Detaillierter Einblick in die Möglichkeiten: Samsung KNOX und Android for Work VERWALTUNGSTOOLS Cloud Konfiguration FUNKTIONEN PRODUKT On-Device Verschlüsselung Sicherheitserweiterungen für Android TIMA und RKP Samsung KNOX Funktion Silent Install Android for Work Mithilfe der Samsung KNOX Workspace Mobile Device Management (MDM) APIs können IT-Administratoren Anwendungen automatisch installieren und aktivieren. Der vereinfachte Registrierungsprozess unterstützt die vollautomatische Erstellung eines Enterprise-Workspace und die Bereitstellung von Anwendungen und Richtlinien. Über die EMM-Konsole können IT-Administratoren Apps in Android for Work unbeaufsichtigt installieren, entfernen und aktualisieren. Diese Möglichkeiten verbessern die Nutzererfahrung (und machen den IT-Administratoren das Leben leichter), da der Nutzer die Apps nicht selbst aktualisieren oder entfernen muss. KNOX bietet zusätzlich: Mit Samsung KNOX Mobile Enrollment können IT-Administratoren automatisch hunderte oder sogar tausende Mitarbeiter registrieren, indem die Geräteinformationen in der Cloud konfiguriert werden. Samsung bietet außerdem ein Webtool und eine Anwendung zum Einscannen der Strichcodes auf der Verpackung des Smartphones (die IMEI-Nummer des Geräts). Anwendungskonfiguration KNOX bietet IT-Administratoren die folgenden Funktionen: ⚫ ⚫ ⚫ ⚫ ⚫ ⚫ ⚫ ⚫ Anwendungen installieren und deinstallieren. Installation und Deinstallation von Anwendungen einschränken. Anwendungen aktivieren und deaktivieren. Den aktuellen Status einer Anwendung abfragen. Das Anwendungsverhalten steuern. Anwendungsmeldungen steuern. Den E-Mail-Client konfigurieren. Den SSL-VPN-Client für Cisco, F5 und Juniper konfigurieren. Sichere App-Installation Dank der mehr als 1500 MDM-APIs von KNOX erhalten von Google Play IT-Administratoren die volle Kontrolle darüber, welche Apps innerhalb des Workspace ausgeführt werden können, so dass das Ausführen von nicht vertrauenswürdigen Apps der Vergangenheit angehört. Datenschutz für selbstgehostete Apps Mit der EMM-Konsole können IT-Administratoren die Einstellungen für eine bestimmte Anwendung konfigurieren. Wenn Android for Work konfiguriert ist, werden die App-Einstellungen auf das Gerät übertragen. Google hat einen neuen Satz Google Play APIs für EMM-Anbieter eingeführt, mit dem Apps verwaltet und verteilt sowie die App-Bereitstellung in Android for Work gesteuert werden können. Somit können keine schädlichen Apps geladen werden. Außerdem können die Administratoren jede App aus dem Google Play Store für den Workspace bereitstellen oder den Nutzern erlauben, die Google-Play-App im Workspace zu installieren. IT-Administratoren können außerdem Anwendungen aus einem privaten App-Store installieren. Durch dieses neue Verfahren in Verbindung mit dem Android for Work-Profil für Lollipop erhalten IT-Leiter die Möglichkeit, jede beliebige Play-App im Google Play Store ohne zusätzliches Wrapping in einem sicheren Android-Container bereitzustellen. KNOX ermöglicht die Installation von privaten Enterprise-Apps auf einem Gerät. Organisationen, die sich um die Sicherheit ihrer privaten, unternehmensinternen Apps Sorgen machen, können sich dafür entscheiden, diese Apps entweder intern oder über ihren EMM-Anbieter selbst zu hosten. Selbst gehostete Apps können im Google Play Store auf den öffentlichen Suchergebnissen ausgeschlossen werden. Android for Work vereinfacht die Verwaltung von Mobilgeräte-Apps und verbessert die Sicherheit durch die Bereitstellung eines sicheren Profils (oder Containers) für Android-Geräte mit Android 4.0 oder höher. IT-Administratoren können ein EMM nutzen, um Apps auf jedem Gerät mit einem Android for Work-Profil (Android Lollipop) oder der Android for Work-App (Android 4.0 4.4) sicher bereitzustellen und zu isolieren Der KNOX Workspace bietet eine isolierte Umgebungen und Benutzeroberfläche für die