Przejdź do treści
Content

Wprowadzenie do Samsung KNOX™

Samsung KNOX system bezpieczeństwa dla urządzeń mobilnych.

UDOSTĘPNIJ

google plus linkedin pinterest

Wybierz portal społecznościowy, w którym chcesz udostępnić tę stronę.

Zamknij okno

Spis treści







Samsung KNOX system bezpieczeństwa dla urządzeń mobilnych. Jest to kompleksowe rozwiązanie dla urządzeń mobilnych Samsung GALAXY zaprojektowane od podstaw z myślą o bezpieczeństwie. Na całość rozwiązania składa się kilka elementów, takich jak

System Android dla przedsiębiorstw

Ponad 80-procentowy udział w rynku (dane za 3. kwartał 2013 r.) oznacza, że Android jest obecnie najpopularniejszą na świecie platformą dla smartfonów.

Można wskazać kilka czynników, które przesądziły o sukcesie systemu Android. Oparto go na wolnym oprogramowaniu, co przesądziło o jego atrakcyjności w oczach pierwszych użytkowników i deweloperów, natomiast usługi Google oraz liczne aplikacje fi rm trzecich ułatwiły zdobycie kolejnych klientów.

Popularność systemu Android™ rośnie dynamicznie zarówno wśród użytkowników prywatnych, jak i biznesowych. Należy zaznaczyć, iż użytkownicy biznesowi mają dostęp do coraz większej ilości poufnych firmowych danych bezpośrednio na urządzeniach mobilnych, co nie zawsze idzie w parze ze świadomością zagrożeń i odpowiednią strategią zabezpieczeń. Niestety, wraz ze wzrostem popularności takich nowoczesnych rozwiązań wśród użytkowników rośnie również zainteresowanie grup przestępczych wykradaniem danych. O ile firmy i ich pracownicy nauczyli się świadomie korzystać z komputerów PC, wiedzą jak wystrzegać się zagrożeń oraz ataków ze strony hakerów czy blokować aplikacje wykradające dane, o tyle nie ma pełnej świadomości zagrożeń w rozwiązaniach mobilnych. Straty dla przedsiębiorstw przynoszą również sami użytkownicy, którzy w sposób świadomy (udostępniają w internecie służbowe dane) lub nieświadomy (np. przekazując telefon dzieciom jako narzędzie rozrywki) narażają pracodawcę na straty. Brak odgórnie ustalonych zasad zabezpieczeń dla urządzeń mobilnych czy też nieprzemyślane udostępnianie zasobów firmowych w modelu BYOD powoduje niekontrolowany wyciek danych. Przy dużej skali zgubionych oraz skradzionych urządzeń osoby niepowołane uzyskują dostęp do poufnych danych przechowywanych zarówno na urządzeniu (np. cenniki, prezentacje firmowe lub oferty), jak i dostępnych zdalnie (np. poprzez niezabezpieczony dostęp do firmowej poczty Exchange, czy też serwerów z danymi). Ze względu na wartość tych danych (pomijając relatywnie niską cenę urządzenia) fi rmy coraz częściej opracowują osobne polityki bezpieczeństwa dotyczące urządzeń mobilnych.

Jako światowy lider w dziedzinie smartfonów z systemem Android firma Samsung opracowała rozwiązanie Samsung KNOX oferujące przedsiębiorstwom większe możliwości i wyższy poziom bezpieczeństwa dla służbowych danych i aplikacji.

Przedstawiamy rozwiązanie Samsung KNOX™

Samsung KNOX to oparte na systemie Android nowe rozwiązanie stworzone z myślą o bezpieczeństwie. Łączy mechanizmy zabezpieczeń sprzętowych, zabezpieczeń systemu operacyjnego oraz zabezpieczeń w warstwie aplikacji, dzięki którym managerowie IT oraz użytkownicy nie muszą obawiać się próby kradzieży danych czy włamań na urządzenia mobilne.
Samsung KNOX zapewnia pełną kompatybilność z systemem Android oraz ekosystemem Google. Oferuje kluczowe udoskonalenia zabezpieczeń i zdalne zarządzanie urządzeniami mobilnymi. Te zalety sprawiają, że Samsung KNOX to idealne rozwiązanie dla przedsiębiorstw i korporacji oraz instytucji podlegających regulacjom rządowym.

Samsung KNOX zawiera kluczowe technologie opatentowane przez Agencję Bezpieczeństwa Narodowego (NSA). Ponadto Samsung KNOX został przetestowany i zaakceptowany przez Departament Obrony rządu USA (DoD) w celu ustalenia zgodności z inicjatywami, wymogami i standardami dotyczącymi zabezpieczeń urządzeń mobilnych, tak aby możliwe było korzystanie z rozwiązania w agencjach rządowych i innych przedsiębiorstwach z branż podlegających ścisłym regulacjom.

