Guida alla Convenzione Approfondimento Servizio di Mobile Device Management Telefonia Mobile 6 Lotto unico Pag. 1 di 19
Sommario 1. OVERVIEW... 3 2. MOBILE DEVICE MANAGEMENT IN NUVOLA... 3 2.1. ACCESSO AL SERVIZIO MDM... 4 3. ARCHITETTURA... 5 3.1. SICUREZZA E LIVELLI DI DISPONIBILITÀ DEL SERVIZIO... 6 3.2. POSSIBILITÀ DI INTEGRAZIONE FRA MDM E SISTEMI AZIENDALI... 8 4. PRINCIPALI FUNZIONALITÀ... 9 4.1. ENROLLMENT E ORGANIZATION GROUP... 17 5. DEVICE MOBILI SUPPORTATI... 18 Pag. 2 di 19
1. Overview Il servizio presente in Convenzione Telefonia Mobile 6 si basa sulla piattaforma di Enterprise Mobility Management Airwatch. L Enterprise Mobility Management (EMM) è il nuovo paradigma utilizzato dal Mercato per identificare la soluzione MDM (Mobile Device Management) integrata alla componente MAM (Mobile Application Management), MEM (Mobile Email Management) e MCM (Mobile Content Management). Airwatch è leader nel mercato delle soluzioni di Enterprise Mobility Management (EMM) e grazie al modello di servizio e offerta nella piattaforma di Cloud Computing di Telecom Italia, Nuvola Italiana, il Fornitore è in grado di offrire alle Amministrazioni in Convenzione CONSIP 6 un servizio EMM caratterizzato dai seguenti punti di forza: semplicità d uso, in quanto la complessità tecnologica e l upgrade per il supporto di nuovi terminali e features sono trasparenti all Amministrazione; alto livello di sicurezza e di disponibilità del servizio; nessun costo di set-up, di gestione e di manutenzione della piattaforma; possibilità di integrazione con sistemi aziendali; ampia disponibilità di funzionalità e di policies gestibili sui terminali mobili attraverso una consolle di amministrazione; controllo dei costi; protezione dei dati aziendali sensibili; accesso sicuro a sistemi o risorse aziendali; ampio supporto di sistemi operativi mobili. Dove non sia necessario specificare le singoli componenti, in questo documento faremo riferimento genericamente al termine MDM. 2. Mobile Device Management in Nuvola Con il paradigma del Cloud Computing, le risorse IT (applicazioni, piattaforme e software) vengono rese disponibili in modalità scalabile alle Amministrazioni che possono gestirle in autonomia attraverso le tecnologie internet. Questo consente alle imprese di avvalersi di tecnologie innovative senza doversi dotare di infrastrutture IT dedicate, con un conseguente vantaggio in termini di ottimizzazione di costi e prestazioni. Con il Cloud Computing di Nuvola Italiana, Telecom Italia mette a disposizione dell Amministrazione un insieme di infrastrutture ed applicazioni, con l utilizzo di risorse hardware e software distribuite in remoto senza che la stessa debba dotarsene internamente. Pag. 3 di 19
In questo ambito si colloca la soluzione Nuvola It MDM powered by AirWatch, erogata in modalità Software as a Service (SaaS). Essa consente la gestione, la configurazione e la messa in sicurezza da remoto dei device mobili cross-platform attraverso un unica consolle amministrativa accessibile via internet dal Cliente. Le attività di Device Management possono essere eseguite in modo silente e trasparente all utente finale, in modo da non avere impatti sulle attività dell utente stesso. É possibile schedulare tali attività con cadenza periodica o innescarle a fronte dell avverarsi di eventi pre-configurati. 