Dokumentacja: Wprowadzenie do Samsung KNOX

Transkrypt

1 Dokumentacja: Wprowadzenie do Samsung KNOX Luty 2014 r. Enterprise Mobility Solutions Samsung Electronics Co., Ltd.

2 Spis treści Akronimy System Android dla przedsiębiorstw Rozwiązanie Samsung KNOX Przegląd technologii 1. Bezpieczeństwo platformy Customizable Secure Boot TrustZone-based Integrity Measurement Architecture Security Enhancements for Android 2. Bezpieczeństwo aplikacji Application Containers On-Device Data Encryption Virtual Private Network Support 3. MDM - Zarządzanie urządzeniami mobilnymi Rozwiązanie Samsung KNOX w agencjach rządowych oraz branżach prowadzących działalność regulowaną Podsumowanie 1. Usługa Boot Attestation 2. Obsługa kart inteligentnych (Smartcard CAC) 3. Certyfikaty i zgodność z wymaganiami O firmie Samsung Electronics Co., Ltd

3 Akronimy AES BYOD CAC COPE DAR DISA DIT DoD FIPS140-2 IPC MAC MDM NIST NSA ODE PIV PKCS ROM SAFE SBU SE for Android SE Linux SRG TIMA VPN Advanced Encryption Standard algorytm szyfrujący dane Bring Your Own Device prywatne urządzenie wykorzystywane do celów służbowych U.S. Common Access Card karty służące do kontroli dostępu i autoryzacji Company Owned, Personally Enabled służbowe urządzenie wykorzystywane również do celów prywatnych Data-at-rest dane przechowywane w urządzeniu Defense Information Systems Agency Amerykańska Agencja Systemów Informatycznych Obrony Data-in-Transit dane przesyłane do urządzenia United States Department of Defense Departament Obrony USA Standard bezpieczeństwa systemów kryptograficznych to jeden z elementów federalnego standardu przetwarzania informacji tworzonego przez Narodowy Instytut Standaryzacji i Technologii (USA) Komunikacja pomiędzy procesami systemu operacyjnego Mandatory Access Control obowiązkowa kontrola dostępu Mobile Device Management zdalne zarządzanie urządzeniami mobilnymi Narodowy Instytut Standaryzacji i Technologii (USA) Agencja Bezpieczeństwa Narodowego (USA) On-device encryption szyfrowanie danych w urządzeniu Personal Identity Verification Card karta służąca identyfikacji użytkownika Public Key Cryptography Standards zbiór standardów kryptograficznych Read Only Memeory pamięć tylko do odczytu Samsung For Enterprise Dane wrażliwe, ale niesklasyfikowane Security-Enhancements for Android rozszerzenia zabezpieczeń dla systemu Android Security-Enhanced Linux rozszerzenia zabezpieczeń dla systemu Linux Zbiór dokumentów zawierających wymogi dotyczące zabezpieczeń Monitorowanie integralności jądra Linux oparte na technologii TrustZone Virtual Private Network wirtualna sieć prywatna 1 strona

