• Tấn công Wi-Fi và cách chống
• Hàng loạt thiết bị iOS 8 và OS X 10 dính lỗi bảo mật
• Bảo mật thanh toán sẽ sớm được thắt chặt
• Bảo mật mạng Wi-Fi
• Bảo mật: Chung sống với mã ngoại lai

Đã từ lâu, iOS của Apple đã qua mặt BlackBerry về tiêu chuẩn bảo mật dành cho doanh nghiệp. Trong khi đó, Google với Android cũng đang cố qua mặt Apple với giải pháp mới Android for Work .

iOS và BlackBerry có thể đáp ứng được cho hầu hết những yêu cầu bảo mật của doanh nghiệp. Android, đặc biệt là với Android for Work vừa được giới thiệu, đang là một nền tảng đáng tin cậy; Windows Phone , dù tụt hậu, cũng dần thích ứng những yêu cầu bảo mật ở mức trung.

Android for Work: làm được và không làm được những gì

Giải pháp này xuất hiện trên thị trường hồi cuối tháng 2/2015 vừa qua, nhiều tính năng bảo mật và quản lý mới, đồng thời cho phép doanh nghiệp dùng các ứng dụng Android tải từ Play Store .

Các bộ chứa ứng dụng (container) Android for Work cho phép chạy những ứng dụng doanh nghiệp trong một vùng làm việc (workspace) được quản lý riêng trên thiết bị. Các container này là một phần tích hợp sẵn của Android 5.0 Lollipop và hỗ trợ mọi ứng dụng từ Google Play. Nhưng đối với các phiên bản từ Android 3.0 Ice Cream Sandwich đến 4.4 KitKat thì phải cài đặt Android for Work.

Giải pháp Android for Work ra đời đáp ứng nhu cầu làm việc trên thiết bị di động cho doanh nghiệp.

Dù bằng cách nào, cũng phải cần có một máy chủ quản lý di động tương thích để xử lý các ứng dụng chạy trong container, chẳng hạn như sử dụng mạng riêng ảo VPN (Virtual Private Network) tăng cường hoặc hạn chế các thao tác sao chép. Các hãng cung cấp giải pháp quản lý di động có hỗ trợ Android for Work hiện nay gồm BlackBerry, Citrix Systems, Google, IBM, MobileIron, SAP, Soti và VMware AirWatch.

Android for Work phần nào giải quyết được vấn đề mã độc trong các ứng dụng Android. Với Android for Work, bộ phận CNTT có thể không cho phép người dùng cài đặt ứng dụng chưa được công nhận từ Play Store vào vùng làm việc nhằm bảo vệ môi trường doanh nghiệp.

Trái lại, iOS đã dùng phương pháp sandbox để ngăn ứng dụng không tiếp cận các ứng dụng khác, đồng thời hạn chế hết mức việc chia sẻ tài liệu để ngăn ngừa mã độc. Sandbox là một kỹ thuật rất quan trọng trong bảo mật giúp hạn chế việc truy cập vào tài nguyên hệ thống của các ứng dụng ngoài.

Trong khi đó, BlackBerry và Windows Phone đã có các thư viện ứng dụng nhỏ và một phương pháp khác để ngăn việc truy cập ứng dụng theo kỹ thuật sandbox. Do đó, cho đến nay mã độc chưa phải là vấn đề đối với các nền tảng này.

Android for Work không mặc định mã hóa trên hầu hết các thiết bị Android hiện có, nhất là các mẫu rẻ tiền. Hồi tháng 10/2014, Google đã hứa hẹn rằng phiên bản hệ điều Android 5.0 Lollipop mới sẽ mặc định mã hóa trên tất cả các thiết bị mới. Nhưng hãng không có yêu cầu các thiết bị phải dùng một loại chip đặc biệt crypto, nên người dùng có thể cảm thấy hiệu năng bị giảm nhiều. Tuy nhiên, thực tế là nhiều thiết bị Lollipop mới không được mã hóa.

Trái lại, các thiết bị iOS đã được mã hóa theo mặc định (nhưng lại không có tùy chọn tắt ) từ năm 2010. BlackBerry đã được mã hóa ít nhất là hơn một thập niên qua. Cả hai nền tảng này đều sử dụng chip crypto. Tuy nhiên, các thiết bị Windows Phone 8.1 lại mã hóa không theo mặc định và phải kích hoạt tính năng này. Windows Phone 8.1 là phiên bản đầu tiên của nền tảng di động của Microsoft hỗ trợ mã hóa.

Quản lý thiết bị di động đã ổn định

Windows Phone 8.1, được phát hành vào mùa thu năm trước đã cung cấp một mức độ khả dĩ các tính năng quản lý và bảo mật cơ bản, dù vẫn còn kém so với các nền tảng khác.