2.1. Accesso al servizio MDM La piattaforma di Mobile Device Management è in grado di erogare il servizio verso device con copertura WiFi (tipicamente per contesti indoor), sia sul territorio in condizioni di mobilità attraverso la rete mobile 2G/3G/4G, sia da APN Pubblico (IBOX, WAP) che da APN dedicato opportunamente configurato. La piattaforma MDM è in grado erogare il servizio anche su connessioni private (MPLS) dell Amministrazione. La soluzione infrastrutturale sarà realizzata a progetto, considerando le configurazioni di rete dell Amministrazione richiedente. L accesso al servizio da parte dell Amministrazione avviene tramite autenticazione su consolle di amministrazione MDM, accessibile in modalità web. La consolle di amministrazione è multilingua, quindi può essere configurato l utilizzo della lingua italiana. Il servizio MDM AirWatch è accessibile da un qualsiasi browser di ultima generazione (Internet Eplorer 8 o seguenti, Google Chrome, Mozilla Firefo, Safari). L URL per l accesso al servizio (tramite autenticazione dall interfaccia di amministrazione) è il seguente: https://mdm-aw.nuvolaitaliana.it/airwatch Pag. 4 di 19
Il suddetto link di accesso viene visualizzato anche sul Portale del Fornitore per la Convenzione, qualora l Amministrazione abbia sottoscritto il servizio MDM. Per quanto riguarda la gestione ed applicazione delle policies aziendali su diversi profili di users, gli utenti dei dispositivi possono essere configurati in gruppi di utenti secondo le necessità logistiche o funzionali dell azienda. Ad ogni gruppo possono essere associate differenti policies aziendali come configurazioni, profili, applicazioni. 3. Architettura L architettura per l erogazione del servizio MDM è costituita da sistemi virtualizzati con tecnologia Vmware. Il servizio viene erogato in architettura multitenant, dove ogni Cliente (Tenant) opera in assoluta sicurezza, e nessun dato, logs o altre informazioni possono essere condivise tra i tenant diversi. L intero sistema è in alta affidabilità e bilanciamento di carico grazie anche all architettura distribuita e alla ridondanza delle sue componenti. Il protocollo di comunicazione tra Client e Server è basato sul trasporto TCP/IP e cifrato con SSL, quindi garantisce un alto grado di sicurezza ed ha elevate prestazioni nella comunicazione over the air sulla rete mobile tra le due componenti, anche in presenza di velocità di trasmissione non ottimali. La piattaforma MDM è una piattaforma multilayer protetti da firewall ed esposta su internet per consentire l accesso all amministrazione ed all erogazione dei servizi. Pag. 5 di 19
Front End: sul livello di Front End sono installati i server necessari per le comunicazioni https con la consolle amministrativa e verso i siti esterni di servizio (per esempio Apple, Google). Sono inoltre presenti i server che supportano le connessioni dei device che utilizzano i client MDM. Application layer: sono i sistemi che garantiscono la orchestrazione e l implementazione dei principali processi di piattaforma. Gestiscono le operazioni sui device, accedendo al Database per la scrittura e lettura dei dati applicativi. Back End: sistemi dove sono memorizzati i dati dell applicazione, coerentemente con il modello multitenancy della soluzione. E garantito, in caso di fault del Database, il ripristino del servizio senza perdita di dati. Per tutti i dati di piattaforma sono garantiti backup giornalieri incrementali e full backup settimanali. La piattaforma utilizza i servizi infrastrutturali del mail server e del SMS gateway per l invio di mail e SMS di servizio. 3.1. Sicurezza e livelli di disponibilità del servizio Il sistema è configurato per garantire una disponibilità del servizio 99,9% all anno solare. I servizi di sicurezza legati alla infrastruttura sopra descritta possono essere riassunti in: Load balancing di piattaforma: permette la distribuzione del carico su più istanze server per conferire scalabilità e affidabilità dell'architettura nel suo complesso. Business copy: Copia di backup a livello di sistema di Storage al fine di garantire il ripristino in caso di fault. BackUp dati: Backup dei dati memorizzati nello storage finalizzato al ripristino dell ambiente in caso di fault sistemistico o hardware. Hardening e vulnerability assessment: Procedure standard di Telecom Italia atte ad impedire l accesso non autorizzato