Distribuire informazioni aziendali in modo sicuro su smartphone e

Transcript

BYOD e information security
White paper
Distribuire
informazioni
aziendali in
modo sicuro su
smartphone e
tablet con sistema
operativo Android,
Apple iOS e
Microsoft Windows
Una guida tecnica e pratica
aggiornata per Android
4.4, iOS 7.1, e Windows
Phone e Surface 8.1.
citrix.it/byod
@CitrixBYOD
citrix.it/secure
@CitrixSecurity
White paper
I dispositivi mobile basati su Android, iOS e Windows,
tra cui smartphone, tablet e simili, hanno trasformato il
computing aziendale, offrendo un nuovo livello di mobility
e flessibilità alle persone e all'IT. Allo stesso tempo,
complicano la sfida di mantenere la sicurezza e la privacy
delle informazioni aziendali.
La mobility aziendale richiede un approccio nuovo alla sicurezza, in grado di
fronteggiare un mondo in cui i dispositivi mobile, i dispositivi bring-your-own (BYOD), i
dispositivi aziendali con dati personali, le applicazioni cloud e le reti pubbliche utilizzate
per l'archiviazione e l'accesso ai dati di lavoro hanno reso obsoleti i tradizionali perimetri
bloccati.
Invece di cercare di proteggere tutte le informazioni dell'azienda, compresi i dati
pubblici non sensibili, l'IT dovrebbe concentrarsi sulla tutela di ciò che conta davvero:
le informazioni sensibili del business, come proprietà intellettuale e segreti commerciali,
nonché informazioni d'identificazione personale (IPI) regolamentate, informazioni
sanitarie protette (ISP) e informazioni del settore delle carte di pagamento (PCI).
Questo approccio prevede l'associazione di misure di sicurezza ai ruoli degli utenti
e l'uso selettivo di una vasta gamma di metodi per garantire l'accesso, controllare
l'utilizzo, evitare fuoriuscite di dati e proteggere dalla manomissione del dispositivo,
senza interferire con la disponibilità dei dati. La gestione della mobility aziendale gioca
un ruolo centrale in questa strategia, con funzionalità centrate su dispositivi, sistemi
operativi, reti, applicazioni, dati e policy, ma è altrettanto fondamentale comprendere il
ruolo dello stesso sistema operativo mobile.
Ciascuna delle piattaforme dei tre principali sistemi operativi mobile, iOS, Android
e Windows, presenta problemi di sicurezza e caratteristiche uniche. Android offre
funzionalità e vantaggi mirati per organizzazioni e consumatori, ma la frammentazione
delle versioni del sistema operativo e la mancanza di capacità di aggiornamento sui
dispositivi con accesso limitato dal gestore di telefonia rappresentano delle sfide
per la sicurezza. Il sistema operativo iOS di proprietà di Apple consente un controllo
rigoroso dall'hardware alle applicazioni e fornisce un approccio “walled garden”
che riduce le vulnerabilità, ma limita anche le opzioni di sicurezza tradizionali delle
aziende. I dispositivi basati su Microsoft Windows 8, come Windows Phone e Surface,
includono funzionalità di sicurezza avanzate e sfruttano la familiarità del reparto IT con
le tecnologie di sicurezza di Windows legacy, ma le capacità di sicurezza e di gestione
differiscono notevolmente tra le varianti del sistema operativo.
In qualità di leader nelle soluzioni di mobile workspace, Citrix ha sviluppato tecnologie
e best practice volte a sfruttare appieno i più recenti dispositivi mobile per il computing
sia personale sia aziendale. In questo paper analizzeremo le principali piattaforme
dei sistemi operativi mobile, i problemi di sicurezza e le caratteristiche uniche di
ciascuna, nonché le misure che il reparto IT deve adottare per mantenere il controllo
e al contempo favorire la produttività e la mobility. Discuteremo anche le capacità
di sicurezza offerte dalle soluzioni Citrix per la mobility delle grandi imprese, tra cui
Citrix XenMobile, Citrix ShareFile, Citrix XenDesktop, Citrix XenApp e Citrix NetScaler.
Insieme, queste soluzioni offrono alle aziende il controllo sui dati, dal datacenter al
dispositivo di qualsiasi tipo, e rispondono alle preoccupazioni del reparto IT in merito
alla sicurezza, a prescindere dal fatto che le policy consentano ai dati aziendali di
essere utilizzati su dispositivi mobile oppure no.
citrix.it/byod
citrix.it /secure
2
White paper
3
Le differenze tra la sicurezza dei dispositivi mobile e quella dei
PC legacy
La sicurezza in ambito mobile non è semplice: non basta individuare le misure di
sicurezza attuali, tipiche dei PC, e riportarle sulle piattaforme mobile. Per esempio,
misure come antivirus, firewall personalizzati e crittografia completa del disco si
possono applicare su Android e Windows Phone e Surface, ma per i dispositivi iOS
si tradurrebbero nell'impossibilità di accedere alla rete, in quanto al momento iOS
non supporta tutte queste misure di controllo legacy. Tuttavia, grazie alla verifica delle
applicazioni che Apple esegue, almeno per il momento non c'è grande necessità di
installare applicazioni di sicurezza sul dispositivo. Un architetto della sicurezza con
il compito di implementare i dispositivi iOS in modo sicuro nell'ambiente aziendale,
invece, deve affrontare la questione dal punto di vista della protezione dei dati.
L'architettura di sicurezza di Android è molto simile a quella di un PC Linux. Basato
su Linux, Android ha tutti i vantaggi e alcuni degli svantaggi di una distribuzione
(distro) Linux, così come le misure di sicurezza uniche di un sistema operativo mobile.
Tuttavia, i dispositivi iOS differiscono sostanzialmente da un PC dal punto di vista
sia dell'usabilità sia della sicurezza. L'architettura di iOS sembra avere anche diversi
vantaggi di sicurezza che potrebbero risolvere alcune delle sfide di sicurezza dei
PC. Confrontate il modello di sicurezza e le soluzioni di mitigazione del PC rispetto
ai modelli di Android e iOS nel semplice esempio riportato sotto, e vedrete che le
misure di controllo necessarie ai PC possono non occorrere per il modello iOS. Inoltre,
Windows Phone e Surface migliorano il tradizionale modello del PC in molti modi.
Confronto sulle misure di sicurezza di PC legacy e tablet e smartphone
Android, iOS e Windows
Misura di
sicurezza
PC
Android
iOS
Windows
Controllo del
dispositivo
Add-on
Add-on
Add-on
Add-on
Anti-malware locale
Add-on
Add-on
Indiretto
Nativo
Crittografia dei dati
Add-on
Configurazione
Nativo
Configurazione
Isolamento/
segregazione
dei dati
Add-on
Nativo
Nativo
Nativo
No
No
Sì
Sì
Gestito
dall'utente
Gestito
dall'utente
Nativo
Nativo
Richiede
accesso come
amministratore
Richiede
rooting
Richiede
jailbreak
Richiede
accesso come
amministratore
Ambiente operativo
gestito
Patching di
applicazioni
Accesso per
modificare i file di
sistema
L'architettura di Android può essere configurata per garantire una sicurezza elevata,
come nel caso di una versione di Android adottata dal Ministero della Difesa degli
Stati Uniti. Inoltre, la National Security Agency supporta il modello Android Security
Enhanced (SE), portando il sistema operativo Linux SE nel kernel di Android.
citrix.it/byod
citrix.it/secure
White paper
Panoramica dell'architettura di sicurezza di Android
L'architettura di Android fornisce una piattaforma che consente di personalizzare
la configurazione della sicurezza da un livello base a uno avanzato. È necessario
specificare quali misure di sicurezza abilitare e applicare; la piattaforma Android offre
le seguenti:
Alcune delle caratteristiche di sicurezza che aiutano gli sviluppatori
a costruire applicazioni sicure sono:
• L'Application Sandbox di Android, che isola i dati e l'esecuzione di codice sulla base
di una singola applicazione, ampliata con SELinux in modalità enforcing e l'integrità
di avvio
• Il framework applicativo di Android, con solide implementazioni di funzionalità
di sicurezza comuni quali crittografia, permessi e IPC sicure
• Un file system crittografato, che può essere attivato per proteggere i dati sui dispositivi
smarriti o rubati
Tuttavia, è importante che gli sviluppatori conoscano le best practice in materia di
sicurezza di Android, per essere certi di sfruttare queste funzionalità e per ridurre
le probabilità di introdurre inavvertitamente altri problemi di sicurezza con possibili
conseguenze per le applicazioni.
Come posso utilizzare il mio telefono o tablet Android in modo sicuro?
L'architettura di sicurezza di Android è stata progettata in modo che sia possibile