4 Samsung KNOX system bezpieczeństwa dla urządzeń mobilnych. Jest to kompleksowe rozwiązanie dla urządzeń mobilnych Samsung GALAXY zaprojektowane od podstaw z myślą o bezpieczeństwie. Na całość rozwiązania składa się kilka elementów, takich jak System Android dla przedsiębiorstw Ponad 80-procentowy udział w rynku (dane za 3. kwartał 2013 r.) oznacza, że Android jest obecnie najpopularniejszą na świecie platformą dla smartfonów. Można wskazać kilka czynników, które przesądziły o sukcesie systemu Android. Oparto go na wolnym oprogramowaniu, co przesądziło o jego atrakcyjności w oczach pierwszych użytkowników i deweloperów, natomiast usługi Google oraz liczne aplikacje fi rm trzecich ułatwiły zdobycie kolejnych klientów. Popularność systemu Android rośnie dynamicznie zarówno wśród użytkowników prywatnych, jak i biznesowych. Należy zaznaczyć, iż użytkownicy biznesowi mają dostęp do coraz większej ilości poufnych firmowych danych bezpośrednio na urządzeniach mobilnych, co nie zawsze idzie w parze ze świadomością zagrożeń i odpowiednią strategią zabezpieczeń. Niestety, wraz ze wzrostem popularności takich nowoczesnych rozwiązań wśród użytkowników rośnie również zainteresowanie grup przestępczych wykradaniem danych. O ile firmy i ich pracownicy nauczyli się świadomie korzystać z komputerów PC, wiedzą jak wystrzegać się zagrożeń oraz ataków ze strony hakerów czy blokować aplikacje wykradające dane, o tyle nie ma pełnej świadomości zagrożeń w rozwiązaniach mobilnych. Straty dla przedsiębiorstw przynoszą również sami użytkownicy, którzy w sposób świadomy (udostępniają w internecie służbowe dane) lub nieświadomy (np. przekazując telefon dzieciom jako narzędzie rozrywki) narażają pracodawcę na straty. Brak odgórnie ustalonych zasad zabezpieczeń dla urządzeń mobilnych czy też nieprzemyślane udostępnianie zasobów firmowych w modelu BYOD powoduje niekontrolowany wyciek danych. Przy dużej skali zgubionych oraz skradzionych urządzeń osoby niepowołane uzyskują dostęp do poufnych danych przechowywanych zarówno na urządzeniu (np. cenniki, prezentacje firmowe lub oferty), jak i dostępnych zdalnie (np. poprzez niezabezpieczony dostęp do firmowej poczty Exchange, czy też serwerów z danymi). Ze względu na wartość tych danych (pomijając relatywnie niską cenę urządzenia) fi rmy coraz częściej opracowują osobne polityki bezpieczeństwa dotyczące urządzeń mobilnych. Jako światowy lider w dziedzinie smartfonów z systemem Android firma Samsung opracowała rozwiązanie Samsung KNOX oferujące przedsiębiorstwom większe możliwości i wyższy poziom bezpieczeństwa dla służbowych danych i aplikacji. Przedstawiamy rozwiązanie Samsung KNOX Bezpieczeństwo aplikacji Kontener dla aplikacji i danych Szyfrowanie danych w urządzeniu Per-app VPN Przygotowany na rozwiązania rządowe * Spełnia wymagania Departamentu Obrony USA Spełnia wymagania US DoD CAC / PIV Certyfikat FIPS (DAR, DIT) Rządowe źródło zaufania Samsung KNOX to oparte na systemie Android nowe rozwiązanie stworzone z myślą o bezpieczeństwie. Łączy mechanizmy zabezpieczeń sprzętowych, zabezpieczeń systemu operacyjnego oraz zabezpieczeń w warstwie aplikacji, dzięki którym managerowie IT oraz użytkownicy nie muszą obawiać się próby kradzieży danych czy włamań na urządzenia mobilne. Samsung KNOX zapewnia pełną kompatybilność z systemem Android oraz ekosystemem Google. Oferuje kluczowe udoskonalenia zabezpieczeń i zdalne zarządzanie urządzeniami mobilnymi. Te zalety sprawiają, że Samsung KNOX to idealne rozwiązanie dla przedsiębiorstw i korporacji oraz instytucji podlegających regulacjom rządowym. System Google Android Security Enhancements (SE) for Android Monitorowanie integralności oparte o technologię TrustZone Secure Boot** Bezpieczeństwo systemu operacyjnego polityki IT MDM API Zarządzanie poprzez ActiveDirectory Najlepsze zarządzanie urządzeniami mobilnymi * W trakcie certyfikacji. ** W zależności od specyfikacji hardware. Rysunek 1 Samsung KNOX umożliwia wykorzystanie systemu Android w przedsiębiorstwie Samsung KNOX zawiera kluczowe technologie opatentowane przez Agencję Bezpieczeństwa Narodowego (NSA). Ponadto Samsung KNOX został przetestowany i zaakceptowany przez Departament Obrony rządu USA (DoD) w celu ustalenia zgodności z inicjatywami, wymogami i standardami dotyczącymi zabezpieczeń urządzeń mobilnych, tak aby możliwe było korzystanie z rozwiązania w agencjach rządowych i innych przedsiębiorstwach z branż podlegających ścisłym regulacjom. Rozwiązanie Samsung KNOX oferuje jedną z najbardziej kompleksowych funkcji zdalnego zarządzania urządzeniami mobilnymi (Mobile Device Management MDM). Dzięki unikalnemu środowisku KNOX umożliwia przedsiębiorstwom korzystanie z inicjatyw BYOD (Bring Your Own Device) oraz COPE (Company Owned, Personally Enabled), nie naruszając polityki bezpieczeństwa obowiązującej w fi rmie ani prywatności pracowników. 2 strona

