Turvallinen BYOD-suunnittelu
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Turvallinen BYOD-suunnittelu

on

  • 333 views

BYOD vai varjo-IT, kumpi teillä on?

BYOD vai varjo-IT, kumpi teillä on?
Sovelto Aamiaisseminaari 6.9.2013
Jukka Vuola

Statistics

Views

Total Views
333
Views on SlideShare
305
Embed Views
28

Actions

Likes
0
Downloads
2
Comments
0

1 Embed 28

http://moodle.sasky.fi 28

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Turvallinen BYOD-suunnittelu Presentation Transcript

  • 1. BYOD "Bring your own device, or BYOD, is a disruptive phenomenon  where employees bring non‐company IT into the organization  and demand to be connected to everything – without proper  accountability or oversight." ‐ Gartner‐
  • 2. BYOD – mitä se on? • Käyttö www‐selaimella • Esim. ssl‐suojattu webmail • Selaimen käyttötuntuma • Skaalautuu helposti erilaisille päätelaitteille • Vaati yhteyden toimiakseen • Jonkin verran paikallista dataa • Erillinen mobiililaitteelle tuotettu ohjelma "natiivisovellus" • Päätelaitteen käyttötuntuma • Maksimaalinen suorituskyky • Offline mahdollisuus • Jonkin verran paikallista dataa • Virtuaalinen etätyöpöytä • Ei paikallista dataa • Maksimaalinen tietoturva • Työpöydällä siirretty (tuttu?) käyttökokemus • Vaatii yhteyden toimiakseen 2 www‐ selain Data Center Natiivi‐ sovellus Data Center VDI Data Center HTML Natiivi‐ sovellus Virtuaaliset työpöydät
  • 3. BYOD – salliako vai ei? • BYOD vai varjo‐IT? • SkyBox tutkimus 2012:  60% työntekijöistä käyttää ilmaisia tiedostonjakopalveluja ("dropbox") ‐ 55%  ei kerro käytöstä IT‐osastolle. 1.) • VisionCritical tutkimus 2012:  2/3 nuorista työntekijöistä (20‐29 –vuotiaat) kiertää BYOD‐rajoituksia ja 1/3  asentaa omia ohjelmia (joko työn tai pelaamisen vuoksi) työlaitteisiinsa – olipa se sallittua tai ei. 2.) • Kielletään  mahdollinen luvaton käyttö ja "varjo‐IT" • Sallitaan  vastattava haasteisiin 1. Vaatimustenmukaisuus 2. Yhteensopivuus 3. Mobiili‐ ym. vieraiden laitteiden hallinta 4. Tietoturva 3
  • 4. • Päivitysten ajantasaisuus • Virus‐ ja  haittaohjelmasuojaukse n ajantasaisuus • Laitekohtainen  palomuuri käyttö ja  säädöt • Laitteen etähallinta ja  tyhjennys BYOD suunnittelu 1. Verkkoon pääsyn  hallinta 2. Laitteiden hallinta ja  kontrolli 3. Sovellusten hallinta ja  kontrolli Vierailijaverkko Rajoitetut oikeudet Kaikki oikeudet • Turvallisten ja  ajantasaisten  sovellusten käyttö • Yhteydet pilvipalveluihin • Yritysdatan säilytys • Henkilökohtaisen datan  säilytys BYOD  politiikka
  • 5. Verkkoon pääsyn hallinta 1. Päätä, minkälaisia laitteita tuetaan ja päästetään verkkoon 2. Päätä, minkälaisia pääsytasoja tarjotaan (esim. vierailijaverkko,  rajoitettu verkko‐oikeudet, täydet verkko‐oikeudet) em. verkkoon  hyväksytyille laitteille. 3. Määrittele kuka saa, mitä saa, missä saa ja milloin saa verkon  kautta. 4. Määrittele, mitä työntekijäryhmiä nämä oikeudet koskevat. "Toimistotyöntekijöille sallitaan pääsy työsähköpostiin  mistä tahansa ja milloin vain omilla matkapuhelimillaan"
  • 6. Laitteen todentaminen • Tunnistetaanko laite, käyttäjä vai molemmat • Mitä laitteesta voidaan tunnistaa? Onko laitteella Applen MAC‐ osoite? Sisältääkö laitteen nimi sanan  "iPAD"? Onko yhteyttä ottava selain  Safari? Onko tunteeko laite esijaetun  avaimen tai varmenteen? OK, uskon  laite on  sallittu OK, uskon  että laite on  iPAD
  • 7. Käyttäjän tunnistaminen • Mitä käyttäjä… • Tietää? • Käyttäjätunnus / salasana / pin‐koodi • Omistaa? • Jokin laite • Kertakäyttösalasanojen lappu • Mobiilivarmenne • Varmenne sirukortilla, SIM‐kortilla tms. • On? • Biometrinen tunnistaminen • Sormenjälki, ääninäyte, kasvojen tunnistus jne… • Vahva tunnistaminen = useamman menetelmän yhdistelmä 7
  • 8. Laitteiden hallinta ja kontrolli 1. Luetteloi ja inventoi valtuutetut ja valtuuttamattomat laitteet 2. Luetteloi ja inventoi valtuutetut ja valtuuttamattomat käyttäjät 3. Varmista liitettyjen laitteiden  jatkuva haavoittuvuuden arviointi ja  kuntoon saattaminen  4. Luo pakolliset ja hyväksyttävät päätelaitteiden  tietoturvakomponentit: • Ajantasainen ja toimiva virusturva • Toimiva konsepti laitteiden tietoturvapäivityksille • Hyväksyttävät www‐selaimen tietoturva‐asetukset ja niiden ylläpito