Rozwiązanie Samsung KNOX oferuje jedną z najbardziej k o m p l e k s o w y c h funkcji zdalnego zarządzania urządzeniami mobilnymi (Mobile Device Management – MDM). Dzięki unikalnemu środowisku KNOX umożliwia przedsiębiorstwom korzystanie z inicjatyw BYOD (Bring Your Own Device) oraz COPE (Company Owned, Personally Enabled), nie naruszając polityki bezpieczeństwa obowiązującej w fi rmie ani prywatności pracowników.



Samsung KNOX zapewnia bezpieczeństwo, będąc kompleksowym rozwiązaniem opartym na trzech fi larach.

Przegląd technologii

W tej części opisano aspekty techniczne trzech kluczowych fi larów rozwiązania Samsung KNOX:


1. Bezpieczeństwo platformy


Samsung KNOX zapewnia bezpieczeństwo platformy będące elementem kompleksowej strategii:


Rozwiązanie Samsung KNOX w pełni wykorzystuje wszystkie dostępne elementy sprzętowe w celu rozszerzenia metod zabezpieczeń.

Secure Boot – sprawdzanie oryginalności systemu operacyjnego

Secure Boot to procedura zapobiegająca uruchomieniu nieoryginalnego Bootloadera oraz systemu operacyjnego na urządzeniu. Oryginalny system operacyjny oraz inne komponenty fi rmware’u zostały podpisane cyfrowo przez fi rmę Samsung, dzięki czemu uznaje się je za autoryzowane oprogramowanie układowe. Próba wgrania nieoryginalnego systemu operacyjnego lub pozostałych składników firmware’u, które nie zostały podpisane cyfrowo (i zweryfikowane) przez firmę Samsung, uniemożliwi używanie rozwiązania Samsung KNOX na danym urządzeniu. Secure Boot to pierwsza linia obrony przed złośliwymi atakami zagrażającymi urządzeniom mobilnym ze środowiskiem KNOX.

Secure Boot wymaga podpisania Bootloadera, jądra (Linux Kernel) i oprogramowania systemowego za pomocą klucza, który będzie weryfikowany sprzętowo. Secure Boot wykorzystuje certyfikaty X.509 oraz klucze publiczne, które są zapisane w Bootloaderze. Na linii produkcyjnej unikalny klucz (hash) zapisywany jest w niemodyfi kowalnej pamięci ROM, co w praktyce oznacza trwałe połączenie unikalnego certyfi katu z danym urządzeniem. Podczas włączania urządzenia w kilku etapach następuje weryfi kacja certyfi katów. Secure Boot kontynuuje uruchamianie systemu operacyjnego tylko wtedy, jeśli wykryje autoryzowane, podpisane pliki binarne. Następnie weryfi kuje podpis cyfrowy jądra Linux oraz podpis obrazu systemu operacyjnego przed uruchomieniem tego systemu.

Wykorzystanie standardu certyfikacji X.509 oraz chronionych sprzętowo kluczy to niezawodność i pewność działania schematu Secure Boot. Domyślne źródło zaufania (Root of trust) to certyfikat wydany przez Samsung umożliwiający weryfi kację wszystkich składników fi rmware’u.

Urządzenie przygotowane do pracy z Samsung KNOX może zawierać dwa źródła zaufania: KNOX Enterprise oraz KNOX Government.

Źródło zaufania KNOX Enterprise jest aktywowane w momencie rejestrowania urządzenia w firmowym systemie MDM kompatybilnym z rozwiązaniem KNOX. Umożliwia weryfi kację fi rmware’u za pomocą aktywowanych funkcji KNOX.

Źródło zaufania KNOX Government jest zarezerwowane dla wdrożeń w agencjach rządowych i zostało bardziej szczegółowo omówione w części zatytułowanej „Rozwiązanie Samsung KNOX w agencjach rządowych oraz w zastosowaniach wymagających najwyższego poziomu bezpieczeństwa”.



Zabezpieczenie platformy Samsung KNOX to pierwsza linia obrony przed złośliwymi atakami.