5 Samsung KNOX zapewnia bezpieczeństwo, będąc kompleksowym rozwiązaniem opartym na trzech filarach. Przegląd technologii W tej części opisano aspekty techniczne trzech kluczowych fi larów rozwiązania Samsung KNOX: 1. Bezpieczeństwo platformy 2. Bezpieczeństwo aplikacji 3. Zdalne zarządzanie urządzeniami mobilnymi 1. Bezpieczeństwo platformy... Android Framework Linux Kernel Secure Boot Ochrona Rozszerzenia zabezpieczeń dla systemu Android Monitorowanie integralności oparte na technologii TrustZone (TIMA) Bezpieczny start systemu Hardware TrustZone Rysunek 2 Samsung KNOX przegląd zabezpieczeń systemu operacyjnego Samsung KNOX zapewnia bezpieczeństwo platformy będące elementem kompleksowej strategii: Secure Boot sprawdzanie autentyczności systemu operacyjnego TIMA monitorowanie integralności systemu operacyjnego oparte na technologii TrustZone Rozszerzenia zabezpieczeń dla systemu Android (SE for Android) Rozwiązanie Samsung KNOX w pełni wykorzystuje wszystkie dostępne elementy sprzętowe w celu rozszerzenia metod zabezpieczeń. 1. Zabezpieczenia platformy Secure Boot sprawdzanie oryginalności systemu operacyjnego TIMA monitorowanie integralności systemu operacyjnego oparte na technologii TrustZone Rozszerzenia zabezpieczeń dla systemu Android (SE for Android) Secure Boot to procedura zapobiegająca uruchomieniu nieoryginalnego Bootloadera oraz systemu operacyjnego na urządzeniu. Oryginalny system operacyjny oraz inne komponenty fi rmware u zostały podpisane cyfrowo przez fi rmę Samsung, dzięki czemu uznaje się je za autoryzowane oprogramowanie układowe. Próba wgrania nieoryginalnego systemu operacyjnego lub pozostałych składników firmware u, które nie zostały podpisane cyfrowo (i zweryfikowane) przez firmę Samsung, uniemożliwi używanie rozwiązania Samsung KNOX na danym urządzeniu. Secure Boot to pierwsza linia obrony przed złośliwymi atakami zagrażającymi urządzeniom mobilnym ze środowiskiem KNOX. Secure Boot wymaga podpisania Bootloadera, jądra (Linux Kernel) i oprogramowania systemowego za pomocą klucza, który będzie weryfikowany sprzętowo. Secure Boot wykorzystuje certyfikaty X.509 oraz klucze publiczne, które są zapisane w Bootloaderze. Na linii produkcyjnej unikalny klucz (hash) zapisywany jest w niemodyfi kowalnej pamięci ROM, co w praktyce oznacza trwałe połączenie unikalnego certyfi katu z danym urządzeniem. Podczas włączania urządzenia w kilku etapach następuje weryfi kacja certyfi katów. Secure Boot kontynuuje uruchamianie systemu operacyjnego tylko wtedy, jeśli wykryje autoryzowane, podpisane pliki binarne. Następnie weryfi kuje podpis cyfrowy jądra Linux oraz podpis obrazu systemu operacyjnego przed uruchomieniem tego systemu. Wykorzystanie standardu certyfikacji X.509 oraz chronionych sprzętowo kluczy to niezawodność i pewność działania schematu Secure Boot. Domyślne źródło zaufania (Root of trust) to certyfikat wydany przez Samsung umożliwiający weryfi kację wszystkich składników fi rmware u. Urządzenie przygotowane do pracy z Samsung KNOX może zawierać dwa źródła zaufania: KNOX Enterprise oraz KNOX Government. Źródło zaufania KNOX Enterprise jest aktywowane w momencie rejestrowania urządzenia w firmowym systemie MDM kompatybilnym z rozwiązaniem KNOX. Umożliwia weryfi kację fi rmware u za pomocą aktywowanych funkcji KNOX. Źródło zaufania KNOX Government jest zarezerwowane dla wdrożeń w agencjach rządowych i zostało bardziej szczegółowo omówione w części zatytułowanej Rozwiązanie Samsung KNOX w agencjach rządowych oraz w zastosowaniach wymagających najwyższego poziomu bezpieczeństwa. 3 strona

