Mehr Sicherheit mit AirWatch Enterprise Mobility Management Grundlage für VMware Workspace ONE Die AirWatch Enterprise Mobility Management-Technologie ist ein Bestandteil der integrierten VMware Workspace ONE-Plattform sowie ein wesentliches Element bei der Bereitstellung eines umfassenden digitalen Arbeitsplatzes. Mit Airwatch steht Institutionen der Öffentlichen Hand, des Gesundheitswesens und privaten Unternehmen eine leistungsfähige Lösung zur Verfügung, um Mitarbeitern auch auf mobilen Endgeräten ein sicheres Arbeiten zu ermöglichen. Workspace ONE (AirWatch) sorgt dafür, dass sich ein Sicherheitskonzept schnell und zuverlässig auf allen Geräten durchsetzen lässt. Eine zentrale Management-Plattform stellt die unternehmensweite Konfiguration sicher. Damit ist AirWatch konform zu den Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI). Wie AirWatch diesen Anforderungen entspricht, haben wir hier für Sie zusammengestellt. VMware & die Mindeststandards des BSI für Mobile Device Management
Transcript
Mehr Sicherheit mit AirWatch Enterprise Mobility Management
Grundlage für VMware Workspace ONE Die AirWatch Enterprise Mobility Management-Technologie ist ein Bestandteil der integrierten VMware Workspace ONE-Plattform sowie ein wesentliches Element bei der Bereitstellung eines umfassenden digitalen Arbeitsplatzes. Mit Airwatch steht Institutionen der Öff entlichen Hand, des Gesundheitswesens und privaten Unternehmen eine leistungsfähige Lösung zur Verfügung, um Mitarbeitern auch auf mobilen Endgeräten ein sicheres Arbeiten zu ermöglichen.
Workspace ONE (AirWatch) sorgt dafür, dass sich ein Sicherheitskonzept schnell und zuverlässig auf allen Geräten durchsetzen lässt. Eine zentrale Management-Plattform stellt die unternehmensweite Konfi guration sicher. Damit ist AirWatch konform zu den Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI). Wie AirWatch diesen Anforderungen entspricht, haben wir hier für Sie zusammengestellt.
VMware & die Mindeststandards des BSI für Mobile Device Management
2.0 Sicherheitsanforderungen
2.1.1 Arbeitsweise des MDMMDM.01: Nutzdaten Workspace ONE (AirWatch) ist auch als hundertprozentige On-Pre-mise-Installation verfügbar. Jegliche Kommunikation zwischen den mobilen Geräten und dem MDM-Server findet nach AES-256 ver-schlüsselt statt. Dabei wird das öffentliche SSL-Zertifikat verwen-det. Anfallende Nutzerdaten liegen in einer internen Datenbank und sind daher vor Zugriffen Dritter geschützt.
MDM.02: Cloud-DiensteWorkspace ONE (AirWatch) kann sowohl als On-Premise, Sha-red als auch als dediziertes Cloud-Angebot bezogen werden. Die Cloud-Services werden im VMware-Rechenzentrum in Frankfurt am Main bereitgestellt. Alle Anforderungen nach dem BDSG wer-den dabei erfüllt.
MDM.03: Mandantentrennung Workspace ONE (AirWatch) ist in jeder Variante mandantenfähig. Durch eine komplette Trennung der Mandanten, können sich diese gegenseitig weder erkennen noch beeinflussen.
MDM.04: Kompromittierte mobile Endgeräte Jede Anwendung, die von VMware bereitgestellt wird, ist in der Lage, einen Kompromitätstest des Gerätes durchzuführen. Daher kann bereits beim Registrierungsvorgang festgestellt werden, ob ein Jailbreak, Root o.ä. vorliegt. Es kann konfiguriert werden, was im Falle einer Kompromittierung mit dem Gerät passieren soll. Ein Beispiel dafür ist eine Komplettlöschung des gesamten Gerätes oder eines Teils der Daten.
MDM.05: Berechtigungsmanagement im MDM Workspace ONE (AirWatch) verfügt über ein sehr granulares Rol-lenkonzept für Benutzer und Administratoren. Dieses kann durch Kunden flexibel ergänzt und angepasst werden.
MDM.06: SIM-KartenAdministratoren können jederzeit auf Informationen zur SIM-Karte
über die Konsole zugreifen.
2.1.2 ApplikationsverwaltungMDM.07: Verteilung von ApplikationenAnwendungen können „over the air“ verteilt und aktualisiert wer-den. Dies kann auch optional ohne Zustimmung des Benutzers er-folgen. Applikationen können zusätzlich auf dem Gerät so installiert werden, dass diese nicht gelöscht werden können.
