• Thứ Ba, 17/06/2014 09:13 (GMT+7)

    Bảo mật: iOS, Android, BlackBerry hay Windows Phone?

    Anh Anh (Theo InfoWorld)
    Samsung tiến hành đẩy mạnh “cơ chế doanh nghiệp” trong khi Microsoft tỏ ra coi trọng vấn đề bảo mật với Windows Phone hơn bao giờ hết.

    Với việc ngày càng nhiều doanh nghiệp quan tâm xem xét một cách nghiêm túc, hiện tượng BYOD (bring-your-own-device: dùng thiết bị cá nhân trong công việc) đã không còn là điểm nóng của ngành công nghiệp di động nữa. Các đơn vị phụ trách công nghệ thông tin cần tìm ra các giải pháp thích hợp để ứng xử với công tác bảo mật và quản lý đối với thtiết bị di động của mọi người trong doanh nghiệp. Các thiết bị iPhone và iPad đã được nhiều công ty coi là thiết bị tiêu chuẩn do nhận được sự hài lòng cao từ người dùng và quan trọng hơn là khả năng bảo mật tốt. Hệ điều hành iOS7 đã tiếp tục nâng cao công tác quản lý và bảo mật của Apple lên một tầm cao mới, bao gồm cả quản lý và cấp phép ứng dụng.


    Không chịu thua kém, Samsung đã và đang quảng bá tích cực cho khái niệm an toàn chuẩn doanh nghiệp SAFE (Samsung Approved for Enterprise) đối với các ứng dụng Android và các hàm mở rộng API quản lý add-on Knox. Hành động này tỏ rõ quyết tâm tiến vào thị trường doanh nghiệp của Samsung với mong muốn xóa đi những ấn tượng không tốt liên quan đến bảo mật cũng như ứng dụng độc hại vốn dĩ đã gắn liền với hệ điều hành di động của Google từ bao lâu nay. BlackBerry vốn đã nổi danh trong lĩnh vực bảo mật di động với hàng trăm tính năng bảo mật khác nhau và đang cố gắng củng cố vị tri này đối với khối doanh nghiệp với việc tung ra hệ điều hành BlackBerry 10. Hệ điều hành mới này là hệ điều hành đầu tiên của dòng BlackBerry hỗ trợ các chính sách Exchange ActiveSync (EAS) cơ bản cùng nhiều tính năng bảo mật phong phú khác trong gói công cụ quản lý máy chủ BES 10.

    Microsoft cũng tiếp tục đẩy mạnh tính năng bảo mật trong phiên bản Windows Phone 8 của hãng với mong muốn biến sản phẩm của mình trở thành một trong những nền tảng hệ điều hành phổ biến nhất dành cho thiết bị di dộng thông minh. Tóm lại, vấn đề bảo mật di động hiện nay tập trung vào hai hình thức cơ bản: quản lý các chính sách EAS của Microsoft và các hàm API.
     

    So sánh khả năng hỗ trợ Exchange ActiveSync (EAS)
    Microsoft Exchange, Microsoft System Center 2012, Google Docs for Business và nhiều công vụ quản lý của các bên thứ ba khác đều hỗ trợ các chính sách EAS. Các chuyên gia trong ngành cho rằng các chính sách EAS cốt lõi đã bao trùm hầu hết các nhu cầu của khối doanh nghiệp. Nhưng hãy xem xét Bảng 1 dưới đây để thấy rõ khả năng hỗ trợ chính sách EAS khác nhau tùy theo các hệ điều hành di động và cũng chưa thể hiện rõ được mức độ bảo mật nào mà người dùng cần quan tâm.
    Hệ điều hành iOS 4.2 của Apple là hệ điều hành di động đầu tiên hỗ trợ các chính sách EAS và đây là một bước đi quan trọng giúp cho iPhone thống lĩnh thị trường doanh nghiệp. Tới khi nhận ra điều đó, Google mới “giật mình” đẩy mạnh tính năng hỗ trợ chính sách EAS thông qua các phiên bản Android của mình, cụ thể là phiên bản Android 4 hỗ trợ tốt hơn các phiên bản trước đây. Nhà cung cấp và sản xuất thiết bị Android lớn nhất là Samsung cũng cài đặt rất nhiều các API hỗ trợ chính sách này vào trong thiết bị của mình.
    Đối với hệ điều hành Windows Phone, người ta có thể thấy Microsoft không thay đổi gì nhiều giữa hai phiên bản Windows Phone 7.5 và Windows Phone 8. Một thay đổi quan trọng cần chú ý là khả năng hỗ trợ mã hóa ngay trên thiết bị (vốn chỉ áp dụng với các dữ liệu thuộc bộ nhớ trong của máy chứ không áp dụng với thẻ nhớ). Khả năng hỗ trợ mã hóa kém cỏi chính là rào cản lớn nhất để Windows Phone tiến vào thị trường doanh nghiệp. Microsoft cũng hỗ trợ chính sách quản lý EAS mới về quản lý bản quyền thông tin IRM, tính năng này sẽ cho phép các doanh nghiệp quyền quản lý cụ thể đối với dữ liệu mà thiết bị cá nhân của người dùng truy nhập. Mặc dù Microsoft cũng có các công cụ chuyên biệt dành cho IRM song Windows Phone 8 đã làm khá tốt khi so với các hệ điều hành khác.


