Partner wydania
Smartfon to podstawowe narzędzie pracy dla coraz większej liczby osób. Przechowywane na nim dane służbowe mieszają się ze zdjęciami z wakacji, a instalowane prywatnie nieznane aplikacje zagrażają bezpieczeństwu całej organizacji. Jednym kompleksowym lekiem na ból głowy firmowych działów IT jest Samsung Knox – wielowarstwowy system zabezpieczeń, który chroni urządzenie łącząc zabezpieczenia sprzętowe i programowe. Jak działa platforma, którą docenił Departament Obrony Stanów Zjednoczonych?

Jeden smartfon do pracy i do użytku prywatnego to coraz częściej stosowane rozwiązanie. W szczególności popularne wśród użytkowników systemu Android, bo to właśnie te urządzenia zwykle umożliwiają zainstalowania dwóch kart sim w jednym telefonie. Doświadczenie pokazuje jednak, że to właśnie człowiek jest najsłabszym ogniwem firmowego systemu bezpieczeństwa, a smartfon w dłoniach pracownika może łatwo stać się furtką przez którą firmowe dane płyną w niepowołane ręce. Poziom bezpieczeństwa danych przechowywanych na smartfonach spada wraz z ilością instalowanych aplikacji, miejsc, w których pracownicy łączą się z wi-fi i i pomysłowością twórców złośliwego oprogramowania infekującego system urządzenia.

Oddzielenie danych i aplikacji służbowych od prywatnych nie jest wielkim problemem – na rynku są dostępne rozwiązania, które tworzą odrębne kontenery – środowiska pracy, które oddzielają oba te światy. To jednak rozwiązanie połowiczne – takie zabezpieczenie jest stosunkowo łatwe do obejścia, bo działa tylko w ostatniej, zewnętrznej warstwie systemu. W przypadku infekcji lub ataku na urządzenie – informacje na nim zapisane nie są w żaden sposób chronione. I to są właśnie sytuacje, które spędzają sen z pracownikom działów IT, którzy nie mają najmniejszej szansy na to, by zapobiec wyciekowi danych lub ich całkowitej utracie.

Rozwiązaniem na takie problemy jest Samsung Knox. To platforma oferująca wydzielone środowisko pracy, całkowicie odrębne od „zwykłego” środowiska Androida i działająca w oparciu o zabezpieczenie wbudowane w urządzenie jeszcze w fabryce. Kontroluje działanie systemu od jego pierwszego uruchomienia. Daje pewność, że wrażliwe dane są możliwe do odczytania tylko wtedy, gdy podstawowe elementy samego systemu są nienaruszone. Zabezpieczenia Knoxa wzajemnie się uzupełniają, opierając się na weryfikacji zapisanych kluczy szyfrowania, bieżącej analizie zagrożeń oraz dają możliwości zdalnego konfigurowania, zarządzania i monitorowania urządzeń.

Warstwa po warstwie, czyli technologia zabezpieczeń
Działanie Knoxa opiera się na kilku poziomach weryfikacji. Jego kluczowe elementy to Secure Boot, Trusted Boot, Trust Zone-based Integrity Measurement Architecture (TIMA) i Security Enhancements for Android (SE for Android).

Po pierwsze – mamy tu zabezpieczenie na poziomie sprzętowym, które m.in. uniemożliwia wgranie nieautoryzowanych elementów systemu. Pomaga w tym m.in. Device Root Key, potwierdzony certyfikatem Samsunga. Jest to klucz zabezpieczeń wgrywany na etapie produkcji i unikalny dla każdego urządzenia.

Knox wykorzystuje unikalne klucze do „przywiązania” danych do urządzenia – informacje są szyfrowane przy wykorzystaniu tych kluczy i nie mogą być odszyfrowane na innych urządzeniach. Dzięki kluczowi Samsung Secure Boot, wgranemu w fabryce, poszczególne bootloadery, aktywowane przy ładowaniu systemu, mogą być zweryfikowane i w razie potrzeby – zablokowane.
Kiedy bootloadery się uruchamiają – robią to sekwencyjnie, jeden po drugim. Secure Boot sprawdza kryptograficznie każdy kolejny element, wykorzystując do tego zaszyty sprzętowo klucz. Jeśli weryfikacja jest negatywna – ładowanie systemu zostaje zatrzymane.

Dodatkowo Samsung stosuje mechanizm Trusted Boot, który wspiera weryfikację systemu, zapisując stan poszczególnych loaderów. Knox wykorzystuje to do sprawdzenia, czy nie nastąpiła jakakolwiek nieautoryzowana modyfikacja telefonu.

Kolejnym poziomem zabezpieczeń jest architektura TIMA (TrustZone-based Integrity Measurement Architecture). Monitoruje ona integralność systemu - jeśli zostanie wykryta próba ataku na jądro systemu to urządzenie przestanie działać. Weryfikacja następuje w czasie rzeczywistym. TIMA to także mechanizm KeyStore, który generuje i przechowuje klucze potrzebne do szyfrowania danych aplikacji w środowisku Knox.

Podobna zasada działania dotyczy Client Certificate Management (CCM), który zajmuje się szyfrowaniem danych w ramach Knox, przy użyciu unikalnego klucza – dlatego mogą być one deszyfrowane tylko z poziomu tego samego urządzenia.

