Distribuire informazioni aziendali in modo sicuro su smartphone e tablet con sistema operativo Android, Apple iOS e Microsoft Windows
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
BYOD e information security White paper Distribuire informazioni aziendali in modo sicuro su smartphone e tablet con sistema operativo Android, Apple iOS e Microsoft Windows Una guida tecnica e pratica aggiornata per Android 4.4, iOS 7.1, e Windows Phone e Surface 8.1. citrix.it/byod @CitrixBYOD citrix.it/secure @CitrixSecurity
BYOD e information security White paper 2 I dispositivi mobile basati su Android, iOS e Windows, tra cui smartphone, tablet e simili, hanno trasformato il computing aziendale, offrendo un nuovo livello di mobility e flessibilità alle persone e all'IT. Allo stesso tempo, complicano la sfida di mantenere la sicurezza e la privacy delle informazioni aziendali. La mobility aziendale richiede un approccio nuovo alla sicurezza, in grado di fronteggiare un mondo in cui i dispositivi mobile, i dispositivi bring-your-own (BYOD), i dispositivi aziendali con dati personali, le applicazioni cloud e le reti pubbliche utilizzate per l'archiviazione e l'accesso ai dati di lavoro hanno reso obsoleti i tradizionali perimetri bloccati. Invece di cercare di proteggere tutte le informazioni dell'azienda, compresi i dati pubblici non sensibili, l'IT dovrebbe concentrarsi sulla tutela di ciò che conta davvero: le informazioni sensibili del business, come proprietà intellettuale e segreti commerciali, nonché informazioni d'identificazione personale (IPI) regolamentate, informazioni sanitarie protette (ISP) e informazioni del settore delle carte di pagamento (PCI). Questo approccio prevede l'associazione di misure di sicurezza ai ruoli degli utenti e l'uso selettivo di una vasta gamma di metodi per garantire l'accesso, controllare l'utilizzo, evitare fuoriuscite di dati e proteggere dalla manomissione del dispositivo, senza interferire con la disponibilità dei dati. La gestione della mobility aziendale gioca un ruolo centrale in questa strategia, con funzionalità centrate su dispositivi, sistemi operativi, reti, applicazioni, dati e policy, ma è altrettanto fondamentale comprendere il ruolo dello stesso sistema operativo mobile. Ciascuna delle piattaforme dei tre principali sistemi operativi mobile, iOS, Android e Windows, presenta problemi di sicurezza e caratteristiche uniche. Android offre funzionalità e vantaggi mirati per organizzazioni e consumatori, ma la frammentazione delle versioni del sistema operativo e la mancanza di capacità di aggiornamento sui dispositivi con accesso limitato dal gestore di telefonia rappresentano delle sfide per la sicurezza. Il sistema operativo iOS di proprietà di Apple consente un controllo rigoroso dall'hardware alle applicazioni e fornisce un approccio “walled garden” che riduce le vulnerabilità, ma limita anche le opzioni di sicurezza tradizionali delle aziende. I dispositivi basati su Microsoft Windows 8, come Windows Phone e Surface, includono funzionalità di sicurezza avanzate e sfruttano la familiarità del reparto IT con le tecnologie di sicurezza di Windows legacy, ma le capacità di sicurezza e di gestione differiscono notevolmente tra le varianti del sistema operativo. In qualità di leader nelle soluzioni di mobile workspace, Citrix ha sviluppato tecnologie e best practice volte a sfruttare appieno i più recenti dispositivi mobile per il computing sia personale sia aziendale. In questo paper analizzeremo le principali piattaforme dei sistemi operativi mobile, i problemi di sicurezza e le caratteristiche uniche di ciascuna, nonché le misure che il reparto IT deve adottare per mantenere il controllo e al contempo favorire la produttività e la mobility. Discuteremo anche le capacità di sicurezza offerte dalle soluzioni Citrix per la mobility delle grandi imprese, tra cui Citrix XenMobile, Citrix ShareFile, Citrix XenDesktop, Citrix XenApp e Citrix NetScaler. Insieme, queste soluzioni offrono alle aziende il controllo sui dati, dal datacenter al dispositivo di qualsiasi tipo, e rispondono alle preoccupazioni del reparto IT in merito alla sicurezza, a prescindere dal fatto che le policy consentano ai dati aziendali di essere utilizzati su dispositivi mobile oppure no. citrix.it/byod citrix.it /secure
BYOD e information security White paper 3
Le differenze tra la sicurezza dei dispositivi mobile e quella dei
PC legacy
La sicurezza in ambito mobile non è semplice: non basta individuare le misure di
sicurezza attuali, tipiche dei PC, e riportarle sulle piattaforme mobile. Per esempio,
misure come antivirus, firewall personalizzati e crittografia completa del disco si
possono applicare su Android e Windows Phone e Surface, ma per i dispositivi iOS
si tradurrebbero nell'impossibilità di accedere alla rete, in quanto al momento iOS
non supporta tutte queste misure di controllo legacy. Tuttavia, grazie alla verifica delle
applicazioni che Apple esegue, almeno per il momento non c'è grande necessità di
installare applicazioni di sicurezza sul dispositivo. Un architetto della sicurezza con
il compito di implementare i dispositivi iOS in modo sicuro nell'ambiente aziendale,
invece, deve affrontare la questione dal punto di vista della protezione dei dati.
L'architettura di sicurezza di Android è molto simile a quella di un PC Linux. Basato
su Linux, Android ha tutti i vantaggi e alcuni degli svantaggi di una distribuzione
(distro) Linux, così come le misure di sicurezza uniche di un sistema operativo mobile.
Tuttavia, i dispositivi iOS differiscono sostanzialmente da un PC dal punto di vista
sia dell'usabilità sia della sicurezza. L'architettura di iOS sembra avere anche diversi
vantaggi di sicurezza che potrebbero risolvere alcune delle sfide di sicurezza dei
PC. Confrontate il modello di sicurezza e le soluzioni di mitigazione del PC rispetto
ai modelli di Android e iOS nel semplice esempio riportato sotto, e vedrete che le
misure di controllo necessarie ai PC possono non occorrere per il modello iOS. Inoltre,
Windows Phone e Surface migliorano il tradizionale modello del PC in molti modi.
