White paper

Samsung Knox: cos’è e come funziona la piattaforma MDM per il controllo dei device aziendali

01-08-2018
Sicurezza e accountability nella gestione dei dati

Il 2018 verrà ricordato come l’anno delle normative di sicurezza informatica. Oltre alla Direttiva NIS sulla sicurezza delle reti e delle informazioni, dallo scorso 25 maggio siamo entrati nell’era del GDPR: il regolamento europeo sulla protezione dei dati stabilisce che le organizzazioni pubbliche e private di ogni dimensione avranno nuove responsabilità in tema di sicurezza e tutela dei dati . È quello che il legislatore europeo ha riassunto nel termine accountability , traducibile in responsabilizzazione. In questa ottica, la piattaforma Samsung Knox si rivela idonea a raggiungere la compliance al GDPR nella gestione e nel controllo da remoto e in maggiore sicurezza dei dispositivi mobili aziendali.

Cos’è Samsung Knox e come funziona

La piattaforma Samsung Knox integrata nei dispositivi Samsung top di gamma di ultima generazione (per installarla e attivarla è sufficiente accedere al menu Applicazioni , tappare sull’icona Knox e seguire la procedura guidata) fornisce tutta una serie di meccanismi di protezione utili a tutelare i dati contenuti nei device stessi e consentire quindi all’utente e al suo team di lavoro di accedervi ovunque e in qualunque momento in tutta sicurezza. In particolare, la piattaforma Knox presenta una vasta gamma di funzioni che spaziano dalla custodia separata dei dati personali e di quelli aziendali fino alla gestione remota degli smartphone e dei dispositivi mobile aziendali. È possibile, così, separare le funzioni da lavoro dall’utilizzo personale del device.
Samsung Knox rientra tra le soluzioni di Mobile Device Management (MDM) sempre più richieste e utili alle aziende. Con questa sigla si identificano, infatti, le piattaforme che consentono una gestione centralizzata dei dispositivi mobile utilizzati dai dipendenti.
La prima funzione di una soluzione MDM è quella di semplificare la configurazione dei dispositivi, ad esempio quando vengono utilizzati da un altro dipendente: in questo caso, l’amministratore di sistema o colui che si occupa della gestione dei device può reinstallare facilmente e velocemente il sistema operativo già configurato e con tutte le app necessarie all’utilizzo aziendale, magari scaricate da uno store dedicato alle app business e quindi sicuro.

Ecco la struttura multilivello schematizzata di Samsung Knox
La tecnologia Knox: sicurezza multilivello

• Il primo livello “visibile” subito dopo l’installazione e l’attivazione di Knox è il Container che, come il nome stesso lascia intuire, è il contenitore di app preinstallate che funzionano indipendentemente da tutte le altre applicazioni e contenuti presenti sul dispositivo o installate dall’utente.
Figura: La home screen di Knox Container con le app sicure installabili in ambito aziendale
• Il successivo grado di sicurezza della piattaforma Samsung Knox è garantito dal livello SE per Android (Security Enhancements per Android) che impedisce alle app e ai processi di accedere a dati e risorse non autorizzate. Ad esempio, alle applicazioni esterne al Container non è consentito accedere ai dati gestiti mediante le app interne al contenitore sicuro. SE per Android utilizza un controllo di accesso al sistema di tipo Mandatory Access Control (MAC) invece di un tradizionale Discretionary Access Control (DAC). In questo modo, grazie al modulo SE per Android di Knox è possibile concedere privilegi speciali basati su specifiche politiche di Enterprise Mobility Management (EMM). In particolare, per proteggere il sistema operativo, SE per Android lo suddivide in domini di sicurezza all’interno dei quali alle applicazioni vengono concessi i permessi minimi necessari per funzionare. Questo contiene i danni che possono essere causati da applicazioni dannose o difettose, in quanto i problemi in un dominio non si diffondono in un altro. Utilizzando una serie di policy specifiche, inoltre, è possibile definire quali utenti e applicazioni possono accedere a quali file e risorse. Non è possibile ignorare queste policy e, ad esempio, concedere l'accesso a file o risorse che altrimenti sarebbero limitati. Qualora SE per Android dovesse rilevare un accesso non autorizzato, all’utente verrà visualizzato un messaggio di notifica con le indicazioni degli eventuali limiti d’uso.