ad informazioni e/o servizi secondo i requisiti minimi di sicurezza dei sistemi informatici di Telecom Italia e il rispetto del D.LGS.196/03. Sul sistema devono essere installati almeno annualmente gli aggiornamenti del software di sistema e applicativo necessari a correggere difetti e prevenire vulnerabilità. Il sistema consente di tracciare gli accessi e le attività svolte degli utenti (sia utenti dell azienda cliente che operatori di customer care) registrando eventuali processi od operazioni non in linea con le direttive aziendali o con quanto contrattualizzato. Le opzioni e i criteri di sicurezza legati alla applicazione MDM sono: Impostazione delle regole di complessità della password di accesso alla consolle di amministrazione; Pag. 6 di 19
Impostazione periodo di tempo per la scadenza della password di accesso alla consolle di amministrazione; Impostazione del numero di tentativi sbagliati per l accesso alla piattaforma; Impostazione del numero delle password diverse da utilizzare; Utilizzo dell LDAP / Active Directory aziendale applicando le regole e le policy di sicurezza adottate a livello di dominio; Configurazione di profili e ruoli degli utenti di piattaforma per garantire l accesso alle funzionalità necessarie al profilo stesso nel rispetto del principio need to know e least privilege ; Protezione delle password memorizzate sul Database in modalità unilaterale (algoritmi di hashing). L architettura del prodotto viene dunque realizzata garantendo alti livelli di sicurezza e alti livelli prestazionali. La configurazione può essere schematizzata nella seguente figura: Gli application server mostrati in figura (Console Server, Devices Server e Api Server) forniscono i servizi per l amministrazione del sistema, i servizi per l enrollment dei device ed i servizi di comunicazione tra i device e la piattaforma MDM. Il sistema descritto è in Auto scaling, ciò facilmente scalabile con aggiunta di risorse HW/SW per consentire la gestione di un crescente numero di device. Pag. 7 di 19
3.2. Possibilità di integrazione fra MDM e sistemi aziendali ACC (AirWatch Cloud Connector) La componente software ACC fornisce ai Clienti MDM la possibilità di integrare i seguenti sistemi di back-end con la piattaforma MDM in Nuvola It: Email Relay (SMTP) Directory Services (LDAP / AD) Microsoft Certificate Services (PKI) Simple Certificate Enrollment Protocol (SCEP PKI) Email Management Echange 2010 (PowerShell) BlackBerry Enterprise Server (BES) Third-party Certificate Services (On-premise only) Lotus Domino Web Service (HTTPS) Syslog (Event log data) Il canone mensile per il servizio MDM include il software (ACC) abilitante l integrazione con i sistemi aziendali, mentre sono da valutare su base progetto gli sviluppi per la sua effettiva integrazione. Pag. 8 di 19
4. Principali funzionalità La piattaforma MDM offerta in Convenzione CONSIP6 è basata su tecnologia Airwatch, soluzione cross-platform per la gestione sicura della mobilità, sempre aggiornata rispetto alle ultime tecnologie di terminali presenti sul mercato. Le funzionalità principali erogate dalla piattaforma MDM, di cui si riportano alcune schermate a titolo esemplificativo, sono fruibili dalla console di gestione e sono dettagliate di seguito. Pag. 9 di 19
Configurazione dei dispositivi (ad esempio: impostazione APN, configurazione client di posta, Wi-Fi, policy di sicurezza), funzionalità di configurazione remota del device; Blocco del dispositivo e cancellazione dei dati presenti sul dispositivo (wipe selettivo dei dati aziendali con il Workspace), per far fronte ad eventi di furto o smarrimento. Tali funzionalità costituiscono un sotto-insieme delle azioni dispositive di sicurezza fornite dal servizio e riportate dettagliatamente nel seguito; Distribuzione di applicativi da remoto, nelle modalità riportate di seguito per Mobile Application Management (MAM) che abilita, in aggiunta alla semplice distribuzione, funzionalità più evolute di catalogo, filtri, integrazione con market delle app, revoca e monitoraggio. Le operazioni sono possibili tramite un interfaccia web amministrativa disegnata per essere utilizzata in modo semplice ed intuitivo. A titolo esemplificativo si riportano le schermate che illustrano le semplici modalità con cui sono effettuate le operazioni di blocco (lock and wipe), la configurazione delle policy di sicurezza, la distribuzione di applicativi da remoto. Pag. 10 di 19