Confronto sulle misure di sicurezza di PC legacy e tablet e smartphone
Android, iOS e Windows
Misura di
PC Android iOS Windows
sicurezza
Controllo del
Add-on Add-on Add-on Add-on
dispositivo
Anti-malware locale Add-on Add-on Indiretto Nativo
Crittografia dei dati Add-on Configurazione Nativo Configurazione
Isolamento/
segregazione Add-on Nativo Nativo Nativo
dei dati
Ambiente operativo
No No Sì Sì
gestito
Patching di Gestito Gestito
Nativo Nativo
applicazioni dall'utente dall'utente
Accesso per Richiede Richiede
Richiede Richiede
modificare i file di accesso come accesso come
rooting jailbreak
sistema amministratore amministratore
L'architettura di Android può essere configurata per garantire una sicurezza elevata,
come nel caso di una versione di Android adottata dal Ministero della Difesa degli
Stati Uniti. Inoltre, la National Security Agency supporta il modello Android Security
Enhanced (SE), portando il sistema operativo Linux SE nel kernel di Android.
citrix.it/byod citrix.it/secureBYOD e information security White paper 4 Panoramica dell'architettura di sicurezza di Android L'architettura di Android fornisce una piattaforma che consente di personalizzare la configurazione della sicurezza da un livello base a uno avanzato. È necessario specificare quali misure di sicurezza abilitare e applicare; la piattaforma Android offre le seguenti: Alcune delle caratteristiche di sicurezza che aiutano gli sviluppatori a costruire applicazioni sicure sono: • L'Application Sandbox di Android, che isola i dati e l'esecuzione di codice sulla base di una singola applicazione, ampliata con SELinux in modalità enforcing e l'integrità di avvio • Il framework applicativo di Android, con solide implementazioni di funzionalità di sicurezza comuni quali crittografia, permessi e IPC sicure • Un file system crittografato, che può essere attivato per proteggere i dati sui dispositivi smarriti o rubati Tuttavia, è importante che gli sviluppatori conoscano le best practice in materia di sicurezza di Android, per essere certi di sfruttare queste funzionalità e per ridurre le probabilità di introdurre inavvertitamente altri problemi di sicurezza con possibili conseguenze per le applicazioni. Come posso utilizzare il mio telefono o tablet Android in modo sicuro? L'architettura di sicurezza di Android è stata progettata in modo che sia possibile utilizzare in sicurezza il telefono e il tablet senza apportare modifiche al dispositivo o installare alcun software speciale. Le applicazioni di Android sono eseguite nell'Application Sandbox, che limita l'accesso alle informazioni sensibili o ai dati senza l'autorizzazione dell'utente. Per beneficiare pienamente delle misure di sicurezza di Android, è importante che gli utenti scarichino e installino software soltanto da fonti attendibili e note, visitino siti web attendibili ed evitino di mettere in carica i loro dispositivi in docking station non affidabili. L'architettura Android, in qualità di piattaforma aperta, permette alle persone di visitare qualsiasi sito web e di caricare su un dispositivo il software di qualsiasi sviluppatore. Come con un PC domestico, l'utente deve sapere chi fornisce il software che sta scaricando e deve decidere se vuole concedere all'applicazione le capacità che essa richiede. Questa decisione può basarsi sul giudizio dell'utente in merito all'affidabilità dello sviluppatore del software e sulla determinazione dell'origine del software. La funzione di scansione Bouncer e altre applicazioni di terze parti contribuiscono a rilevare i malware presenti nelle applicazioni. Problemi di sicurezza di Android La piattaforma aperta di Android consente il rooting e lo sblocco. Il rooting è il processo che permette di diventare root, ossia il super utente con tutti i diritti sul sistema operativo. Lo sblocco consente di modificare il bootloader, permettendo di installare versioni alternative del sistema operativo e delle applicazioni. Android ha anche un modello di autorizzazioni più aperto, dove qualsiasi file presente su un dispositivo Android è leggibile o da un'applicazione o universalmente. Per condividere un file tra applicazioni diverse, quindi, è indispensabile rendere tale file leggibile universalmente. citrix.it/byod citrix.it/secure
BYOD e information security White paper 5
Gli aggiornamenti alla versione più recente di Android non sempre sono disponibili
e a volte sono controllati dal gestore di telefonia. La mancata disponibilità di un
aggiornamento potrebbe consentire il persistere di problemi di sicurezza. Controllare
Impostazioni/Sistema/Info sul dispositivo/Aggiornamenti software per sapere se la
piattaforma può essere aggiornata.
Il supporto dei contenuti attivi, tra cui Flash, Java, JavaScript e HTML5, favorisce
gli attacchi e l'installazione di malware attraverso questi vettori. Assicuratevi che le
soluzioni di sicurezza siano in grado di rilevare e contrastare gli attacchi da parte di
contenuti attivi.
Il sistema operativo Android è uno dei bersagli preferiti dei malware mobile, tra
cui trojan che inviano SMS a numeri a pagamento e applicazioni illecite che
sottoscrivono gli utenti a loro insaputa a servizi dannosi, sottraggono informazioni
personali e, addirittura, abilitano il controllo remoto non autorizzato del dispositivo.
Ciò è particolarmente vero per le applicazioni provenienti da app store illeciti, non
sottoposte a revisioni e verifiche di sicurezza. Sebbene KitKat abbia introdotto “decine
di miglioramenti della sicurezza per proteggere gli utenti”, è comunque consigliabile
rafforzare i dispositivi Android con una soluzione anti-malware che fornisca un
approccio alla sicurezza più solido.
Le funzionalità più recenti di Android e il loro significato per l'IT
La seguente tabella riassume i vantaggi per gli utenti e l'impatto sulla sicurezza per l'IT
delle funzionalità più recenti di tablet e smartphone con sistema operativo Android 4.4.
Le novità più significative di Android 4.4
Android 4.4 (“KitKat”) espande le capacità di SELinux di proteggere il sistema operativo
Android tramite l'esecuzione in modalità enforcing per impostazione predefinita, e
aggiunge nuove funzionalità per il controllo della sicurezza. L'implementazione di queste
funzionalità potrebbe variare anche a seconda del produttore e del dispositivo. In questo
paper vengono discusse le caratteristiche più significative, elencate di seguito, e l'impatto
di ciascuna.
Caratteristica di Android Vantaggio per l'utente Impatto sull'IT
del dispositivo
Miglioramenti nella gestione La gestione delle whitelist Miglioramenti e
di certificati e keystore e il Certificate Pinning automazione apprezzabili
assicurano che vengano del sottosistema di
utilizzati solo certificati validi, crittografia di Android.
gli algoritmi a curva ellittica L'introduzione di una API
snelliscono la crittografia a chiave pubblica e altre
avanzata, e gli avvertimenti funzionalità di gestione del
sulle Certificate Authority keystore semplificheranno
(CA) aggiunte al dispositivo ed estenderanno le capacità
contrastano gli attacchi dell'IT.
man-in-the-middle.
Always listening È sufficiente pronunciare I dispositivi potrebbero
“OK Google” senza finire col registrare
toccare nulla per attivare involontariamente delle
il dispositivo. Al momento conversazioni, e potrebbero
questa funzione è attivare o disattivare in
presente solo su Nexus modo dinamico delle
5, ma si prevede una sua funzionalità in base a ciò
espansione. che viene detto.
citrix.it/byod citrix.it/secureBYOD e information security White paper 6
Aggiunta automatica di L'aggiunta di informazioni Le persone che lavorano
contenuti mancanti mancanti di contatto, in strutture protette o con
risorse nei dintorni, mappe clienti molto attenti alla
e località si completa sicurezza non dovrebbero
automaticamente. rilasciare informazioni
dettagliate sulle località e
devono disabilitare questa
funzione.