6 Zabezpieczenie platformy Samsung KNOX to pierwsza linia obrony przed złośliwymi atakami. 1. Zabezpieczenia platformy Secure Boot sprawdzanie oryginalności systemu operacyjnego Monitorowanie integralności systemu operacyjnego oparte na technologii TrustZone (TIMA) Rozszerzenia zabezpieczeń dla systemu Android Samsung KNOX wykorzystuje Security Enhancements for Android (rozszerzenia zabezpieczeń dla systemu Android), co oznacza wdrożenie zasad Mandatory Access Control (obowiązkowa kontrola dostępu) umożliwiających izolowanie aplikacji i danych wewnątrz systemu operacyjnego. MAC określa zasady dostępu do uruchomionych procesów oraz systemowych plików i folderów. Działanie rozszerzeń zabezpieczeń dla systemu Android opiera się jednak na założeniu integralności jądra systemu operacyjnego. Jeśli dojdzie do naruszenia bezpieczeństwa jądra Linux (w wyniku przyszłej, niezidentyfikowanej dziś luki w zabezpieczeniach), mechanizmy rozszerzeń zabezpieczeń dla systemu Android mogą zostać wyłączone i utracić skuteczność. Polityki bezpieczeństwa należące do MAC są częścią systemu operacyjnego i nie mogą być zmieniane przez użytkownika. Urządzenia wykorzystujące SE for Android łączą się z serwerami SPD (SE for Android Policy Distribution), aby automatycznie pobrać i zaimplementować w urządzeniu aktualizacje polityk MAC. Monitorowanie integralności systemu operacyjnego oparte na technologii TrustZone (TIMA) to wykorzystanie zalet architektury procesorów ARM. Architektura TIMA odpowiada za nieprzerwane monitorowanie integralności jądra systemu, czyli ciągłe monitorowanie jego zgodności z oryginałem. W razie wykrycia naruszenia integralności jądra lub programu rozruchowego (Bootloadera) system reaguje zgodnie z wcześniej ustalonymi regułami. Jedna z reguł powoduje zablokowanie dostępu do jądra Linux oraz wyłączenie urządzenia. Technologia ta została opracowana z myślą o zlikwidowaniu luki w zabezpieczeniach. Technologia TIMA, wprowadzona w urządzeniach mobilnych Samsung KNOX jako unikalna funkcja, wykorzystuje architekturę i możliwości rozwiązania ARM TrustZone. Rozwiązanie ARM TrustZone zostało zaimplementowane w procesorze, aby skutecznie partycjonować pamięć i zasoby procesora, dzieląc je na części: bezpieczną i normalną. Technologia TIMA działa w części bezpiecznej (tzw. secure world ) i nie można jej wyłączyć, natomiast jądro SE Android działa w części normalnej. Technologia TIMA jest wykorzystywana równolegle z Secure Boot oraz rozszerzeniami zabezpieczeń dla systemu Android (Security Enhancements for Android), tworząc pierwszą linię obrony przed złośliwymi atakami podczas uruchamiania urządzenia, a później chroniąc przed atakami na jądro systemu Linux. Gdy technologia TIMA wykryje naruszenie integralności jądra, system MDM powiadamia system IT przedsiębiorstwa, który może w odpowiedzi podjąć wcześniej ustalone działania w zależności od zasad bezpieczeństwa przyjętych w danej firmie. ** Customizable Secure Boot availability varies depending on hardware specification 1. Zabezpieczenia platformy Secure Boot sprawdzanie oryginalności systemu operacyjnego Monitorowanie integralności systemu operacyjnego oparte na technologii TrustZone (TIMA) Rozszerzenia zabezpieczeń dla systemu Android System Linux zawierający rozszerzenia zabezpieczeń (Security-Enhanced Linux) to projekt rozwijany przez agencję NSA od 2000 r. Stał się standardem zabezpieczeń dla firmowych systemów opartych o system Linux. Zespoły R&D firmy Samsung ściśle współpracowały z NSA w celu przeniesienia i integracji tej technologii na urządzeniach Samsung z systemem Android. Ten port Linuxa do systemu Android nazywany jest Security Enhancements for Android (SE for Android ). SE for Android to narzędzie umożliwiające wdrożenie na urządzeniu polityki kontroli dostępu. System Android wyposażony w możliwości oferowane przez SELinux lepiej kontroluje dostęp do danych aplikacji oraz logów systemowych, minimalizuje problemy związane ze złośliwym oprogramowaniem i chroni użytkowników przed potencjalnymi błędami w kodzie aplikacji. Dzięki implementacji SELinux aplikacje działają z minimalnymi uprawnieniami, co oznacza, że szkody wyrządzone przez działanie złośliwych aplikacji są znacznie łagodniejsze i zmniejsza się prawdopodobieństwo utraty czy też wycieku danych. SELinux dostarcza architekturę obowiązkowej kontroli dostępu (MAC Mandatory Access Control) w przeciwieństwie do wykorzystywanej wcześniej w systemie Android architektury DAC (Discretionary Access Control). Dzięki MAC priorytetem staje się zachowanie poufności i integralności danych. Architektura ta zapobiega propagowaniu naruszenia zabezpieczeń do innych domen lub mobilnego systemu operacyjnego (OS). Rozszerzenia zabezpieczeń SE for Android to również zaimplementowany zbiór plików konfiguracyjnych zasad zabezpieczeń zawierających powszechnie przyjęte polityki dotyczące wymogów bezpieczeństwa. Rozwiązanie Samsung KNOX dostarczone użytkownikowi obejmuje zbiór plików konfiguracji zasad zabezpieczeń zaprojektowanych z myślą o wzmocnieniu bezpieczeństwa standardowej platformy Android i spełnieniu potrzeb przedsiębiorstw, jeśli chodzi o zabezpieczenia. Samsung KNOX oferuje interfejsy API umożliwiające zastąpienie domyślnych polis zabezpieczeń (Android SE) bardziej rygorystycznymi lub plikami specyficznymi dla danego przedsiębiorstwa. Te nowe pliki zawierające konfiguracje polis bezpieczeństwa mogą zostać zdalnie wysłane do urządzenia. 4 strona

7 Samsung KNOX zapewnia przedsiębiorstwu możliwość tworzenia bezpiecznego środowiska i zarządzania nim na prywatnych smartfonach i tabletach pracowników. 2. Bezpieczeństwo aplikacji Samsung KNOX nie tylko zabezpiecza platformę, czyli system operacyjny, lecz także oferuje rozwiązania umożliwiające zwiększenie bezpieczeństwa poszczególnych aplikacji: Środowisko dla aplikacji Szyfrowanie danych On-Device Data Encryption Wirtualna sieć prywatna VPN 2. Bezpieczeństwo aplikacji Kontener Samsung KNOX widziany jest przez użytkownika jako osobne środowisko Android z niezależnym pulpitem, zestawem aplikacji, widgetami oraz sklepem dedykowanym tylko dla środowiska KNOX. Środowisko dla aplikacji Szyfrowanie danych On-Device Data Encryption Wirtualna sieć prywatna VPN Urządzenie Aplikacje i kontent (poczta , kalendarz, kontakty itd.) Kontener Samsung KNOX Rysunek 3 Środowisko Samsung KNOX Aplikacje i dane w kontenerze KNOX są izolowane od aplikacji spoza kontenera. Oznacza to, że aplikacje działające poza środowiskiem KNOX nie mogą korzystać z komunikacji międzyprocesowej (IPC) systemu Android ani metod udostępniania danych z aplikacjami wewnątrz środowiska KNOX. Analogicznie, aplikacje wewnątrz środowiska KNOX nie mają możliwości interakcji z aplikacjami ani uzyskiwania dostępu do danych spoza KNOX. Niektóre aplikacje wewnątrz środowiska KNOX mogą otrzymać możliwość uzyskania dostępu do danych (w trybie tylko do odczytu) spoza środowiska KNOX poprzez konfi gurację polis. Na przykład: do zdjęć zrobionych aparatem w środowisku KNOX nie będzie dostępu spoza środowiska. Z kolei kontakty i wpisy kalendarza spoza środowiska KNOX mogą być wyświetlane wewnątrz środowiska. 5 strona

