Обзор безопасности Surface Duo
Surface Duo имеет встроенную защиту на каждом уровне благодаря глубоко интегрированному оборудованию, встроенному ПО и программному обеспечению для защиты устройств, удостоверений и данных. Как устройство Android 10, Surface Duo использует функции безопасности Android на уровне ОС и уровня служб Google. ОС Android использует традиционные средства управления безопасностью ОС для защиты пользовательских данных и системных ресурсов, защиты целостности устройств от вредоносных программ и обеспечения изоляции приложений. Кроме того, Google предоставляет различные службы на уровне поверх ОС, которые в сочетании с безопасностью ОС Android помогают постоянно защищать пользователей Android.
- UEFI с пользовательским конструктором. Уникальным для Surface Duo, среди устройств Android, является специально спроектированный Корпорацией Майкрософт единый расширяемый интерфейс встроенного ПО (UEFI), который обеспечивает полный контроль над компонентами встроенного ПО. Корпорация Майкрософт обеспечивает безопасность корпоративного уровня для Surface Duo, написав или просмотрив каждую строку кода встроенного ПО внутри компании, что позволяет корпорации Майкрософт напрямую и гибко реагировать на потенциальные угрозы встроенного ПО и устранять риски безопасности цепочки поставок.
- Проверенная загрузка. Начиная с аппаратного уровня после входа в систему проверенная загрузка стремится гарантировать, что выполняемый код поступает только из надежного источника. Он устанавливает полную цепочку доверия — от защищенного оборудованием корня доверия до загрузчика, загрузочного раздела и других проверенных секций. При загрузке Surface Duo каждый этап проверяет целостность и подлинность следующего этапа перед выполнением.
- Разделение приложений. Песочница приложений изолирует и защищает приложения Android, предотвращая доступ вредоносных приложений к личной информации. Обязательное постоянное шифрование и обработка ключей помогают защитить данные при передаче и хранении, даже если устройства попадают в чужие руки. Шифрование защищено с помощью ключей хранилища ключей, которые хранят криптографические ключи в контейнере, что затрудняет извлечение из устройства.
- Google Play Protect. На уровне программного обеспечения Surface Duo использует Google Play Protect для обнаружения угроз, который сканирует все приложения, включая общедоступные приложения из Google Play, системные приложения, обновленные корпорацией Майкрософт и операторами, а также неопубликованные приложения.
- Microsoft Defender ATP. Антивирусная программа корпоративного уровня и по защите от вредоносных программ для Windows 10 теперь доступна для устройств Android, управляемых из Intune. Дополнительные сведения см. в разделе ATP в Microsoft Defender для Android.
Безопасность управления мобильными устройствами
Surface Duo защищен в корпоративной среде с помощью решения Enterprise Mobility Management (EMM), которое предоставляет согласованный набор средств защиты, технологий и рекомендаций, которые можно адаптировать в соответствии с требованиями организации и соответствия требованиям. Широкий спектр API-интерфейсов управления предоставляет ИТ-отделам средства, помогающие предотвратить утечку данных и обеспечить соответствие требованиям в различных сценариях. Поддержка нескольких профилей и параметры управления устройствами обеспечивают разделение рабочих и персональных данных, обеспечивая безопасность корпоративных данных.
Безопасность MDM основана на расширяющемся наборе технологий конфигурации, позволяющих пользователям эффективно работать в пути, а также защищать важную корпоративную интеллектуальную собственность. Сюда входят политики защиты приложений, политики ограничений устройств и связанные с ними технологии, предназначенные для достижения определенных целей в зависимости от вашей среды, независимо от того, состоит ли ваш бизнес в доставке заказов на вынос в ресторанах, управлении ИТ-услугами для стоматологических кабинетов или обработке конфиденциальной информации о национальной безопасности.