  • 9. Mobiililaitteiden haittaohjelmasuojaus • Antivirus ohjelmia on tarjolla paljon – etenkin Androidille 9 LÄHDE:  http://mobile‐security‐software‐review.toptenreviews.com/
  • 10. Mobiililaitteiden selainten tietoturva "Many mobile platform attacs happen through compromised apps or exploited mobile web browser" – Kapersky Lab Yli 20% online kaupankäynnistä tehdään mobiililaitteilla 1.) Miten suojautua? 1. Turvallinen selainohjelma – ei "mitä tahansa" 2. Selainohjelma ajan tasalla 3. Selainkohtaiset säädöt kuntoon – keskitetty hallinta? 4. Lisäksi haittaohjelmasuojaus  10
  • 11. Muistilista mobiililaitteille: 1. Käytä lukitusta 2. Salaa arkaluontoinen tieto – tai kaikki sisältö 3. Seuraa, miten käyttämäsi sovellukset toimivat ja käyttäytyvät 4. Suojaa puhelimesi (haittaohjelmat / virussuoja) 5. Huomaa – että myös puhelimen käyttöjärjestelmä voidaan  murtaa 6. Pidä bluetooth poissa käytöstä aina, kun sitä ei nimenomaan  tarvita 7. WLAN‐verkoissa on aina salakuuntelun vaara (arp‐spoofing) – salaa yhteydet mikäli mahdollista 1. Ota käyttöön ratkaisumalli laitevarkauden varalle • Datan varmuuskopiointi • Puhelimen etälukitus • Puhelimen etätyhjennys • Puhelimen paikantaminen 11
  • 12. Sovellusten kontrolli ja hallinta 1. Määrittele, mitä käyttöjärjestelmiä (ja niiden versioita) verkkoon  hyväksytään 2. Määrittele, mitkä sovellukset ovat kiellettyjä ja mitkä pakollisia  jokaisella laitetyypillä 3. Kontrolloi yrityssovellusten pääsyä 4. Opeta työntekijöille käytössä oleva BYOD‐politiikka
  • 13. BYOD politiikka ‐ esimerkki LÄHDE: ISACA Journal 4/2013 Yleiset BYOD periaatteet Mitä laitteita ja niiden  käyttöjärjestelmäversioita  tuetaan Yksityisyys ja sen kunnioittaminen IT‐osaston vastuut ja niiden  rajaukset Työntekijän vastuut ja niiden  rajaukset Työntekijän hyväksyntä ja  kuittaukset Yksilöidyt työntekijätiedot,  laitetiedot, päiväys ja allekirjotus
  • 14. Virtualisointi ratkaisuna • Virtuaalinen työpöytä, joka on käytettävissä kaikkialta Päätelaitteet y p y Virtuaaliset  työpöydät Virtualisointi‐ alusta Jaetut resurssit Hypervisor esim. VMware ESX MS Hyper‐V Linux KVM . . . Tallennus Palvelimet Verkko VDI palveluportaali Natiivi client html5
  • 15. Datan osastointi – "sandboxing" • Sovellusten ja datan osastointi • Erotellaan ja osastoidaan eri sovellukset ja niiden data erillisiin  toimintaympäristöihin • Yhden "hiekkalaatikon" voi tuhota muiden häiriintymättä • Yhden sovelluksen heikkous, heikko tietoturva, toimintahäiriöt tms. eivät  vaikuta muihin • Esim.  • Yritysdata / yksityinen data erikseen • Erotetaan kaikki sovellukset toisistaan, yhden tietoturvan murtuminen ei  vaikuta muihin • Tietty herkkää tietoa sisältävä sovellus • jne.
  • 16. BYOD hacking • Ladataan USB‐muistilta haitta‐ / vakoiluohjelma laitteeseen • Perinteisesti "autorun" –toiminto on estetty  USB‐muisti esittelee itsensä  näppäimistönä "Human Interface Device" • Ei näppäimiä, vaan syöte tulee ohjelmoidulta MicroSD‐kortilta • Toimii useissa käyttöjärjestelmissä Entä bluetooth‐laitteet? 
  • 17. QR‐koodien väärinkäyttö • QR‐koodeilla voi syöttää mobiililaitteille esim. • SMS‐viestejä • Vcard –käyntikortteja • www‐linkkejä jne. • Itse kuviosta ei näe, mitä se tekee • Muutetaan aiemmin harmiton kohde haittaohjelmalinkiksi •  ongitaan päätelaitetietoa esim. javascriptillä tai yritetään käyttää  hyväksi laitteessa jo mahdollisesti olevaa heikkoutta (esim. selaimessa). 17
  • 18. Sovelton koulutukset • 20687 Configuring Windows 8 (3 pv)  14.‐16.10. • 20688 Managing and Maintaining Windows 8 (3 pv) 30.10.‐1.11. • 20415 Implementing a Desktop Infrastructure (4 pv) 8.‐11.10. • 20416 Implementing Desktop Application Environments (4 pv) 22. 25.10. • Mountain Lion 101 ‐ OS X Support Essentials 10.8 (3 pv) 28.‐30.10. • Windows 8.1 ja Windows Server 2012 R2 Saminaari vol. 2 (1 pv)    29.10. • Tietoturvaprosessit ja menetelmät (1 pv) 23.9. • PKI ja varmenteet Microsoft‐ympäristöissä (3 pv) 18.‐20.11. • Tekninen tietoturva (2 pv) 8.‐9.10. • Lähiverkkojen tietoturva (2 pv) 21.‐22.10. Copyright©Sovelto 2013