• Il livello forse più importante di Samsung Knox, il cuore pulsante di questa tecnologia, è il TIMA (o TrustZone-based Integrity Measurement Architecture) , un modulo che integra funzioni di privacy e sicurezza integrate nel sistema che funzionano come un buffer tra il kernel Android e il processore del dispositivo mobile. Questa particolare tecnologia incorpora caratteristiche di sicurezza che garantiscono un monitoraggio continuo, isolato e protetto da meccanismi basati direttamente sull’hardware del device: in questo modo diventa difficile, se non impossibile, aggirare i controlli. Cosa che invece potrebbe facilmente accadere utilizzando software e app di sicurezza facilmente aggirabili creando vulnerabilità pericolose per gli utenti, soprattutto in ambito aziendale.
• Il livello Secure Boot & Trusted Boot garantisce invece la sicurezza del sistema e delle app installate fin dall’avvio del dispositivo stesso. Con la tecnologia Secure Boot vengono verificate all'avvio le firme dei componenti e verificata l'integrità di ciascuno di essi. Il processo di avvio della periferica si arresta qualora il processo di verifica della firma dovesse fallire. Secure Boot ha però un limite: non è in grado di distinguere, ad esempio, tra un bootloader legittimo ma con una vulnerabilità nota e una versione successiva patchata, in quanto entrambe le versioni hanno firme valide. Per risolvere questo problema, Knox adotta oltre a Secure Boot anche la tecnologia Trusted Boot che in fase di avvio del dispositivo verifica la chiave hash di ogni singolo componente della memoria prima di caricarlo.
• L’ultimo livello di Knox, Hardware Root of Trust , effettua come è facile intuire un controllo già a livello hardware prima di consentire l’esecuzione del sistema operativo e delle varie applicazioni.


Dall’analisi della struttura logica di Samsung Knox si capisce quindi come la protezione dei dispositivi aziendali venga garantita in tempo reale. Inoltre, grazie ad un algoritmo di crittografia a 256 bit basata sull’hardware del device stesso, Knox impedisce le intrusioni esterne alle applicazioni e al sistema operativo.

Soluzioni Knox per lavorare in sicurezza

Oltre alla sicurezza multilivello appena analizzata, la piattaforma Samsung Knox offre anche una serie di soluzioni applicative che consentono di migliorare la produttività aziendale:
Knox Workspace: si tratta di un vero e proprio spazio di lavoro virtuale da utilizzare in ambito aziendale che permette di isolare le applicazioni e i dati professionali dal resto del dispositivo;
Knox Premium: è la soluzione EMM (Enterprise Mobility Management) multipiattaforma basata sul cloud che viene abbinata ad un contenitore sicuro per l’archiviazione dei dati;
Knox Configure: sicuramente la soluzione più apprezzata dai reparti IT delle aziende. Basato su cloud, questo strumento permette di configurare da remoto i dispositivi e aggiornare in maniera dinamica le procedure di configurazione che includono la maggior parte delle funzionalità più avanzate;
Knox Mobile Enrollment: Basato su tecnologia cloud, questo strumento offre supporto per l'installazione di un EMM Agent e per la registrazione automatica EMM;
Knox Customisation SDK: il nome non lascia campo a diverse interpretazioni. Si tratta del kit di sviluppo delle applicazioni e del software compatibile Knox. Il kit fornisce una libreria di oltre 1000 API per la configurazione e la personalizzazione dei dispositivi Samsung;
Knox Enabled: è un contenitore virtuale e “invisibile” all’utente che garantisce la sicurezza e la tutela delle singole applicazioni. Lo strumento permette infatti di separare l'applicazione e i relativi dati dal resto del dispositivo.

Samsung Knox in azienda: scenari possibili in ottica GDPR

Alla luce di quanto visto finora è dunque possibile delineare alcuni casi d’uso specifici della tecnologia Samsung Knox per garantire da parte delle aziende la tanto agognata conformità al Regolamento europeo sulla protezione dei dati personali.

