As formas de virtualizar dispositivos móveis e por que você deve fazê-lo

A ideia de dividir smartphones em partições pessoal e profissional está ganhando força, por bons motivos. Mas saiba que quem optar por iOS terá mais trabalho nesta tarefa

Os funcionários da geração Y são muito, muito apegados aos seus smartphones: a maioria usa até na cama, como descobriu uma recente pesquisa do Cisco Connected World Report, e um terço deles os utiliza no banheiro.

Entre os 424 entrevistados pela pesquisa Mobile Security 2013, da InformationWeek EUA, 68% oferecem suporte a algum tipo de BYOD; outros 20% estão desenvolvendo políticas sobre a tendência. Não surpreende que 78% deles digam que a principal preocupação é que dispositivos sejam roubados ou perdidos; bem à frente da segunda preocupação mais recorrente, que é o envio de informações corporativas para serviços baseados em nuvem (citado por 36%). Mais da metade, 55%, já teve dispositivos perdidos. No entanto, a criptografia de dados está longe de ser ubíqua nesse contexto.
Uma alternativa: segmentar os dispositivos móveis entre pessoal e profissional.  Permitir que o usuário faça o que quiser do lado de lá da fronteira; enquanto a TI mantém o controle do lado de cá. Existem diversas abordagens para a ‘compartimentalização’, que são discutidas com mais profundidade em nosso relatório completo. Nenhuma delas está completamente madura ou tem uso abrangente, e os usuários de iOS terão ainda mais trabalho que os outros. Mesmo no Android ou BlackBerry, ainda existem muitos desafios técnicos.

Mas acho que esses produtos podem valer um estudo.

Os métodos mais sofisticados estão no nível de hardware e oferecem uma divisão virtual entre trabalho e diversão; mas também são os que mais perturbam a experiência do usuário. Hipervisores Tipo 1 (basicamente a versão móvel do vSphere) e software de virtualização Tipo 2 rodando sobre o OS transformam, com eficiência, o smartphone em dois dispositivos separados, chegando a ter números e planos de dados diferentes. Eles apenas compartilham a mesma tela.

Aplicativos sandbox geram isolamento para melhor suporte ao hardware. Basicamente, você roda os aplicativos corporativos dentro de uma aplicação, de forma parecida com o uso da suíte Google Docs no navegador Chrome. Como os hipervisores, o sandbox cria múltiplas personas que são particionadas, chegando até papel de parede e contatos. Cada persona pode ter seus próprios aplicativos, políticas de segurança e preferências de sistema.

Tecnologias de display remoto geralmente utilizam um cliente nativo local ou, com menos frequência, navegadores móveis para acessar os aplicativos rodando em um servidor central. Por fim, containers de armazenamento criptografado podem proteger e controlar dados armazenados localmente de acordo com políticas, mas não isolam os aplicativos, que continuam rodando dentro do ambiente pessoal do usuário.

Todos esses métodos são válidos, no entanto, o santo graal continua sendo a virtualização móvel completa. É uma visão atraente, tanto que o Gartner prevê que 50% das empresas irão conseguir controles mais fortes sobre conteúdos corporativos em dispositivos de consumidor por meio da combinação de capacidades nativas de containerização e funções de gerenciamento de dispositivos móveis até o final deste ano. Achamos que isso é pensamento ilusório; nossa pesquisa mostrou que apenas 32% das empresas têm MDM implementado. Assim, cabe à maioria das áreas de TI, pelo menos, avaliar a containerização.

Existem três rotas principais:

– Hipervisor completo no cliente: Assim como acontece com PCs e servidores, existem duas formas de criar ambientes completamente virtualizados em dispositivos móveis: Tipo 1, nativo; ou Tipo 2, hipervisor hospedado. O primeiro, roda diretamente no hardware do dispositivo, por baixo do sistema operacional e exige suporte abrangente de hardware, um grande desafio em dispositivos móveis que não têm um equivalente a plataforma de hardware padrão x86. O segundo, similar ao Virtual Box ou Parallels, roda sobre o OS nativo, uma tarefa mais fácil. Ainda assim, é difícil transferir até mesmo funcionalidades de nível baixo porque os sistemas operacionais móveis são tanto rigidamente controlados (estamos falando de você, Apple) quanto expressivamente customizados para configurações específicas de hardware (aqui, o Android é o maior problema). Falamos sobre as diferenças entre Tipo 1 e Tipo 2 com mais detalhes em nosso relatório completo.

Sandbox de aplicativo e containers: Seguindo para compartimentalização, temos os aplicativos que podem encapsular ambientes completos de trabalho em um sandbox seguro ou evolver aplicativos individuais dentro de um container gerenciado centralmente. Sandboxes de aplicativos, que alguns fornecedores chamam de “software dual-persona”, levam as técnicas de isolamento de código presentes em tudo, desde HTML5 até sistemas operacionais móveis, a outro nível, criando um ambiente de trabalho seguro no dispositivo móvel, que suporta não só aplicativos corporativos localmente instalados, mas dados de aplicativos, preferências e perfis de usuário. O ambiente completo fica protegido, tela inicial pessoal e aplicativos associados, e a experiência é completamente modal – o usuário está em modo corporativo ou modo pessoal.