Thiết bị BlackBerry từ lâu đã có tính năng kiểm soát quản lý thiết bị di động MDM (mobile device management) trong hệ điều hành và các ứng dụng đóng gói để quản lý quyền hạn người dùng. Trong khi đó, iOS đã bổ sung các tính năng tương tự vào năm 2010. Vài năm sau, Android đã nối bước và mùa thu năm 2014 thì Windows 8.1 là hệ điều hành di động cuối cùng cung cấp một bộ giao diện lập trình ứng dụng quản lý thiết bị mạnh mẽ. Thiết bị BlackBerry cung cấp một mạng an toàn và phương pháp chống giả danh thiết bị ở cấp độ chip. Đây chính là phương pháp mà các đối thủ không có và làm cho BlackBerry là một môi trường di động bảo mật cao.

Khi thị trường cho thiết bị BlackBerry bị suy giảm, hãng đã tập trung phục hồi công cụ BES (BlackBerry Enterprise Server), vốn trước đây chỉ dành riêng cho BlackBerry , thành một công cụ quản lý di động hợp nhất là dịch vụ BES 12 để quản lý cả các thiết bị iOS, Android và Windows Phone 8. Tất cả đều được hỗ trợ bởi các công cụ MDM khác, ngoài thiết bị BlackBerry 10 hiện thời và các thiết bị BlackBerry 5 và 7 truyền thống.

Ngoài ra, iOS, Android, Windows Phone 8 và BlackBerry 10 đều hỗ trợ chính sách EAS (Exchange ActiveSync) của Microsoft, cung cấp tính năng quản lý đa nền tảng cơ bản cho các môi trường bảo mật ít chặt chẽ hơn để có thể quản trị từ một máy chủ Exchange, Office 365 , Google at Work, Lotus Notes hay Microsoft System Center, hoặc từ bất kỳ một máy chủ MDM nào.

Tập trung quản lý nội dung và ứng dụng

Các hãng cung cấp ứng dụng quản lý di động đang tập trung vào bảo mật nội dung và ứng dụng. API của iOS 7 là giao diện đầu tiên giải quyết vấn đề này ở cấp nền tảng, cung cấp các API chuẩn cho ứng dụng dùng để quản lý nội dung.

Apple đã thực hiện một bước nhảy vọt trong bảo mật và quản lý di động vào năm 2013 khi bản iOS 7 đưa công việc quản lý và bảo mật của Apple vào quản lý ứng dụng và quản lý cấp quyền sử dụng. Trong khi đó, bản iOS 8 gần đây chỉ có thêm vài tính năng mới.

Samsung Knox, giải pháp bảo mật dành cho các thiết bị di động của riêng hãng Samsung.

Phương pháp của Apple là xử lý ứng dụng và nội dung của chúng một cách trực tiếp, có nghĩa là các nhà phát triển ứng dụng phải bổ sung các API cho một máy chủ quản lý để có thể làm việc với chúng. Ngoài ra, iOS chỉ cho phép dùng một ứng dụng trên một thiết bị, người dùng không thể cùng cài đặt một bản riêng không bị giới hạn và một bản doanh nghiệp do bộ phận IT quản lý.

Hầu hết các hãng cung cấp đã áp dụng phương pháp bộ chứa container để phân vùng ứng dụng được bộ phận CNTT quản lý, cùng với dữ liệu các ứng dụng này đang xử lý, vào trong một vùng làm việc riêng mà các ứng dụng riêng của người dùng không thể truy cập. Người dùng phải thay đổi giữa hai vùng làm việc như thể đang dùng hai thiết bị khác nhau.

Trong vài năm qua, nhiều hãng cung cấp dịch vụ như Divide đã cung cấp các loại bộ chứa container cho iOS và Android, nhưng yêu cầu các ứng dụng chạy trong container phải được liên kết với các API của riêng hãng, giao diện này lại được liên kết với một máy chủ quản lý di động của hãng cung cấp. Do bất tiện, các loại container này chưa được nhiều người sử dụng.

Vào năm 2013, Samsung cũng đã giới thiệu một công nghệ container gọi là Knox sử dụng cho dòng smartphone Galaxy và được một số máy chủ quản lý di động hỗ trợ. Công nghệ này cũng chưa được phổ biến.

Cũng vào năm 2013, BlackBerry giới thiệu BlackBerry Balance, phương pháp container hóa cấp nền tảng đầu tiên, dành cho các thiết bị BlackBerry 10 . Công nghệ này cũng có một ứng dụng container Balance, gọi là Secure Work Space, dành cho iOS và Android.

Mùa xuân năm ngoái, Google đã mua lại hãng cung cấp container hóa Divide và sau đó phát triển thành Android for Work, một phần của Android.

Chính sách container rất khác nhau từ loại container này sang loại container khác, có thể làm cho việc quản lý trở nên khó khăn. Tuy nhiên, do các máy chủ quản lý di động phổ biến đều hỗ trợ cả API của iOS lẫn các loại container của Android, giới CNTT cho rằng sẽ có thể tạo ra những chính sách nhất quán hầu như tương thích cho cả hai nền tảng – giống như khi sử dụng các giao diện lập trình ứng dụng quản lý thiết bị mở rộng trong iOS và Android.

So sánh các tính năng API bảo mật và quản lý có sẵn

Như đã nói ở trên, các giao diện API nền tảng khác nhau rất nhiều qua các hệ điều hành di động và mỗi giao diện yêu cầu phải có một công cụ quản lý. Hầu hết các công cụ MDM đều hỗ trợ nhiều HĐH di dộng bằng cách cung cấp một bộ điều khiển duy nhất cho nhà quản trị.