Monitorowanie integralności systemu operacyjnego oparte na technologii TrustZone (TIMA)

Samsung KNOX wykorzystuje Security Enhancements for Android (rozszerzenia zabezpieczeń dla systemu Android), co oznacza wdrożenie zasad Mandatory Access Control (obowiązkowa kontrola dostępu) umożliwiających izolowanie aplikacji i danych wewnątrz systemu operacyjnego. MAC określa zasady dostępu do uruchomionych procesów oraz systemowych plików i folderów. Działanie rozszerzeń zabezpieczeń dla systemu Android opiera się jednak na założeniu integralności jądra systemu operacyjnego. Jeśli dojdzie do naruszenia bezpieczeństwa jądra Linux (w wyniku przyszłej, niezidentyfikowanej dziś luki w zabezpieczeniach), mechanizmy rozszerzeń zabezpieczeń dla systemu Android mogą zostać wyłączone i utracić skuteczność. Polityki bezpieczeństwa należące do MAC są częścią systemu operacyjnego i nie mogą być zmieniane przez użytkownika. Urządzenia wykorzystujące SE for Android łączą się z serwerami SPD (SE for Android Policy Distribution), aby automatycznie pobrać i zaimplementować w urządzeniu aktualizacje polityk MAC.

Monitorowanie integralności systemu operacyjnego oparte na technologii TrustZone (TIMA) to wykorzystanie zalet architektury procesorów ARM. Architektura TIMA odpowiada za nieprzerwane monitorowanie integralności jądra systemu, czyli ciągłe monitorowanie jego zgodności z oryginałem. W razie wykrycia naruszenia integralności jądra lub programu rozruchowego (Bootloadera) system reaguje zgodnie z wcześniej ustalonymi regułami. Jedna z reguł powoduje zablokowanie dostępu do jądra Linux oraz wyłączenie urządzenia. Technologia ta została opracowana z myślą o zlikwidowaniu luki w zabezpieczeniach. Technologia TIMA, wprowadzona w urządzeniach mobilnych Samsung KNOX jako unikalna funkcja, wykorzystuje architekturę i możliwości rozwiązania ARM TrustZone. Rozwiązanie ARM TrustZone zostało zaimplementowane w procesorze, aby skutecznie partycjonować pamięć i zasoby procesora, dzieląc je na części: „bezpieczną” i „normalną”. Technologia TIMA działa w części bezpiecznej (tzw. „secure world”) i nie można jej wyłączyć, natomiast jądro SE Android działa w części „normalnej”.

Technologia TIMA jest wykorzystywana równolegle z Secure Boot oraz rozszerzeniami zabezpieczeń dla systemu Android (Security Enhancements for Android), tworząc pierwszą linię obrony przed złośliwymi atakami podczas uruchamiania urządzenia, a później chroniąc przed atakami na jądro systemu Linux. Gdy technologia TIMA wykryje naruszenie integralności jądra, system MDM powiadamia system IT przedsiębiorstwa, który może w odpowiedzi podjąć wcześniej ustalone działania w zależności od zasad bezpieczeństwa przyjętych w danej firmie.

** Customizable Secure Boot availability varies depending on hardware specification

Rozszerzenia zabezpieczeń dla systemu Android

System Linux zawierający rozszerzenia zabezpieczeń (Security-Enhanced Linux) to projekt rozwijany przez agencję NSA od 2000 r. Stał się standardem zabezpieczeń dla firmowych systemów opartych o system Linux. Zespoły R&D firmy Samsung ściśle współpracowały z NSA w celu przeniesienia i integracji tej technologii na urządzeniach Samsung z systemem Android. Ten port Linuxa do systemu Android nazywany jest Security Enhancements for Android™ (SE for Android™).

SE for Android™ to narzędzie umożliwiające wdrożenie na urządzeniu polityki kontroli dostępu. System Android wyposażony w możliwości oferowane przez SELinux lepiej kontroluje dostęp do danych aplikacji oraz logów systemowych, minimalizuje problemy związane ze złośliwym oprogramowaniem i chroni użytkowników przed potencjalnymi błędami w kodzie aplikacji.
Dzięki implementacji SELinux aplikacje działają z minimalnymi uprawnieniami, co oznacza, że szkody wyrządzone przez działanie złośliwych aplikacji są znacznie łagodniejsze i zmniejsza się prawdopodobieństwo utraty czy też wycieku danych.

SELinux dostarcza architekturę obowiązkowej kontroli dostępu (MAC – Mandatory Access Control) w przeciwieństwie do wykorzystywanej wcześniej w systemie Android architektury DAC (Discretionary Access Control). Dzięki MAC priorytetem staje się zachowanie poufności i integralności danych.

Architektura ta zapobiega propagowaniu naruszenia zabezpieczeń do innych domen lub mobilnego systemu operacyjnego (OS).