8 2. Bezpieczeństwo aplikacji Środowisko dla aplikacji Szyfrowanie danych On-Device Data Encryption Wirtualna sieć prywatna VPN Dane udostępnione Dane udostępnione Dane udostępnione Samsung KNOX Container Android Framework Rysunek 4 Izolowanie aplikacji w rozwiązaniu Samsung KNOX Całkowita izolacja aplikacji i danych w środowisku KNOX stanowi skuteczne rozwiązanie problemu wycieku danych związanego z modelem BYOD. Wyciek danych następuje wtedy, gdy użytkownik wysyła dane wrażliwe lub informacje poufne poza sieć firmową, np. przez osobiste konto , portal społecznościowy lub usługę dysk w chmurze publicznej. Samsung KNOX umożliwia konfigurację środowiska pracy dla aplikacji firmowych, takich jak , kalendarz, przeglądarka internetowa, przechowywanie plików itp., a środowisko KNOX dba o to, by aplikacje spoza niego nie mogły uzyskać dostępu do żadnych danych fi rmowych, takich jak np. załączniki do poczty lub pliki fi rmowe. Wszystkie dane przechowywane wewnątrz środowiska KNOX są zaszyfrowane za pomocą silnego algorytmu szyfrowania (AES-256). Uzyskanie dostępu do aplikacji w środowisku KNOX wymaga podania hasła. Środowisko Samsung KNOX jest ściśle zintegrowane z platformą Android w odróżnieniu od rozwiązań opartych na kontenerach, oferowanych przez inne fi rmy. Ta ścisła integracja zapewnia doskonały komfort obsługi dzięki wyraźnemu oddzieleniu dwóch środowisk, minimalizując ryzyko pomyłki przez użytkownika; owa integracja zachowuje ten sam sposób poruszania się po systemie Android w celu zapewnienia spójności i oferuje ujednolicony (ale uwzględniający ustawienia prywatności) wgląd w powiadomienia oraz listę uruchomionych aplikacji. Menadżer IT może zdalnie zarządzać środowiskiem KNOX podobnie jak zarządza wszystkimi aktywami IT. Środowisko KNOX zarządzane jest za pomocą rozwiązania MDM (Mobile Device Management). Firma Samsung współpracuje z wieloma dostawcami rozwiązań MDM obecnymi na rynku. Urządzeniem zarządza się poprzez wysłanie do niego poleceń i konfi guracji określonych dla danego użytkownika czy też urządzenia. Środowisko Samsung KNOX udostępnia szeroki zbiór konfi guracji, takich jak: zasady uwierzytelniania, zabezpieczenia danych, konfi guracje VPN, czy też białe i czarne listy aplikacji. 6 strona

9 Urządzenia Samsung zapewniają zabezpieczenia na poziomie wymaganym przez rząd i firmy prowadzące działalność regulowaną. 2. Bezpieczeństwo aplikacji Środowisko dla aplikacji Szyfrowanie danych On-Device Data Encryption Wirtualna sieć prywatna VPN On-Device Data Encryption (ODE) to funkcja szyfrowania danych w urządzeniu umożliwiająca użytkownikom i administratorom IT zaszyfrowanie danych w całym urządzeniu. Domyślnie dane przechowywane w środowisku Samsung KNOX są zaszyfrowane. Funkcja ODE w urządzeniach Samsung wykorzystuje algorytm szyfrowania Advanced Encryption Standard (AES) z certyfikatem FIPS Dane są kodowane za pomocą algorytmów szyfrowania symetrycznego, kluczem 256-bitowym (AES-256), co zapewnia poziomy zabezpieczeń wymagane przez rząd i branże regulowane, takie jak np. opieka zdrowotna czy fi nanse. Klucz wykorzystywany do tego szyfrowania jest przygotowany na podstawie hasła utworzonego przez użytkownika za pomocą dobrze znanych algorytmów funkcji skrótu (haszujących), takich jak Password-Based Key Derivation Function 2 (PBKDF2). Aplikacje w kontenerze Aplikacje Środowisko Samsung KNOX ODE (On-device Encryption) Ustawienia aplikacji, preferencje, bazy danych itd. Pamięć wewnętrzna Rysunek 5 Szyfrowanie danych (ODE) w Samsung KNOX Funkcja szyfrowania obejmuje pamięć wewnętrzną (partycja systemowa i wewnętrzna karta SD), a także każdą zewnętrzną kartę SD zainstalowaną przez użytkownika*. Domyślnie wszystkie dane przechowywane wewnątrz środowiska KNOX są szyfrowane. Dodatkowo szyfrowanie prywatnych danych może zostać aktywowane bezpośrednio przez użytkownika w ustawieniach urządzenia bądź wymuszone zdalnie przez administratora IT jako zmiana zasad bezpieczeństwa wysłana z serwera Exchange ActiveSync lub systemu MDM. Wykorzystanie algorytmów zgodnych z NIST dla szyfrowania danych ODE w Samsung KNOX spełnia rządowe wymogi dotyczące ochrony przechowywanych danych typu data-at-rest (DAR). * Choć dane w środowisku KNOX są szyfrowane poprzez ODE, nie można przechowywać ich w pamięci zewnętrznej, takiej jak zewnętrzna karta pamięci. 7 strona