Integrazione con il cloud L'integrazione di storage L'uso di Google Drive e
locale e cloud significa di servizi di terze parti
che le informazioni di condivisione di file
possono essere personali sarà nativo per
memorizzate/sincronizzate le applicazioni e abilitato
automaticamente tra il attraverso API. Il reparto
dispositivo, le applicazioni e IT deve garantire che
il cloud. siano disponibili e attivate
soluzioni di livello aziendale.
SMS, Google Hangout per Le persone possono usare Sebbene Google Hangout
SMS e configurare gli SMS sia eccellente per le
secondo le loro esigenze interazioni personali, per
personali le comunicazioni di lavoro
devono essere configurati e
utilizzati gli SMS aziendali.
In aggiunta alle caratteristiche integranti del sistema operativo Android, i produttori di
dispositivi, i gestori di telefonia e i partner arricchiscono continuamente Android con
nuove funzionalità.
Samsung SAFE e KNOX
Samsung SAFE è un programma di sicurezza di Samsung progettato per fornire
dispositivi di fascia aziendale che offrono controlli di sicurezza ben superiori a quelli
presenti sulla maggior parte dei dispositivi Android. Samsung SAFE comprende
controlli di gestione di applicazioni e dispositivi mobile come la crittografia integrata
nel dispositivo AES-256, la connettività VPN e il supporto per Microsoft Exchange
ActiveSync per la posta elettronica aziendale, il calendario e le applicazioni PIM native.
Samsung KNOX fornisce un ulteriore livello di protezione rispetto a SAFE, con una
sicurezza completa per i dati aziendali e l'integrità della piattaforma mobile. Le
funzionalità di KNOX comprendono un contenitore “dual-persona” per l'isolamento
degli spazi lavorativi e personali, una misurazione dell'integrità del kernel con VPN per
singola applicazione, e l'avvio sicuro personalizzabile, per garantire che sul dispositivo
possa essere eseguito soltanto il software verificato e autorizzato.
Citrix adotta un approccio integrato nel sostenere le API SAFE e KNOX.
Citrix XenMobile si basa su KNOX con controlli MDM e MAM avanzati che vengono
gestiti nel portale di amministrazione; queste funzionalità saranno illustrate nel dettaglio
più avanti in questo paper.
citrix.it/byod citrix.it/secureBYOD e information security White paper 7 Panoramica dell'architettura di sicurezza di iOS Il sistema operativo proprietario iOS è sottoposto a controlli rigorosi. Gli aggiornamenti provengono da un'unica fonte, e le applicazioni Apple presenti nell'AppStore sono controllate e sottoposte a test di sicurezza elementari. L'architettura di sicurezza di iOS ha incorporato un'architettura della sicurezza basata su sandbox, nonché l'attuazione di misure di sicurezza basate su una configurazione specifica e controlli rigorosi che interessano dall'hardware alle applicazioni. Secondo Apple, la sicurezza di iOS si basa su: Un approccio stratificato alla sicurezza. La piattaforma iOS fornisce tecnologie e caratteristiche di sicurezza rigorose senza compromettere l'esperienza dell'utente. I dispositivi iOS sono progettati per rendere la sicurezza il più trasparente possibile. Molte funzioni di sicurezza sono abilitate per impostazione predefinita, quindi gli utenti non hanno bisogno di competenze avanzate in materia di sicurezza per mantenere protette le loro informazioni. Sequenza di avvio sicura. Ogni passaggio del processo di avvio, dai bootloader al kernel al firmware della banda base, è firmato da Apple per garantire l'integrità. Il dispositivo passa alla fase successiva solo dopo aver verificato il primo passaggio. Sandboxing delle applicazioni. Tutte le applicazioni di terze parti sono collocate in sandbox, in modo che non possano accedere ai file memorizzati da altre applicazioni o apportare modifiche al dispositivo. Questo impedisce alle applicazioni di raccogliere o modificare informazioni, proprio come tenterebbero di fare un virus o un malware. Con il rilascio di iOS 7, Apple ha introdotto TouchID per semplificare l'autenticazione dei dispositivi, la protezione crittografica FIPS 140-2 per i dati sensibili, il blocco di attivazione per proteggere ulteriormente i dispositivi smarriti o rubati, e numerosi miglioramenti per la sicurezza meno evidenti. Problemi di sicurezza del modello iOS Apple ha adottato un approccio “walled garden” all'architettura iOS, che impedisce ai proprietari dei dispositivi di accedere o modificare il sistema operativo. Per eseguire qualsiasi modifica, sul dispositivo deve essere eseguito il jailbreak. Il jailbreak è il processo che rimuove le protezioni e consente l'accesso root al dispositivo. Una volta raggiunto il livello root, la modifica e la personalizzazione sono abilitate. Apple ha preso provvedimenti aggiuntivi basati sull'hardware per disincentivare la pratica del jailbreak. Le funzionalità più recenti di iOS e il loro significato per l'IT La seguente tabella riassume i vantaggi per gli utenti e l'impatto sulla sicurezza per l'IT delle funzionalità più recenti di tablet e smartphone con sistema operativo Apple iOS 7.1. citrix.it/byod citrix.it/secure
BYOD e information security White paper 8
Le novità più significative di iOS 7.1
Oltre ai miglioramenti delle funzionalità di sicurezza, Apple ha pubblicato un documento
che illustra le misure di sicurezza di iOS da un dispositivo Apple all'iCloud. In questo
paper vengono discusse le caratteristiche più significative, elencate di seguito, e l'impatto
di ciascuna.
Caratteristica di iOS Vantaggio per l'utente Impatto sull'IT
del dispositivo
Blocco di attivazione Una volta configurato, un Ha implicazioni per la
telefono cellulare rubato o proprietà e la gestione del
smarrito è inutilizzabile per dispositivo. Integra la gestione
un ladro, il che dovrebbe della mobility delle grandi
scoraggiare il furto di imprese.
dispositivi.
Touch ID Touch ID è il sensore di Touch ID funziona meglio con
impronte digitali per il la versione 7.1; inoltre, Apple
rilevamento dell'identità ha trasferito le impostazioni
di Apple, e al momento di Touch ID e del codice di
è una prerogativa degli accesso a un livello superiore,
iPhone 5s. Consente di rendendoli più facili da
accedere ininterrottamente configurare.
al dispositivo.
Registrazione automatica Gli utenti ricevono i I dispositivi acquistati da
dispositivi aziendali pre- Apple tramite il Programma
configurati e pronti all'uso. di registrazione dei dispositivi
possono essere registrati con
facilità in MDM.
FIPS 140-2 Una crittografia verificata e Le aziende che richiedono
ad alta sicurezza protegge FIPS 140-2 a livello di
tutti i dati sul dispositivo. dispositivo ora possono
utilizzare iPhone e iPad.