Enterprise-Nutzung besteht aus einem separaten Startbildschirm, Launcher, Enterprise-Apps und Widgets. Die Daten der Apps im KNOX Workspace werden durch umfassende Data-At-Rest-(DAR)-Mechanismen geschützt. IT-Administratoren können die umfangreiche Auswahl an Konfigurations-APIs von KNOX nutzen, um den Workspace und seine DAR-Schutzmechanismen bereitzustellen und zu konfigurieren. Produktivitäts-Apps KNOX versieht Apps, die im Workspace ausgeführt werden, (E-Mail, Kalender usw.) mit einem Zeichen, so dass der Nutzer solche Apps von persönlichen Apps unterscheiden kann. Separater Container für Work-Apps 1 Android for Work bietet eine Auswahl an sicheren, gekennzeichneten PIM-Apps, so dass persönliche und arbeitsbezogene Apps auf dem Gerät einfach auseinandergehalten werden können. Funktion Samsung KNOX Android for Work Schutz vor Datenverlust Mit den KNOX MDM-Richtlinien kann der Informationsaustausch zwischen dem Workspace und den persönlichen Apps reguliert werden. Dies umfasst den Austausch von Kalenderinformationen, Kontaktdaten und Benachrichtigungen. Daten können über die Zwischenablage nicht vom Workspace in persönliche Apps oder umgekehrt kopiert werden. KNOX bietet zusätzlich: Die EMM-Richtlinien legen fest, welche Daten der Nutzer mit Android for Work austauschen kann. Dies umfasst die Möglichkeit, innerhalb des verwalteten Profils die Kopieren/Einfügen-Funktion oder das Aufnehmen des App-Bildschirms zu sperren. (Bitte beachten Sie, dass sie Kopieren/Einfügen-Funktion vom verwalteten Profil zum persönlichen Profil gesperrt werden kann, nicht aber in die entgegengesetzte Richtung.) Schutz sensibler Daten Sämtliche während der Sperrung des Workspace empfangenen sensiblen Daten werden dennoch durch die Sensitive Date Protection (SDP) geschützt. Hierzu kommt ein Schlüssel-Algorithmus zum Einsatz, bei dem der private Teil des Schlüssels in einer verschlüsselten Partition gespeichert wird, während der öffentliche Teil zur Verschlüsselung der neuen sensiblen Daten genutzt wird. Sobald der Workspace entsperrt wird, werden die Daten mit dem privaten Schlüssel entschlüsselt und mit dem gewöhnlich genutzten symmetrischen Schlüssel erneut verschlüsselt, der wiederum vom CMK (Master-Schlüssel) geschützt wird. Zur Zeit werden der E-Mail-Betreff, die E-Mail-Nachricht und die Anhänge als sensibel eingestuft. Zusätzlich bietet die SDP-Kammer ein Verzeichnis, in dem alle Dateien automatisch als sensibel markiert und durch die SDP geschützt werden. Container VPN KNOX erlaubt sowohl für die Workspace-Apps als auch für die persönlichen Apps zusätzliche VPN-Funktionen. Das MDM-konfigurierbare KNOX VPN unterstützt mehrere parallele VPN-Verbindungen und damit IPSec- oder SSL-VPNs mit konfigurierbarem Auto-Reconnect und VPN-Tunnel-Chaining. Android for Work ermöglicht die Feinabstimmung der VPN-Funktionen innerhalb des verwalteten Profils, so dass ein geräteweites VPN überflüssig wird. Dank dieser neuen Möglichkeiten kann die IT-Abteilung höhere Sicherheit und mehr Kontrolle über die unternehmensweite App-Kommunikation erreichen. Das KNOX VPN-Subsystem unterstützt darüber hinaus weitere Formen der Paketverarbeitung, darunter Split Billing und Network Access Control. KNOX bietet zusätzlich: Mit Enterprise Billing können Unternehmen die betriebliche Datennutzung von der persönlichen Datennutzung trennen. Damit erhalten Unternehmen die Möglichkeit, ihre Angestellten für die durch die Arbeit verursachten Kosten der Datennutzung, insbesondere bei Geräten der Angestellten, zu entschädigen. KNOX bietet u. a. folgende VPN-Funktionen: ⚫ ⚫ ⚫ ⚫ ⚫ ⚫ ⚫ ⚫ ⚫ Selektive Datenlöschung Vom Administrator konfiguriertes System-VPN. Vom Administrator konfiguriertes App-VPN. Vom Administrator konfiguriertes Workspace-VPN. Mehrere parallele VPN-Verbindungen. Unterstützung für IPsec und SSL VPN. Vom Administrator konfigurierter FIPS- und Nicht-FIPS-VPN-Modus. Smart-Card-Authentifizierung Always-on-VPN-Verbindungen mit Auto-Reconnect. VPN-Tunnel-Chaining. IT-Administratoren können die Daten von internen und externen SD-Karten sowie Anwendungsdaten sicher löschen. Der gesamte Container kann gesperrt werden, wenn seine Sicherheit gefährdet ist. Außerdem kann er einschließlich aller darin enthaltenen Daten gelöscht werden. 