utilizzare in sicurezza il telefono e il tablet senza apportare modifiche al dispositivo
o installare alcun software speciale. Le applicazioni di Android sono eseguite
nell'Application Sandbox, che limita l'accesso alle informazioni sensibili o ai dati senza
l'autorizzazione dell'utente. Per beneficiare pienamente delle misure di sicurezza
di Android, è importante che gli utenti scarichino e installino software soltanto da
fonti attendibili e note, visitino siti web attendibili ed evitino di mettere in carica i loro
dispositivi in docking station non affidabili.
L'architettura Android, in qualità di piattaforma aperta, permette alle persone di visitare
qualsiasi sito web e di caricare su un dispositivo il software di qualsiasi sviluppatore.
Come con un PC domestico, l'utente deve sapere chi fornisce il software che sta
scaricando e deve decidere se vuole concedere all'applicazione le capacità che essa
richiede. Questa decisione può basarsi sul giudizio dell'utente in merito all'affidabilità
dello sviluppatore del software e sulla determinazione dell'origine del software. La
funzione di scansione Bouncer e altre applicazioni di terze parti contribuiscono a
rilevare i malware presenti nelle applicazioni.
Problemi di sicurezza di Android
La piattaforma aperta di Android consente il rooting e lo sblocco. Il rooting è il
processo che permette di diventare root, ossia il super utente con tutti i diritti sul
sistema operativo. Lo sblocco consente di modificare il bootloader, permettendo
di installare versioni alternative del sistema operativo e delle applicazioni. Android
ha anche un modello di autorizzazioni più aperto, dove qualsiasi file presente su un
dispositivo Android è leggibile o da un'applicazione o universalmente. Per condividere
un file tra applicazioni diverse, quindi, è indispensabile rendere tale file leggibile
universalmente.
citrix.it/byod
citrix.it/secure
4
White paper
5
Gli aggiornamenti alla versione più recente di Android non sempre sono disponibili
e a volte sono controllati dal gestore di telefonia. La mancata disponibilità di un
aggiornamento potrebbe consentire il persistere di problemi di sicurezza. Controllare
Impostazioni/Sistema/Info sul dispositivo/Aggiornamenti software per sapere se la
piattaforma può essere aggiornata.
Il supporto dei contenuti attivi, tra cui Flash, Java, JavaScript e HTML5, favorisce
gli attacchi e l'installazione di malware attraverso questi vettori. Assicuratevi che le
soluzioni di sicurezza siano in grado di rilevare e contrastare gli attacchi da parte di
contenuti attivi.
Il sistema operativo Android è uno dei bersagli preferiti dei malware mobile, tra
cui trojan che inviano SMS a numeri a pagamento e applicazioni illecite che
sottoscrivono gli utenti a loro insaputa a servizi dannosi, sottraggono informazioni
personali e, addirittura, abilitano il controllo remoto non autorizzato del dispositivo.
Ciò è particolarmente vero per le applicazioni provenienti da app store illeciti, non
sottoposte a revisioni e verifiche di sicurezza. Sebbene KitKat abbia introdotto “decine
di miglioramenti della sicurezza per proteggere gli utenti”, è comunque consigliabile
rafforzare i dispositivi Android con una soluzione anti-malware che fornisca un
approccio alla sicurezza più solido.
Le funzionalità più recenti di Android e il loro significato per l'IT
La seguente tabella riassume i vantaggi per gli utenti e l'impatto sulla sicurezza per l'IT
delle funzionalità più recenti di tablet e smartphone con sistema operativo Android 4.4.
Le novità più significative di Android 4.4
Android 4.4 (“KitKat”) espande le capacità di SELinux di proteggere il sistema operativo
Android tramite l'esecuzione in modalità enforcing per impostazione predefinita, e
aggiunge nuove funzionalità per il controllo della sicurezza. L'implementazione di queste
funzionalità potrebbe variare anche a seconda del produttore e del dispositivo. In questo
paper vengono discusse le caratteristiche più significative, elencate di seguito, e l'impatto
di ciascuna.
Caratteristica di Android
Vantaggio per l'utente
del dispositivo
Impatto sull'IT
Miglioramenti nella gestione
di certificati e keystore
La gestione delle whitelist
e il Certificate Pinning
assicurano che vengano
utilizzati solo certificati validi,
gli algoritmi a curva ellittica
snelliscono la crittografia
avanzata, e gli avvertimenti
sulle Certificate Authority
(CA) aggiunte al dispositivo
contrastano gli attacchi
man-in-the-middle.
Miglioramenti e
automazione apprezzabili
del sottosistema di
crittografia di Android.
L'introduzione di una API
a chiave pubblica e altre
funzionalità di gestione del
keystore semplificheranno
ed estenderanno le capacità
dell'IT.
Always listening
È sufficiente pronunciare
“OK Google” senza
toccare nulla per attivare
il dispositivo. Al momento
questa funzione è
presente solo su Nexus
5, ma si prevede una sua
espansione.
I dispositivi potrebbero
finire col registrare
involontariamente delle
conversazioni, e potrebbero
attivare o disattivare in
modo dinamico delle
funzionalità in base a ciò
che viene detto.
citrix.it/byod
citrix.it/secure
White paper
6
Aggiunta automatica di
contenuti mancanti
L'aggiunta di informazioni
mancanti di contatto,
risorse nei dintorni, mappe
e località si completa
automaticamente.
Le persone che lavorano
in strutture protette o con
clienti molto attenti alla
sicurezza non dovrebbero
rilasciare informazioni
dettagliate sulle località e
devono disabilitare questa
funzione.
Integrazione con il cloud
L'integrazione di storage
locale e cloud significa
che le informazioni
possono essere
memorizzate/sincronizzate
automaticamente tra il
dispositivo, le applicazioni e
il cloud.
L'uso di Google Drive e
di servizi di terze parti
di condivisione di file
personali sarà nativo per
le applicazioni e abilitato
attraverso API. Il reparto
IT deve garantire che
siano disponibili e attivate
soluzioni di livello aziendale.
SMS, Google Hangout per
SMS
Le persone possono usare
e configurare gli SMS
secondo le loro esigenze
personali
Sebbene Google Hangout
sia eccellente per le
interazioni personali, per
le comunicazioni di lavoro
devono essere configurati e
utilizzati gli SMS aziendali.
In aggiunta alle caratteristiche integranti del sistema operativo Android, i produttori di
dispositivi, i gestori di telefonia e i partner arricchiscono continuamente Android con
nuove funzionalità.
Samsung SAFE e KNOX
Samsung SAFE è un programma di sicurezza di Samsung progettato per fornire
dispositivi di fascia aziendale che offrono controlli di sicurezza ben superiori a quelli
presenti sulla maggior parte dei dispositivi Android. Samsung SAFE comprende
controlli di gestione di applicazioni e dispositivi mobile come la crittografia integrata
nel dispositivo AES-256, la connettività VPN e il supporto per Microsoft Exchange
ActiveSync per la posta elettronica aziendale, il calendario e le applicazioni PIM native.
Samsung KNOX fornisce un ulteriore livello di protezione rispetto a SAFE, con una
sicurezza completa per i dati aziendali e l'integrità della piattaforma mobile. Le
funzionalità di KNOX comprendono un contenitore “dual-persona” per l'isolamento
degli spazi lavorativi e personali, una misurazione dell'integrità del kernel con VPN per
singola applicazione, e l'avvio sicuro personalizzabile, per garantire che sul dispositivo
possa essere eseguito soltanto il software verificato e autorizzato.
Citrix adotta un approccio integrato nel sostenere le API SAFE e KNOX.
Citrix XenMobile si basa su KNOX con controlli MDM e MAM avanzati che vengono
gestiti nel portale di amministrazione; queste funzionalità saranno illustrate nel dettaglio
più avanti in questo paper.
citrix.it/byod
citrix.it/secure
White paper
Panoramica dell'architettura di sicurezza di iOS
Il sistema operativo proprietario iOS è sottoposto a controlli rigorosi. Gli aggiornamenti
provengono da un'unica fonte, e le applicazioni Apple presenti nell'AppStore sono
controllate e sottoposte a test di sicurezza elementari. L'architettura di sicurezza di iOS
ha incorporato un'architettura della sicurezza basata su sandbox, nonché l'attuazione
di misure di sicurezza basate su una configurazione specifica e controlli rigorosi che
interessano dall'hardware alle applicazioni.