Rozszerzenia zabezpieczeń SE for Android™ to również zaimplementowany zbiór plików konfiguracyjnych zasad zabezpieczeń zawierających powszechnie przyjęte polityki dotyczące wymogów bezpieczeństwa.

Rozwiązanie Samsung KNOX dostarczone użytkownikowi obejmuje zbiór plików konfiguracji zasad zabezpieczeń zaprojektowanych z myślą o wzmocnieniu bezpieczeństwa standardowej platformy Android i spełnieniu potrzeb przedsiębiorstw, jeśli chodzi o zabezpieczenia. Samsung KNOX oferuje interfejsy API umożliwiające zastąpienie domyślnych polis zabezpieczeń (Android SE) bardziej rygorystycznymi lub plikami specyficznymi dla danego przedsiębiorstwa. Te nowe pliki zawierające konfiguracje polis bezpieczeństwa mogą zostać zdalnie wysłane do urządzenia.



Samsung KNOX zapewnia przedsiębiorstwu możliwość tworzenia bezpiecznego środowiska i zarządzania nim na prywatnych smartfonach i tabletach pracowników.

2. Bezpieczeństwo aplikacji


Samsung KNOX nie tylko zabezpiecza platformę, czyli system operacyjny, lecz także oferuje rozwiązania umożliwiające zwiększenie bezpieczeństwa poszczególnych aplikacji:


Środowisko dla aplikacji

Kontener Samsung KNOX widziany jest przez użytkownika jako osobne środowisko Android z niezależnym pulpitem, zestawem aplikacji, widgetami oraz sklepem dedykowanym tylko dla środowiska KNOX.

Aplikacje i dane w kontenerze KNOX są izolowane od aplikacji spoza kontenera. Oznacza to, że aplikacje działające poza środowiskiem KNOX nie mogą korzystać z komunikacji międzyprocesowej (IPC) systemu Android ani metod udostępniania danych z aplikacjami wewnątrz środowiska KNOX.

Analogicznie, aplikacje wewnątrz środowiska KNOX nie mają możliwości interakcji z aplikacjami ani uzyskiwania dostępu do danych spoza KNOX. Niektóre aplikacje wewnątrz środowiska KNOX mogą otrzymać możliwość uzyskania dostępu do danych (w trybie tylko do odczytu) spoza środowiska KNOX poprzez konfi gurację polis.

Na przykład: do zdjęć zrobionych aparatem w środowisku KNOX nie będzie dostępu spoza środowiska. Z kolei kontakty i wpisy kalendarza spoza środowiska KNOX mogą być wyświetlane wewnątrz środowiska.



Całkowita izolacja aplikacji i danych w środowisku KNOX stanowi skuteczne rozwiązanie problemu wycieku danych związanego z modelem BYOD. Wyciek danych następuje wtedy, gdy użytkownik wysyła dane wrażliwe lub informacje poufne poza sieć firmową, np. przez osobiste konto e-mail, portal społecznościowy lub usługę dysk w chmurze publicznej.

Samsung KNOX umożliwia konfigurację środowiska pracy dla aplikacji firmowych, takich jak e-mail, kalendarz, przeglądarka internetowa, przechowywanie plików itp., a środowisko KNOX dba o to, by aplikacje spoza niego nie mogły uzyskać dostępu do żadnych danych fi rmowych, takich jak np. załączniki do poczty lub pliki fi rmowe. Wszystkie dane przechowywane wewnątrz środowiska KNOX są zaszyfrowane za pomocą silnego algorytmu szyfrowania (AES-256). Uzyskanie dostępu do aplikacji w środowisku KNOX wymaga podania hasła.

Środowisko Samsung KNOX jest ściśle zintegrowane z platformą Android – w odróżnieniu od rozwiązań opartych na kontenerach, oferowanych przez inne fi rmy. Ta ścisła integracja zapewnia doskonały komfort obsługi dzięki wyraźnemu oddzieleniu dwóch środowisk, minimalizując ryzyko pomyłki przez użytkownika; owa integracja zachowuje ten sam sposób poruszania się po systemie Android w celu zapewnienia spójności i oferuje ujednolicony (ale uwzględniający ustawienia prywatności) wgląd w powiadomienia oraz listę uruchomionych aplikacji.