2 Mit Android for Work können IT-Administratoren verlorene oder gestohlene Geräte unbrauchbar machen, indem sie aus der Ferne alle Arbeitsdaten löschen, während die persönlichen Inhalte erhalten bleiben. Wenn es sich um unternehmenseigene Geräte handelt, hat die IT-Abteilung somit die volle Kontrolle über das Gerät, was auch eine Komplettlöschung aller Gerätedaten einschließt. Samsung KNOX Funktion Schutz vor dem Herunterladen schädlicher Apps Android for Work Der KNOX Workspace isoliert Apps und Daten des Unternehmens von persönlichen Apps des Nutzers. Nicht vertrauenswürdige persönliche Apps des Nutzers außerhalb des Workspace haben keinen Einfluss auf den Workspace. KNOX bietet zusätzlich: Der Echtzeit-Kernelschutz (Real-time Kernel Protection; RKP) verwirklicht drei wichtige Sicherheitsfunktionen: ⚫ 1. RKP verhindert vollständig die Ausführung eines nicht zulässigen, privilegierten Codes (d. h. ein Code, der das Kernel-Privileg besitzt) auf dem System; dies wird dadurch erreicht, dass die Anpassung des Kernelcodes, das Einfügen eines nicht zulässigen Codes in den Kernel und die Ausführung des Codes im Benutzerbereich im privilegierten Modus verhindert wird. ⚫ 2. RKP verhindert, dass von Benutzerprozessen direkt auf die Kerneldaten zugegriffen werden kann. Dadurch wird u. a. eine doppelte Zuweisung des physikalischen Speichers, der kritische Kerneldaten enthält, in den virtuellen Speicher des Benutzerbereichs verhindert. Dies ist ein wichtiger Schritt, um Kernel-Exploits zu verhindern, die Kerneldatenregionen schädlichen Prozessen zuweisen, wo sie wiederum von einem Angreifer modifiziert werden könnten. ⚫ 3. RKP überwacht einige kritische Kerneldatenstrukturen, um sicherzustellen, dass diese nicht angegriffen werden. RKP schützt insbesondere die Daten, durch die die Anmeldedaten der ausgeführten Nutzerprozesse definiert werden, um so Angriffe durch die Ausnutzung dieser Anmeldedaten zu verhindern. KNOX Garantiesicherung. Hierbei handelt es sich um eine einmalig programmierbare Sicherung, die angibt, ob das Gerät jemals in einem unzulässigen Zustand gebootet wurde. Wenn der Trusted-Boot-Prozess erkennt, dass unzulässige Komponenten genutzt werden oder bestimmte Sicherheitsfunktionen wie SELinux deaktiviert wurden, wird die Sicherung gesetzt. Danach kann auf dem Gerät nie wieder Samsung KNOX ausgeführt werden, der Zugriff auf DUHK und DRK in der TrustZone Secure World ist nicht mehr möglich und Unternehmensdaten auf dem Gerät können nicht wiederhergestellt werden. TIMA-Validierung Durch die TIMA-Validierung kann ein Gerät gegenüber einem Server – wie z. B. einem MDM-Server – Fakten über seinen Status validieren. Die Validierungsmeldung enthält Statuskenndaten, die vom Server ausgewertet werden können, und der daraufhin entscheidet, ob das Gerät vertrauenswürdig ist oder nicht. Diese Meldung enthält: ⚫ ⚫ ⚫ ⚫ ⚫ ⚫ Von Trusted Boot gesammelte Kenndaten zur Sicherstellung, dass während des Bootvorgangs ausschließlich zulässige Systemsoftware geladen wurde. Sicherheitsverstoß-Logs von PKM und RKP seit dem letzten Neustart. Status der KNOX Garantiesicherung. Ob SE für Android im Modus „Erzwingend“ ausgeführt wird. Daten zur Geräteidentifizierung wie IMEI und WLAN-MAC-Adresse. Eine lokal berechnete Bewertung darüber, ob das Gerät glaubt, dass es sich in einem vertrauenswürdigen Zustand befindet. 