloads:
Política passcode. Restricciones. Wi-Fi. VPN. Correo electrónico, Exchange. LDAP. CalDAV, CardDAV. Calendarios suscritos.
Clips Web. Credenciales (x.509). SCEP. Gestión de disp. móviles. Nombre Punto Acceso (APN).
Perfil de ConfiguraciónTipos de Payloads: ¿Qué se configura?
Apple’s iOS Configuration Profile Key Reference
Perfil de ConfiguraciónDocumentación de Apple en Español
http://www.apple.com/ipad/business/
Perfil de ConfiguraciónDocumentación de Apple en Español
http://www.apple.com/ipad/business/
Perfil de ConfiguraciónDocumentación de Apple en Español
Perfil de ConfiguraciónInstalación perfil con iPCU
El perfil de configuración se puede instalar de tres maneras distintas:
Por USB.
Por correo electrónico.
Vía web.
Esto se puede realizar ya que iPCU crea un certificado autofirmado y actúa como CA, y crea un certificado para cada dispositivo conectado.
DEMO
Creación, configuración y despliegue de un perfil de configuración con iPCU
Bloque III:
Gestión, Distribución, Despliegue
Gestión, Distribución, Despliegue MDM: Tecnologías
iOS es compatible con MDM, lo que permite a las empresas gestionar implantaciones ampliables de iDevices en sus organizaciones.
Las funciones de gestión MDM se basan en las tecnologías actuales de iOS, como por ejemplo:
Perfiles de configuración (Configuration Profiles). Inscripción inalámbrica (Over the Air Enrollment). APNS (Apple Push Notification Service). Se pueden integrar con soluciones propias o de terceros (Via In-
House / Third Party Server solutions).
Gestión, Distribución, Despliegue MDM: Arquitectura
La comunicación de red en un sistema MDM, consta de 3 partes:
Dispositivos iOS de los usuarios. APNS (Apple Push Notification Service). El servidor MDM.
Gestión, Distribución, Despliegue MDM: Funcionamiento
El servidor MDM se comunica con el servidor APNS (gateway.push.apple.com), para publicar notificaciones push que sean recibidas en los iDevices.
Los iDevices mantienen una conexión persistente con APNS (courier.push.apple.com), que es el canal centralizado para todas las notificaciones push en iOS.
Cuando los iDevices reciben una notificación push, establecen una conexión directa con el servidor MDM, que sirve la API MDM sobre HTTPs.
Más info del protocolo MDM en: “Inside the MDM Black Box” Black Hat USA 2011
Apple Push Notification Service Programming Guide
Gestión, Distribución, Despliegue MDM: Distribución y despliegue
Se puede utilizar como sistema de distribución:
USB (iPCU o Apple Configurator)? No para empresas con muchos... El sistema MDM de Apple (Lion’s Server Profile Manager). Un sistema MDM de terceros.
http://www.enterpriseios.com/
Desde 3099 €
Desde 999€
Desde 39€ - Ahora 15€
Gestión, Distribución, Despliegue MDM: Third Parties?
Hay una laarga lista de sistemas MDM de terceros.
Hay que realizar comparativa entre unos y otros, y estudiar cual se adapta mejor a nuestras necesidades.
Largas listas de características…
Son capaces de gestionar flotas de dispositivos de diversas plataformas.
Consultar lista de MDMs en: http://www.enterpriseios.com/
Mobile Device Management (MDM)MDM: Third Parties?
Gestión, Distribución, Despliegue MDM: Third Parties = Symantec
Algunas proveen de packages para Windows, Mac OS X, Linux y otros sólo para Mac, además de app de gestión para los iDevices:
Gestión, Distribución, Despliegue Conclusiones
Se han presentado dos opciones principales para realizar la gestión de dispositivos iOS en la empresa.
La primera es iPCU, que es una opción mucho más fácil y rápida, pero NO sirve para un alto número de dispositivos.
La segunda opción es un sistema MDM, como Lions’s server Profile Configuration, que es mucho mejor solución empresarial, y además ofrece funcionalidades adicionales como wipeo o bloqueo remoto, o eliminación del passcode.
PREGUNTAS
