Kurumlarda Mobil Cihaz Güvenliği (MDM)

Kurum çalışanlarının kendi mobil cihazlarını işyerine getirmeleri (BYOD) veya kurumsal mobil cihaz kullanımının artması, aslında bir varlık türü olarak kurumsal bilginin son kullanıcının parmaklarının ucunda çeşitli tehlikelere maruz bırakılması ve kontrolsüz mobil cihazların tüm kurumsal ağı tehlikeye sokması anlamlarına gelmektedir. Bu noktada ise mobil cihaz güvenliği ve mobil cihaz yönetimi teknolojileri devreye girmektedir.

 

Günümüzde mobil cihazlara hem kişisel hem de iş nedeniyle artan bağımlılık sonucu ortaya çıkan güvenlik kaygısı önü alınmadığında, hem kişisel bilgilerin ifşası hem de kurumsal bilgilerin ele geçirilmesi gibi çok önemli sonuçlar doğurmaktadır. Son yıllarda mobil cihaz donanım ve yazılım teknolojinin çok hızlı gelişmesi artık mobil cihazların da özellikle uzaktan olacak şekilde kontrol edilebilmesini sağlayacak fırsatlar doğurmuştur. Kurumlar için çok önemli hale gelen mobil cihaz kontrolünü sağlayacak mobil cihaz yönetim yani mobile device management (MDM) sistemlerinin kullanılması artık kaçınılmaz hale gelmiştir.

 

MDM (Mobile Device Management) Nedir ve Hangi Bileşenlerden Oluşur?

MDM farklı işletim sistemleri ile platfomlar üzerinde çalışan akıllı telefonlar, tablet ile dizüstü bilgisayarları ve pos şeklinde çalışan mobil cihazların genel olarak cihaz, içerik, uygulama ve güvenlik bağlamında uzaktan izlenmesi, güvenliğinin sağlanması, yönetilmesi ve desteklenmesini sağlayan yazılımsal bir mobil cihaz güvenliği sistemidir. Güvenlik sektöründe kurumsal mobilite yönetimi (enterprise mobility management, EMM) olarak da adlandırılabilen MDM sistemleri ile mobil cihazlardaki veri, işletim sistemi ve kurulum gibi ayarları kontrol edebilir, mobil cihaz ağınızı gerçek zamanlı takip edebilir ve farklı işletim sistemleri ile platformlarına sahip tüm cihazlar üzerinde tutarlı ve benzer politikalar uygulayabilirsiniz. Bir EMM veya MDM sistemi genel olarak alttaki bileşenlerden oluşur:

  • Mobil Cihaz Güvenliği (Mobile Device Management, MDM): Cihazın güvenliği, cihazın yönetilmesi, kullanıcı güvenliği.
  • Mobil Uygulama Yönetimi (Mobile Application Management, MAM): Mobil cihazdaki in-house ve harici uygulamaların yönetimi ile güvenli uygulama kataloğu.
  • Mobil İçerik Güvenliği (Mobile Content Management, MCM): Mobil belge, veri ve içerik güvenliği ile güvenli web tarayıcı uygulaması.
  • Mobil E-Posta Yönetimi (Mobile E-Mail Management, MEM): Kurumsal e-postaların güvenliği ve güvenli e-posta uygulaması.
  • Kişisel Cihaz Yönetimi (Bring Your Own Device, BYOD): Çalışanların kendi mobil cihazları ile kurumsal kaynaklara ve uygulamalara erişimlerinin güvenliği.
mobil-cihaz-yonetimi-mdm

Mobil Cihaz Yönetimi (MDM) Orkestrasyonu

 

Mobil Cihaz Güvenliği (MDM) Size Neyi Sağlar ve İhtiyaç Nasıl Belirlenir?

MDM, mobil cihaz platformlarının (iOS, Android, Windows Mobile, Blackberry vs) cihaz yönetimi için sunduğu imkanlar ve yönetimi kolaylaştırmak için açtığı API’ler ölçüsünde etkili olabilen bir sistemdir. Bunun yanında örneğin aynı Android işletim sistemine sahip farklı üreticiler (Samsung, Sony, LG, HTC, Huawei vs) arasında bile MDM kapasiteleri ve imkanları arasında ciddi farklar vardır. Hatta daha da ötesi olarak aynı üreticinin Android işletim sistemli farklı ürünleri için bile farklı MDM imkanları söz konusudur.