Primo scenario: il telefono aziendale viene usato dai dipendenti anche per uso privato. In questo caso, per quanto visto prima, la tecnologia Samsung Knox permette di mantenere separati i dati aziendali da quelli personali. Ciò è possibile grazie a Knox Workspace che permette di archiviare i dati personali del dipendente e quelli relativi alla sua attività lavorativa all’interno di appositi contenitori separati e criptati. Il personale del reparto IT dell’azienda è in grado di gestire tali contenitori da remoto, in modo che l’azienda stessa può accedere ai dati di cui hanno bisogno senza compromettere la riservatezza dei dati personali del dipendente, quali foto e messaggi.

Secondo scenario: configurare i dispositivi da remoto senza ostacolare il personale. Come sappiamo, il GDPR richiede l'adozione di misure di sicurezza più efficaci per la protezione dei dati personali, ma bisogna considerare che la configurazione di più dispositivi può comportare parecchio tempo e il più delle volte s rischia di violare i dati personali del dipendente. Grazie a Knox Configure il personale del reparto IT è in grado di configurare e rendere operativi rapidamente e da remoto centinaia di dispositivi in contemporanea: in questo modo il reparto IT potrà dedicarsi a semplificare la vita ai dipendenti. Knox Configure è concepito per lavorare in sinergia con le soluzioni EMM, in modo da consentire una configurazione dei dispositivi tale da rispondere alle esigenze specifiche di organizzazioni diverse. Via Wi-Fi e dati mobili è possibile gestire profili, impostazioni, limitazioni e app.

Terzo scenario: il dipendente denuncia lo smarrimento del telefono aziendale. Il furto o lo smarrimento di un telefono possono determinare una violazione di dati personali. Quando tale violazione (il cosiddetto data breach ) si verifica, il GDPR impone una notifica entro 72 ore all’autorità di controllo e, nei casi più gravi, a tutti i soggetti i cui dati personali sono stati oggetto della violazione. Con Samsung Knox questo pericolo può essere minimizzato. Knox Manage è una soluzione EMM a basso costo che consente la gestione remota di dispositivi e sistemi operativi. Gli amministratori di sistema del reparto IT sono in grado di bloccare, formattare e localizzare dispositivi Android, iOS e Windows tramite una console web. Questo consente alle aziende non solo di mantenere un maggior controllo sui dati riservati, ma anche di proteggere in maniera più efficace i dati personali dei dipendenti e di terzi registrati nei dispositivi.

Sfruttiamo la sicurezza di Samsung Knox anche in ambito privato

Abbiamo visto finora come l’utilizzo della tecnologia di sicurezza Samsung abbia risvolti positivi in ambito aziendale. E in ambito privato? Samsung ha pensato anche agli utilizzatori non aziendali di dispositivi mobile. Per i propri clienti l’azienda coreana ha infatti reso disponibile l’applicazione Secure Folder, che dallo scorso 19 dicembre 2017 ha definitivamente preso il posto di My Knox. Secure Folder, così come la sua progenitrice, sfrutta la piattaforma di sicurezza proprietaria Knox per creare uno spazio sicuro e criptato sugli smartphone e sui tablet della gamma Galaxy. In questo modo, anche l’utente privato può tenere le app e i propri file al riparo da occhi indiscreti: l’accesso, infatti, sarà possibile solo ai proprietari dell'account Samsung mediante password, PIN o impronta digitale qualora il dispositivo fosse dotato di sistemi di controllo biometrici. Secure Folder, inoltre, permette di realizzare una copia delle applicazioni alle quali è possibile accedere mediante account separati. Chiunque avesse ancora l’app My Knox installata sul proprio smartphone o tablet può effettuare la migrazione alla nuova app Secure Folder dal menu Impostazioni/Backup & Restore . Ricordiamo infine che Secure Folder può essere scaricata dal Play Store di Google, a differenza di My Knox che invece era disponibile solo sullo store Samsung.