Secondo Apple, la sicurezza di iOS si basa su:
Un approccio stratificato alla sicurezza. La piattaforma iOS fornisce tecnologie
e caratteristiche di sicurezza rigorose senza compromettere l'esperienza dell'utente.
I dispositivi iOS sono progettati per rendere la sicurezza il più trasparente possibile.
Molte funzioni di sicurezza sono abilitate per impostazione predefinita, quindi gli utenti
non hanno bisogno di competenze avanzate in materia di sicurezza per mantenere
protette le loro informazioni.
Sequenza di avvio sicura. Ogni passaggio del processo di avvio, dai bootloader
al kernel al firmware della banda base, è firmato da Apple per garantire l'integrità. Il
dispositivo passa alla fase successiva solo dopo aver verificato il primo passaggio.
Sandboxing delle applicazioni. Tutte le applicazioni di terze parti sono collocate in
sandbox, in modo che non possano accedere ai file memorizzati da altre applicazioni o
apportare modifiche al dispositivo. Questo impedisce alle applicazioni di raccogliere o
modificare informazioni, proprio come tenterebbero di fare un virus o un malware.
Con il rilascio di iOS 7, Apple ha introdotto TouchID per semplificare l'autenticazione
dei dispositivi, la protezione crittografica FIPS 140-2 per i dati sensibili, il blocco di
attivazione per proteggere ulteriormente i dispositivi smarriti o rubati, e numerosi
miglioramenti per la sicurezza meno evidenti.
Problemi di sicurezza del modello iOS
Apple ha adottato un approccio “walled garden” all'architettura iOS, che impedisce ai
proprietari dei dispositivi di accedere o modificare il sistema operativo. Per eseguire
qualsiasi modifica, sul dispositivo deve essere eseguito il jailbreak. Il jailbreak è il
processo che rimuove le protezioni e consente l'accesso root al dispositivo. Una volta
raggiunto il livello root, la modifica e la personalizzazione sono abilitate. Apple ha preso
provvedimenti aggiuntivi basati sull'hardware per disincentivare la pratica del jailbreak.
Le funzionalità più recenti di iOS e il loro significato per l'IT
delle funzionalità più recenti di tablet e smartphone con sistema operativo Apple iOS 7.1.
citrix.it/byod
citrix.it/secure
7
White paper
8
Le novità più significative di iOS 7.1
Oltre ai miglioramenti delle funzionalità di sicurezza, Apple ha pubblicato un documento
che illustra le misure di sicurezza di iOS da un dispositivo Apple all'iCloud. In questo
paper vengono discusse le caratteristiche più significative, elencate di seguito, e l'impatto
di ciascuna.
Caratteristica di iOS
del dispositivo
Impatto sull'IT
Blocco di attivazione
Una volta configurato, un
telefono cellulare rubato o
smarrito è inutilizzabile per
un ladro, il che dovrebbe
scoraggiare il furto di
dispositivi.
Ha implicazioni per la
proprietà e la gestione del
dispositivo. Integra la gestione
della mobility delle grandi
imprese.
Touch ID
Touch ID è il sensore di
impronte digitali per il
rilevamento dell'identità
di Apple, e al momento
è una prerogativa degli
iPhone 5s. Consente di
accedere ininterrottamente
al dispositivo.
Touch ID funziona meglio con
la versione 7.1; inoltre, Apple
ha trasferito le impostazioni
di Touch ID e del codice di
accesso a un livello superiore,
rendendoli più facili da
configurare.
Registrazione automatica
Gli utenti ricevono i
dispositivi aziendali preconfigurati e pronti all'uso.
I dispositivi acquistati da
Apple tramite il Programma
di registrazione dei dispositivi
possono essere registrati con
facilità in MDM.
FIPS 140-2
Una crittografia verificata e
ad alta sicurezza protegge
tutti i dati sul dispositivo.
Le aziende che richiedono
FIPS 140-2 a livello di
dispositivo ora possono
utilizzare iPhone e iPad.
Controlli di sicurezza di iOS7.x e Android a confronto
Nel confronto tra iOS e Android, è importante notare che i controlli di Android variano in
base al dispositivo, alla versione del sistema operativo e al gestore di telefonia. In alcuni
casi, per esempio, le vecchie versioni di Android non offrono la crittografia a livello di
dispositivo.
iOS7.x
Android
Crittografia del dispositivo
Sì
Varia in base a dispositivo/OS/gestore
Crittografia OTA
Sì
Password del dispositivo
Sì
Blocco/pulizia in remoto
Sì
Verifica dell'app
Sì
Password dell'app
Sì
Crittografia dell'app
Sì
Contenitore (container) dell'app
Sì
Accesso sicuro alla rete da parte
dell'app
Sì
Apri in
Sì
citrix.it/byod
citrix.it/secure
White paper
Panoramica dell'architettura di sicurezza di Windows Phone e Surface
Nei propri sistemi operativi per tablet e smartphone più recenti Microsoft ha ampliato le
tecnologie e architetture di Windows più diffuse. Funzionalità di sicurezza integrate, come
BitLocker, Defender, SmartScreen, firewall personale e controllo dell'account utente, si
basano su una solida architettura di sicurezza mobile.
Secondo Microsoft, la sicurezza per le piattaforme Windows Phone e Surface si basa su:
Sicurezza della piattaforma delle applicazioni. Microsoft adotta un approccio
su più fronti per aiutare a proteggere dal malware i tablet Windows e i dispositivi
smartphone. Un aspetto di questo approccio è il processo di avvio Trusted Boot, che
aiuta a prevenire l'installazione di rootkit.
Camere e funzionalità. Il concetto di camera si basa sul principio del privilegio
minimo e utilizza l'isolamento per realizzarlo; ogni camera offre un confine di protezione
e, attraverso la configurazione, un confine di isolamento all'interno del quale un
processo può essere eseguito. Ogni camera è definita e implementata utilizzando
un sistema di policy. La policy di sicurezza di una camera specifica definisce quali
funzionalità del sistema operativo i processi in tale determinata camera possono
richiamare.
Una funzionalità è una risorsa per la quale esistono preoccupazioni di privacy degli
utenti, di sicurezza, economiche o di business relativamente all'utilizzo di Windows
Phone. Esempi di funzionalità includono informazioni relative a: posizione geografica,
fotocamera, microfono, networking e sensori.
Problemi di sicurezza di Windows
I sistemi operativi tradizionali per PC basati su Windows sono molto diffusi e sono
il bersaglio preferito da chi tenta gli attacchi, il che significa che qualsiasi codice e
servizio condiviso tra PC e piattaforme mobile potrebbe essere la causa di vulnerabilità
diffuse. L'architettura di protezione avanzata delle piattaforme Windows Mobile,
in particolare tutta l'esperienza Windows 8, ha migliorato notevolmente lo stato di
protezione di Windows.
L'utente predefinito (utente di default) viene eseguito come amministratore, fornendo
un livello di accesso sproporzionato per il normale lavoro di tutti i giorni. Pertanto, si
raccomanda di creare un utente separato per l'utilizzo quotidiano, lasciando i privilegi
di amministratore riservati unicamente a quando sia effettivamente necessario svolgere
attività come amministratore. Naturalmente, la possibilità per un utente di diventare
amministratore sul dispositivo è simile a diventare un utente root; con questo livello di
privilegi, la disponibilità di un accesso sproporzionato può influenzare negativamente la
sicurezza.
Un'altra grande preoccupazione sta nel fatto che il modello e i controlli di protezione
consueti di Windows possono portare ad una situazione in cui il dispositivo venga
eccessivamente gestito dall'IT. Ciò comporterà un approccio alla sicurezza e
all'usabilità che scadrà nel classico “o si fa a modo mio o niente”; così, una gestione
eccessiva e ingiustificata da parte del reparto IT obbligherà gli utenti ad adottare un
altro dispositivo.
Le funzionalità più recenti di Windows e il loro significato per l'IT
delle funzionalità più recenti di tablet e smartphone Windows Phone e Surface 8.1.
citrix.it/byod
citrix.it/secure
9
White paper
10
Le novità più significative di Windows Phone e Surface
Microsoft ha rinnovato le piattaforme Windows mobile, integrando direttamente le
funzioni di sicurezza aziendali. In questo paper vengono discusse le caratteristiche
più significative, elencate di seguito, e l'impatto di ciascuna.
Funzionalità di
Windows
del dispositivo
Impatto sull'IT
BitLocker
La crittografia del
dispositivo in Windows
Phone 8 utilizza la
tecnologia BitLocker per
criptare tutto l'archivio dei
dati interni del telefono con
crittografia AES 128.