    Để theo kịp thời đại, BlackBerry cũng đã đưa tính năng hỗ trợ chính sách EAS vào hệ điều hành BlackBerry 10 mới của mình. Các phiên bản BlackBerry khác vốn chỉ được bảo mật thông qua hệ thống BlackBerry Enterprise Server (BES).
     

    So sánh khả năng quản lý và bảo mật API cơ bản
    Các hàm API khác nhau trong mỗi hệ điều hành di động sẽ quyết định các hình thức bảo mật khác nhau và tất nhiên cũng có các công cụ quản lý khác nhau. Có những công cụ hỗ trợ quản lý các thiết bị thuộc nhiều hệ điều hành khác nhau trên một giao diện duy nhất tiện lợi cho những người phụ trách quản lý IT của doanh nghiệp. một số công cụ quản lý thiết bị di động khác thì đưa thêm các tùy chọn ứng dụng khách dành cho quản trị doanh nghiệp. Bảng 2 cho chúng ta thấy được các tính năng quản lý thường gặp được cải thiện thông qua các hàm API.
    Apple có tới hàng tá các API được dùng để cài đặt cấu hình thiết bị từ xa không chỉ để thiết lập các cấu hình khác nhau của các phiên bản iOS (như việc cấu hình trước VPN hay các điểm truy cập cho phép) mà còn quản lý cách hành xử của ứng dụng, ví dụ như việc không cho chuyển tiếp các email công ty thông qua địa chỉ email cá nhân. iOS 6 cũng đã có thêm một số tính năng mới bao gồm khả năng chống xóa ứng dụng, hay cho phép người dùng chỉ dùng được một ứng dụng cụ thể và ngăn chặn việc mua bán trực tiếp trong ứng dụng. Tất cả những chính sách áp dụng này là một phần của môi trường giám sát trong iOS mà iPhone và iPad là những thiết bị cài đặt chủ đạo. iOS 7 còn thêm vào nhiều API quản lý ứng dụng khác như quản lý Open In, per-app VPN quản lý việc sao chép và cắt dán giữa các ứng dụng khác nhau, quản lý việc đăng nhập một lần cũng như việc quản lý cấp phép và cài đặt chính xác thông qua hồ sơ thiết bị.


    Cũng như vậy, Microsoft cũng tiến hành cung cấp các tính năng mới trong Windows Phone 8 như thu hồi ứng dụng, hạn chế chuyển tiếp e-mail, đăng ký và hủy đăng ký thiết bị từ xa. Quan trọng hơn là khả năng cập nhật các ứng dụng doanh nghiệp. Một trong những tính năng chỉ có trên Windows Phone mà chưa xuất hiện trên các hệ điều hành di động khác là sự hợp nhất giữa nó với Active Directory. Tính năng này sẽ tiết kiệm được khá nhiều thời gian cho bộ phận quản trị mạng, giảm bớt rủi ro từ việc sắp xếp các nhóm nhân viên vào các nhóm có chính sách khác biệt.
    Microsoft và Google đều rất chú trọng tới tiềm năng của các hàm API trong lĩnh vực này. Samsung và bộ phận Motorola Mobility (trước đây) của Google thậm chí còn tiến hành thêm các API bảo mật vào các thiết bị chạy Android 4 của mình. Ví dụ như với các hàm API SAFE mà Samsung nhúng sẵn vào thiết bị, bộ phận quản trị mạng có thể tiến hành tắt các tính năng chụp ảnh, giao tiếp Bluetooth, tethering, ghi âm, lưu trữ trên thẻ nhớ mở rộng SD cards và cả Wi-Fi.


    Microsoft sử dụng một trung tâm quản lý trong Windows Phone 8 với tên gọi DM Client có chứa dữ liệu về hồ sơ của người dùng có liên quan trong doanh nghiệp (có hiệu quả tương tự như Windows Registry). Điều này có phần khác việc dựa vào bộ công cụ thiết lập hồ sơ người dùng cài đặt sẵn theo kiểu System Folder của hệ điều hành OS X. Ngày 17 tháng 9 năm ngoái, Microsoft đã đạt được chứng nhận FIPS 140-2, qua đó hệ điều hành Windows Phone sẽ đạt chuẩn bảo mật quan trọng ngang với các đối thủ BlackBerry 10, iOS 6/7 và các thiết bị Android có cài SAFE của Samsung.
    Không nghi ngờ gì về vị thế đại gia của BlackBerry trong lĩnh vực bảo mật di động. Bộ công cụ BES của hãng cung cấp hàng trăm tùy chọn kiểm soát thiết bị, công nghệ cân bằng Balance của nó cho phép bộ phận quản trị mạng tạo ra các hàng rào bảo vệ trên thiết bị chạy BlackBerry 10 để tách bạch rõ ràng các dữ liệu dùng cho công việc và cá nhân. Tuy vậy, các sản phẩm MDM của nó có vẻ vẫn chưa được chuyển đổi hoàn hảo từ nền tảng cũ vốn nhận được đánh giá rất cao từ người dùng cá nhân cũng như chủ doanh nghiệp.
     

