IT szuka intensywnie sposobów na stworzenie bezpiecznego środowiskach na prywatnych urządzeniach pracowników, z których coraz częściej korzystają oni w celach służbowych. Coraz większym zainteresowaniem cieszy się koncepcja dzielenia urządzeń mobilnych na dwie przestrzenie – do zadań służbowych i prywatnych.
Wirtualizacja urządzeń mobilnych jest rodzajem technologii kontenerów, za pomocą której można wydzielić w urządzeniu wirtualną, bezpieczną przestrzeń przeznaczoną do uruchamiania firmowych aplikacji i przechowywania korporacyjnych danych. W niektórych przypadkach mogą to być dwa, zwirtualizowane kontenery: jeden do zastosowań prywatnych, a drugi do służbowych. Z jednej strony daje to pracownikom swobodę korzystania z urządzenia w wyznaczonych granicach, a z drugiej sprawia, że IT zachowuje wymagany poziom kontroli. Ten rodzaj wirtualizacji ułatwia zarządzanie urządzeniami, ponieważ IT odpowiada tylko za zwirtualizowany, firmowy obszar. Celem takiej izolacji firmowych aplikacji jest też ochrona przed szkodliwym oprogramowaniem i hakerami.
Izolacja aplikacji i danych firmowych
Bezpieczny kontener umożliwia IT nie tylko izolację aplikacji działających w kontenerze, ale również wyłączanie jej określonych funkcji; kasowanie danych w kontenerze bez usuwania prywatnych plików użytkownika; a także zdalne wykasowanie zawartości urządzenia w przypadku jego kradzieży. Z punkty widzenia zarządzania jedną z największych korzyści tej technologii jest możliwość wdrożenia spójnego podejścia do bezpieczeństwa i zastosowania firmowych reguł na wielu różnych urządzeniach.
Podział urządzenia na część prywatną i służbową można zrealizować na kilka sposobów. Najbardziej zaawansowane rozwiązania działają na poziomie sprzętu i umożliwiają wirtualne podzielenie urządzenia na dwa obszary (np. Samsung KNOX). Może to realizować hypervisor typu 1 lub typu 2 – czyli oprogramowanie wirtualizacyjne działające na poziomie systemu operacyjnego –- dzielący smartfon czy tablet na dwa oddzielne urządzenia. Inny podejściem jest uruchamianie aplikacji w tzw. piaskownicy (sandbox). W tym przypadku izolacja jest nieco słabsza, ale za to lepsza obsługa sprzętu. Sandbox to specjalna aplikacja, wewnątrz której uruchamiane są aplikacje użytkowe. Można to porównać do korzystania, np. z pakietu Google Docs w przeglądarce internetowej.
Kolejne rozwiązanie zakłada zdalny dostęp z wykorzystaniem specjalnej aplikacji klienckiej lub przeglądarki internetowej do firmowych aplikacji działających w centrum danych. Ostatnim sposobem jest tworzenie zaszyfrowanych kontenerów służących do przechowywania danych w urządzeniu mobilnym zgodnie z firmowymi regułami bezpieczeństwa. W tym przypadku nie ma jednak izolacji między aplikacjami – wszystkie działają w jednej, wspólnej przestrzeni.
Separacja systemów operacyjnych
Mimo że wszystkie wymienione metody są poprawne, firmy dążą jednak do pełnej wirtualizacji urządzeń mobilnych. Ta koncepcja przynosi najwięcej korzyści. Umożliwia ona uruchomienie więcej niż jednego systemu operacyjnego w urządzeniu lub separację niektórych podstawowych procesów. W ten sposób w smartfonie czy tablecie mogą działać dwa różne systemy operacyjne, korzystające ze wspólnych zasobów sprzętowych, ale całkowicie od siebie odseparowane. Moc obliczeniowa dzisiejszych urządzeń mobilnych jest wystarczająco duża, aby – od strony wydajności – nie było przeszkód do uruchamiania jednocześnie więcej niż jednego systemu operacyjnego.
Takie podejście rozwiązuje kilka podstawowych problemów bezpieczeństwa związanych z koncepcją BYOD (Bring Your Own Device). Firmowe dane można bowiem przechowywać w oddzielnym systemie operacyjnym, wyposażonym we własne mechanizmy bezpieczeństwa. Jednocześnie użytkownik może swobodnie korzystać z systemu przeznaczonego do prywatnych zastosowań, nie stwarzając zagrożenia dla korporacyjnych zasobów przechowywanych w urządzeniu.
Kolejnym powodem, dla którego warto zainteresować się pełną wirtualizacją, jest ochrona narzędzi komunikacji używanych w smartfonie przed uszkodzeniem ich przez złośliwe oprogramowanie. Osiąga się to poprzez oddzielenie tych narzędzi od innych aplikacji użytkowych. Pełna wirtualizacja umożliwia również korzystanie ze starszych aplikacji, których nie da się uruchomić w obecnych systemach operacyjnych. Odchodzi więc konieczność korzystania z emulatorów, które powodują różne problemy, np. z wydajnością.
VMI, czyli wirtualizacja aplikacji mobilnych
Virtual Mobile Infrastructure (VMI) to nowa technologia, koncepcyjnie podobna do narzędzi umożliwiających zdalny dostęp do środowiska pracy (zdalny pulpit). W tym przypadku aplikacje mobilne są uruchamiane w centrum danych, a użytkownicy urządzeń końcowych mają do nich zdalny dostęp. VMI oferuje większy komfort pracy użytkownikom urządzeń mobilnych niż tradycyjna wirtualizacja desktopów. Uruchamiane w takim środowisku aplikacje powstały bowiem właśnie z myślą o zastosowaniach mobilnych i nie wymagają do obsługi myszy czy fizycznej klawiatury. Łatwiejsze jest też rozwijanie aplikacji korporacyjnych, ponieważ nie trzeba tworzyć różnych wersji aplikacji dla poszczególnych, mobilnych systemów operacyjnych. Użytkownik może mieć dostęp do aplikacji tworzonej do systemu Android i działającej w środowisku VMI niezależnie od tego czy używane przez niego urządzenie pracuje pod kontrolą systemu iOS, BlackBerry czy innego.
Ponadto deweloperzy – dzięki właściwościom VMI – mogą lepiej zabezpieczać aplikacje i dane, ponieważ nie muszą od podstaw samodzielnie tworzyć mechanizmów bezpieczeństwa. Dodatkowo VMI udostępnia mechanizmy umożliwiające oddzielenie przestrzeni prywatnej od firmowej w sposób wolny od kompromisów jakie występują w innych technologiach do zarządzania aplikacjami w urządzeniach mobilnych. VMI umożliwia również zarządzanie dowolną aplikacją na dowolnym urządzeniu.
Tekst pochodzi z bloga Integrated Solutions – Integration ruleS.