La crittografia gestita
dall'utente non è
appropriata per i dati
aziendali sensibili. Il
reparto IT deve far
rispettare la gestione
aziendale della crittografia.
Windows Defender
Questa funzione aiuta a
proteggere il PC in tempo
reale contro virus, spyware
e altro software dannoso.
Antivirus e anti-malware
di livello nativo sono
una gradita novità per le
piattaforme mobile.
SmartScreen
Il filtro SmartScreen di
Internet Explorer consente
di proteggere gli utenti da
attacchi di tipo malware
e phishing mettendo in
guardia gli utenti qualora
un sito web o una
posizione di un download
siano stati segnalati come
pericolosi.
La policy del reparto IT
deve far sì che gli utenti
rispettino le avvertenze di
SmartScreen.
Prevenzione della perdita
di dati
L'IRM (Information Rights
Management) consente
ai creatori di contenuti
di assegnare diritti ai
documenti che inviano
agli altri. I dati contenuti
nei documenti protetti da
diritti vengono criptati in
modo tale da poter essere
visualizzati solo dagli utenti
autorizzati.
Richiedono Windows
Rights Management
Services (RMS) e Windows
Phone.
Firewall
Un firewall personale
protegge le applicazione e
la connessione di rete sia
in entrata che in uscita.
La configurazione del
firewall dovrebbe essere
specificata e controllata
dal reparto IT.
citrix.it/byod
citrix.it/secure
White paper
11
In che modo i dispositivi mobile odierni proteggono i dati sensibili
I modelli di mobility spostano le responsabilità per la sicurezza, tradizionalmente di
competenza dell'IT, da standard organizzativi ben definiti ad un insieme di standard
che coinvolgono una miriade di dispositivi, sistemi operativi e policy. Non esiste un
approccio “one-size-fits-all” alla mobility e gli aspetti specifici relativi a proprietà del
dispositivo, funzionalità del dispositivo, posizione dei dati e requisiti dell'applicazione,
tutti concorrono a comporre il quadro generale della sicurezza.
Tuttavia, le misure di controllo più comuni, come la protezione antivirus controllata a
livello aziendale, non possono essere installate e mantenute su tutti i dispositivi mobile.
Le organizzazioni devono prendere in considerazione l'efficacia di specifiche misure di
sicurezza per il mobile nel contesto delle loro esigenze e seguire le raccomandazioni
dei propri architetti della sicurezza aziendale. Per ulteriori informazioni su come la
gestione della mobility aziendale, la virtualizzazione di applicazioni e desktop Windows,
e la sincronizzazione e condivisione dei dati aziendali possono far fronte a potenziali
minacce alla sicurezza in ambito mobile, fate riferimento alla tabella di seguito.
Minacce e corrispondenti misure di sicurezza in ambito mobile (con la gestione
della mobility aziendale, la virtualizzazione di applicazioni e desktop Windows,
la sincronizzazione e condivisione dei dati aziendali, e il networking)
Minaccia
Vettore della minaccia
Esfiltrazione dei dati
I dati escono
dall'organizzazione
Stampa schermo
Screen scraping
Fotocamera
Copia su supporti rimovibili
Perdita di backup
E-mail
Misura di sicurezza
mobile
I dati rimangono nel
datacenter o vengono criptati
e gestiti sul dispositivo
Controllo dell'applicazione/
dispositivo
Limitare i supporti rimovibili
Backup criptati
E-mail non nella cache
dell'applicazione nativa
Limitare la cattura delle
schermate
Manomissione dei dati
Modifica da un'altra
applicazione
Sandbox di applicazione/dati
Tentativi di manomissione
non rilevati
Rilevamento jailbreak
Dispositivo con jailbreak
Perdita di dati
Autenticazione reciproca
VPN micro-app
Perdita del dispositivo
Dati gestiti sul dispositivo
Dispositivo e accesso non
approvati
Crittografia del dispositivo
Errori e configurazioni
Aggiornamenti e patch
Vulnerabilità delle applicazioni
citrix.it/byod
Logging
citrix.it/secure
Crittografia dei dati
Malware
White paper
12
Modifica al sistema operativo
Ambiente operativo gestito
Modifica all'applicazione
Ambiente applicativo gestito
Virus
Architettura*
Rootkit
*Mentre le architetture del sistema operativo mobile possono essere irrobustite contro il malware, i virus latenti basati su PC
possono essere trasmessi attraverso file infettati. Si raccomanda che funzionalità anti-malware siano disponibili per tutti gli
ambienti host ai quali si connette il dispositivo mobile, in particolare per le e-mail.
Nei casi di dispositivi personali utilizzati in azienda, è prudente mantenere le
informazioni aziendali più sensibili separate dal dispositivo per ridurre le vulnerabilità.
Come impostazione predefinita, bisognerebbe accedere ai dati altamente sensibili in
remoto dal datacenter e tali dati non dovrebbero mai essere copiati su un dispositivo
mobile. I dati che bisogna rendere disponibili sui dispositivi mobile dovrebbero
essere messi al sicuro tramite misure adeguate come la crittografia e la capacità di
cancellarli dagli endpoint mobile in remoto. Le applicazioni che bisogna controllare e
rendere disponibili sui dispositivi mobile possono essere “containerizzate” per evitare
l'interazione con applicazioni non aziendali.
Scoprite aspetti che probabilmente non state prendendo in considerazione
Le applicazioni mobile non sempre visualizzano i contenuti allo
stesso modo delle applicazioni native su PC. Ecco alcune delle aree
problematiche:
• I video che non sono in formato mobile nativo non sono supportati e non vengono
riprodotti (ad esempio, WMV e Flash)
• Le applicazioni di posta elettronica spesso hanno problemi nel visualizzare
correttamente la grafica, sono mal configurate per il supporto del certificato di
sicurezza, non criptano i dati e non gestiscono avvisi di richiamo e altre funzioni
speciali
• Il calendario non può visualizzare lo stato libero/occupato e ha problemi con
aggiornamenti multipli agli eventi e con gli eventi che non sono attuali
• Le applicazioni per le presentazioni non sempre mostrano tutti i grafici, i font e
l'impaginazione così come appaiono in PowerPoint
• Le applicazioni di elaborazione testo non mostrano quando è attiva la funzione
“Revisioni” e non visualizzano commenti e note, quindi le modifiche non vengono
visualizzate ed è possibile che vengano tralasciati aggiornamenti importanti al
documento
Mettere al sicuro le informazioni aziendali a cui si accede su tablet
e smartphone grazie a Citrix
Citrix fornisce un app store unificato sul dispositivo mobile, consentendo l'accesso
ad applicazioni sia per la produttività che per l'azienda, compresi i dati gestiti
tramite ShareFile. ShareFile può essere usato per abilitare l'accesso offline ai dati
sui dispositivi mobile. ShareFile e XenMobile aiutano il reparto IT a proteggere i
dati sensibili memorizzati sui dispositivi mobile attraverso la containerizzazione, la
crittografia e policy globali di controllo dei dati, al fine di bloccare le perdite generate
dagli utenti. I dati containerizzati sul dispositivo possono essere cancellati in remoto
dal reparto IT in qualsiasi momento; questa procedura può anche essere attivata
automaticamente da determinati eventi, ad esempio nel caso in cui venga effettuato
il jailbreak del dispositivo. Tramite XenApp e XenDesktop l'app store unificato di
Citrix offre applicazioni mobile, nonché applicazioni e desktop Windows in modalità
citrix.it/byod
citrix.it/secure
White paper
hosted centralizzata. Fornendo l'accesso mobile remoto alle risorse tramite un
hosting centralizzato, il reparto IT può mantenere i dati confinati nel datacenter dove
possono essere tenuti al sicuro e protetti. L'IT può eseguire e far rispettare tali policy
tramite XenMobile e ShareFile, a prescindere dal fatto che l'organizzazione decida di
mantenere i dati sensibili e le applicazioni nel datacenter, di contenerli sui dispositivi, o
di lasciarli liberi nell'ambito mobile.
Le applicazioni mobile messe al sicuro da Citrix usufruiscono di Citrix NetScaler
Gateway per una forte autenticazione e crittografia del traffico di rete. Il gateway
NetScaler Gateway SSL/VPN fornisce VPN micro-app per consentire l'accesso
backend alle applicazioni aziendali, mobile e web, agendo come un punto di
applicazione delle policy di rete al fine di abilitare misure di sicurezza di rete specifiche
per le applicazioni. Micro-app VPN permettono l'elaborazione solo di determinati
dati inerenti il lavoro nell'azienda, aiutando a gestire in modo migliore il traffico e