10 Samsung KNOX oferuje kompleksową obsługę wirtualnych sieci prywatnych (VPN) w każdym urządzeniu mobilnym. 2. Bezpieczeństwo aplikacji Środowisko dla aplikacji Szyfrowanie danych On-Device Data Encryption Wirtualna sieć prywatna VPN Samsung KNOX oferuje zaawansowane wparcie dla firmowych sieci VPN. Dzięki temu firmy mogą zaoferować pracownikom optymalny, bezpieczny dostęp do zasobów intranetu z urządzeń pracujących w modelu BYOD lub tych będących na stałym wyposażeniu danej fi rmy. Implementacja VPN w Samsung KNOX zapewnia szeroką obsługę protokołów IPSec: - Internet Key Exchange (IKE oraz IKE v.2) - Potrójne szyfrowanie Triple DES (56/168-bitowy), AES (128/256-bitowy) - Tryb tunelowania podzielonego (Split tunneling mode) - NSA Suite B Cryptography VPN wdrożony w Samsung KNOX otrzymał certyfikat FIPS 140-2, co umożliwia wykorzystywanie go w branżach prowadzących działalność regulowaną, takich jak zastosowania rządowe, opieka zdrowotna, fi nanse itp. Kolejna cecha wyróżniająca VPN w Samsung KNOX to oferowana administratorom IT możliwość konfigurowania i uruchamiania dedykowanych połączeń VPN dla aplikacji (per-app VPN) oraz późniejsze zarządzanie nimi. Funkcja ta umożliwia automatyczne wymuszanie korzystania z VPN tylko dla określonego zestawu aplikacji firmowych. Zaletą takiego rozwiązania jest zapewnienie przesyłania firmowych danych za pomocą bezpiecznego połączenia przy jednoczesnym wyeliminowaniu ryzyka przeciążenia serwerów firmowych przez przesyłanie prywatnych danych użytkowników. Środowisko Samsung KNOX Aplikacje firmowe Ponadto funkcja dedykowanego VPN dla aplikacji (per-app VPN) sprawia, że prywatne dane nie przechodzą przez firmowe serwery, ale łączą się bezpośrednio z zasobami sieci internet, chroniąc prywatność użytkownika. Funkcja per-app VPN jest również dostępna dla aplikacji pracujących wewnątrz środowiska Samsung KNOX. Funkcje dostępne po wdrożeniu Samsung KNOX VPN obejmują: - Do 5 jednoczesnych połączeń VPN - Obsługę RSA SecureID dla bram VPN Cisco - Obsługę kart Common Access Card (CAC) w zastosowaniach rządowych Samsung KNOX VPN Android Framework Internet Zasoby firmowe Rysunek 6 Per-app VPN w Samsung KNOX 8 strona

11 Usługa MDM (Mobile Device Management) umożliwia działowi IT zdalne administrowanie, kontrolowanie i zarządzanie flotą firmowych urządzeń mobilnych. 3. MDM zarządzanie urządzeniami mobilnymi Usługa zarządzania urządzeniami mobilnymi (MDM) umożliwia działowi IT monitorowanie, kontrolowanie i zdalne zarządzanie wszystkimi firmowymi urządzeniami mobilnymi, nawet gdy firma posiada kilku dostawców usług mobilnych. Samsung KNOX korzysta z opracowanych przez Samsung najlepszych w branży funkcji SAFE MDM, zapewniając dodatkowe polityki zabezpieczeń, integracji z rozwiązaniami firmowymi oraz monitorowania aplikacji firmowych, takich jak śledzenie aktywów, zdalne sterowanie itp. Potrzeby Grupy polis dla usługi MDM KNOX*** Zdalne zarządzanie Wi-Fi Zabezpieczenia Konta Bluetooth Hasło Przeglądarka internetowa Ograniczenie funkcjonalności Tryb Kiosk Uprawnienia aplikacji Firewall Bezpieczny dostęp do zasobów firmowych Application VPN Konta Exchange Usługa geo-fencing Location Status i aktywność urządzenia w czasie rzeczywistym Inwentaryzacja urządzeń Zarządzanie korzystaniem z połączeń głosowych i transmisji danych Roaming Ograniczenia dotyczące telefonu Ustawienia APN Wsparcie dla użytkowników w czasie rzeczywistym Zdalne sterowanie Zapobieganie wyciekowi danych Przesyłanie wiad. Zarządzanie kontenerem Zarządzanie integralnością Integracja z rozwiązaniami firmowymi Single Sign-on jednokrotne logowanie Usługa ActiveDirectory *** Dostępność poszczególnych funkcji zależy od dostawcy MDM. Rysunek 7 Grupy polis MDM KNOX. Specyficzne rozszerzenia usługi MDM: - Zasady zapewniające zgodność z wydanym przez amerykański Departament Obrony przewodnikiem zawierającym wymagania zabezpieczeń dla mobilnych systemów operacyjnych (MOS SRG) - Obsługa środowiska Samsung KNOX - Obsługa zarządzania poprzez usługę ActiveDirectory/Group Policy Manager - Obsługa VPN oraz Wi-Fi - Konfigurowanie ekranu oczekiwania oraz ekranu blokady 9 strona