Menadżer IT może zdalnie zarządzać środowiskiem KNOX podobnie jak zarządza wszystkimi aktywami IT. Środowisko KNOX zarządzane jest za pomocą rozwiązania MDM (Mobile Device Management). Firma Samsung współpracuje z wieloma dostawcami rozwiązań MDM obecnymi na rynku. Urządzeniem zarządza się poprzez wysłanie do niego poleceń i konfi guracji określonych dla danego użytkownika czy też urządzenia. Środowisko Samsung KNOX udostępnia szeroki zbiór konfi guracji, takich jak: zasady uwierzytelniania, zabezpieczenia danych, konfi guracje VPN, e-mail czy też białe i czarne listy aplikacji.


Urządzenia Samsung zapewniają zabezpieczenia na poziomie wymaganym przez rząd i firmy prowadzące działalność regulowaną.

Szyfrowanie danych On-Device Data Encryption

On-Device Data Encryption (ODE) to funkcja szyfrowania danych w urządzeniu umożliwiająca użytkownikom i administratorom IT zaszyfrowanie danych w całym urządzeniu. Domyślnie dane przechowywane w środowisku Samsung KNOX są zaszyfrowane. Funkcja ODE w urządzeniach Samsung wykorzystuje algorytm szyfrowania Advanced Encryption Standard (AES) z certyfikatem FIPS 140-2. Dane są kodowane za pomocą algorytmów szyfrowania symetrycznego, kluczem 256-bitowym (AES-256), co zapewnia poziomy zabezpieczeń wymagane przez rząd i branże regulowane, takie jak np. opieka zdrowotna czy fi nanse. Klucz wykorzystywany do tego szyfrowania jest przygotowany na podstawie hasła utworzonego przez użytkownika za pomocą dobrze znanych algorytmów funkcji skrótu (haszujących), takich jak Password-Based Key Derivation Function 2 (PBKDF2).



Funkcja szyfrowania obejmuje pamięć wewnętrzną (partycja systemowa i wewnętrzna karta SD), a także każdą zewnętrzną kartę SD zainstalowaną przez użytkownika*.

Domyślnie wszystkie dane przechowywane wewnątrz środowiska KNOX są szyfrowane. Dodatkowo szyfrowanie prywatnych danych może zostać aktywowane bezpośrednio przez użytkownika w ustawieniach urządzenia bądź wymuszone zdalnie przez administratora IT jako zmiana zasad bezpieczeństwa wysłana z serwera Exchange ActiveSync lub systemu MDM.

Wykorzystanie algorytmów zgodnych z NIST dla szyfrowania danych ODE w Samsung KNOX spełnia rządowe wymogi dotyczące ochrony przechowywanych danych typu „data-at-rest” (DAR).



* Choć dane w środowisku KNOX są szyfrowane poprzez ODE, nie można przechowywać ich w pamięci zewnętrznej, takiej jak zewnętrzna karta pamięci.




Samsung KNOX oferuje kompleksową obsługę wirtualnych sieci prywatnych (VPN) w każdym urządzeniu mobilnym.

Wirtualna sieć prywatna VPN

Samsung KNOX oferuje zaawansowane wparcie dla firmowych sieci VPN. Dzięki temu firmy mogą zaoferować pracownikom optymalny, bezpieczny dostęp do zasobów intranetu z urządzeń pracujących w modelu BYOD lub tych będących na stałym wyposażeniu danej firmy.

Implementacja VPN w Samsung KNOX zapewnia szeroką obsługę protokołów IPSec:


  • -     Internet Key Exchange (IKE oraz IKE v.2)
  • -     Potrójne szyfrowanie Triple DES (56 / 168-bitowy), AES (128 / 256-bitowy)
  • -     Tryb tunelowania podzielonego (Split tunneling mode)
  • -     NSA Suite B Cryptography

VPN wdrożony w Samsung KNOX otrzymał certyfikat FIPS 140-2, co umożliwia wykorzystywanie go w branżach prowadzących działalność regulowaną, takich jak zastosowania rządowe, opieka zdrowotna, fi nanse itp.

Kolejna cecha wyróżniająca VPN w Samsung KNOX to oferowana administratorom IT możliwość konfigurowania i uruchamiania dedykowanych połączeń VPN dla aplikacji (per-app VPN) oraz późniejsze zarządzanie nimi. Funkcja ta umożliwia automatyczne wymuszanie korzystania z VPN tylko dla określonego zestawu aplikacji firmowych. Zaletą takiego rozwiązania jest zapewnienie przesyłania firmowych danych za pomocą bezpiecznego połączenia przy jednoczesnym wyeliminowaniu ryzyka przeciążenia serwerów firmowych przez przesyłanie prywatnych danych użytkowników.




Ponadto funkcja dedykowanego VPN dla aplikacji (per-app VPN) sprawia, że prywatne dane nie przechodzą przez firmowe serwery, ale łączą się bezpośrednio z zasobami sieci internet, chroniąc prywatność użytkownika.

