Samsung KNOX - технические подробности
#1
Перевод оригинального текста с сайта Самсунг,
источник
Примечания перевода
- программы Bring Your Own Device (BYOD) – разрешения предприятий по использованию собственных устройств
- источник
https://www.samsungknox.com/overview/technical-details
Samsung KNOX обеспечивает защиту устройств и конфиденциальной информации вашей организации. В сочетании с устройствами Samsung Galaxy, Samsung KNOX предлагает лучший выбор для программ Bring Your Own Device (BYOD).
Перейти к информации о:
- Безопасная платформа Android
- Защищенные приложения и информация
- Эфективный контроль над устройствами
- Богатая экосистема предприятия
- Безопасная платформа Android
Samsung KNOX предлагает многоуровневую систему безопасности встроенную в: аппаратно-реализованную систему ограниченного доступа, Linux ядро и операционную систему Android. Первая линия защиты от вредоносных атак, Samsung KNOX в настоящее время одобрен для работы в сетях министерства обороны США. (рекламная хрень. прим пер.)
Безопасная Загрузка (Secure Boot)
проблема
На большинстве устройств Android, их Android Boot Loader не проверяет подлинность ядра при загрузки. Тем,кто хочет больше контроля над своим устройством можно установить взломанное Android ядро, которое будучи установленным в устройство, предоставляет доступ суперпользователя ко всем файлам данных, приложениям и ресурсам. Если взломанное ядро повреждено, это может привести к отказу в обслуживании. Если ядро содержит вредоносные программы это может поставить под угрозу безопасность информации вашей организации.
решение
Secure Boot это механизм защиты, который предотвращает несанкционированный запуск загрузчиков и ядрер, требующихся для загрузки системы. Части программного обеспечения такие, как операционные системы и другие системные компоненты, которые криптографически подписанны как известные считаются достоверными и рассматриваются как авторизованное программное обеспечение. Secure Boot является одним из основных компонентов, которые образуют первую линию защиты от вредоносных атак в Knox-активированных устройствах.
Samsung KNOX использует систематические проверки безопасности, чтобы гарантировать, что только действительные ядра используются. Сначала Primary Boot Loader, встроенный в аппаратную часть, проверяет целостность Secondary Boot Loader 1, для проверки соответствия сигнатур используя сертификат PKI. Аналогичным образом, Secondary Boot Loader 1 проверяет целостность Secondary Boot Loader 2, и Secondary Boot Loader 2 проверяет целостность Android Boot Loader. Android Boot Loader загружает только ядро, представленное Samsung, которое имеет сертификат подобный Root-of-Trust.
Доверенная Загрузка (Trusted Boot)
проблема
Secure Boot ограничена тем, что доказательство «уполномоченная» прошивка не сохраняется после загрузки системы. Это имеет некоторые прямые последствия для безопасности. Например, ранее авторизованное ПО может иметь уязвимости и в дальнейшем обновлено для удаления уязвимостей. И устаревшей, и новой ПО будет позволено загружаться на устройства, так как обе имеют надлежащие подписи.
В качестве другого примера, если процедура проверки подписей имеет уязвимость (что случилось, и было использовано некоторыми атаками), Secure Boot может быть обойдена. Кроме того, на некоторых платформах Android, в связи с необходимостью дать потребителям свободу поставить пользовательские ОС Android на своих устройствах, Secure Boot не может быть распространена на ядро ОС. В результате, нет никакой гарантии для корпоративных пользователей даже если их Android система это OS усиленного уровня безопасности (например, SE Android) для корпоративных приложений.
решение
Trusted Boot вводится для решения этих ограничений наряду с Secure Boot на платформах Samsung KNOX. Во время процесса загрузки , каждый загрузчик собирает зашифрованный отпечаток (называемый измерениями) следующего загрузчика или ядра ОС, участвующих в процедуре загрузки системы, и сохраняет их в TrustZone защищенной памяти. Во время работы системы, приложения TrustZone на платформе KNOX будут использовать эти измерения, для принятия критических решений связанных с безопасностью.