Wreszcie – w Knox działają rozszerzenia Security Enhancements for Android (SE for Android), które m.in. nie dopuszczają do tego, żeby aplikacje zainstalowane poza środowiskiem Knox miały dostęp do zapisanych w nim danych. Zawierają reguły bezpieczeństwa dla aplikacji i blokują dostęp do chronionych obszarów systemowych.

Ostatnim – i jedynym tak naprawdę widocznym dla użytkownika zabezpieczeniem – jest kontener Knox. To wydzielony obszar, w którym zapisywane są dane i aplikacje, które mają być niedostępne dla osób trzecich. Jego użycie jest banalnie proste – wystarczy wybrać odpowiednią ikonę, wpisać login i hasło (lub potwierdzić tożsamość odczytem odcisku palca) i od razu można pracować bezpiecznie. Po zakończeniu pracy wystarczy się wylogować (albo nastąpi auto-wylogowanie), a nasze dane pozostaną całkowicie niedostępne dla ewentualnych złodziei czy przypadkowych osób, które miałyby w rękach nasz smartfon.

Kompleksowe rozwiązania dla IT
Z punku widzenia administratorów Knox oferuje wiele możliwości zarządzania urządzeniami w firmie, konfiguracji chmury i wykorzystywania aplikacji firmowych w bezpiecznym środowisku. Opiera się na istniejącym środowisku IT i pozwala na pełną integrację z serwerem MDM, Active Directory czy VPN. Knox to też możliwość pojedynczego logowania w chmurze (SSO). Dzięki temu użytkownik jednym potwierdzeniem tożsamości uzyskuje dostęp do wielu aplikacji chmurowych.

Jednym z praktycznych zastosowań tych rozwiązań jest możliwość zdefiniowania profilu dla każdego użytkownika – np. nowego pracownika. Ten dostaje tylko link, który – po weryfikacji hasłem – uruchamia instalację pełnego pakietu aplikacji firmowych potrzebnych do pracy. To rozwiązanie (nazwane Samsung Knox Mobile Enrollment) pozwala działom IT na przygotowanie i przeprowadzenie procesu instalacji jednocześnie na dowolnej liczbie urządzeń (np. przy zatrudnieniu dużej ilości pracowników lub przechodzeniu całej firmy na rozwiązania oferowane przez Samsung).

Knox dzieli dane na dwa rodzaje – chronione i wrażliwe. Wszystkie dane zapisane przez aplikacje w bezpiecznym obszarze roboczym są chronione i są szyfrowane na dysku kiedy urządzanie jest wyłączane. Klucz odszyfrowywania chronionych danych jest powiązany ze sprzętem urządzenia, a więc można je odzyskać tylko na tym samym urządzeniu.

Jeszcze silniejszą ochroną są objęte dane wrażliwe. Żeby one zostały zaszyfrowane wystarczy zablokować obszar roboczy (czyli wylogować się z Knoxa). Ponowne zalogowanie spowoduje odszyfrowanie danych. Klucz szyfrowania jest połączniem zabezpieczeń sprzętowych i logowania użytkownika. Dlatego do ich odszyfrowania potrzeba dwóch rzeczy – samego urządzenia i danych logowania.

Wygoda w codziennej pracy
Użytkownik Knoxa dostaje dwa pulpity – środowiska pracy, zwane też kontenerami. Pierwsze – prywatne, gdzie trzyma swoje zdjęcia, aplikacje i wszystkie dane, do których dział IT nie ma dostępu. Drugie – służbowe, zupełnie odrębne od prywatnego, szyfrowane z wykorzystaniem całej mocy zabezpieczeń Knoxa. Między oboma środowiskami żadne dane nie mogą być bezpośrednio przenoszone, aplikacje nie korzystają z zapisanych w drugim kontenerze informacji. Jeśli więc np. pracownik zrobił zdjęcie podczas pracy w środowisku służbowym – nie będzie można go zobaczyć wchodząc do galerii po wylogowaniu z Knoxa.

To rozwiązanie może być dowolnie modyfikowane przez firmowych administratorów. Jeśli zechcą – mogą pozwolić wybranym aplikacjom na współdzielenie danych pomiędzy środowiskami – to może dotyczyć np. kontaktów lub kalendarza. Działy IT mogą też zainstalować w środowisku Knox Google Play for Work i budować listy programów ze sklepu Google Play, które użytkownicy mogą lub nie mogą instalować z poziomu służbowego kontenera – czyli czarne lub białe listy aplikacji.

Knox to rozwiązanie dla każdego – prywatni użytkownicy docenią możliwość zabezpieczenia swoich poufnych informacji – maili, zdjęć, filmów czy kontaktów. Małe firmy dostaną ochronę na najwyższym poziomie bez konieczności ponoszenia dodatkowych kosztów i dodawania pracy osobom, które zajmują się sprzętem, ale oprócz tego mają wiele innych obowiązków. Dla dużych organizacji Knox to system pozwalający na kompleksowe zarządzanie bezpieczeństwem danych i sprzętu – od zabezpieczenia konkretnego urządzenia po możliwość integracji Knoxa z dowolnymi, dedykowanymi rozwiązaniami IT.