Funkcja per-app VPN jest również dostępna dla aplikacji pracujących wewnątrz środowiska Samsung KNOX.

Funkcje dostępne po wdrożeniu Samsung KNOX VPN obejmują:

  • -     Do 5 jednoczesnych połączeń VPN
  • -     Obsługę RSA SecureID® dla bram VPN Cisco
  • -     Obsługę kart Common Access Card (CAC) w zastosowaniach rządowych


Usługa MDM (Mobile Device Management) umożliwia działowi IT zdalne administrowanie, kontrolowanie i zarządzanie flotą firmowych urządzeń mobilnych.

3. MDM – zarządzanie urządzeniami mobilnymi


Usługa zarządzania urządzeniami mobilnymi (MDM) umożliwia działowi IT monitorowanie, kontrolowanie i zdalne zarządzanie wszystkimi firmowymi urządzeniami mobilnymi, nawet gdy firma posiada kilku dostawców usług mobilnych.

Samsung KNOX korzysta z opracowanych przez Samsung najlepszych w branży funkcji SAFE™ MDM, zapewniając dodatkowe polityki zabezpieczeń, integracji z rozwiązaniami firmowymi oraz monitorowania aplikacji firmowych, takich jak śledzenie aktywów, zdalne sterowanie itp.




Specyficzne rozszerzenia usługi MDM:


  • -     Zasady zapewniające zgodność z wydanym przez amerykański Departament Obrony przewodnikiem zawierającym wymagania zabezpieczeń dla mobilnych systemów operacyjnych (MOS SRG)
  • -     Obsługa środowiska Samsung KNOX
  • -     Obsługa zarządzania poprzez usługę ActiveDirectory / Group Policy Manager
  • -     Obsługa VPN oraz Wi-Fi
  • -     Konfigurowanie ekranu oczekiwania oraz ekranu blokady


Rozwiązanie Samsung KNOX spełnia wymagania certyfikatu FIPS 140-2 na poziomie 1 dla DAR oraz DIT.

Rozwiązanie Samsung KNOX w agencjach rządowych oraz branżach prowadzących działalność regulowaną

W przypadku wdrożeń w agencjach rządowych lub Departamencie Obrony rozwiązanie Samsung KNOX zapewnia dodatkowe możliwości zabezpieczeń:


1. Usługa Boot Attestation


Technologia Samsung KNOX wykorzystuje technologię Secure Boot, która wymaga kryptograficznego podpisania modułu Boot Loadera, jądra Linux oraz firmware’u za pomocą klucza, którego źródło zaufania jest weryfikowane sprzętowo. Urządzenia Samsung dostępne na rynku będą posiadać główne certyfikaty wydane przez Samsung.

W przypadku wdrożeń w instytucjach rządowych istnieje wymóg, aby kontrolę nad przygotowaniem całego oprogramowania dla urządzeń mobilnych miały agencje rządowe lub zatwierdzeni integratorzy systemów. Jak wcześniej zaznaczono, urządzenia wyposażone w rozwiązanie Samsung KNOX posiadają zabezpieczony sprzętowo certyfikat główny zarezerwowany dla agencji rządowych lub ich zaufanych partnerów w celu utworzenia własnego łańcucha zaufania. W tym celu Samsung podpisuje należący do rządu (lub integratora systemów) certyfikat Level-2 (CA) za pomocą wspomnianego certyfikatu głównego i zapewnia narzędzia umożliwiające jednorazową zmianę domyślnego źródła zaufania z Samsung na źródło zaufania KNOX Government.

Rząd (lub integrator systemów) może opracować i wdrożyć własny firmware, który będzie podpisywany za pomocą certyfikatu Level-2, który z kolei jest weryfikowany podczas uruchamiania urządzenia przez certyfikat KNOX Government zapisany w urządzeniu.

Należy zauważyć, że firma Samsung nie wytwarza plików binarnych (firmware), które mogłyby spowodować uruchomienie urządzenia ze zmienionym źródłem certyfikatów na KNOX Government; takie pliki binarne mogą wytwarzać jedynie wyznaczone przez rząd podmioty, których certyfikaty są poświadczane przez certyfikat główny KNOX Government.



2. Obsługa kart inteligentnych (Smartcard – CAC)


Departament Obrony USA (US DoD) zezwolił na korzystanie z certyfi katów PKI (Public Key Infrastructure) w przypadku pracowników, którzy składają podpis cyfrowy na dokumentach, szyfrują bądź odszyfrowują wiadomości e-mail i ustanawiają bezpieczne połączenia sieciowe.