garantendo, al tempo stesso, la sicurezza della privacy dell'utente finale. XenMobile
offre gestione e controllo unificati di tutti i tipi di applicazioni (tra cui quelle mobile, web,
SaaS e Windows), così come di dati, dispositivi e utenti.
La crittografia di Citrix protegge i dati di configurazione, i bitmap dello schermo e lo
spazio di lavoro dell'utente. Citrix utilizza funzionalità native della piattaforma mobile per
criptare i dati in sosta e in movimento tramite le interfacce di rete WiFi e 3G/4G.
In che modo XenMobile aiuta a proteggere le applicazioni e i dispositivi
XenMobile fornisce la completa libertà di dispositivi mobile, applicazioni e dati.
XenMobile fornisce il provisioning e il controllo basato sull'identità di tutte le
applicazioni, i dati e i dispositivi, oltre ai controlli basati sulle policy come, ad esempio,
l'accesso alle applicazioni ristretto solo agli utenti autorizzati, il de-provisioning
automatico dell'account per i dipendenti che hanno terminato il rapporto di lavoro e
la cancellazione selettiva di dispositivi, app o dati memorizzati su dispositivi smarriti o
rubati. Il contenitore sicuro di questa soluzione non solo cripta i dati delle applicazioni,
ma tiene anche separate le informazioni personali da quelle aziendali. In questo modo,
le organizzazioni possono offrire alle persone la scelta del dispositivo, fornendo all'IT
la capacità di prevenire la perdita di dati e di proteggere la rete interna da minacce
mobile.
Protezione a livello di sistema operativo. XenMobile Device Manager assicura
che i ponti necessari del sistema operativo siano disponibili per applicare e gestire le
funzionalità a livello di sistema operativo, tra cui:
• Protezione della password a livello di dispositivo
• Crittografia
• WiFi
• Inventario dei dispositivi
• Inventario delle applicazioni
• Cancellazione totale/selettiva
• API per il produttore del dispositivo specifico (Samsung, HTC, ecc.)
• Configurazione automatica del WiFi
• Limitare l'accesso alle risorse del dispositivo, inclusi app store, fotocamera e browser
• Supporto per i controlli di sicurezza Samsung SAFE e KNOX
citrix.it/byod
citrix.it/secure
13
White paper
Crittografia e sicurezza. XenMobile fornisce al reparto IT la capacità di prevenire
il copia/incolla o di permettere che venga abilitato solo tra applicazioni autorizzate.
Attraverso Worx Mobile Apps, funzionalità come la crittografia AES-256 e la validazione
FIPS 140-2 proteggono i dati in sosta, e questo vale per tutti i dati aziendali più critici.
I controlli di apertura consentono di specificare che alcuni documenti debbano essere
aperti solo in determinate applicazioni. Anche i collegamenti ai siti web possono essere
impostati in modo tale da dover essere aperti in un browser sicuro.
I dati in transito sono protetti tramite una funzionalità micro-app VPN, che consente
un accesso sicuro alle risorse aziendali per applicazioni, intranet e e-mail. I tunnel delle
micro-app VPN sono esclusivi per ogni applicazione e criptati per essere protetti da
comunicazioni con altri dispositivi o da altre comunicazioni micro-app VPN.
Rilevamento del jailbreak. XenMobile rileva jailbreak e status di root tramite metodi
proprietari, tra cui la disponibilità delle API e l'ispezione del codice binario.
Policy di geolocalizzazione. I servizi di localizzazione consentono al reparto IT di
stabilire un perimetro geografico per controllare il luogo effettivo dove possono essere
utilizzati dispositivi o applicazioni specifici. Se il dispositivo esce fuori dal perimetro
stabilito, i suoi contenuti possono essere cancellati in modo totale o selettivo.
Mobile application management (MAM). Il MAM, o gestione dell'applicazione
mobile, controlla utilizzo, aggiornamenti, networking e sicurezza dei dati delle
applicazioni. Ogni applicazione sul dispositivo può disporre di un proprio tunnel SSL
criptato che può essere utilizzato solo per tale applicazione. Quando un dipendente
lascia l'azienda, il reparto IT può cancellare da remoto, e in modo selettivo, tutti i dati
aziendali dai contenitori delle applicazioni gestiti, senza toccare applicazioni o dati
personali presenti sul dispositivo. XenMobile fornisce anche uno storefront singolo e
sicuro per i dispositivi mobile che permette di accedere sia alle applicazioni pubbliche,
che a quelle private.
Applicazioni per una produttività sicura. Le applicazioni di produttività integrate
nella soluzione Citrix includono un browser web sicuro, un container per e-mail/
calendario/contatti sicuri e ShareFile, un servizio per la sincronizzazione e condivisione
dei file in modo sicuro. Ciò permette alle persone di navigare in modo ottimizzato i
siti intranet, senza la necessità di costose soluzioni VPN che aprono la rete aziendale
a tutte le applicazioni presenti sul dispositivo. Con Worx Mobile Apps, qualsiasi
sviluppatore o amministratore può aggiungere funzionalità di livello enterprise, come
crittografia dei dati, autenticazione con password o VPN micro-app.
Worx Mobile Apps include:
WorxMail - WorxMail è un'applicazione full-optional nativa per iOS e Android
con funzionalità e-mail, calendario e contatti che gestisce i dati e viene eseguita
interamente all'interno del contenitore sicuro sul dispositivo mobile. WorxMail
supporta le API di Exchange ActiveSync e offre funzionalità di sicurezza come posta
elettronica, allegati e contatti criptati.
WorxWeb - WorxWeb è un browser mobile per dispositivi iOS e Android che
consente l'accesso sicuro alla rete aziendale interna, al SaaS esterno e alle
applicazioni web in HTML5, pur mantenendo l'aspetto e la fruibilità del browser
nativo del dispositivo. Attraverso una micro-app VPN gli utenti possono accedere
a tutti i loro siti web, compresi quelli con informazioni sensibili. WorxWeb offre
un'esperienza ottimizzata per l'utente grazie alla sua integrazione con WorxMail che
consente agli utenti di fare clic sui collegamenti e far sì che le applicazioni native
vengano aperte all'interno del contenitore sicuro sul dispositivo mobile.
citrix.it/byod
citrix.it/secure
14
White paper
15
Worx Home - Worx Home è il punto di controllo centrale per tutte le applicazioni
abbinate a XenMobile, nonché per i contenuti memorizzati sul dispositivo. Worx
Home gestisce l'esperienza dell'utente con la springboard per quanto concerne
autenticazione, applicazioni, gestione delle policy e archiviazione a variabili
crittografiche.
Assieme, queste e altre caratteristiche di XenMobile consentono all'IT di:
Unificare il controllo relativo all'accesso remoto ad applicazioni e dati. L'app
store aziendale unificato di Citrix aggrega in modo sicuro le applicazioni e i desktop
virtualizzati di Windows; le applicazioni web, SaaS e native mobile; e i dati in un unico
luogo per gestire e controllare le policy e gli account pertinenti ai servizi per gli utenti.
Isolare e proteggere la posta elettronica aziendale. Uno dei maggiori vantaggi
di WorxMail è che conserva la posta elettronica aziendale in una sandbox, o
contenitore, e rimane separata all'interno del dispositivo. È facile il paragone
con l'utilizzo di ActiveSync e dell'applicazione mobile nativa per le e-mail, dove
un amministratore ha bisogno di prendere in parte il controllo del dispositivo e
l'utente deve consentire al dispositivo di essere cancellato in remoto se si verifica
un problema. Le informazioni di accesso, crittografia e profilo sono tutte legate al
dispositivo. Inoltre, l'approccio a sandbox fornisce sistemi di crittografia sia per il
testo del messaggio che per gli allegati.
Evitare di interferire con i contenuti personali sui dispositivi mobile. Utilizzando
WorxMail, in caso di problemi l'utente deve acconsentire solo che le informazioni
aziendali conservate nel contenitore di WorxMail vengano cancellate, evitando che
vengano cancellate anche le altre informazioni presenti nel dispositivo. Le e-mail e
i contatti di livello aziendale sono isolati, protetti e controllati dal contenitore, non
dal dispositivo. Anche le e-mail di lavoro e personali vengono separate attraverso
l'approccio a sandbox, che aiuta a mantenere separati e-mail e contatti.
XenMobile e Samsung SAFE e KNOX. XenMobile supporta i controlli di sicurezza
di Samsung SAFE e KNOX, compresa la gestione del contenitore KNOX. La stretta