Pag. 11 di 19
La piattaforma proposta permette di fruire di ulteriori funzionalità: localizzazione da remoto del terminale in caso di smarrimento o furto. Il sistema fornisce le coordinate GPS del device in un arco di tempo configurabile; limitazione/inibizione delle funzionalità di base del terminale in caso di utilizzo non compatibile con le normali esigenze di servizio che l Amministrazione dovesse rilevare come, per esempio, sistema operativo, device compromesso, SIM cambiata. In questi casi è possibile programmare delle azioni che per esempio possono rimuovere il profilo MDM oppure assegnare opportune policy al device; inventariazione dei terminali, ed eventualmente delle applicazioni installate sugli stessi. A titolo esemplificativo si riportano le schermate che illustrano le semplici modalità con cui sono effettuate le operazioni di localizzazione e ricerca ed inventory dei terminali, con le relative applicazioni installate. Pag. 12 di 19
Ai fini di illustrare le potenzialità e la ricchezza funzionale del servizio, si riportano ulteriori funzionalità che la piattaforma MDM Airwatch mette a disposizione dell amministratore e dell utente finale. Dalla consolle di amministrazione è possibile effettuare le operazioni e/o configurare impostazioni per l intero parco dei device gestiti, per gruppi di device, per tipologie di terminali e/o di Sistemi Operativi, fino ad una granularità del singolo device. Tale funzionalità permette di gestire i device degli utenti in modo personalizzato, adeguando le impostazioni e i profili autorizzativi ai ruoli differenti degli utenti nell organizzazione e alle policy di sicurezza dell Amministrazione. Informazioni relative al device riguardanti principalmente le caratteristiche del device (MDM): o informazioni relative alla sicurezza del device (device compromessi, livello di encryption dei dati, presenza di password sul dispositivo); o informazioni relative alla SIM e alla rete; o informazioni relative all utilizzo del telefono in termini di chiamate e dati trasferiti; o HW e SW inventory; Azioni dispositive di sicurezza sui device che permettono di effettuare: o Blocco del device con la necessità da parte dell utente finale di inserire una password per lo sblocco; o Cancellazione dei dati del device legati al profilo MDM; o Cancellazione totale dei dati del device che ripristinano il dispositivo nella configurazione iniziale di fabbrica; o Cifratura dei dati sensibili (es.tutti i dati sulla scheda esterna criptati, ecc.); o Controllo se i dispostivi sono compliant ai requisiti stabiliti ed intercettazione dei dispositivi non-compliant (rooted/jail broken) con blocco automatico all accesso alle risorse aziendali; Pag. 13 di 19