Controlli di sicurezza di iOS7.x e Android a confronto
Nel confronto tra iOS e Android, è importante notare che i controlli di Android variano in
base al dispositivo, alla versione del sistema operativo e al gestore di telefonia. In alcuni
casi, per esempio, le vecchie versioni di Android non offrono la crittografia a livello di
dispositivo.
iOS7.x Android
Crittografia del dispositivo Sì Varia in base a dispositivo/OS/gestore
Crittografia OTA Sì Varia in base a dispositivo/OS/gestore
Password del dispositivo Sì Varia in base a dispositivo/OS/gestore
Blocco/pulizia in remoto Sì Varia in base a dispositivo/OS/gestore
Verifica dell'app Sì Varia in base a dispositivo/OS/gestore
Password dell'app Sì Varia in base a dispositivo/OS/gestore
Crittografia dell'app Sì Varia in base a dispositivo/OS/gestore
Contenitore (container) dell'app Sì Varia in base a dispositivo/OS/gestore
Accesso sicuro alla rete da parte Sì Varia in base a dispositivo/OS/gestore
dell'app
Apri in Sì Varia in base a dispositivo/OS/gestore
citrix.it/byod citrix.it/secureBYOD e information security White paper 9 Panoramica dell'architettura di sicurezza di Windows Phone e Surface Nei propri sistemi operativi per tablet e smartphone più recenti Microsoft ha ampliato le tecnologie e architetture di Windows più diffuse. Funzionalità di sicurezza integrate, come BitLocker, Defender, SmartScreen, firewall personale e controllo dell'account utente, si basano su una solida architettura di sicurezza mobile. Secondo Microsoft, la sicurezza per le piattaforme Windows Phone e Surface si basa su: Sicurezza della piattaforma delle applicazioni. Microsoft adotta un approccio su più fronti per aiutare a proteggere dal malware i tablet Windows e i dispositivi smartphone. Un aspetto di questo approccio è il processo di avvio Trusted Boot, che aiuta a prevenire l'installazione di rootkit. Camere e funzionalità. Il concetto di camera si basa sul principio del privilegio minimo e utilizza l'isolamento per realizzarlo; ogni camera offre un confine di protezione e, attraverso la configurazione, un confine di isolamento all'interno del quale un processo può essere eseguito. Ogni camera è definita e implementata utilizzando un sistema di policy. La policy di sicurezza di una camera specifica definisce quali funzionalità del sistema operativo i processi in tale determinata camera possono richiamare. Una funzionalità è una risorsa per la quale esistono preoccupazioni di privacy degli utenti, di sicurezza, economiche o di business relativamente all'utilizzo di Windows Phone. Esempi di funzionalità includono informazioni relative a: posizione geografica, fotocamera, microfono, networking e sensori. Problemi di sicurezza di Windows I sistemi operativi tradizionali per PC basati su Windows sono molto diffusi e sono il bersaglio preferito da chi tenta gli attacchi, il che significa che qualsiasi codice e servizio condiviso tra PC e piattaforme mobile potrebbe essere la causa di vulnerabilità diffuse. L'architettura di protezione avanzata delle piattaforme Windows Mobile, in particolare tutta l'esperienza Windows 8, ha migliorato notevolmente lo stato di protezione di Windows. L'utente predefinito (utente di default) viene eseguito come amministratore, fornendo un livello di accesso sproporzionato per il normale lavoro di tutti i giorni. Pertanto, si raccomanda di creare un utente separato per l'utilizzo quotidiano, lasciando i privilegi di amministratore riservati unicamente a quando sia effettivamente necessario svolgere attività come amministratore. Naturalmente, la possibilità per un utente di diventare amministratore sul dispositivo è simile a diventare un utente root; con questo livello di privilegi, la disponibilità di un accesso sproporzionato può influenzare negativamente la sicurezza. Un'altra grande preoccupazione sta nel fatto che il modello e i controlli di protezione consueti di Windows possono portare ad una situazione in cui il dispositivo venga eccessivamente gestito dall'IT. Ciò comporterà un approccio alla sicurezza e all'usabilità che scadrà nel classico “o si fa a modo mio o niente”; così, una gestione eccessiva e ingiustificata da parte del reparto IT obbligherà gli utenti ad adottare un altro dispositivo. Le funzionalità più recenti di Windows e il loro significato per l'IT La seguente tabella riassume i vantaggi per gli utenti e l'impatto sulla sicurezza per l'IT delle funzionalità più recenti di tablet e smartphone Windows Phone e Surface 8.1. citrix.it/byod citrix.it/secure
BYOD e information security White paper 10
Le novità più significative di Windows Phone e Surface
Microsoft ha rinnovato le piattaforme Windows mobile, integrando direttamente le
funzioni di sicurezza aziendali. In questo paper vengono discusse le caratteristiche
più significative, elencate di seguito, e l'impatto di ciascuna.
Funzionalità di Vantaggio per l'utente Impatto sull'IT
Windows del dispositivo
BitLocker La crittografia del La crittografia gestita
dispositivo in Windows dall'utente non è
Phone 8 utilizza la appropriata per i dati
tecnologia BitLocker per aziendali sensibili. Il
criptare tutto l'archivio dei reparto IT deve far
dati interni del telefono con rispettare la gestione
crittografia AES 128. aziendale della crittografia.
Windows Defender Questa funzione aiuta a Antivirus e anti-malware
proteggere il PC in tempo di livello nativo sono
reale contro virus, spyware una gradita novità per le
e altro software dannoso. piattaforme mobile.
SmartScreen Il filtro SmartScreen di La policy del reparto IT
Internet Explorer consente deve far sì che gli utenti
di proteggere gli utenti da rispettino le avvertenze di
attacchi di tipo malware SmartScreen.
e phishing mettendo in
guardia gli utenti qualora
un sito web o una
posizione di un download
siano stati segnalati come
pericolosi.
Prevenzione della perdita L'IRM (Information Rights Richiedono Windows
di dati Management) consente Rights Management
ai creatori di contenuti Services (RMS) e Windows
di assegnare diritti ai Phone.
documenti che inviano
agli altri. I dati contenuti
nei documenti protetti da
diritti vengono criptati in
modo tale da poter essere
visualizzati solo dagli utenti
autorizzati.
Firewall Un firewall personale La configurazione del
protegge le applicazione e firewall dovrebbe essere
la connessione di rete sia specificata e controllata
in entrata che in uscita. dal reparto IT.
citrix.it/byod citrix.it/secureBYOD e information security White paper 11
In che modo i dispositivi mobile odierni proteggono i dati sensibili
I modelli di mobility spostano le responsabilità per la sicurezza, tradizionalmente di
competenza dell'IT, da standard organizzativi ben definiti ad un insieme di standard
che coinvolgono una miriade di dispositivi, sistemi operativi e policy. Non esiste un
approccio “one-size-fits-all” alla mobility e gli aspetti specifici relativi a proprietà del
dispositivo, funzionalità del dispositivo, posizione dei dati e requisiti dell'applicazione,
tutti concorrono a comporre il quadro generale della sicurezza.