integrazione tra Worx Mobile Apps e il contenitore sicuro KNOX garantisce che
i dati aziendali sensibili, comprese le e-mail soggette a regolamenti in materia di
conservazione, non vengano mai esposti a malware che potrebbero risiedere nel
sistema operativo o ad applicazioni non gestite nella partizione personale. Inoltre, la
soluzione supporta anche percorsi di controllo che permettono di verificare l'integrità
dei dati per valutazioni relative alla conformità e al rispetto delle normative. XenMobile
fornisce anche ulteriori funzionalità e controlli di sicurezza per KNOX, compresi:
comunicazione sicura fra applicazioni, controllo di tipo “geo-fencing”, controllo
intelligente del traffico di rete e gestione sicura dei contenuti. (Nota bene: possono
essere necessarie licenze aggiuntive per Samsung Knox).
XenMobile e iOS 7.x. XenMobile supporta i controlli iOS nativi e li amplia con
funzionalità di sicurezza aggiuntive. XenMobile fornisce i seguenti miglioramenti, sia per
iOS 7 che per KNOX:
Caratteristiche di XenMobile
Dettagli
App store aziendale
Accesso a pannello unico con funzione di
provisioning di applicazioni mobile, SaaS, Web
e Windows direttamente sullo springboard del
dispositivo
SSO avanzato
Accesso con un semplice clic alle applicazioni
mobile, SaaS, Web e Windows
citrix.it/byod
citrix.it/secure
White paper
16
Ecosistema di applicazioni
“business-ready” (pronte per l'azienda)
Il più grande ecosistema di applicazioni
con Worx App Gallery
Controllo della rete
Controllo dell'utilizzo delle applicazione basato
su reti WiFi
Controllo dell'SSID autorizzato
Controllo granulare di quali reti interne vengono
sfruttate dalle applicazioni
Controllo di tipo “geo-fencing”
(perimetro virtuale)
Sicurezza ottimizzata in caso di blocco,
cancellazione o notifica in base alla posizione
del dispositivo
Accesso online/offline
Limitare l'accesso online ad un'applicazione o
determinare la durata di utilizzo offline
Comunicazione interna fra applicazioni
Controllo della comunicazione tra le
applicazioni gestite
Provisioning e de-provisioning
semplificato
Abilitare/disabilitare l'accesso
E-mail sicure
E-mail in modalità sandbox integrate con i
contatti e il calendario aziendali con visibilità
sulla disponibilità del contatto
Browser sicuro
Browser HTML5 completamente funzionale per
contenuti protetti e siti intranet aziendali
Gestione dei contenuti sicura
Accedete, annotate, modificate e sincronizzate
i file da qualsiasi dispositivo
Suite completa di applicazioni EMM
Applicazioni per affrontare ogni caso d'uso
EMM e funzionalità critiche che comprendono
ShareFile, GoToMeeting, GoToAssist e Podio
In che modo ShareFile aiuta a proteggere dati e file
ShareFile offre solide funzionalità gestite di condivisione e sincronizzazione dei dati,
completamente integrate con XenMobile. La soluzione consente inoltre di archiviare
i dati in locale o nel cloud e aiuta a mobilitare gli investimenti esistenti come share di
rete e SharePoint. Le funzionalità di editing dei contenuti avanzati integrate in ShareFile
consentono di soddisfare le proprie esigenze di mobility, produttività e collaborazione
con una singola applicazione intuitiva. Con ShareFile, l'IT può:
Proteggere i dati con policy globali per la sicurezza del dispositivo. ShareFile
offre ampie funzionalità per garantire la sicurezza dei dati sui dispositivi mobile. Include
funzionalità di cancellazione da remoto e “poison pill” che rimuovono l'accesso ai dati
sensibili in caso di violazione della sicurezza. L'IT può inoltre limitare i dispositivi mobile
modificati e consentire il blocco con codice per sfruttare le funzionalità di crittografia
del dispositivo mobile.
Migliorare la produttività degli utenti con ricche funzionalità di editing dei
contenuti sui dispositivi mobile. Gli utenti possono creare, rivedere e modificare
i documenti Microsoft Office all'interno dell'applicazione ShareFile e modificarli con
strumenti simili disponibili nelle loro applicazioni desktop Microsoft Office.
citrix.it/byod
citrix.it/secure
White paper
Limitare le applicazioni di terze parti e migliorare la sicurezza dei dati sui
dispositivi mobile. L'IT può limitare l'uso delle applicazioni di terze parti non
autorizzate per aprire e modificare i dati ShareFile. Un editor integrato consente all'IT di
limitare l'uso di eventuali editor di terze parti, impedendo così ai dipendenti di archiviare
copie di dati sensibili all'interno di tali applicazioni.
Conservare la struttura di cartelle e sottocartelle sui dispositivi mobile.
È possibile contrassegnare intere cartelle in aggiunta ai singoli file per l'accesso
offline da mobile.
Aumentare la disponibilità. L'accesso offline a intere cartelle, completato da un
supporto per l'editing di documenti, aiuta ad essere pienamente produttivi in
qualsiasi luogo.
Monitorare, registrare e fornire report sulle attività di accesso, sincronizzazione
e condivisione dei file da parte degli utenti. L'IT ottiene il monitoraggio completo
di data, tipo, luogo e indirizzo di rete di ogni evento utente. È possibile archiviare più
versioni dei file per creare processi completi di verifica dell'attività di editing. Se si avvia
una cancellazione da remoto, l'IT può monitorare l'attività dei file sul dispositivo dal
momento dell'avvio della cancellazione fino al completamento, e riceverà una notifica
della riuscita dell'operazione.
Semplificare l'amministrazione e la sicurezza. L'IT può facilmente sfruttare il
provisioning e deprovisioning del servizio basato sui ruoli, l'autenticazione a due fattori,
controlli basati su policy e il monitoraggio delle applicazioni in tempo reale grazie
all'integrazione di ShareFile con XenMobile.
ShareFile consente di scegliere dove archiviare i dati. Con la funzione StorageZones
di ShareFile, le organizzazioni possono gestire i propri dati in locale con l'opzione
StorageZones gestita dal cliente, scegliere l'opzione StorageZones gestita da Citrix
(opzioni di cloud sicure disponibili in diverse parti del mondo) o un mix di entrambe.
Con l'opzione StorageZones gestita dal cliente, l'IT è in grado di inserire i dati
nel datacenter dell'organizzazione per soddisfare specifici requisiti di sovranità e
conformità in materia di dati.
Per coloro che scelgono di archiviare i propri dati nel cloud, i datacenter che ospitano
l'applicazione web e i database ShareFile sono certificati SSAE 16, mentre i datacenter
che ospitano l'applicazione di storage dei file sono certificati SSAE 16 e ISO 27001.
Citrix implementa e mantiene controlli gratuiti di natura fisica, tecnica e organizzativa
adeguati e commercialmente ragionevoli per proteggere i dati dei clienti.
ShareFile è conforme al PCI-DSS e prevede la stipula di un contratto HIPAA Business
Associate Agreement. Citrix offre anche ShareFile Cloud for Healthcare, un'enclave
protetta all'interno di un cloud privato dove l'IT può caricare, archiviare e condividere
le informazioni sanitarie dei pazienti (PHI) e soddisfare le severe leggi HIPAA sulla
conformità. ShareFile Cloud for Healthcare supporta la conformità con la normativa
sulla sicurezza HIPAA.
In che modo XenDesktop e XenApp aiutano a proteggere applicazioni e dati
XenDesktop e XenApp forniscono un accesso remoto sicuro ai desktop e alle
applicazioni Windows virtuali che risiedono su un host centralizzato e ai relativi dati,
che rimangono protetti all'interno del datacenter. Anche se i dispositivi (e le persone
che li usano) sono mobile, i dati in sé rimangono sicuri e protetti all'interno del
datacenter. XenApp e XenDesktop offrono inoltre un modo semplice, efficiente e sicuro
per distribuire le applicazioni Windows di terze parti e sviluppate internamente ad una
forza lavoro mobile.
citrix.it/byod
citrix.it/secure
17
White paper
In che modo NetScaler aiuta a proteggere dati e file
NetScaler offre una connettività sicura per la mobility, con Single Sign-On (SSO),
una solida autenticazione a più fattori, crittografia e funzionalità VPN micro-app.
L'uso di NetScaler automatizza la sicurezza della rete, cosicché il proprietario del
dispositivo non debba abilitare/disabilitare le VPN o ricordare come accedere in modo
sicuro alle applicazioni web e cloud. NetScaler offre vantaggi ai responsabili della