В качестве примера, TIMA хранилище ключей, который построен на основе ARM TrustZone, хранит криптографические ключи, используемые контейнерами KNOX. Когда KNOX уполномоченная прошивка работает на устройстве, усиливая SE для Android, ключи KNOX контейнера будут защищены. Однако, когда модифицированная Android OS работает на устройстве , нет никакой гарантии защиты ключей. Чтобы защититься от такого рода угроз, TIMA хранилище сохраняет криптографические ключи в безопасном пространстве TrustZone и предоставляет ключи только когда измерения загрузчиков и ядра соответствуют действительным значениям. Когда модифицированное ядро ставится на устройство, TIMA хранилище ключей обнаруживает несоответствие измерений и отказывается предоставить ключи.
Подтверждение
проблема
В программах BYOD работники предприятия могут иметь рутованные Android устройства с модифицированной прошивкой, предприятие должно проверить это перед установкой Samsung KNOX контейнера на нем.
решение
Samsung предоставляет возможность аттестации для мобильных устройств, в частности, возможность проверки целостности загрузчиков и ядра. Основа аттестации это пара уникальных открытый / закрытый ключей для устройства. На заводе каждому устройству предоставлена уникальная пара открытый / закрытый ключи и сертификат открытого ключа, который подписывается Samsung основой закрытого ключа. Во время аттестации сервер посылает случайный запрос на устройство для тестирования. Приложение в TrustZone извлекает измерения загрузчиков и ядра, значения этих измерений во время случайного запроса и отправляет результат обратно на сервер аттестации для окончательной проверки.
Улучшения Безопасности (SE) для Android (Security Enhancements (SE) for Android)
проблема
С UNIX и Linux пользователи могут предоставить себе чтение, запись и получение доступа к файлам, используя такие команды, как CHMOD. Это является примером Discretionary Access Control (DAC). К сожалению, потенциально злоумышленники могут получить несанкционированный доступ к файлам данных, приложений и ресурсов. На рутованные устройства, злоумышленники могут внедрить приложения которые читают пароли, используют почтовый клиент для рассылки спама, загружают конфиденциальные документы в Интернет, или тайно включить ресурсы, такие как камера или микрофон.
решение
Samsung KNOX защищает операционную систему используя SE для Android, который построен на SE Linux технологии разработанной компанией NSA.
SE Linux определяет какие пользователи или приложения могут получать доступ к файлам и ресурсам на уровне Linux. С файлами политики это обеспечивает Принудительный Контроль Доступа (Mandatory Access Control) (MAC). Администратор корпоративной безопасности централизованно управляет политикой для корпоративных устройств. Пользователи не могут преодолеть эту политику и, например, предоставить себе доступ к тем файлам, доступ к которым должен быть ограничен. Даже система суперпользователя подлежит MAC, что ограничивает возможности рутованного устройства.
SE для Android еще больше укрепляет операционную систему путем разделения её в различные области безопасности. Внутри каждой области приложениям даны минимальные разрешения необходимые для их функционирования. Таким образом повреждения которые могут быть вызваны вредоносными или некачественными приложениями, остаются в одной области и не распространятся в другие.
Измерение Целостности Архитектуры на основе TrustZone (TIMA)
проблема
Secure Boot проверяет Android ядро во время загрузки, но не защищает ядро от взлома во время работы. SE для Android защищает систему с помощью Mandatory Access Controls, но полагает что само ядро не будет скомпроментировано. Платформы позволяющие загрузить внешнее программное обеспечение рискуют введением новых или измененных модулей в ядро.
решение
Samsung KNOX вводит TrustZone-based Integrity Measurement Architecture. TrustZone это сектор, защищённый от несанкционированного доступа ARM процессора. Защищенный от программных атак, TIMA гарантирует, что Linux ядро не будет скомпроментированно с помощью двух методов:
Периодически проверяя что ядро не изменилось, путем вычисления хэш кодовой страницы для ядра и сравнивая их с ранее вычисленными значениями.
Аутентификацируя модули ядра, так как они динамически загружаемы.
- Защищённые приложения и информация
Контейнеры и Упаковка Приложений
проблема
Утечка данных может произойти когда одно устройство используется для хранения личных и деловых данных. Сотрудники могут скопировать важную для компании информацию в приложения, такие как блокнот или электронная почта, или сохранить конфиденциальные документы на незащищенной файловой системе. Пиратские приложения, скачанные для личного пользования, могут тайно собирать и перераспределять эту конфиденциальную информацию. Приложения могут также тайно сделать снимок с экрана во время просмотра конфиденциальной информации.