3 Android for Work schützt Unternehmens-Apps und -Daten vor Problemen, die aus den persönlichen Aktivitäten des Nutzers außerhalb des Profils erwachsen – Laden von Web-Apps, Bestellen von unbekannten Webseiten und andere möglicherweise unsichere Aktivitäten. Funktion Schutz vor dem Herunterladen schädlicher Apps (Fortsetzung) Samsung KNOX Android for Work Auf Trusted Boot basierender KeyStore (TIMA KeyStore) Der TIMA KeyStore stattet Anwendungen mit Diensten zur Erzeugung und Verwaltung kryptografischer Schlüssel aus. Der TIMA KeyStore ist nur dann aktiviert, wenn die Trusted Boot-Kenndaten den bekannten zulässigen Werten in der Datei tima_measurement_info entsprechen und die KNOX Garantiesicherung nicht gesetzt ist. Somit können kryptografische Schlüsseloperationen im KeyStore nur dann ausgeführt werden, wenn das System in einem zulässigen Status gebootet wurde. Die im TIMA KeyStore gespeicherten Schlüssel werden zusätzlich mit dem geräteeigenen Hardwareschlüssel (DUHK) verschlüsselt und können ausschließlich in TrustZone Secure World mit demselben Gerät entschlüsselt werden. Alle kryptografischen Schlüsseloperationen werden in TrustZone Secure World ausgeführt. Auf Trusted Boot basierendes Client Certificate Management (TIMA CCM) Das TIMA CCM ermöglicht die Speicherung und die Abfrage von digitalen Zertifikaten sowie die den Funktionen einer SmartCard ähnliche Verschlüsselung, Entschlüsselung, Signierung und Verifizierung. Die Zertifikate und damit verknüpften Schlüssel werden mit einem geräteeigenen Hardware-Schlüssel verschlüsselt, der ausschließlich mit in TrustZone ausgeführtem Code entschlüsselt werden kann. Das auf TrustZone basierende CCM bietet außerdem die Möglichkeit zur Erzeugung einer Certificate Signing Request (CSR; Anfrage zur Zertifikatssignierung) und der damit verknüpften öffentlichen/privaten Schlüsselpaare zum Abruf eines digitalen Zertifikats. Für Anwendungen, die kein eigenes Zertifikat benötigen, wird ein Standardzertifikat bereitgestellt. Programmierschnittstellen zum Speichern und Verwalten von Zertifikaten werden im KNOX Premium SDK zur Verfügung gestellt. Anwendungsentwickler erhalten die PKCS#11-APIs (Industriestandard) für das Zertifikatmanagement und können daher mit dem CCM interagieren, als sei es eine virtuelle SmartCard. Ähnlich wie beim TIMA KeyStore sind TIMA CCM-Operationen nur dann erlaubt, wenn das Gerät in einem zulässigen Status gebootet wurde. EMM Voraussetzung KNOX benötigt zur Verwaltung der KNOX-Richtlinien auf einem Gerät eine EMM-Plattform. 4 Android for Work benötigt eine betriebssystemübergreifende EMM-Plattform. Über Samsung Electronics Co., Ltd. Samsung Electronics Co. Ltd. ist ein globaler Technologieführer, der Menschen auf der ganzen Welt neue Möglichkeiten eröffnet. Mit starken Innovationen und dem Streben, immer wieder Neues zu entdecken, verändern wir die Welt von Fernsehern, Smartphones, Tablets, PCs, Kameras, Druckern und Hausgeräten, LTE-Systemen bis hin zu Medizintechnik, Halbleitern und LED-Lösungen. Wir beschäftigen weltweit 286.000 Menschen in 80 Ländern bei einem Jahresumsatz von 216,7 Milliarden US-Dollar. Entdecken Sie mehr unter www.samsung.com. Weiterführende Informationen Für weiterführende Informationen zu Samsung Enterprise Mobility und Samsung KNOX besuchen Sie bitte www.samsung.com/enterprise und www.samsung.com/knox Copyright © 2015 Samsung Electronics Co. Ltd. Alle Rechte vorbehalten. Samsung, Samsung KNOX und Samsung GALAXY GEAR sind entweder Warenzeichen oder eingetragene Warenzeichen von Samsung Electronics Co. Ltd. Spezifikationen und Entwürfe können sich ohne vorherige Ankündigung ändern. Bei nicht-metrischen Gewichts- und Größenangaben handelt es sich um Näherungswerte. Alle Daten waren zum Zeitpunkt der Erstellung korrekt. Samsung haftet nicht für Fehler oder Auslassungen. Alle Marken, Produkte, Dienstleistungsnamen und Logos sind Warenzeichen bzw. eingetragene Warenzeichen ihrer jeweiligen Inhaber, und sie werden hiermit anerkannt und bestätigt.
© Copyright 2024 ExpyDoc