sicurezza e della conformità, garantendo l'applicazione di tutte le necessarie misure di
autenticazione, crittografia, registrazione e protezione della rete.
Best practice per la sicurezza mobile
Per garantire una sicurezza e un controllo efficaci, le organizzazioni devono integrare le
funzionalità di sicurezza offerte dalle tecnologie Citrix e dai dispositivi mobile con best
practice complete per gli utenti e l'IT. Ogni membro dell'organizzazione deve assumersi
la responsabilità di seguire queste misure, fondamentali per consentire la mobility delle
grandi imprese e il BYOD in modo sicuro e controllato. Citrix raccomanda le seguenti
linee guida per utenti e amministratori quando si utilizza Citrix con tablet e smartphone
Android, iOS e Windows.
Azioni dell'utente consigliate
Gli utenti hanno la responsabilità di proteggere le informazioni aziendali sensibili della
propria organizzazione. Possono controllare l'impostazione e la configurazione del
dispositivo, attuare buone pratiche di uso quotidiano, utilizzare XenMobile, ShareFile,
XenDesktop e XenApp per garantire la sicurezza e compiere altre azioni consigliate.
Gli amministratori possono garantire che gli utenti utilizzino queste best practice
applicandole automaticamente in base alle policy su XenMobile. Di seguito sono
illustrate le best practice per gli utenti.
Impostazione e configurazione del dispositivo
Piattaforma
Non effettuare il jailbreak o root del dispositivo in caso di
utilizzo all'interno di ambienti aziendali e rifiutare le richieste
di installare certificati di terze parti
Android: in caso di condivisione, utilizzare diversi
account utente per i bambini e gli altri utenti del dispositivo
condiviso
iOS: nessuna configurazione necessaria
Windows: creare un account separato per
l'amministratore e utilizzare un account utente non
privilegiato per il lavoro di tutti i giorni
citrix.it/byod
citrix.it/secure
18
Autenticazione
White paper
Utilizzare un codice di blocco per proteggere l'accesso
al dispositivo mobile (usare un codice complesso di otto
caratteri)
Android: configurare il blocco schermo impostando un
codice di accesso o PIN; impostare il blocco automatico per
timeout e il blocco istantaneo con il tasto di accensione
iOS: impostare Richiedi codice su Subito e rallentare i
tentativi di indovinarlo impostando Cancella dati su ON.
Attivare il blocco automatico e impostarlo a un minuto.
Utilizzare il TouchID, se disponibile sul dispositivo
Windows: impostare una password di account e richiedere
la password quando il display rimane spento per x minuti
Crittografia
Crittografare il dispositivo e i backup e controllare la
posizione dei backup
Android: crittografare il dispositivo
iOS: impostare un codice di accesso o una passphrase per
cifrare il dispositivo e crittografare i backup di iTunes e iCloud
Windows: configurare BitLocker
Servizi cloud
Configurare i servizi in modo tale che i dati aziendali sensibili
non vengano backuppati nel cloud di tipo consumer; tali dati
includono documenti, informazioni di account, password
wireless, impostazioni e messaggi
Android: disattivare il backup sull'account Google personale
iOS: disattivare l'account iCloud personale
Windows: disattivare l'account OneDrive personale
Bluetooth e condivisione
Disattivare il trasferimento dei dati per le connessioni
non attendibili; ad esempio, disabilitare il trasferimento
dei contatti e della rubrica telefonica durante l'utilizzo del
bluetooth per le telefonate o la riproduzione di musica in una
macchina a noleggio
iOS: disattivare la sincronizzazione dei contatti
Windows: disattivare la condivisione
Rete e wireless
Utilizzare solo reti attendibili, attivare la crittografia di rete
e utilizzare una VPN o una micro-app VPN per fornire la
crittografia, a prescindere dalle capacità di rete; la funzione
WorxWeb di XenMobile consente la connettività micro-app
VPN
Android: attivare l'impostazione wireless Notifica di rete
iOS: attivare l'impostazione wireless Richiedi accesso reti
Windows: nelle impostazioni di condivisione avanzate in
Pannello di controllo, disattivare il rilevamento di rete per le
reti “guest” o pubbliche e attivare la condivisione protetta da
password
citrix.it/byod
citrix.it/secure
19
E-mail
White paper
Poiché l'e-mail è comunemente usata per condividere (e far
trapelare) dati sensibili, utilizzare ShareFile per impedire di
inserire allegati sensibili nelle e-mail e utilizzare WorxMail con
XenMobile se si desidera un container e-mail gestito
Android: configurare l'accesso e-mail in modo da utilizzare
sempre una connessione protetta
iOS: assicurarsi che l'impostazione Usa SSL sia attiva
per tutti gli account supportati e utilizzare S/MIME, se
configurato
Windows: configurare gli account in modo da supportare
l'SSL
Aggiornamenti del
dispositivo/Perdita del
dispositivo
Conoscere la procedura per eseguire il backup di tutti i dati
per il trasferimento a un nuovo dispositivo e per cancellare
in modo sicuro un vecchio dispositivo, nonché quella per
contattare l'organizzazione IT per segnalare un dispositivo
smarrito o rubato
Android: utilizzare l'opzione nativa Backup dati personali
o una soluzione di backup di terze parti, e selezionare
Ripristina dati di fabbrica per cancellare i dati personali
iOS: chiedere all'organizzazione IT se è in uso una soluzione
di gestione dei dispositivi mobile (MDM) che permetta di
localizzare e cancellare da remoto il dispositivo in caso di
smarrimento o furto; in caso contrario, configurare l'app
Trova il mio iPhone e utilizzarla per cancellare un dispositivo
smarrito o rubato*
Windows: utilizzare Cronologia file o una soluzione di
backup di terze parti, rimuovere tutto e reinstallare Windows
per cancellare i dati personali
Privacy
Impedire la visualizzazione e condivisione accidentale di
informazioni personali e sensibili
Android: disabilitare la raccolta dati di diagnostica e utilizzo
in Impostazioni/Generali/Info
iOS: limitare il monitoraggio degli annunci pubblicitari in
Generali/Info/Pubblicità e configurare le notifiche in modo da
visualizzare nel centro notifiche solo le informazioni delle app
che non compromettono la privacy
Windows: mostrare le notifiche sulla schermata di blocco
solo per le app attendibili; non consentire a Windows di
salvare le ricerche come futuri suggerimenti di ricerca;
disattivare il monitoraggio in Internet Explorer; cancellare la
cronologia di ricerca di Windows; non consentire alle app di
utilizzare il nome e l'immagine dell'account; e non contribuire
a migliorare Windows Store inviando gli URL del contenuto
Web usato dalle app
* L'app Trova il mio iPhone, scaricabile gratuitamente dall'App Store, consente di localizzare facilmente un dispositivo smarrito
su una mappa e far sì che mostri un messaggio o riproduca un suono. Gli utenti possono anche bloccare o cancellare da
remoto i dati dal dispositivo smarrito per proteggere la privacy.
citrix.it/byod
citrix.it/secure
20
Diagnostica e funzionalità
per sviluppatori
White paper
Disattivare le funzionalità utilizzate dagli sviluppatori che
possono compromettere la sicurezza e la privacy
Android: disattivare le opzioni per gli sviluppatori e il
debug USB
iOS: disattivare l'invio dei dati di diagnostica e utilizzo in
Impostazioni/Generali/Info/Diagnostica e utilizzo
Windows: accedere come utente senza privilegi, e
non come amministratore, per disabilitare l'accesso alla
diagnostica amministrativa e di sistema
Le applicazioni
Installare le applicazioni solo da app store aziendali
notoriamente affidabili e dagli app store ufficiali delle
piattaforme
Android: non accettare le applicazioni che richiedono
autorizzazioni eccessive e assicurarsi che l'impostazione
Gestione applicazioni/Sorgenti sconosciute non sia
selezionata
iOS: utilizzare le applicazioni dell'App Store di Apple
Windows: utilizzare le applicazioni del Microsoft Store
Aggiornamenti
Applicare gli aggiornamenti software quando sono
disponibili nuove versioni
Android: andare su Info sul dispositivo/Aggiornamento
software per gli aggiornamenti del sistema operativo e
sull'applicazione Play Store per gli aggiornamenti delle app
iOS: andare su Generali/Aggiornamento software per
verificare gli aggiornamenti di iOS e controllare l'App Store
per gli aggiornamenti delle app
Windows: utilizzare Aggiornamento Windows per gli