Tuttavia, le misure di controllo più comuni, come la protezione antivirus controllata a
livello aziendale, non possono essere installate e mantenute su tutti i dispositivi mobile.
Le organizzazioni devono prendere in considerazione l'efficacia di specifiche misure di
sicurezza per il mobile nel contesto delle loro esigenze e seguire le raccomandazioni
dei propri architetti della sicurezza aziendale. Per ulteriori informazioni su come la
gestione della mobility aziendale, la virtualizzazione di applicazioni e desktop Windows,
e la sincronizzazione e condivisione dei dati aziendali possono far fronte a potenziali
minacce alla sicurezza in ambito mobile, fate riferimento alla tabella di seguito.
Minacce e corrispondenti misure di sicurezza in ambito mobile (con la gestione
della mobility aziendale, la virtualizzazione di applicazioni e desktop Windows,
la sincronizzazione e condivisione dei dati aziendali, e il networking)
Misura di sicurezza
Minaccia Vettore della minaccia
mobile
Esfiltrazione dei dati I dati escono I dati rimangono nel
dall'organizzazione datacenter o vengono criptati
Stampa schermo e gestiti sul dispositivo
Screen scraping Controllo dell'applicazione/
dispositivo
Fotocamera
Limitare i supporti rimovibili
Copia su supporti rimovibili
Backup criptati
Perdita di backup
E-mail non nella cache
E-mail dell'applicazione nativa
Limitare la cattura delle
schermate
Manomissione dei dati Modifica da un'altra Sandbox di applicazione/dati
applicazione Logging
Tentativi di manomissione Rilevamento jailbreak
non rilevati
Autenticazione reciproca
Dispositivo con jailbreak
VPN micro-app
Perdita di dati Perdita del dispositivo Dati gestiti sul dispositivo
Dispositivo e accesso non Crittografia del dispositivo
approvati Crittografia dei dati
Errori e configurazioni Aggiornamenti e patch
Vulnerabilità delle applicazioni
citrix.it/byod citrix.it/secureBYOD e information security White paper 12
Malware Modifica al sistema operativo Ambiente operativo gestito
Modifica all'applicazione Ambiente applicativo gestito
Virus Architettura*
Rootkit
*Mentre le architetture del sistema operativo mobile possono essere irrobustite contro il malware, i virus latenti basati su PC
possono essere trasmessi attraverso file infettati. Si raccomanda che funzionalità anti-malware siano disponibili per tutti gli
ambienti host ai quali si connette il dispositivo mobile, in particolare per le e-mail.
Nei casi di dispositivi personali utilizzati in azienda, è prudente mantenere le
informazioni aziendali più sensibili separate dal dispositivo per ridurre le vulnerabilità.
Come impostazione predefinita, bisognerebbe accedere ai dati altamente sensibili in
remoto dal datacenter e tali dati non dovrebbero mai essere copiati su un dispositivo
mobile. I dati che bisogna rendere disponibili sui dispositivi mobile dovrebbero
essere messi al sicuro tramite misure adeguate come la crittografia e la capacità di
cancellarli dagli endpoint mobile in remoto. Le applicazioni che bisogna controllare e
rendere disponibili sui dispositivi mobile possono essere “containerizzate” per evitare
l'interazione con applicazioni non aziendali.
Scoprite aspetti che probabilmente non state prendendo in considerazione
Le applicazioni mobile non sempre visualizzano i contenuti allo
stesso modo delle applicazioni native su PC. Ecco alcune delle aree
problematiche:
• I video che non sono in formato mobile nativo non sono supportati e non vengono
riprodotti (ad esempio, WMV e Flash)
• Le applicazioni di posta elettronica spesso hanno problemi nel visualizzare
correttamente la grafica, sono mal configurate per il supporto del certificato di
sicurezza, non criptano i dati e non gestiscono avvisi di richiamo e altre funzioni
speciali
• Il calendario non può visualizzare lo stato libero/occupato e ha problemi con
aggiornamenti multipli agli eventi e con gli eventi che non sono attuali
• Le applicazioni per le presentazioni non sempre mostrano tutti i grafici, i font e
l'impaginazione così come appaiono in PowerPoint
• Le applicazioni di elaborazione testo non mostrano quando è attiva la funzione
“Revisioni” e non visualizzano commenti e note, quindi le modifiche non vengono
visualizzate ed è possibile che vengano tralasciati aggiornamenti importanti al
documento
Mettere al sicuro le informazioni aziendali a cui si accede su tablet
e smartphone grazie a Citrix
Citrix fornisce un app store unificato sul dispositivo mobile, consentendo l'accesso
ad applicazioni sia per la produttività che per l'azienda, compresi i dati gestiti
tramite ShareFile. ShareFile può essere usato per abilitare l'accesso offline ai dati
sui dispositivi mobile. ShareFile e XenMobile aiutano il reparto IT a proteggere i
dati sensibili memorizzati sui dispositivi mobile attraverso la containerizzazione, la
crittografia e policy globali di controllo dei dati, al fine di bloccare le perdite generate
dagli utenti. I dati containerizzati sul dispositivo possono essere cancellati in remoto
dal reparto IT in qualsiasi momento; questa procedura può anche essere attivata
automaticamente da determinati eventi, ad esempio nel caso in cui venga effettuato
il jailbreak del dispositivo. Tramite XenApp e XenDesktop l'app store unificato di
Citrix offre applicazioni mobile, nonché applicazioni e desktop Windows in modalità
citrix.it/byod citrix.it/secureBYOD e information security White paper 13 hosted centralizzata. Fornendo l'accesso mobile remoto alle risorse tramite un hosting centralizzato, il reparto IT può mantenere i dati confinati nel datacenter dove possono essere tenuti al sicuro e protetti. L'IT può eseguire e far rispettare tali policy tramite XenMobile e ShareFile, a prescindere dal fatto che l'organizzazione decida di mantenere i dati sensibili e le applicazioni nel datacenter, di contenerli sui dispositivi, o di lasciarli liberi nell'ambito mobile. Le applicazioni mobile messe al sicuro da Citrix usufruiscono di Citrix NetScaler Gateway per una forte autenticazione e crittografia del traffico di rete. Il gateway NetScaler Gateway SSL/VPN fornisce VPN micro-app per consentire l'accesso backend alle applicazioni aziendali, mobile e web, agendo come un punto di applicazione delle policy di rete al fine di abilitare misure di sicurezza di rete specifiche per le applicazioni. Micro-app VPN permettono l'elaborazione solo di determinati dati inerenti il lavoro nell'azienda, aiutando a gestire in modo migliore il traffico e garantendo, al tempo stesso, la sicurezza della privacy dell'utente finale. XenMobile offre gestione e controllo unificati di tutti i tipi di applicazioni (tra cui quelle mobile, web, SaaS e Windows), così come di