o Imposizione del browser con blocco degli altri browser presenti sul dispositivo; o Applicazione delle white lists e black lists per la navigazione internet; o Inibizione della navigazione internet; o Sistema di Geofencing, con il quale l amministratore di sistema decide a quali risorse può accedere il dispositivo relativamente alla posizione geografica del dispositivo stesso; Configurazione remota del device che permette le seguenti funzionalità: o Impostare password con differente grado di complessità; o Impostare restrizioni sulle principali funzionalità del device (fotocamera, acquisto e/o installazioni app, blocco di app, blocco wi-fi, blocco bluetooth, blocco browser, blocco GPS, ecc.); o Configurazione dei principali parametri del device: WI-FI, VPN, APN, email, Echange ActiveSync, LDAP, CalDAV e CardDAV; o Setting bookmarks (link internet/intranet); o Distribuzione di applicazioni da remoto con l eventuale successiva esecuzione e visualizzazione dello stato dell installazione tramite dashboard; Altre funzionalità caratteristiche della piattaforma MDM sono di seguito elencate: Procedura di Backup e Restore dei setting (per esempio impostazioni SMS, APN, e-mail e WiFi); Mobile Application Management (MAM) consente la gestione di applicazioni sia pubbliche che aziendali con: o Creazione di un App Catalog aziendale personalizzato; o Distribuzione di applicazioni in base al ruolo dell utente e/o del dispositivo; o Gestione delle diverse versioni della stessa applicazione; o Gestione di black/white list delle applicazioni; o Integrazione con App Store e Google Play; o Revoca dell accesso a applicazioni e ai dati dei dispositivi non più gestiti; o Monitoraggio dell archiviazione, delle versioni e della conformità delle applicazioni; Implementazione della politica del Bring Your Own Device (BYOD) assegna all utente che usa il device personale, un profilo e policy meno restrittive rispetto a quelle assegnate all utente che utilizza il device aziendale. Non si visualizzano, per esempio, i dati relativi alle chiamate o al trasferimento dati; sono disabilitate le informazioni GPS e la funzionalità relativa al ripristino dei dati di fabbrica del device. Inoltre è possibile prevedere un processo di wrapping sulle app OS ed Android che permette al sistema di proteggere le applicazioni selezionate. Con il Pag. 14 di 19
wrapping si inseriscono nelle app le regole per il loro utilizzo per esempio la richiesta di password, limitare il path di esecuzione, inibizione la copia o il file sharing, inibire la fotocamera e/o il bluetooth; Cruscotto di monitoraggio con funzionalità grafiche di drill-down che consente all amministratore una vista ad alto livello e di dettaglio sull intera flotta di device dell Amministrazione. Sono disponibili grafici e statistiche relative agli asset aziendali, alle policies, allo stato di enrollment e di roaming; Event Log dove sono tracciati tutti gli eventi di piattaforma e i flussi dati tra la consolle amministrativa e i device; Self-service portal che permette al singolo utente di monitorare ed intervenire con alcune funzionalità sul proprio device (per esempio wipe e lock); Schedulazione per l invio dei profili e delle policy sui device selezionati; Volume Purchase Program (VPP) di Apple per l acquisto, la distribuzione e la gestione di applicazioni massive dall Apple Store; Branding con la personalizzazione della pagina di accesso configurando i loghi, le intestazioni e i colori delle schermate. Le funzionalità sopra descritte possono variare in funzione del Sistema Operativo e del modello di smartphone o tablet. Di seguito una tabella di compatibilità delle principali features di MDM, MAM e MCM rispetto ai Sistemi Operativi mobile che la piattaforma AirWatch supporta (vedi par. 5). MDM per Telefonia Mobile 6 (piattaforma Airwatch in Nuvola) And ios Wmb WP8 BB Sym Sistemi Operativi e versioni IOS Blackberry fino ver 6. Blackberry 10 Windows mobile fino ver 6. Windows phone 8 Android Symbian Accessibilità/Amministrazione Referente tecnico / amministratore Portale self service (end user) Pag. 15 di 19