MDM.08: MDM-ClientEine Pflichtregistrierung des Gerätes ist möglich.
2.2 AuditMDM.09: ProtokollierungAlle Konfigurationsprofile werden in Versionen gespeichert. So ist es möglich, Profiländerungen revisionssicher nachzuvollziehen. Dies gilt ebenso für Zertifikate, Anwendungen, Betriebssystem-Versio-nen etc. Weiterhin kann optional festgestellt werden, welcher Ad-ministrator für welche Änderung verantwortlich war.
Jegliche konfigurative Änderungen der Geräte können in der Kon-sole in zeitlicher Abfolge pro Gerät eingesehen werden. Die Be-rechtigung auf dieses Protokoll lässt sich granular den Benutzer-rollen zuordnen.
2.1.4 Sichere Konfiguration der mobilen EndgeräteMDM.10: KonfigurationsproblemeEs gibt die Möglichkeit, Profile, die vom Benutzer nicht geändert oder gelöscht werden können, zu verteilen.
MDM.11: Sichere ErstinstallationAuch bei der Erstinstallation ist der Datenverkehr durch SSL ab-gesichert. Zusätzlich bietet sich die Möglichkeit der „out of the box“-Registrierung durch Apple DEP, Samsung Knox Mobile En-rollment etc.
MDM.12: Kennwörter und GerätecodesÜber die VMware Workspace ONE / Airwatch Konsole können die Sicherheitsrichtlinien für die Mindestvorgaben konfiguriert werden. Hierbei können verschiedene Parameter wie zum Beispiel Mindest-passwortlänge, die maximal zulässige Anzahl von Fehlversuchen oder Toleranzperiode für Gerätesperre gesetzt werden.
MDM.13: Fernlöschung (Remote Wipe) und AußerbetriebnahmeEs werden mehrere Löschmechanismen unterstützt. Bei diesen Löschvorgängen können selektiv nur die Unternehmensdaten oder auch komplette mobile Endgeräte gelöscht oder zurückgesetzt werden. Diese Funktion lässt sich auf ein oder mehrere Geräte anwenden.
MDM.14: Automatische Sperre und Gerätesperrung (Remote Lock)Ein Gerät kann aus der Konsole heraus „gelockt“ werden. (Remo-teLock) Zeitdauer und Art des „Autolocks“ lassen sich granular in der Konsole einstellen. Wenn ein Benutzer den Lock aus zeitlichen Gründen noch nicht durchgeführt hat, ist dies eindeutig aus der Konsole ersichtlich.
MDM.15: Administration von Schnittstellen und Funk-tionenSchnittstellen und Kommunikationsmöglichkeiten lassen sich zen-tral administrieren und bei Bedarf unterbinden.
MDM.16: Verschlüsselung des SpeichersDie Verschlüsselung des internen und externen Speichers kann durch ein entsprechendes Profil aktiviert werden.
MDM.17: ZertifikateZertifikate lassen sich beispielsweise über eine Anbindung einer PKI des Kunden auf mobile Geräte verteilen. Diese Zertifikate kön-nen aktualisiert oder wieder gelöscht werden. Weiterhin ist eine Verteilung von Root-Zertifikaten möglich. So kann verhindert wer-den, dass ein Benutzer selbst Zertifikate aus Drittquellen installiert. Das MDM ist in der Lage, Zertifikate auf Gültigkeit zu prüfen und ausgestellte, jedoch nicht mehr benötigte Zertifikate, auf der PKI automatisch wieder zurückzuziehen.
2.1.5 Vertrauenswürdige KommunikationMDM.18: Administrations- und Selfservice-PortaleDie Kommunikation mit dem Selfservice-Portal ist per SSL (TLS 1.2) abgesichert. Für VPN kann die Workspace ONE (AirWatch)-Lö-sung (AirWatch Tunnel) oder eine kunden-eigene VPN-Lösung eingesetzt werden.
MDM.19: Mobile EndgeräteDie Kommunkation zwischen dem mobilen Endgerät und dem MDM-System ist SSL-verschlüsselt. Art und Schlüssellänge des Zertifikats muss mindestens SHA256 entsprechen. Der Mindest-standard des BSI für den Einsatz des SSL/TLS-Protokolls wird somit erfüllt.
2.2 Nicht-funktionale Sicherheitsanfor-derungen an das MDM
MDM.20: Dokumentation des MDMInformationen zu Neuerungen und Bugfixes sind dokumentiert und können bei Bedarf aus dem myVMware-Portal heruntergeladen werden. Dies gilt auch für die so genannten Plattform-Guides, in denen je nach Betriebssystem die Einzelheiten zu den jeweiligen Plattformen wie z.B. Windows, iOS, Android etc. beschrieben wer-den.