Например, вы можете усилить проверку подлинности устройства, требуя от пользователей ввода 6-значного буквенно-цифрового пин-кода вместе с двухфакторной проверкой подлинности. Вы можете ограничить устройства, на которые пользователи могут регистрироваться, чтобы обеспечить соблюдение ограничений лицензирования или избежать предоставления доступа к телефонам со снятой защитой или другим неподдерживаемым типам устройств. Intune и другие ЭММ позволяют организациям управлять устройствами в соответствии с их потребностями.
политики защита приложений
политики защита приложений (APP) — это правила, гарантирующие безопасность данных организации или их хранение в управляемом приложении. Политика может быть правилом, которое применяется, когда пользователь пытается получить доступ к "корпоративным" данным или переместить их, или набор действий, которые запрещены или отслеживаются, когда пользователь находится в приложении. Управляемое приложение — это приложение, к которому применяются политики защиты приложений, которыми можно управлять с помощью Intune.
политики защита приложений позволяют управлять данными организации и защищать их в приложении. Многими приложениями для повышения производительности, такими как приложения Microsoft Office, можно управлять с помощью Intune MAM. См. официальный список Microsoft Intune защищенных приложений, доступных для общего использования.
Вопросы безопасности при управлении Surface Duo
Растущее число параметров политики, доступных в решениях для управления мобильными устройствами, позволяет организациям настраивать уровни защиты в соответствии с конкретными потребностями. Чтобы помочь организациям определить приоритеты параметров безопасности для Surface Duo (или любого другого устройства Android), Intune представила свою платформу конфигурации безопасности Android Enterprise, организованную в несколько отдельных сценариев конфигурации, предоставляя рекомендации по рабочим профилям и полностью управляемым сценариям.
Уровень "Безопасность" | Целевой объект | Сводка | Сведения о параметрах |
---|---|---|---|
Базовая безопасность рабочего профиля — уровень 1 | Личные устройства с доступом к рабочим или учебным данным. | Вводит требования к паролям, разделяет рабочие и личные данные, а также проверяет аттестацию устройств Android. | Параметры рабочего профиля уровня 1 |
Высокий уровень безопасности рабочего профиля — уровень 3 (Из-за соглашений о платформе это следующий уровень выше уровня 1.) |
Устройства, используемые пользователями или группами с уникальным высоким риском. Например, пользователи, обрабатывая конфиденциальные данные, когда несанкционированное раскрытие приводит к значительным материальным потерям. | Вводит защиту от угроз для мобильных устройств или Microsoft Defender ATP, устанавливает минимальную версию Android 8.0, устанавливает более строгие политики паролей и дополнительно ограничивает работу и личное разделение. | Параметры рабочего профиля уровня 3 |
Полностью управляемая базовая безопасность — уровень 1 | Конфигурация минимальной безопасности для корпоративного устройства, применимая к большинству мобильных пользователей, обращаюющихся к рабочим или учебным данным. | Вводит требования к паролям, устанавливает минимальную версию Android 8.0 и устанавливает определенные ограничения на устройства. | Полностью управляемые параметры уровня 1 |
Полностью управляемый уровень повышенной безопасности 2 | Устройства, на которых пользователи получают доступ к конфиденциальной или конфиденциальной информации. | Принимает более надежные политики паролей и отключает возможности пользователей и учетных записей. | Полностью управляемые настройки уровня 2 |
Полностью управляемый высокий уровень безопасности 3 | Устройства, используемые пользователями или группами с уникальным высоким риском. Например, пользователи, обрабатывая конфиденциальные данные, когда несанкционированное раскрытие приводит к значительным материальным потерям. | Увеличивает минимальную версию Android до 10.0, вводит защиту от угроз для мобильных устройств или Microsoft Defender ATP и применяет дополнительные ограничения устройств. | Полностью управляемые параметры уровня 3 |
Как и в случае с любой платформой, параметры на соответствующем уровне может потребоваться скорректировать в зависимости от потребностей организации, так как безопасность должна оценивать среду угроз, аппетит к риску и влияние на удобство использования.