MDM per Telefonia Mobile 6 (piattaforma Airwatch in Nuvola) And ios Wmb WP8 BB Sym Gestione password console di amministrazione Lingua Italiana Connettività dispositivo APN Pubblico (IBOX, WAP) APN dedicato opportunamente configurato Connessione WIFI SIM altri operatori (non solo TIM) Gestione Sicurezza Back-up setting Monitoring su traffico aggregato (TEM base) Politiche di gestione delle password Lock e wipe remoto Criptazione del device Configurazione Proy (Firewall) Gestione White list/black list applicazioni Azioni legate a verifica di eventi sul dispositivo Compromised detection (jailbroken, rooted) Funzionalità MDM standard Gestione Email: Echange ActiveSync e IMAP/POP E-Mail Setting APN Setting VPN Gestione Bluetooth File manager Gestione Certificati Restrizioni (p.e. disabilitare fotocamera) Attiva e disattiva Roaming Dati Attiva e disattiva Roaming Voce Inventario della flotta apparecchi (HW e SW) Gestione dinamica delle policies di gruppo Chat, Send message, push notification Setting WIFI MAM (Mobile Application Management) Catalogo per la distribuzione e gestione applicazioni pubbliche (da App store pubblici) Catalog per la distribuzione e gestione applicazioni interne (da app store aziendale) Application tracking Sviluppo di applicazioni aziendali utilizzando il Software Development Kit (SDK) MCM (Mobile Content Management) Pag. 16 di 19
MDM per Telefonia Mobile 6 (piattaforma Airwatch in Nuvola) Upload dei contenuti in piattaforma MDM organizzati in categorie e metadati Accesso ai contenuti da device mobile in modalità sicura con la visualizzazione, ricerca, download, e aggiornamento alle ultime versioni dei documenti disponibili (MCM viewer) Data lost prevention dei contenuti (copy and paste, printing, allowed applications) BYOD (Bring Your Own Device) Completa separazione nel device mobile dell'utente finale tra i dati/applicazioni personali e quelli corporate Enterprise wipe per la rimozione di tutti e soli contenuti e app aziendali senza toccare i contenuti e app personali And ios Wmb WP8 BB Sym MEM (Mobile Emal Management) per il controllo degli accessi al server di posta aziendale, data loss, encrpt e compliance App Wrapping (sono comprese le app wrapped fornite da AW, per esempio AW browser) Enrolling BYOD Devices MAM (Mobile Application Management) senza MDM 4.1. Enrollment e Organization Group Il tenant o organization group rappresenta l istanza applicativa con cui si definisce il perimetro all interno del quale vengono salvati i dati, i parametri, le configurazioni dei device che l amministratore della company decide di registrare. L admin del tenant può creare anche dei child organization group a cui assegna nella configurazione una user e pwd di accesso con un profilo a scelta in base alle esigenze di accesso dell utente a cui sarà delegato l amministrazione del sotto gruppo. Pag. 17 di 19
Ci sono dei profili base predefiniti che si possono utilizzare quando si sta creando un utente amministratore. Questi sono: MDM Administrator : viene utilizzato per configurare utenti admin di tenant. Read Only : definisce utenti che possono accedere alla console amministrativa ma in sola lettura Report Viewer : mette a disposizione solo funzionalità di reporting. Possono comunque essere configurati profili per ogni esigenza legata alle funzionalità offerte dalla piattaforma. L amministratore di piattaforma può definire diverse modalità di enrollment dei device mobile aziendali in funzione delle proprie esigenze di servizio e di sicurezza. L utente finale riceverà una notifica e la procedura automatica per la registrazione del dispositivo in piattaforma MDM. 5. Device Mobili Supportati Le famiglie di sistemi operativi supportate sono: o Android o ios, o Blackberry o Windows o Symbian. In particolare i sistemi operativi supportati all interno delle suddette famiglie sono: Pag. 18 di 19
o Android versions 2.2 e superiore o Blackberry versions 5 e superiore o ios versions 4.0 e superiore o Symbian OS ^3 e S60 o Windows Mobile 5/6 o Windows Phone 7 e 7.5 Mango o Windows Phone 8 Di seguito una figura illustrativa della user-eperience del servizio per diverse tipologie di terminali gestibili. Pag. 19 di 19