aggiornamenti del sistema operativo e lo Store per
aggiornamenti delle app
Software di sicurezza
Configurare il software e le funzionalità di sicurezza in
dotazione, compreso il firewall; se necessario, utilizzare
una soluzione anti-malware.
Android: cercare nel Play Store applicazioni di sicurezza
che soddisfino le esigenze personali e aziendali
iOS: nessuna configurazione speciale necessaria
Windows: configurare il firewall di Windows; l'anti-virus
Windows Defender è già installato
citrix.it/byod
citrix.it/secure
21
White paper
Uso quotidiano
• Premete il tasto di accensione per bloccare il dispositivo quando non è in uso.
• Verificate l'ubicazione delle stampanti prima di stampare documenti sensibili.
• Segnalate un dispositivo smarrito o rubato all'IT per disattivare i certificati e gli altri
metodi di accesso a esso associati.
• Utilizzate un portale self-service per bloccare e localizzare i dispositivi smarriti.
• Considerate le implicazioni per la privacy prima di abilitare servizi basati sulla
localizzazione e limitate l'uso alle applicazioni affidabili.
• Gestite l'accesso agli account iTunes AppleID, Google e OneDrive legati a dati
sensibili.
Considerazioni aggiuntive e best practice
• Conservate i dati sensibili non gestiti al di fuori dei dispositivi mobile condivisi. Se su
un dispositivo sono memorizzate in locale informazioni aziendali, si consiglia di non
condividere apertamente il dispositivo. Chiedete al vostro reparto IT come utilizzare
le tecnologie Citrix per mantenere i dati nel datacenter e proteggere i dispositivi
personali.
• Se è necessario memorizzare dati sensibili su un dispositivo mobile, utilizzate
ShareFile e XenMobile per limitare i dati sensibili e tenere traccia dei movimenti dei
dati aziendali.
• Utilizzate le funzioni aggiuntive di autenticazione e crittografia di ShareFile e
XenMobile per impedire di bypassare il blocco dello schermo.
• Configurate i servizi di localizzazione in modo da disattivare il rilevamento della
posizione per le applicazioni da cui non volete essere localizzati.
• Disabilitate la visualizzazione delle notifiche mentre il dispositivo è bloccato per le
applicazioni che potrebbero mostrare dati sensibili.
• Configurate l'immissione automatica di nomi e password nei browser per impedire il
furto di password tramite “shoulder surfing” e sorveglianza (se previsto e consentito
dalla policy aziendale).
Ulteriori responsabilità dei proprietari di dispositivi mobile con accesso alle
comunicazioni e-mail aziendali
I tablet e smartphone Android, iOS e Windows supportano nativamente Microsoft
Exchange e altri ambienti e-mail. XenMobile consente di configurare le policy e-mail sul
dispositivo, nonché di bloccare l'accesso se il dispositivo non è più conforme.
Per ambienti altamente sicuri, è possibile utilizzare WorxMail, un client e-mail con
sandbox di facile uso, per controllare le e-mail e gli allegati tramite dettagliate policy di
controllo dei dati.
citrix.it/byod
citrix.it/secure
22
White paper
Azioni dell'amministratore consigliate
Gli amministratori sono responsabili per l'implementazione e l'applicazione delle policy
stabilite dai leader della sicurezza, dall'IT e dai dirigenti aziendali. Di seguito sono
elencate le azioni chiave consigliate.
• Pubblicate una policy aziendale che specifichi l'uso accettabile dei dispositivi di tipo
consumer e personali in azienda. Assicuratevi che gli utenti siano a conoscenza di
queste policy.
• Pubblicate una policy aziendale per i servizi cloud, in particolare gli strumenti di
condivisione dei file.
• Attivate misure di sicurezza come gli antivirus per proteggere i dati nel datacenter.
• Implementate policy che specifichino i livelli consentiti e proibiti di accesso alle
applicazioni e ai dati sui dispositivi di tipo consumer.
• Specificate attraverso NetScaler Gateway un timeout di sessione che sia coerente
con la policy aziendale.
• Specificate se la password di dominio può essere memorizzata sul dispositivo, o se
gli utenti devono immetterla ogni volta che richiedono l'accesso.
• Abilitate il SSO per le applicazioni mobile di uso comune per una maggiore sicurezza
e comodità.
• Determinate e configurate i metodi di autenticazione NetScaler Gateway autorizzati.
Conclusioni
La mobility delle grandi imprese e il BYOD richiedono alle organizzazioni di adattarsi
alle nuove sfide per la sicurezza. Citrix consente un approccio centralizzato alla
sicurezza che protegge le informazioni aziendali riservate senza ostacolare la
produttività, dando alle imprese un modo efficace per soddisfare le esigenze di una
forza lavoro sempre più mobile. Con Citrix, l'azienda può adottare un approccio più
efficace e moderno all'information security.
Questo documento non intende essere una guida completa alla sicurezza mobile
aziendale per Android, iOS e Windows. Citrix raccomanda una valutazione strategica
globale che includa XenMobile, ShareFile, XenDesktop, XenApp e NetScaler.
Comunicazione sulle versioni: questo documento si applica ad Android 4.4, Apple iOS
7.1 e Windows 8.1 a partire da aprile 2014.
Per ulteriori informazioni sulle soluzioni BYOD e sulla tecnologia secure-by-design di
Citrix, visitate http://www.citrix.it/byod e http://www.citrix.it/secure o seguiteci sui profili
Twitter @CitrixBYOD e @CitrixSecurity.
Risorse aggiuntive
• 10 elementi essenziali di una strategia per una mobility aziendale sicura
• Le best practice per rendere il BYOD semplice e sicuro
• Gestione della mobility aziendale: adottare il BYOD attraverso la distribuzione sicura
di applicazioni e dati
• I 10 “must” per una mobility delle grandi imprese sicura
citrix.it/byod
citrix.it/secure
23
24
White paper
Per ulteriori informazioni specifiche sulla protezione dei dispositivi iOS, Android e
Windows Phone e Surface in azienda, visitare:
Apple iOS
• iPad in azienda - Centro IT: Sicurezza
• iPhone in azienda - Centro IT: Sicurezza
Android
• Caratteristiche di Android 4.4 KitKat
Windows Phone e Surface
• Sicurezza e crittografia per Windows Phone 8
Sede aziendale
Fort Lauderdale, Florida, USA
Centro di sviluppo in India
Bangalore, India
Sede per l'America Latina
Coral Gables, Florida, USA
Sede nella Silicon Valley
Santa Clara, California, USA
Sede Divisione online
Santa Barbara, California, USA
Centro di sviluppo nel Regno
Unito
Chalfont, Regno Unito
Sede per Europa, Medio
Oriente e Africa
Sciaffusa, Svizzera
Sede per il Pacifico
Hong Kong, Cina
Informazioni su Citrix
Citrix (NASDAQ:CTXS) è leader nella virtualizzazione, nel networking e nelle infrastrutture cloud, per abilitare stili di lavoro nuovi e migliori per le
persone. Le soluzioni Citrix supportano l'IT e i provider di servizi nel creare, gestire e proteggere workspace virtuali e mobile che distribuiscano app,
desktop, dati e servizi a chiunque, su qualsiasi dispositivo, attraverso qualsiasi rete o cloud. Quest’anno Citrix festeggia 25 anni di innovazione,
rendendo più semplice l’IT e più produttive le persone grazie a stili di lavoro mobile. Con ricavi annuali pari a 2,9 miliardi di dollari nel 2013, le
soluzioni Citrix sono utilizzate da oltre 330.000 organizzazioni e da più di 100 milioni di utenti nel mondo. Ulteriori informazioni sono disponibili su
www.citrix.it o www.citrix.com.
Copyright © 2014 Citrix Systems, Inc. Tutti i diritti riservati. Citrix XenDesktop, XenApp, Citrix Receiver, ShareFile, NetScaler, NetScaler Gateway,
WorxMail, WorxWeb, Worx Home e XenMobile sono marchi registrati di Citrix Systems, Inc. e/o di una delle sue consociate, e possono essere
registrati negli Stati Uniti e in altri Paesi. Altri nomi di prodotti e società citati nel presente documento possono essere marchi delle rispettive società.
0414/PDF
citrix.it/byod
citrix.it/secure

Distribuire informazioni aziendali in modo sicuro su smartphone e

Transcript

Documenti analoghi

Bring Your Own Device

Lezioni sul tablet e con il microfono Come imparare (tutte) le lingue

eBay Classifieds Group Classifieds e Mobile: la Nuova Era dell

CUSCINO “JERICHO”

Universal remote control. tecnologie per la non

Fondazione EnAIP “S.Zavatta” - Rimini

lucas massaggiatore automatico

1- Scaricare da google store e installare l`app gratuita OpenVPN

regolamento per la concessione dei telefoni cellulari

Start Something New 2016 (2nd edition)