MDM.21: Support Eine Erstinstallation kann durch VMware oder einen zertifizierten VMware Partner erfolgen. Support und Unterstützungsleistungen sind in unterschiedlichen Ausführungen beziehbar. Für den Sup-port bietet VMware verschiedene Support-Pakete an. Diese können direkt bei VMware angefragt werden.
MDM.22: Aktualisierungen des MDMVMware bietet für die einzelnen Betriebssysteme einen „0-Day Support“ (Feature Packs) an. Desweiteren werden mehrere „Major Upgrades“ im Jahr bereitgestellt.
2.3 Sicherheitsanforderungen an den Betrieb
2.3.1 Technische MaßnahmenMDM.23: Datensicherungen des MDMVMware kann mit Hilfe von Snapshots/Datenbank-Backups gesichert und vollständig wiederhergestellt werden.
MDM.24: Fernzugriff auf das MDMDie gelisteten kryptografischen Verfahren und Schlüssellängen werden unterstützt; Cloud Fernzugriff:
Siehe MDM19.
MDM.25: Erstinstallation der mobilen EndgeräteDiese Umsetzung der BSI-Vorgabe ist mit Vmware auf jeden Fall möglich, jedoch durch den Kunden bzw. die Behörde sicherzu-stellen. Grundsätzlich können aber nur verwaltete Endgeräte die von VMware bereitgestellten Kommunikationswege verwenden.
MDM.26: Verschlüsselung des SpeichersDie systemeigene Verschlüsselung kann durch entsprechende Profile sichergestellt werden.
MDM.27: Monitoring und DiagnoseBei Bedarf können genaue „Monitoring-Best Practices“ bereitgestellt werden.
MDM.28: Kennwörter und GerätecodesDer Geräteschutz durch Passcodes kann durch entsprechende Pro-file fernkonfiguriert werden. Zugriffe auf das MDM-System lassen sich auch ensprechend absichern. Hierzu können auch Active Di-rectory-Konten verwendet werden.
MDM.29: Automatische Sperre und GerätesperrungDies läßt sich durch ein entsprechendes Profil fernkonfigurieren.
2.3.2 Organisatorische MaßnahmenMDM.30: Administration des MDMVMware oder ein zertifizierter Partner bieten entsprechende Schu-lungen an.
MDM.31: Sensibilisierung der BenutzerVMware oder ein zertifizierter Partner kann bei dieser Aufgabe unterstützen.
MDM.32: DokumentationDies kann im Rahmen der Implementierung bereitgestellt werden.
MDM.33: Regelmäßige ÜberprüfungenVMware kann bei Bedarf durch Professional Services oder zerti-fizierte Partner unterstützen.
MDM.34: Umgang mit SicherheitsvorfällenDurch entsprechende Compliance Rules können die Vor-gänge bei Sicherheitsverstößen automatisiert werden. Bei einem Integritätsverlust (Jailbreak) kann das Gerät z.B. automatisch zurückgesetzt und gleichzeitig der Vorgesetzte in-formiert werden.
MDM.35: Aktualisierung der BetriebssystemeVMware unterstützt alle Betriebssystem-Änderungen ab dem „Nullten Tag“. Daher liegt es im Rahmen einer On-Pre-mise-Installation in der Verantwortlichkeit des Kunden, immer die neueste Version zu verwenden.
MDM.36: Konfigurationsprofile und MDM-ClientEine nicht autorisierte Löschung der MDM-Konfigurationsprofile kann technisch verhindert werden. VMware oder ein zertfizierter VMware-Partner kann Kunden hierzu beraten.
MDM.37: EndgerätenamenDie automatische Benamung der Geräte kann entsprechend an-gepasst werden, sodass kein Rückschluß auf den Nutzer oder die Behörde erfolgen kann.
MDM.38: Bereitstellung von ApplikationenDie Vorgabe ist mit VMware möglich und durch den Kunden umzusetzen. VMware Airwatch-Partner bieten zudem ent-sprechende Produkte an, die integriert werden können. Dazu kann VMware oder ein zertifizierter VMware-Partner beraten.
MDM.39: Nutzung von Schnittstellen und FunktionenUnter Profile->Einschränkungen existieren Möglichkeiten um die Funktionen auf das dienstlich notwendige Maß zu reduzieren.
MDM.40: Push-NachrichtenDie Anzeige von Push-Nachrichten ist durch den Benutzer ein-zustellen. Workspace ONE (Airwatch) ist in der Lage Push-Nach-richten individuell oder automatisch zu verschicken.