    Quan điểm nào đối với quản lý thiết bị di động
    Phó chủ tịch phụ trách chiến lược của công ty chuyên cung cấp giải pháp MDM MobileIron, ông Ojas Rege đã mô tả về 3 mảng quản lý mà các bộ phận quản trị mạng doanh nghiệp cần quan tâm.
    Mảng quản lý thứ nhất bao gồm các chuẩn bị cần thiết liên quan tới việc cài đặt và bảo vệ dữ liệu đối với các thiết bị bị mất hoặc đang trong tình trạng tranh chấp. Trường hợp này cần các công tác liên quan tới xử lý mật khẩu, xử lý mã hóa, khóa máy và thậm chí xóa dữ liệu trong máy từ xa, can thiệp cấu hình e-mail cài đặt trong thiết bị từ xa, cấp chứng thực nhận diện thiết bị, điều chỉnh cấu hình kết nối từ xa (mặc dù trong nhiều trường hợp các biện pháp này cũng không thực sự cần thiết nếu người dùng chỉ dùng thiết bị để duyệt e-mail), chống các can thiệp từ bên ngoài như jailbreak, root hay thậm chí là bị lây nhiễm bởi phần mềm độc hại.


    Mảng quản lý thứ hai doanh nghiệp cần quan tâm liên quan tới vấn đề ngăn chặn việc thất thoát dữ liệu. Nguy cơ này bao trùm khá rộng, từ việc quản lý thông tin cá nhân (ví dụ như địa điểm mà thiết bị hiện diện) hay kiểm soát việc sử dụng các ứng dụng lưu trữ trực tuyến trên mây (như iCloud, SkyDrive và Google Docs) và tất nhiên là quản lý thất thoát dữ liệu thư điện tử (ví dụ như việc chặn chuyển tiếp thư hoặc khóa truy cập tệp đính kèm). Các tính năng này vẫn còn chưa được ban lãnh đạp Microsoft quyết định gắn hẳn vào Windows Phone. Trong khi đó, các đối thủ iOS, BlackBerry và Android đã hỗ trợ cho các nhu cầu này của khách hàng từ các phiên bản iOS 4, BES 5 và Android 3. Thực ra một số tính năng như quản lý thư chuyển tiếp được xử lý bên ngoài phạm vi của hệ điều hành thông qua các máy chủ MDM khách như MobileIron cung cấp.
    Mảng thứ ba chính là các yếu tố liên quan tới việc bảo mật dữ liệu của ứng dụng chạy trên máy. Mặc dù cả Apple và Microsoft đều có các cơ cấu thích hợp để thực thi việc quản lý cơ bản đối với ứng dụng cài đặt trên máy. iOS có thể giấu ứng dụng cần thiết đi và hiển thị thông điệp “không có ứng dụng này” trong khi Microsoft có thể cập nhật các ứng dụng doanh nghiệp từ xa. Hiện giờ nhu cầu quản lý thiết bị di động đang tăng lên nhờ có sự phát triển ồ ạt của thế giới di động ngày nay.


    Trong số các của hàng ứng dụng thì Google Store có vẻ muốn tránh tai tiếng khi tiến hành giám sát khá kỹ. Microsoft và Blacberry cũng học theo Apple và Android để làm cho thiết bị của mình miễn nhiễm với phần mềm độc hại. Song đã có đại diện cơ quan công quyền lên tiếng về việc kẻ xấu đã đột nhập vào Google Store để đánh cắp các bí mật thuộc tầm cỡ bí mật kinh doanh của cả ngành công nghiệp.
    Cả bốn nền tảng trên cung cấp các cơ chế phù hợp doanh nghiệp ngõ hầu để cho nhân viên doanh nghiệp sử dụng ứng dụng một cách dễ dàng thuận tiện. Mặt khác, bộ phận quản trị mạng cũng có thể tách  ra để quản lý những dữ liệu của cá nhân và công ty. Các công cụ bảo mật di động có thể kết nối các cơ chế này tới cơ quan quản lý nội dung hay chính sách nhóm một cách thuận tiện.
    Với những gì đã và đang làm được, có thể thấy iOS và BlackBerry 10 đang chiếm thượng phong khi đáp ứng khá đầy đủ nhu cầu quản lý thông tin di động của doanh nghiệp. Android đang cố gắng để bắt kịp song nỗi lo về các phần mềm độc hại vẫn còn đó. Xếp ở chót bảng là Windows Phone, thích hợp cho các nhu cầu an ninh thấp.
     

    PC World VN (06/2014)
     

     

    ID: A1406_58