Bir MDM sistemi almaya karar vermeden önce, bir kurumda MDM’in hangi platformda ve hangi cihaz tipinde kullanılacağı ile MDM’in tam olarak hangi maksatla kullanılacağının çok net bir şekilde belirlenmesi gerekir. Bu tespitlerin yapılmasının ardından bir MDM projesinin başarıya ulaşması bir hayli yüksektir. Her kurumun farklı bir iş kültürü, işleyişi ve iç dinamikleri olduğundan her üreticinin MDM sistemi aynı ölçüde yararlı olmayabilir ve verimlilik sağlamayabilir. MDM üreticileri her ne kadar birden çok mobil platform ile işletim sistemine sahip mobil cihazları aynı anda desteklediklerini belirtseler de, aslında MDM sisteminde cihaz karmaşıklığının artmaya başlamasıyla beraber çok ciddi yönetimsel problemler de yaşanmaya başlar. Bu problemlerin en başında, cihazların senkron bir şekilde yönetilememesi ve sürekli tekrarlayan son kullanıcı sorunları gelir. Bu yüzden MDM’i hangi tip cihaz ile işletim sistemlerinde ve hangi maksatla kullanılacağının daha ilk aşamada belirlenmesi gerekir.

MDM sistemleri alttaki maksatlar veya ihtiyaçlar için kullanılabilir:

  • Kurumsal mobil cihazların coğrafi konumunun takibi.
  • Kurumsal mobil cihazların data (SMS, 3G/4G internet, Wifi) kullanımının takibi.
  • Kurumsal e-postaların güvenli ve kontrollü bir şekilde dağıtılması.
  • Mobil e-postalar (ActiveSync) için veri sızıntısı önleme tekniklerinin uygulanması.
  • Kurumsal e-postaların sadece MDM sistemine dahil olan cihazlar tarafından alınıp gönderilmesi.
  • Mobil cihazlardaki native e-posta istemcisinin yönetilmesi.
  • Mobil cihaz donanım envanterinin takibi.
  • Kurumsal mobil uygulama envanterinin takibi. Bu uygulamalar hem kurum içi geliştirilmiş (in-house) hem de uygulama mağazalarından olabilir.
  • Mobil işletim sistemi konfigürasyon yönetimi.
  • Mobil uygulama kurulumu, güncellenmesi ve kaldırılması.
  • Mobil güvenlik politikası uygulanması.
  • Mobil cihazlara ortak kablosuz wifi ayarlarının gönderilmesi.
  • Mobil cihazlara ortak Exchange/ActiveSync ayarlarının gönderilmesi.
  • Mobil cihazlardaki SMS ve çağrıların izlenmesi (iOS’ta yok ama özellikle Android işletim sistemli bazı ürünler için yapılabiliyor)
  • Mobil cihazlardan kurumsal ağa VPN ile erişim sağlanması (hem uygulama tabanlı per-app VPN hem de uzaktan erişim için remote VPN).
  • Mobil cihazlara uzaktan komut gönderilmesi (mesela cihaz kaybolduğunda uzaktan wipe edilmesi yani silinmesi ve kullanıcılara SMS veya push notification gönderilmesi gibi).
  • Kurumsal ortak dosya paylaşım alanlarına mobil cihazlardan erişim.
  • Mobil cihazlardaki içeriklerin kontrol altında tutulması (paylaşılmaması, başka bir yere gönderilmemesi veya screenhot alınmaması gibi kontrollerin yapılması).
  • Mobil cihazlarda işletim sistem güvenliği ve güvenlik zafiyet taraması.

 

Bir Mobil Cihaz Güvenliği (MDM) Sistemi En Azından Hangi Özellikleri Sağlamalıdır?