dati, dispositivi e utenti. La crittografia di Citrix protegge i dati di configurazione, i bitmap dello schermo e lo spazio di lavoro dell'utente. Citrix utilizza funzionalità native della piattaforma mobile per criptare i dati in sosta e in movimento tramite le interfacce di rete WiFi e 3G/4G. In che modo XenMobile aiuta a proteggere le applicazioni e i dispositivi XenMobile fornisce la completa libertà di dispositivi mobile, applicazioni e dati. XenMobile fornisce il provisioning e il controllo basato sull'identità di tutte le applicazioni, i dati e i dispositivi, oltre ai controlli basati sulle policy come, ad esempio, l'accesso alle applicazioni ristretto solo agli utenti autorizzati, il de-provisioning automatico dell'account per i dipendenti che hanno terminato il rapporto di lavoro e la cancellazione selettiva di dispositivi, app o dati memorizzati su dispositivi smarriti o rubati. Il contenitore sicuro di questa soluzione non solo cripta i dati delle applicazioni, ma tiene anche separate le informazioni personali da quelle aziendali. In questo modo, le organizzazioni possono offrire alle persone la scelta del dispositivo, fornendo all'IT la capacità di prevenire la perdita di dati e di proteggere la rete interna da minacce mobile. Protezione a livello di sistema operativo. XenMobile Device Manager assicura che i ponti necessari del sistema operativo siano disponibili per applicare e gestire le funzionalità a livello di sistema operativo, tra cui: • Protezione della password a livello di dispositivo • Crittografia • WiFi • Inventario dei dispositivi • Inventario delle applicazioni • Cancellazione totale/selettiva • API per il produttore del dispositivo specifico (Samsung, HTC, ecc.) • Configurazione automatica del WiFi • Limitare l'accesso alle risorse del dispositivo, inclusi app store, fotocamera e browser • Supporto per i controlli di sicurezza Samsung SAFE e KNOX citrix.it/byod citrix.it/secure
BYOD e information security White paper 14 Crittografia e sicurezza. XenMobile fornisce al reparto IT la capacità di prevenire il copia/incolla o di permettere che venga abilitato solo tra applicazioni autorizzate. Attraverso Worx Mobile Apps, funzionalità come la crittografia AES-256 e la validazione FIPS 140-2 proteggono i dati in sosta, e questo vale per tutti i dati aziendali più critici. I controlli di apertura consentono di specificare che alcuni documenti debbano essere aperti solo in determinate applicazioni. Anche i collegamenti ai siti web possono essere impostati in modo tale da dover essere aperti in un browser sicuro. I dati in transito sono protetti tramite una funzionalità micro-app VPN, che consente un accesso sicuro alle risorse aziendali per applicazioni, intranet e e-mail. I tunnel delle micro-app VPN sono esclusivi per ogni applicazione e criptati per essere protetti da comunicazioni con altri dispositivi o da altre comunicazioni micro-app VPN. Rilevamento del jailbreak. XenMobile rileva jailbreak e status di root tramite metodi proprietari, tra cui la disponibilità delle API e l'ispezione del codice binario. Policy di geolocalizzazione. I servizi di localizzazione consentono al reparto IT di stabilire un perimetro geografico per controllare il luogo effettivo dove possono essere utilizzati dispositivi o applicazioni specifici. Se il dispositivo esce fuori dal perimetro stabilito, i suoi contenuti possono essere cancellati in modo totale o selettivo. Mobile application management (MAM). Il MAM, o gestione dell'applicazione mobile, controlla utilizzo, aggiornamenti, networking e sicurezza dei dati delle applicazioni. Ogni applicazione sul dispositivo può disporre di un proprio tunnel SSL criptato che può essere utilizzato solo per tale applicazione. Quando un dipendente lascia l'azienda, il reparto IT può cancellare da remoto, e in modo selettivo, tutti i dati aziendali dai contenitori delle applicazioni gestiti, senza toccare applicazioni o dati personali presenti sul dispositivo. XenMobile fornisce anche uno storefront singolo e sicuro per i dispositivi mobile che permette di accedere sia alle applicazioni pubbliche, che a quelle private. Applicazioni per una produttività sicura. Le applicazioni di produttività integrate nella soluzione Citrix includono un browser web sicuro, un container per e-mail/ calendario/contatti sicuri e ShareFile, un servizio per la sincronizzazione e condivisione dei file in modo sicuro. Ciò permette alle persone di navigare in modo ottimizzato i siti intranet, senza la necessità di costose soluzioni VPN che aprono la rete aziendale a tutte le applicazioni presenti sul dispositivo. Con Worx Mobile Apps, qualsiasi sviluppatore o amministratore può aggiungere funzionalità di livello enterprise, come crittografia dei dati, autenticazione con password o VPN micro-app. Worx Mobile Apps include: WorxMail - WorxMail è un'applicazione full-optional nativa per iOS e Android con funzionalità e-mail, calendario e contatti che gestisce i dati e viene eseguita interamente all'interno del contenitore sicuro sul dispositivo mobile. WorxMail supporta le API di Exchange ActiveSync e offre funzionalità di sicurezza come posta elettronica, allegati e contatti criptati. WorxWeb - WorxWeb è un browser mobile per dispositivi iOS e Android che consente l'accesso sicuro alla rete aziendale interna, al SaaS esterno e alle applicazioni web in HTML5, pur mantenendo l'aspetto e la fruibilità del browser nativo del dispositivo. Attraverso una micro-app VPN gli utenti possono accedere a tutti i loro siti web, compresi quelli con informazioni sensibili. WorxWeb offre un'esperienza ottimizzata per l'utente grazie alla sua integrazione con WorxMail che consente agli utenti di fare clic sui collegamenti e far sì che le applicazioni native vengano aperte all'interno del contenitore sicuro sul dispositivo mobile. citrix.it/byod citrix.it/secure
BYOD e information security White paper 15
Worx Home - Worx Home è il punto di controllo centrale per tutte le applicazioni
abbinate a XenMobile, nonché per i contenuti memorizzati sul dispositivo. Worx
Home gestisce l'esperienza dell'utente con la springboard per quanto concerne
autenticazione, applicazioni, gestione delle policy e archiviazione a variabili
crittografiche.
Assieme, queste e altre caratteristiche di XenMobile consentono all'IT di:
Unificare il controllo relativo all'accesso remoto ad applicazioni e dati. L'app
store aziendale unificato di Citrix aggrega in modo sicuro le applicazioni e i desktop
virtualizzati di Windows; le applicazioni web, SaaS e native mobile; e i dati in un unico
luogo per gestire e controllare le policy e gli account pertinenti ai servizi per gli utenti.