API của iOS. Apple có vài chục giao diện API để quản lý thiết bị với cấu hình được cài đặt từ xa không chỉ để cấu hình các thiết lập iOS khác nhau (như cấu hình trước mạng riêng ảo VPN hay các điểm truy cập được thừa nhận), mà còn để quản lý hoạt động của ứng dụng. Các chính sách liên quan đến ứng dụng gồm khả năng ngăn không cho gỡ bỏ ứng dụng, khóa người dùng với một ứng dụng cụ thể và ngăn không cho mua các ứng dụng trả phí. Tất cả các API này được Apple gọi là môi trường có giám sát, trong đó iPhone hay iPad được xem như là một công cụ.

Các API của iOS để quản lý ứng dụng gồm Open In, các mạng riêng ảo VPN cho từng ứng dụng, sao chép và dán có quản lý qua các ứng dụng, kết nối hệ thống đơn cùng với quản lý quyền sử dụng thật sự và cài đặt ứng dụng theo hồ sơ. iOS 8 cũng có các API để tắt tính năng Handoff mới, đồng bộ iCloud cho các ứng dụng có quản lý, sao lưu dự phòng sổ sách của doanh nghiệp và chú thích vào sổ sách doanh nghiệp. Các thiết bị được giám sát cũng có khả năng vô hiệu hóa, xóa tất cả nội dung và thiết lập, cấu hình hạn chế và trình bày kết quả Web trong tìm kiếm Spotlight. iOS 8 cũng hỗ trợ S/MIME cho mỗi nội dung và cả IKEv2 lẫn Always-on VPN.

API của Android: Dù Google chưa công bố thông tin chi tiết về API của Android for Work , nhưng đã có rò rỉ một số thông tin. Để giải quyết vấn đề mã độc, Android for Work cho phép bộ phận CNTT giới hạn cung cấp ứng dụng trong vùng làm việc doanh nghiệp chỉ cho những người đã được chấp thuận. Có nghĩa là người dùng không thể tự cài đặt ứng dụng trong vùng làm việc được bảo vệ, nếu chính sách này đã được kích hoạt. Bộ phận CNTT cũng có thể cài đặt, cập nhật và gỡ bỏ ứng dụng trong vùng làm việc doanh nghiệp mà người dùng không được tham gia.

Có những chính sách nhằm ngăn không cho sao chép từ vùng làm việc doanh nghiệp vào vùng làm việc cá nhân (nhưng không cho ngược lại). Bộ phận CNTT cũng có thể quyết định ứng dụng nào được họ quản lý có thể dùng một mạng riêng ảo để truy cập, cũng như hủy bỏ giao tiếp của ứng dụng cá nhân khỏi mạng riêng ảo của doanh nghiệp.

Google cũng cho biết Google Play hiện có thể cung cấp ứng dụng cho thiết bị Android qua bản quyền sử dụng doanh nghiệp số lượng lớn, tương tự như phương pháp cấp phép sử dụng số lượng lớn của Apple được giới thiệu trong iOS 7. Được gọi là Google Play for Work, cửa hàng ứng dụng này đã được hiệu chỉnh lại nhằm hỗ trợ ứng dụng miễn phí.

API của Windows Phone: Trong Windows Phone 8, Microsoft hỗ trợ khả năng hủy bỏ ứng dụng, giới hạn gửi chuyển tiếp email, đăng ký hay hủy đăng ký thiết bị từ xa và cập nhật từ xa các ứng dụng doanh nghiệp.

Một tính năng trong Windows Phone 8 không có trong các HĐH khác là khả năng tích hợp với Active Directory. Có nghĩa là các công cụ MDM tương thích có thể truy cập các nhóm Active Directory, sau đó ấn định chính sách cho các nhóm đó chứ không duy trì những nhóm riêng trong công cụ MDM. Tính năng này giảm thiểu nguy cơ các nhân viên nằm không đúng nhóm được hưởng chính sách hay lọt qua kẽ hở khi hết hạn dùng Active Directory nhưng không nằm trong cơ sở dữ liệu người dùng của công cụ MDM.

Microsoft dùng trình quản lý trung tâm trong Windows Phone 8 gọi là DM Client, chứa tất cả thông tin người dùng và doanh nghiệp tương ứng (giống như Windows Registry), chứ không tùy thuộc vào cấu hình được cài đặt riêng (giống như System Folder của OS X).

Nhìn chung, tất cả 4 nền tảng di động đều cung cấp cơ chế cho doanh nghiệp triển khai ứng dụng riêng trực tiếp cho người dùng, nên có thể khai thác và quản lý các ứng dụng này độc lập với những ứng dụng của người dùng. Tuy nhiên, chỉ có Apple và giờ là Google có các cơ chế cấp phép sử dụng và phân phối số lượng lớn một cách nghiêm ngặt. Các công cụ quản lý di động có thể kết nối các cơ chế này với chính sách nhóm và quyền kiểm soát quản lý nội dung.

PC World VN, 04/2015