решение
Samsung KNOX контейнер представляет собой виртуальную Android среду в устройстве, в комплекте с собственным экраном, управлением, приложениями и виджетами. Приложения и данные используются внутри контейнера и не могут взаимодействовать с приложениями и данными вне контейнера. Контейнер позволяет корпоративным ИТ изолировать корпоративные приложения и данные в защищенной среде . Для обеспечения дополнительной защиты в контейнере ограничены определенные виды деятельности, например, снимки экрана или копирование текста или фотографий из контейнера за его пределы.
Для защиты корпоративных приложений и данных от ненадёжных сторонних приложений Samsung KNOX предоставляет услугу упаковка приложений. Сетевая автоматизированная служба распаковывает APK файл приложения, извлекает сертификат разработчика, перепаковывает исходник добавляя дополнительные файлы для безопасной эксплуатации внутри контейнера KNOX и подписывает новую упаковку сертификатом на основе оригинального сертификата разработчика. После перепаковки приложение отправляется в процесс Подтверждения Качества (Quality Assurance) (QA ) для тестирования совместимости устройства, основных функций, вредоносных программ и рискованного поведения, прежде чем разрешить приложение для установки в KNOX контейнеры.
Samsung KNOX Приложения
проблема
Google Play распространяет почти миллион приложений для клиентов Android во всем мире. К сожалению, приложения в Marketplace не подвергаются тестированию на наличие вредоносных программ или злонамеренных действий. Все приложения могут быть опубликованы и загружены мгновенно. Этот открытый рынок даёт возможности тысячам разработчиков приложений и миллионам потребителей, но это связано с расходами на обеспечение безопасности.
решение
Samsung KNOX Магазин Приложений в контейнере KNOX предлагает приложения от надёжных поставщиков, которые установили партнерские отношения с Samsung. Эти приложения упакованы для безопасной работы внутри контейнера KNOX и прошли процесс Подтверждения Качества (QA), чтобы гарантировать, что они совместимы, функциональны и безопасны. Предприятия могут также упаковать пользовательские приложения предприятия (например, справочник компании, или корпоративная электронная почта), используя автоматизированный сервис Samsung, и отправить приложения по воздуху Over-The-Air (OTA) со своей консоли Управления Мобильным Устройством в контейнер KNOX на устройствах.
Шифрование На Устройстве (ODE)
проблема
Данные, хранящиеся незашифрованными на устройстве можно легко прочитать. Инструменты восстановления данных также могут быть использованы для восстановления удаленных файлов и на внутренней памяти и на внешних картах памяти SD.
решение
Samsung KNOX разрешает Шифрование На Устройстве (ODE) по умолчанию. ODE использует 256-битный алгоритм шифрования AES для шифрования данных на устройстве, включая как внутренние устройства хранения так и внешние SD-карты. ИТ-администратор может настроить политику для шифрования данных, как снаружи, так и внутри контейнера KNOX. Аппаратное ускорение шифрования и дешифрования минимизирует влияние на производительность. Ключ используемый для шифрования является производным от пользовательского пароля. Сертификация для этой функции находится на рассмотрении NIST FIPS 140-2.
Виртуальная Частная Сеть (VPN)
проблема
Незашифрованные данные, передаваемые по беспроводной связи с устройства можно перехватывать с помощью специальных устройств (сниферов), расположенных в зоне действия всей сетевой инфраструктуре.
решение
KNOX Samsung не только поддерживает VPN шифрование данных, но также предлагает VPN приложение, изолируя корпоративные данные пока они в пути.
Корпоративные IT администраторы могут применять безопасное подключение VPN только для корпоративных приложений, содержащих сетевое программное обеспечение как услугу или SaaS приложения. Личные приложения не расходуют VPN ресурсы предприятия, конфиденциальность пользователей защищена от посылки личных данных через сеть предприятия.
- Мощный контроль над устройствами
Управление мобильными устройствами
проблема
С мобильными устройствами на работе и популярностью программ Принеси Своё Собственное Устройство (BYOD), предприятия сталкиваются с новыми проблемами:
Управление и поддержка многих сотрудников, которые могут быть локальными, удаленными, или в путешествии
Обеспечение соблюдения корпоративных политик безопасности последовательно и надежно
Обработка угроз безопасности
Управление потерянными или украденными устройствами, которые содержат конфиденциальные данные предприятия
Придерживаться новых нормативных требований.