Isolare e proteggere la posta elettronica aziendale. Uno dei maggiori vantaggi
di WorxMail è che conserva la posta elettronica aziendale in una sandbox, o
contenitore, e rimane separata all'interno del dispositivo. È facile il paragone
con l'utilizzo di ActiveSync e dell'applicazione mobile nativa per le e-mail, dove
un amministratore ha bisogno di prendere in parte il controllo del dispositivo e
l'utente deve consentire al dispositivo di essere cancellato in remoto se si verifica
un problema. Le informazioni di accesso, crittografia e profilo sono tutte legate al
dispositivo. Inoltre, l'approccio a sandbox fornisce sistemi di crittografia sia per il
testo del messaggio che per gli allegati.
Evitare di interferire con i contenuti personali sui dispositivi mobile. Utilizzando
WorxMail, in caso di problemi l'utente deve acconsentire solo che le informazioni
aziendali conservate nel contenitore di WorxMail vengano cancellate, evitando che
vengano cancellate anche le altre informazioni presenti nel dispositivo. Le e-mail e
i contatti di livello aziendale sono isolati, protetti e controllati dal contenitore, non
dal dispositivo. Anche le e-mail di lavoro e personali vengono separate attraverso
l'approccio a sandbox, che aiuta a mantenere separati e-mail e contatti.
XenMobile e Samsung SAFE e KNOX. XenMobile supporta i controlli di sicurezza
di Samsung SAFE e KNOX, compresa la gestione del contenitore KNOX. La stretta
integrazione tra Worx Mobile Apps e il contenitore sicuro KNOX garantisce che
i dati aziendali sensibili, comprese le e-mail soggette a regolamenti in materia di
conservazione, non vengano mai esposti a malware che potrebbero risiedere nel
sistema operativo o ad applicazioni non gestite nella partizione personale. Inoltre, la
soluzione supporta anche percorsi di controllo che permettono di verificare l'integrità
dei dati per valutazioni relative alla conformità e al rispetto delle normative. XenMobile
fornisce anche ulteriori funzionalità e controlli di sicurezza per KNOX, compresi:
comunicazione sicura fra applicazioni, controllo di tipo “geo-fencing”, controllo
intelligente del traffico di rete e gestione sicura dei contenuti. (Nota bene: possono
essere necessarie licenze aggiuntive per Samsung Knox).
XenMobile e iOS 7.x. XenMobile supporta i controlli iOS nativi e li amplia con
funzionalità di sicurezza aggiuntive. XenMobile fornisce i seguenti miglioramenti, sia per
iOS 7 che per KNOX:
Caratteristiche di XenMobile Dettagli
App store aziendale Accesso a pannello unico con funzione di
provisioning di applicazioni mobile, SaaS, Web
e Windows direttamente sullo springboard del
dispositivo
SSO avanzato Accesso con un semplice clic alle applicazioni
mobile, SaaS, Web e Windows
citrix.it/byod citrix.it/secureBYOD e information security White paper 16
Ecosistema di applicazioni Il più grande ecosistema di applicazioni
“business-ready” (pronte per l'azienda) con Worx App Gallery
Controllo della rete Controllo dell'utilizzo delle applicazione basato
su reti WiFi
Controllo dell'SSID autorizzato Controllo granulare di quali reti interne vengono
sfruttate dalle applicazioni
Controllo di tipo “geo-fencing” Sicurezza ottimizzata in caso di blocco,
(perimetro virtuale) cancellazione o notifica in base alla posizione
del dispositivo
Accesso online/offline Limitare l'accesso online ad un'applicazione o
determinare la durata di utilizzo offline
Comunicazione interna fra applicazioni Controllo della comunicazione tra le
applicazioni gestite
Provisioning e de-provisioning Abilitare/disabilitare l'accesso
semplificato
E-mail sicure E-mail in modalità sandbox integrate con i
contatti e il calendario aziendali con visibilità
sulla disponibilità del contatto
Browser sicuro Browser HTML5 completamente funzionale per
contenuti protetti e siti intranet aziendali
Gestione dei contenuti sicura Accedete, annotate, modificate e sincronizzate
i file da qualsiasi dispositivo
Suite completa di applicazioni EMM Applicazioni per affrontare ogni caso d'uso
EMM e funzionalità critiche che comprendono
ShareFile, GoToMeeting, GoToAssist e Podio
In che modo ShareFile aiuta a proteggere dati e file
ShareFile offre solide funzionalità gestite di condivisione e sincronizzazione dei dati,
completamente integrate con XenMobile. La soluzione consente inoltre di archiviare
i dati in locale o nel cloud e aiuta a mobilitare gli investimenti esistenti come share di
rete e SharePoint. Le funzionalità di editing dei contenuti avanzati integrate in ShareFile
consentono di soddisfare le proprie esigenze di mobility, produttività e collaborazione
con una singola applicazione intuitiva. Con ShareFile, l'IT può:
Proteggere i dati con policy globali per la sicurezza del dispositivo. ShareFile
offre ampie funzionalità per garantire la sicurezza dei dati sui dispositivi mobile. Include
funzionalità di cancellazione da remoto e “poison pill” che rimuovono l'accesso ai dati
sensibili in caso di violazione della sicurezza. L'IT può inoltre limitare i dispositivi mobile
modificati e consentire il blocco con codice per sfruttare le funzionalità di crittografia
del dispositivo mobile.
Migliorare la produttività degli utenti con ricche funzionalità di editing dei
contenuti sui dispositivi mobile. Gli utenti possono creare, rivedere e modificare
i documenti Microsoft Office all'interno dell'applicazione ShareFile e modificarli con
strumenti simili disponibili nelle loro applicazioni desktop Microsoft Office.