Sandboxes são muitos mais fáceis de portar do que os hipervisores reais, o que significa que são mais prováveis de funcionar em diferentes plataformas. Por exemplo, o Toggle, da AT&T, funciona em qualquer dispositivo Android rodando 2.2 ou acima, enquanto o Divide, da Enterproid, suporta iOS e Kindle Fire.

Os containers seguros de aplicativo levam as técnicas de sandbox mais adiante, suportando autenticação de usuário, políticas de uso de dados e aplicativos e criptografia de dados (tanto armazenados quanto de rede). Tudo isso ocorre nos bastidores. Algumas empresas, incluindo Bitzer Mobile, Mocana, OpenPeak e Symantec oferecem produtos nessa linha. A maioria delas entrega um conjunto comum de funções: containers de dados locais criptografados (protegem os dados em descanso), criptografia de conexões de rede (protege os dados em movimento), algum nível de prevenção de perda de dados, incluindo políticas sobre movimentação de dados locais (por exemplo, restrições na área de transferência via copiar/colar), gerenciamento de identidade (autenticação de usuário em diretório central) e controle de acesso baseado em localização ou horário (como a limitação de acesso a aplicativos em certos horários, acesso negado depois de determinada data ou uso limitado em certos locais).

Uma alternativa menos eficiente, mas de implementação mais fácil, para envolver aplicativos inteiros é criar um volume de armazenamento criptografado e gerenciado centralmente ou uma pasta local para aplicativos corporativos. Embora essa alternativa não ofereça controle sobre políticas de uso ou sobre todas as formas de movimentação de dados entre os ambientes pessoal e profissional (pense área de transferência ou e-mail para uma conta externa), containers criptografados permitem o gerenciamento central de políticas de armazenamento de dados e eliminação remota.

Um aspecto negativo desses produtos, como Good Dynamics, é que os aplicativos precisam de códigos adicionais, geralmente implementados por meio de SDKs e bibliotecas fornecidos pelos vendedores, para oferecer os ganchos de software necessários para usar os container criptografados e seguir as políticas de acesso de dados determinadas de maneira central. Nesta era de armazenamento de arquivos em nuvem serviços de sincronização, talvez seja uma aposta mais inteligente simplesmente manter dados persistentes fora do dispositivo por meio de serviços de nuvem como Box ou Syncplicity.

– Execução remota de aplicativo: Uma alternativa para ter um ambiente corporativo separado no dispositivo móvel pessoal é, simplesmente, remover, completamente, a execução do aplicativo do dispositivo, uma técnica utilizada de diversas formas – VDI, serviços de terminal, streaming de aplicativo, aplicativos web – nos PCs, há anos. Assim como com containers de aplicativos, a vantagem é que os aplicativos do negócio aparecem na área pessoal do dispositivo. Produtos de streaming de aplicativo, como Citrix Receiver, usam um cliente nativo instalado localmente (o receptor), que oferece desempenho mais rápido de aplicativo e experiência de usuário melhor comparada ao navegador.

Existem alguns pontos negativos, contudo. Primeiro, geralmente, os aplicativos não podem ser utilizados em modo offline (embora alguns produtos ofereçam cache em dispositivos Windows). Isso não deve ser um problema muito sério na era da onipresente conectividade 3G/LTE. Segundo, a experiência do usuário pode sofrer se os aplicativos remotos forem desenvolvidos para PC com teclado e mouse em vez de um dispositivo sensível ao toque.

Enquanto a virtualização de dispositivos móveis e as tecnologias de compartimentalização ainda estão em mudança, fazem sentido, agora, para usuários que acessam informações sigilosas ou que trabalham em setores altamente regulamentados.

Quais são as principais preocupações com segurança móvel?

  • Dispositivos perdidos ou roubados: 78%
  • Usuários enviando informações corporativas para serviços de armazenamento em nuvem (ex. Dropbox): 36%
  • Malware móvel em aplicativos de lojas públicas: 34%
  • Penetração em nossas redes Wi-Fi corporativas: 32%
  • Segurança em hotspots públicos: 26%
  • Dispositivos jailbroken ou consolidados por usuários finais: 22%
  • Exploração de vulnerabilidades por malwares em aplicativos móveis desenvolvidos internamente: 21%
  • Intercepção de transmissões pelo ar: 19%
  • Envio de e-mail para contas pessoais do usuário: 17%
  • Penetração da rede Wi-Fi doméstica do usuário: 5%
  • Fraude: 2%

Sumidos

Nos últimos 12 meses, algum dispositivo móvel contendo informações corporativas, incluindo laptops ou netbooks, sumiu (incluindo perda ou roubo)?

  • Não – 55%
  • Sim – 45%

Métodos de criptografia

Quais métodos de criptografia são utilizados em dispositivos móveis que contenham dados corporativos?

  • Varia de acordo com dispositivo, posse ou uso aprovado: 51%
  • Criptografia de software para todo o conteúdo: 23%
  • Criptografia de hardware se suportada pelo dispositivo: 21%
  • Criptografia de software para certos arquivos e pastas: 15%
  • Criptografia de hardware é obrigatória e ponto: 13%
  • Apenas o aplicativo de e-mail é criptografado: 10%
  • Apenas certos dados de certos aplicativos são criptografados: 9%
  • Nenhuma por política; ficam a critério do usuário final: 13%

Dados: Pesquisa Mobile Security, InformationWeek EUA 2013, com 424 profissionais de tecnologia do negócio. Abril 2013.

Deixe uma resposta