Bir MDM sistemi almadan önce veya demo çalışmaları safhasında kurumsal ihtiyaçların da gözetilerek en azından alttaki fonksiyonların yerine getirilmesini beklemek gerekir:

  • ActiveSync’i sadece MDM’le yönetilen cihazlara yönlendirebilme. Yani kurumsal e-postalara sadece MDM’e dahil olan cihazlarda kullandırma.
  • MDM sisteminin major/minor güncellemelerinde mobil cihaz MDM sistemine yeniden kayıt olmak (register) zorunda olmamalı, profili silinmemeli ve mevcut potikalar çalışmaya devam etmelidir.
  • iOS işletim sistemli cihazlardaki native e-mail client’larında mesajlarla gelen eklerin/belgelerin “Open with” ile başka bir uygulamada açılmasını engelleme.
  • Kısmi MacOS cihaz kontrolü.
  • NAC (network access control) ürünleriyle entegrasyon.
  • AD (Active Directory) gibi LDAP sistemleriyle entegrasyon.
  • Kurumsal mobil telefonlarda SIM kart değişikliğini algılama ve bunun tespit edilmesi durumunda cihazı kısıtlama.
  • SIEM (syslog) entegrasyonu.
  • Kurumsal exchange ayarlarının gönderilebilmesi.
  • iOS tabanlı cihazların jailbreak veya Android cihazların rooted edilmesinin kontrolü.
  • Mobil cihazlardaki native web tarayıcılarını veya MDM’in kendi web tarayıcısını VPN ile tünelleme. Bu sayede kurum içi uygulamalara da mobil cihazdan erişim sağlanması.
  • MDM sisteminin harici bir veri tabanına ihtiyaç duymayarak kendi built-in veri tabanını kullanması.
  • Mobil cihazın uzaktan tamamen silinmesi (full wipe)
  • Mobil cihazın uzaktan sadece kurumsal içeriklerinin silinmesi (enterprise wipe)
  • Bir mobil cihazda kullanıcı tarafından MDM uygulamaları ile profillerinin kasti olarak silinmesi yoluyla MDM sisteminden çıkarılması durumunda tüm kurumsal hizmetlerin (e-posta, erişim, uygulama vb) otomatik olarak kesilmesi.
  • Mobil cihazlardaki MDM politikalarında önceliklendirme.
  • Kurumsal çalışanların esnek bir şekilde etiketlenebilmesi ve etiketlere bağlı olarak politika ve kural verilebilmesi.
  • Mobil uygulamalarda kara liste/beyaz liste uygulaması.
  • Detaylı raporlama, rapor portalı vb.

 

Bir Mobil Cihaz Güvenliği (MDM) Ürünü Kurumsal Ağda Nasıl Konumlandırılmalıdır?

MDM sistemini kullanacak client sayısına göre MDM’de hem yerinde hem de uzakta felaket konumunda yedeklilik önemlidir. Kurumsal e-posta trafiğinin yönetilmesi durumunda, e-posta trafiği ile içerik ve uygulamaları yönetecek ve yönlendirecek sunucuların ayrıştırılması da önemlidir. Ayrıca MDM kurulumunda kurumsal e-posta trafiğinin MDM yüklü olmayan cihazlardan alınmaması için kurum topolojisinde ayarlama yapılmalı, load balance üzerinde veya Exchange/CAS sunucularında ilgili kısıtlamalar yapılmalıdır.

 

Referanslar

  1. https://en.wikipedia.org/wiki/Mobile_device_management
  2. https://www.gartner.com/doc/2757817/magic-quadrant-enterprise-mobility-management

M. MEKİN PESEN

YAZAR:

Özel bir kurumda kıdemli bilgi güvenliği uzmanı olarak çalışan M. Mekin Pesen, Elektrik-Elektronik Mühendisliği lisans ve Bilgi Güvenliği Mühendisliği yüksek lisans diplomaları ile CISSP, ECSA, CEH ve CCSA sertifikalarına sahiptir. Kendisi siber güvenlik ve bilgi güvenliği genel başlıkları altında çeşitli konularda uzmanlaşmaktadır.
    

E-Bültene Kaydolun, Makaleler Posta Kutunuza Gelsin

Bu yazıyı başka hiçbir yerde ve şekilde yayınlayamazsınız ve/veya kullanamazsınız. Bu yazıyı kullanmanız, başka herhangi bir uyarıya gerek kalmadan her türlü hukuki sonucu daha en baştan kabul ettiğiniz manasına gelir.