citrix.it/byod citrix.it/secureBYOD e information security White paper 17 Limitare le applicazioni di terze parti e migliorare la sicurezza dei dati sui dispositivi mobile. L'IT può limitare l'uso delle applicazioni di terze parti non autorizzate per aprire e modificare i dati ShareFile. Un editor integrato consente all'IT di limitare l'uso di eventuali editor di terze parti, impedendo così ai dipendenti di archiviare copie di dati sensibili all'interno di tali applicazioni. Conservare la struttura di cartelle e sottocartelle sui dispositivi mobile. È possibile contrassegnare intere cartelle in aggiunta ai singoli file per l'accesso offline da mobile. Aumentare la disponibilità. L'accesso offline a intere cartelle, completato da un supporto per l'editing di documenti, aiuta ad essere pienamente produttivi in qualsiasi luogo. Monitorare, registrare e fornire report sulle attività di accesso, sincronizzazione e condivisione dei file da parte degli utenti. L'IT ottiene il monitoraggio completo di data, tipo, luogo e indirizzo di rete di ogni evento utente. È possibile archiviare più versioni dei file per creare processi completi di verifica dell'attività di editing. Se si avvia una cancellazione da remoto, l'IT può monitorare l'attività dei file sul dispositivo dal momento dell'avvio della cancellazione fino al completamento, e riceverà una notifica della riuscita dell'operazione. Semplificare l'amministrazione e la sicurezza. L'IT può facilmente sfruttare il provisioning e deprovisioning del servizio basato sui ruoli, l'autenticazione a due fattori, controlli basati su policy e il monitoraggio delle applicazioni in tempo reale grazie all'integrazione di ShareFile con XenMobile. ShareFile consente di scegliere dove archiviare i dati. Con la funzione StorageZones di ShareFile, le organizzazioni possono gestire i propri dati in locale con l'opzione StorageZones gestita dal cliente, scegliere l'opzione StorageZones gestita da Citrix (opzioni di cloud sicure disponibili in diverse parti del mondo) o un mix di entrambe. Con l'opzione StorageZones gestita dal cliente, l'IT è in grado di inserire i dati nel datacenter dell'organizzazione per soddisfare specifici requisiti di sovranità e conformità in materia di dati. Per coloro che scelgono di archiviare i propri dati nel cloud, i datacenter che ospitano l'applicazione web e i database ShareFile sono certificati SSAE 16, mentre i datacenter che ospitano l'applicazione di storage dei file sono certificati SSAE 16 e ISO 27001. Citrix implementa e mantiene controlli gratuiti di natura fisica, tecnica e organizzativa adeguati e commercialmente ragionevoli per proteggere i dati dei clienti. ShareFile è conforme al PCI-DSS e prevede la stipula di un contratto HIPAA Business Associate Agreement. Citrix offre anche ShareFile Cloud for Healthcare, un'enclave protetta all'interno di un cloud privato dove l'IT può caricare, archiviare e condividere le informazioni sanitarie dei pazienti (PHI) e soddisfare le severe leggi HIPAA sulla conformità. ShareFile Cloud for Healthcare supporta la conformità con la normativa sulla sicurezza HIPAA. In che modo XenDesktop e XenApp aiutano a proteggere applicazioni e dati XenDesktop e XenApp forniscono un accesso remoto sicuro ai desktop e alle applicazioni Windows virtuali che risiedono su un host centralizzato e ai relativi dati, che rimangono protetti all'interno del datacenter. Anche se i dispositivi (e le persone che li usano) sono mobile, i dati in sé rimangono sicuri e protetti all'interno del datacenter. XenApp e XenDesktop offrono inoltre un modo semplice, efficiente e sicuro per distribuire le applicazioni Windows di terze parti e sviluppate internamente ad una forza lavoro mobile. citrix.it/byod citrix.it/secure
BYOD e information security White paper 18
In che modo NetScaler aiuta a proteggere dati e file
NetScaler offre una connettività sicura per la mobility, con Single Sign-On (SSO),
una solida autenticazione a più fattori, crittografia e funzionalità VPN micro-app.
L'uso di NetScaler automatizza la sicurezza della rete, cosicché il proprietario del
dispositivo non debba abilitare/disabilitare le VPN o ricordare come accedere in modo
sicuro alle applicazioni web e cloud. NetScaler offre vantaggi ai responsabili della
sicurezza e della conformità, garantendo l'applicazione di tutte le necessarie misure di
autenticazione, crittografia, registrazione e protezione della rete.
Best practice per la sicurezza mobile
Per garantire una sicurezza e un controllo efficaci, le organizzazioni devono integrare le
funzionalità di sicurezza offerte dalle tecnologie Citrix e dai dispositivi mobile con best
practice complete per gli utenti e l'IT. Ogni membro dell'organizzazione deve assumersi
la responsabilità di seguire queste misure, fondamentali per consentire la mobility delle
grandi imprese e il BYOD in modo sicuro e controllato. Citrix raccomanda le seguenti
linee guida per utenti e amministratori quando si utilizza Citrix con tablet e smartphone
Android, iOS e Windows.
Azioni dell'utente consigliate
Gli utenti hanno la responsabilità di proteggere le informazioni aziendali sensibili della
propria organizzazione. Possono controllare l'impostazione e la configurazione del
dispositivo, attuare buone pratiche di uso quotidiano, utilizzare XenMobile, ShareFile,
XenDesktop e XenApp per garantire la sicurezza e compiere altre azioni consigliate.
Gli amministratori possono garantire che gli utenti utilizzino queste best practice
applicandole automaticamente in base alle policy su XenMobile. Di seguito sono
illustrate le best practice per gli utenti.
Impostazione e configurazione del dispositivo
Piattaforma Non effettuare il jailbreak o root del dispositivo in caso di
utilizzo all'interno di ambienti aziendali e rifiutare le richieste
di installare certificati di terze parti
Android: in caso di condivisione, utilizzare diversi
account utente per i bambini e gli altri utenti del dispositivo
condiviso
iOS: nessuna configurazione necessaria
Windows: creare un account separato per
l'amministratore e utilizzare un account utente non
privilegiato per il lavoro di tutti i giorni
citrix.it/byod citrix.it/secureBYOD e information security White paper 19
Autenticazione Utilizzare un codice di blocco per proteggere l'accesso
al dispositivo mobile (usare un codice complesso di otto
caratteri)
Android: configurare il blocco schermo impostando un
codice di accesso o PIN; impostare il blocco automatico per
timeout e il blocco istantaneo con il tasto di accensione
iOS: impostare Richiedi codice su Subito e rallentare i
tentativi di indovinarlo impostando Cancella dati su ON.
Attivare il blocco automatico e impostarlo a un minuto.
Utilizzare il TouchID, se disponibile sul dispositivo
Windows: impostare una password di account e richiedere
la password quando il display rimane spento per x minuti
Crittografia Crittografare il dispositivo e i backup e controllare la
posizione dei backup
Android: crittografare il dispositivo
iOS: impostare un codice di accesso o una passphrase per
cifrare il dispositivo e crittografare i backup di iTunes e iCloud
Windows: configurare BitLocker
Servizi cloud Configurare i servizi in modo tale che i dati aziendali sensibili
non vengano backuppati nel cloud di tipo consumer; tali dati
includono documenti, informazioni di account, password
wireless, impostazioni e messaggi
Android: disattivare il backup sull'account Google personale
iOS: disattivare l'account iCloud personale
Windows: disattivare l'account OneDrive personale
Bluetooth e condivisione Disattivare il trasferimento dei dati per le connessioni
non attendibili; ad esempio, disabilitare il trasferimento
dei contatti e della rubrica telefonica durante l'utilizzo del
bluetooth per le telefonate o la riproduzione di musica in una
macchina a noleggio
iOS: disattivare la sincronizzazione dei contatti
Windows: disattivare la condivisione
Rete e wireless Utilizzare solo reti attendibili, attivare la crittografia di rete
e utilizzare una VPN o una micro-app VPN per fornire la
crittografia, a prescindere dalle capacità di rete; la funzione
WorxWeb di XenMobile consente la connettività micro-app
VPN
Android: attivare l'impostazione wireless Notifica di rete
iOS: attivare l'impostazione wireless Richiedi accesso reti
Windows: nelle impostazioni di condivisione avanzate in
Pannello di controllo, disattivare il rilevamento di rete per le
reti “guest” o pubbliche e attivare la condivisione protetta da
password
citrix.it/byod citrix.it/securePuoi anche leggere