решение
Платформой Samsung KNOX можно управлять с помощью системы Управления Мобильным Устройством (MDM). Samsung имеет партнерские отношения с поставщиками MDM для интеграции KNOX возможностей в существующие MDM консоли используемые предприятиями.
До KNOX, SAmsung Для Предприятия (SAFE) позволял ИТ-администраторам предприятия управлять мобильными устройствами Samsung в MDM консолях с полным набором ИТ-политики. Samsung KNOX добавляет еще больше безопасности и управления рисками.
Вместе, SAFE и KNOX обеспечивают 474+ политики, которую администраторы могут настроить на их MDM консолях. Из них 205+ KNOX политики. Поддерживают эти политики 1034+ основных API, которые MDM разработчики могут монтировать в приложения для развертывания MDM политики на устройстве.
KNOX дает предприятиям управление безопасностью в следующих областях:
Контейнер
SE для Android
Управление Целостностью
VPN
Единая Подпись (SSO)
Смарт-Карта
SAFE дает предприятиям управление безопасностью в следующих областях:
Данные
Пароль
Приложения
Обмен
VPN
Ограничения
Киоск
Гео Заграждение
Управление Лицензиями Предприятия (ELM)
- Богатая экосистема предприятия
Единая Подпись (SSO) - дополнение
проблема
Несколько приложений с разными требованиями к паролю приводят к разрастанию количества паролей. Пользователи Устройств должны помнить много паролей и некоторые пользователи создают слабые, легко запоминающиеся пароли для упрощения процесса.
решение
Единая Подпись SSO позволяет корпоративным пользователям войти на множество бизнес-приложений используя их корпоративный логин входа. Через Samsung KNOX SSO, приложения в контейнере KNOX могут использовать производственный Справочник Активности для аутентификации сотрудников. SSO также гарантирует что пароли, используемые сотрудниками для входа в корпоративные приложения отвечают политикам пароля предприятия.
Поддержка смарт-карт - дополнение
проблема
Регулируемые отрасли требуют более надежного метода аутентификации сотрудника, чем простой пароль входа в систему. Метод должен предотвратить мошенничество, фальсификацию, подделку и взлом.
решение
Samsung KNOX поддерживает используемые министерством обороны США смарт-карты, также известные как Карты Общего Доступа (САС). Браузер, электронная почта и VPN клиентов могут использовать учетные данные CAC-карты, если ИТ-администратор настроил эту политику. Другие сторонние приложения могут также использовать CAC карты через 11 API чётко определенные PKCS. В KNOX также можно использовать CAC для двух-факторной аутентификации на экране блокировки устройства.
Восстановление После Кражи - дополнение
проблема
Печальное следствие быстрого роста количества смартфонов - это пропорционально столь же быстрое увеличение краж мобильных устройств. Более 40% грабежей в крупных столичных городах связаны со смартфонами. Причинами являются: высокая стоимость при перепродаже устройства, возможность отключить украденное устройство, и возможность продать личную информацию с устройства.
решение
Работая в партнерстве с Absolute Software, Samsung KNOX предлагает полностью управляемое решение восстановления после кражи устройства, позволяющее предприятиям:
Мониторинг и управление устройствами в Абсолют- Клиент Центре , если устройство находится в вашей сети.
Удаленную блокировку и удаление данных на пропавших устройствах и проводить аудит для подтверждения соответствия.
Сообщить о краже и задействовать Абсолют- Восстановление Команду, которая включает в себя 42 специалиста по восстановлению и шесть судебных экспертов, которые будут работать с местными правоохранительными органами, чтобы восстановить устройство, даже после сброса к заводским настройкам.
Absolute Software восстановлено более 26000 устройств в 101 стране, используя отношения с более
чем 6700 правоохранительными органами по всему миру.
Хотите знать больше
Загрузите Samsung KNOX White Paper
Хотите знать больше
Загрузите Samsung KNOX White Paper
ps Отдельное спасибо
Борис_Абрамов за рецензию и помощь в переводе.
Последние файлы