12 Rozwiązanie Samsung KNOX spełnia wymagania certyfikatu FIPS na poziomie 1 dla DAR oraz DIT. Rozwiązanie Samsung KNOX w agencjach rządowych oraz branżach prowadzących działalność regulowaną W przypadku wdrożeń w agencjach rządowych lub Departamencie Obrony rozwiązanie Samsung KNOX zapewnia dodatkowe możliwości zabezpieczeń: 1. Usługa Boot Attestation 2. Obsługa kart inteligentnych (Smartcard CAC) 3. Certyfikaty i zgodność z wymaganiami 1. Usługa Boot Attestation Technologia Samsung KNOX wykorzystuje technologię Secure Boot, która wymaga kryptograficznego podpisania modułu Boot Loadera, jądra Linux oraz firmware u za pomocą klucza, którego źródło zaufania jest weryfikowane sprzętowo. Urządzenia Samsung dostępne na rynku będą posiadać główne certyfikaty wydane przez Samsung. W przypadku wdrożeń w instytucjach rządowych istnieje wymóg, aby kontrolę nad przygotowaniem całego oprogramowania dla urządzeń mobilnych miały agencje rządowe lub zatwierdzeni integratorzy systemów. Jak wcześniej zaznaczono, urządzenia wyposażone w rozwiązanie Samsung KNOX posiadają zabezpieczony sprzętowo certyfikat główny zarezerwowany dla agencji rządowych lub ich zaufanych partnerów w celu utworzenia własnego łańcucha zaufania. W tym celu Samsung podpisuje należący do rządu (lub integratora systemów) certyfikat Level-2 (CA) za pomocą wspomnianego certyfikatu głównego i zapewnia narzędzia umożliwiające jednorazową zmianę domyślnego źródła zaufania z Samsung na źródło zaufania KNOX Government. Rząd (lub integrator systemów) może opracować i wdrożyć własny firmware, który będzie podpisywany za pomocą certyfikatu Level-2, który z kolei jest weryfikowany podczas uruchamiania urządzenia przez certyfikat KNOX Government zapisany w urządzeniu. Należy zauważyć, że firma Samsung nie wytwarza plików binarnych (firmware), które mogłyby spowodować uruchomienie urządzenia ze zmienionym źródłem certyfikatów na KNOX Government; takie pliki binarne mogą wytwarzać jedynie wyznaczone przez rząd podmioty, których certyfikaty są poświadczane przez certyfikat główny KNOX Government. 10 strona

13 2. Obsługa kart inteligentnych (Smartcard CAC) Departament Obrony USA (US DoD) zezwolił na korzystanie z certyfi katów PKI (Public Key Infrastructure) w przypadku pracowników, którzy składają podpis cyfrowy na dokumentach, szyfrują bądź odszyfrowują wiadomości i ustanawiają bezpieczne połączenia sieciowe. Zgodnie z regulacjami DoD Samsung KNOX umożliwia przechowywanie certyfikatów PKI w sposób bezpieczny na urządzeniach mobilnych (certyfi katy software owe) lub pobieranie ich z kart CAC (certyfi katy sprzętowe). Samsung KNOX pozwala aplikacjom na uzyskanie dostępu do certyfikatów sprzętowych na kartach CAC za pomocą standardowych interfejsów API PKCS (Public Key Cryptography Standards). Dzięki temu możliwe staje się użycie kart CAC przez przeglądarkę internetową, klienta poczty oraz klienta VPN, a także inne niestandardowe aplikacje rządowe. Ponadto rozwiązanie Samsung KNOX umożliwia zabezpieczenie ekranu blokady za pomocą karty CAC, zapewniając dodatkowy poziom ochrony urządzenia. Aplikacje rozbudowane o obsługę kart CAC Przeglądarka internetowa PKCS #11 Klient VPN Interfejs Smart Card Android Framework Ekran blokady John Doe Social Security Number Issue Date 2013JAN17 Active Duty Organization Age of birth 1979JAN09 Expiration Date 2018JUN09 Przykład CAC Card Czytnik kart CAC Rysunek 9 obsługa kart CAC w rozwiązaniu Samsung KNOX 3. Certyfikaty i zgodność z wymaganiami Certyfikacja FIPS Zgodność z DISA MOS SRG Opracowany przez Narodowy Instytut Standaryzacji i Technologii (NIST) Federalny Standard Przetwarzania Informacji (FIPS) to amerykański standard bezpieczeństwa, który pomaga fi rmom zajmującym się zbieraniem, przechowywaniem, przesyłaniem i udostępnianiem informacji wrażliwych, ale niesklasyfikowanych (SBU) oraz kontrolowanych informacji niesklasyfikowanych (CUI) w podejmowaniu trafnych decyzji dotyczących wyboru urządzeń do korzystania w miejscu pracy. Rozwiązanie Samsung KNOX spełnia wymagania certyfikatu FIPS Level-1 dla danych przechowywanych w urządzeniu data-at-rest (DAR) oraz danych przesyłanych do i z urządzenia data-in-transit (DIT). Obsługa danych DIT w rozwiązaniu Samsung KNOX obejmuje następujące elementy: - Przeglądarkę internetową (HTTPS) - (S/MIME) - IPSec VPN 3. Certyfikaty i zgodność z wymaganiami Certyfikacja FIPS Zgodność z DISA MOS SRG Agencja Systemów Informatycznych Obrony (DISA) to agencja działająca w ramach Departamentu Obrony USA, która publikuje Security Reqirements Guides (SRG) - przewodniki zawierające wymogi bezpieczeństwa w celu poprawy ochrony systemów informatycznych Departamentu Obrony. SRG ułatwia opracowywanie Security Technical Implemetation Guides (STIGs) przewodników, które dokumentują specyfi czne zasady i wymogi dotyczące produktów, a także najlepsze praktyki w zakresie konfi guracji. W 2012 r. DISA wydała przewodnik Mobile Operating System SRG w celu określenia wymogów dotyczących bezpieczeństwa, które powinny być spełniane przez dostępne na rynku urządzenia mobilne wdrażane w ramach Departamentu Obrony. 2 maja 2013 r. agencja DISA zatwierdziła przewodnik STIG dla rozwiązania Samsung KNOX opracowany wstępnie dla przewodnika Mobile Operating System SRG. 11 strona