Zgodnie z regulacjami DoD Samsung KNOX umożliwia przechowywanie certyfikatów PKI w sposób bezpieczny na urządzeniach mobilnych (certyfi katy software’owe) lub pobieranie ich z kart CAC (certyfi katy sprzętowe).

Samsung KNOX pozwala aplikacjom na uzyskanie dostępu do certyfikatów sprzętowych na kartach CAC za pomocą standardowych interfejsów API PKCS (Public Key Cryptography Standards). Dzięki temu możliwe staje się użycie kart CAC przez przeglądarkę internetową, klienta poczty e-mail oraz klienta VPN, a także inne niestandardowe aplikacje rządowe.

Ponadto rozwiązanie Samsung KNOX umożliwia zabezpieczenie ekranu blokady za pomocą karty CAC, zapewniając dodatkowy poziom ochrony urządzenia.



3. Certyfikaty i zgodność z wymaganiami


Certyfikacja FIPS 140-2

Opracowany przez Narodowy Instytut Standaryzacji i Technologii (NIST) Federalny Standard Przetwarzania Informacji (FIPS) to amerykański standard bezpieczeństwa, który pomaga fi rmom zajmującym się zbieraniem, przechowywaniem, przesyłaniem i udostępnianiem informacji wrażliwych, ale niesklasyfikowanych (SBU) oraz kontrolowanych informacji niesklasyfikowanych (CUI) w podejmowaniu trafnych decyzji dotyczących wyboru urządzeń do korzystania w miejscu pracy.

Rozwiązanie Samsung KNOX spełnia wymagania certyfikatu FIPS 140-2 Level-1 dla danych przechowywanych w urządzeniu „data-at-rest” (DAR) oraz danych przesyłanych do i z urządzenia „data-in-transit” (DIT). Obsługa danych DIT w rozwiązaniu Samsung KNOX obejmuje następujące elementy:


  • -   Przeglądarkę internetową (HTTPS)
  • -   E-mail (S / MIME)
  • -   IPSec VPN

Zgodność z DISA MOS SRG

Agencja Systemów Informatycznych Obrony (DISA) to agencja działająca w ramach Departamentu Obrony USA, która publikuje Security Reqirements Guides (SRG) - przewodniki zawierające wymogi bezpieczeństwa w celu poprawy ochrony systemów informatycznych Departamentu Obrony. SRG ułatwia opracowywanie Security Technical Implemetation Guides (STIGs) – przewodników, które dokumentują specyfi czne zasady i wymogi dotyczące produktów, a także najlepsze praktyki w zakresie konfi guracji.

W 2012 r. DISA wydała przewodnik Mobile Operating System SRG w celu określenia wymogów dotyczących bezpieczeństwa, które powinny być spełniane przez dostępne na rynku urządzenia mobilne wdrażane w ramach Departamentu Obrony.

2 maja 2013 r. agencja DISA zatwierdziła przewodnik STIG dla rozwiązania Samsung KNOX opracowany wstępnie dla przewodnika Mobile Operating System SRG.



Podsumowanie

Rosnąca popularność urządzeń z systemem Android skłania osoby odpowiedzialne za bezpieczeństwo i zarządzanie infrastrukturą IT do objęcia politykami bezpieczeństwa również smartfony i tablety, z których korzystają pracownicy firmy niezależnie od tego, czy urządzenia te stanowią własność firmy.

W sytuacji, gdy coraz większa liczba pracowników przynosi własne urządzenia do pracy (BYOD), administratorzy IT muszą znaleźć odpowiedź na problem zwiększonego ryzyka związanego z dostępem do danych korporacyjnych i zasobów firmowych.

Dzięki wielowarstwowemu modelowi zabezpieczeń oraz najlepszemu w branży zarządzaniu urządzeniami, rozwiązanie Samsung KNOX niweluje wszystkie niedostatki platformy Android opartej na wolnym oprogramowaniu, umożliwiając jej szerokie wykorzystanie w firmach.

Rozszerzone zabezpieczenia na poziomie systemu operacyjnego zapewnione przez Secure Boot oraz rozszerzenia zabezpieczeń dla systemu Android (SE for Android) i monitorowanie TIMA chronią przed złośliwym oprogramowaniem i atakami hakerów.

Środowisko Samsung KNOX umożliwia przedsiębiorstwom skorzystanie z trendu BYOD w celu utworzenia bezpiecznej strefy dla aplikacji korporacyjnych w urządzeniu pracownika. Dostęp do danych i zasobów firmowych może zostać ograniczony do aplikacji pracujących wewnątrz środowiska KNOX.