14 Podsumowanie Rosnąca popularność urządzeń z systemem Android skłania osoby odpowiedzialne za bezpieczeństwo i zarządzanie infrastrukturą IT do objęcia politykami bezpieczeństwa również smartfony i tablety, z których korzystają pracownicy firmy niezależnie od tego, czy urządzenia te stanowią własność firmy. W sytuacji, gdy coraz większa liczba pracowników przynosi własne urządzenia do pracy (BYOD), administratorzy IT muszą znaleźć odpowiedź na problem zwiększonego ryzyka związanego z dostępem do danych korporacyjnych i zasobów firmowych. Dzięki wielowarstwowemu modelowi zabezpieczeń oraz najlepszemu w branży zarządzaniu urządzeniami, rozwiązanie Samsung KNOX niweluje wszystkie niedostatki platformy Android opartej na wolnym oprogramowaniu, umożliwiając jej szerokie wykorzystanie w firmach. Rozszerzone zabezpieczenia na poziomie systemu operacyjnego zapewnione przez Secure Boot oraz rozszerzenia zabezpieczeń dla systemu Android (SE for Android) i monitorowanie TIMA chronią przed złośliwym oprogramowaniem i atakami hakerów. Środowisko Samsung KNOX umożliwia przedsiębiorstwom skorzystanie z trendu BYOD w celu utworzenia bezpiecznej strefy dla aplikacji korporacyjnych w urządzeniu pracownika. Dostęp do danych i zasobów firmowych może zostać ograniczony do aplikacji pracujących wewnątrz środowiska KNOX. Bogaty zestaw polityk MDM pozwala administratorom IT na lepsze zarządzanie urządzeniami pracowników i zapewnienie zoptymalizowanej obsługi dzięki możliwości zdalnego konfigurowania rozmaitych funkcji, w tym Wi-Fi, VPN i strona

15 O firmie Samsung Electronics Co., Ltd. Samsung Electronics Co., Ltd. jest światowym liderem w dziedzinie technologii, otwierającym nowe możliwości dla użytkowników na całym świecie. Dzięki nieustannym innowacjom i odkryciom Samsung przekształca świat telewizorów, smartfonów, komputerów osobistych, drukarek, aparatów fotograficznych, artykułów gospodarstwa domowego, wyrobów medycznych, półprzewodników i rozwiązań LED. Zatrudnia osób w 79 krajach, a wartość rocznej sprzedaży przekracza 201 bilionów KRW. Więcej informacji można znaleźć na stronie: Więcej informacji o rozwiązaniu Samsung KNOX można znaleźć na stronie: Copyright 2013 Samsung Electronics Co. Ltd. Wszelkie prawa zastrzeżone. Samsung jest zarejestrowanym znakiem towarowym Samsung Electronics Co. Ltd. Specyfikacje i wzornictwo mogą się zmienić bez uprzedzenia. Podane wagi i miary w jednostkach niemetrycznych są przybliżone. Wszystkie dane uznano za zgodne ze stanem faktycznym na dzień sporządzenia niniejszego dokumentu. Samsung nie ponosi odpowiedzialności za żadne błędy ani pominięcia. Wszystkie nazwy marek, produktów i usług oraz logo są znakami towarowymi lub zarejestrowanymi znakami towarowymi odpowiednich właścicieli, których prawa Samsung niniejszym uznaje i akceptuje. Samsung Electronics Polska Sp. z o.o Warszawa, ul. Marynarska 15 Sąd Rejonowy dla m.st. Warszawy w Warszawie XIII Wydzial Gospodarczy Krajowego Rejestru Sądowego. KRS: , NIP: , kapitał zakładowy: zł kontakt.knox@samsung.com Android is a trademark of Google Inc. 13 strona