Bogaty zestaw polityk MDM pozwala administratorom IT na lepsze zarządzanie urządzeniami pracowników i zapewnienie zoptymalizowanej obsługi dzięki możliwości zdalnego konfigurowania rozmaitych funkcji, w tym Wi-Fi, VPN i e-mail.



O firmie Samsung Electronics Co., Ltd.

Samsung Electronics Co., Ltd. jest światowym liderem w dziedzinie technologii, otwierającym nowe możliwości dla użytkowników na całym świecie. Dzięki nieustannym innowacjom i odkryciom Samsung przekształca świat telewizorów, smartfonów, komputerów osobistych, drukarek, aparatów fotograficznych, artykułów gospodarstwa domowego, wyrobów medycznych, półprzewodników i rozwiązań LED. Zatrudnia 236 000 osób w 79 krajach, a wartość rocznej sprzedaży przekracza 201 bilionów KRW. Więcej informacji można znaleźć na stronie: www.samsung.com.

Więcej informacji o rozwiązaniu Samsung KNOX można znaleźć na stronie:
www.knox.samsung.pl

Copyright © 2013 Samsung Electronics Co. Ltd. Wszelkie prawa zastrzeżone. Samsung jest zarejestrowanym znakiem towarowym Samsung Electronics Co. Ltd. Specyfikacje i wzornictwo mogą się zmienić bez uprzedzenia. Podane wagi i miary w jednostkach niemetrycznych są przybliżone. Wszystkie dane uznano za zgodne ze stanem faktycznym na dzień sporządzenia niniejszego dokumentu. Samsung nie ponosi odpowiedzialności za żadne błędy ani pominięcia. Wszystkie nazwy marek, produktów i usług oraz logo są znakami towarowymi lub zarejestrowanymi znakami towarowymi odpowiednich właścicieli, których prawa Samsung niniejszym uznaje i akceptuje.


Samsung Electronics Polska Sp. z o.o.
02-676 Warszawa, ul. Postępu 14
Sąd Rejonowy dla m.st. Warszawy w Warszawie
XIII Wydzial Gospodarczy Krajowego Rejestru Sądowego.
KRS: 0000128080, NIP: 526-10-44-039,
kapitał zakładowy: 52 759 500 zł
kontakt.knox@samsung.com
www.knox.samsung.pl



Android is a trademark of Google Inc.


Luty 2014 r.
Enterprise Mobility Solutions
Samsung Electronics Co., Ltd.



Akronimy


AES Advanced Encryption Standard – algorytm szyfrujący dane
BYOD Bring Your Own Device – prywatne urządzenie wykorzystywane do celów służbowych
CAC U.S. Common Access Card – karty służące do kontroli dostępu i autoryzacji
COPE Company Owned, Personally Enabled – służbowe urządzenie wykorzystywane również do celów prywatnych
DAR Data-at-rest – dane przechowywane w urządzeniu
DISA Defense Information Systems Agency – Amerykańska Agencja Systemów Informatycznych Obrony
DIT Data-in-Transit – dane przesyłane do urządzenia
DoD United States Department of Defense – Departament Obrony USA
FIPS140-2 Standard bezpieczeństwa systemów kryptograficznych – to jeden z elementów federalnego standardu przetwarzania informacji tworzonego przez Narodowy Instytut Standaryzacji i Technologii (USA)
IPC Komunikacja pomiędzy procesami systemu operacyjnego
MAC Mandatory Access Control – obowiązkowa kontrola dostępu
MDM Mobile Device Management – zdalne zarządzanie urządzeniami mobilnymi
NIST Narodowy Instytut Standaryzacji i Technologii (USA)
NSA Agencja Bezpieczeństwa Narodowego (USA)
ODE On-device encryption – szyfrowanie danych w urządzeniu
PIV Personal Identity Verification Card – karta służąca identyfikacji użytkownika
PKCS Public Key Cryptography Standards – zbiór standardów kryptograficznych
ROM Read Only Memeory – pamięć tylko do odczytu
SAFE Samsung For Enterprise
SBU Dane wrażliwe, ale niesklasyfikowane
SE for Android Security-Enhancements for Android – rozszerzenia zabezpieczeń dla systemu Android
SE Linux Security-Enhanced Linux – rozszerzenia zabezpieczeń dla systemu Linux
SRG Zbiór dokumentów zawierających wymogi dotyczące zabezpieczeń
TIMA Monitorowanie integralności jądra Linux oparte na technologii TrustZone
VPN Virtual Private Network – wirtualna sieć prywatna