• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Bezpečné smartphony – Samsung Knox

Richard Jan Voigts
1. 8. 2016
| Články

Mobilní telefony a tablety se musejí v podnikové infrastruktuře chovat bezpečně a jejich správa musí být jednoduchá. Výbava Samsung Knox jim dnes tyto vlastnosti jako jediná platforma s Androidem dává. Samsung navíc poskytuje některé vyspělé služby zabezpečení Androidu i pro spotřebitelský segment.
Samsung Knox je upravenou platformou operačního systému Android od společnosti Samsung. Je k dispozici pro každé zařízení Samsung s Androidem a spolupracuje s binárně, tj. jednostranně a nevratně přepisovatelnými čipy ARM Trust Zone na základní desce. Systém Samsung Knox je založený na virtualizaci a v podstatě umožňuje vytvořit dvě zařízení v jednom – jedno soukromé a jedno firemní. Kromě toho umožňuje díky API nastavit uživatelské profily a spravovat přes konzoli Mobile Device Management (MDM) více zařízení najednou.

Platforma umí například i rozlišit, ze které části telefonu stahuje data, a pokud toto operátor podporuje, vystavět za data dvojí vyúčtování. V České republice tato služba zatím není k dispozici.

Samsung má pro třetí strany také k dispozici SDK se sadou API pro tvorbu vlastních aplikací – řešení.

Platforma Samsung Knox

Platforma Samsung Knox

Jak funguje ochrana Samsung Knox

Nadstavba Samsung Knox má sedm vrstev. Nejdůležitějšími z hlediska pochopení, jak ochrana funguje, jsou Samsung Knox kontejner, TIMA a ARM Trust Zone.

V nejvyšší vrstvě kontejneru Knoxu uloženy aplikace se svými daty, jde o virtuální prostředí daného uživatele. Kontejner je šifrován AES 256.

Uživatel se přihlašuje napřed do telefonu, pak do kontejneru Knox, nebo lze vynutit přihlášení „Container only mode“. Jde o jakýsi „další telefon“, do kterého se uživatel přihlásí. Administrátor přitom může povolit přístup z firemní části do soukromé a naopak, například ke kontaktům, dokumentům, fotografiím apod., Kontejner otevírá firemní IT správce prostřednictvím nástroje MDM.

Kontejner ještě může obsahovat složku Knox Chamber pro zvlášť citlivá data, která je znovu šifrována AES 256. Každé heslo je sice prolomitelné, avšak za jakou cenu; prolomit jedno šifrování AES 256 je velmi obtížné a dvojí pak až příliš nákladné. Zařízení Samsung proto získala certifikát i od Pentagonu, každoročně obhajuje Common Criteria a FIPS 140-2 za šifrování.

ARM Trust Zone komunikuje přímo s hardwarem, umí jej binárně přepsat v případě ohrožení korporátní části. Do ARM Trust Zone se dají ukládat i certifikáty.
Knox po zapnutí telefonu zkontroluje všechny vrstvy až po kontejner.

Vrstva TIMA hlídá systém i aplikace při bootování i v reálném čase při běhu systému. Umožňuje instalovat „nezabalené“ aplikace do kontejneru. Umí zjistit, zda je zařízení důvěryhodné, tj. zda běží na oficiálním systému, nebo zda se aplikace nesnaží neuatorizovaně přistupovat k datům ostatních aplikacích v systému. Například když aplikace sahá do kontaktů, TIMA ji ukončí a uživatele upozorní, že byla ukončena. Nativně totiž není umožněno vykopírovat seznam kontaktů. Když se například uživatel pohybuje v privátní části telefonu a zavolá mu někdo z korporátních kontaktů, telefonát lze uskutečnit, avšak jméno volajícího se mu nezobrazí (pokud administrátor nenastaví jinak například povolí pouze zobrazení, nikoli však editaci či kopírování do soukromé části).

K pokynu TIMA do ARM Trust Zone k nevratnému přepsání čipu na základní desce může dojít ve dvou základních případech.

Za prvé, když vrstva TIMA pozná, že uživatel získá práva rootu, nebo při jakémkoliv pokusu o přístup do rootu. Pak dá pokyn do ARM Trust Zone pro binární přepsání čipu a uzavře kontejner Knoxu, kde běží korporátní aplikace a kde jsou uložena korporátní data.
Za druhé, když si uživatel nahraje neutorizovanou verzi OS nebo jeho částí, ARM Trust Zone pozná odlišný obraz systému a opět přepíše čip na desce.

V obou případech lze smartphone nebo tablet používat dál, avšak nikoliv už v daném korporátním prostředí, pro které je trvale uzamčen. Odemčení nelze provést jinak než výměnu základní desky, prakticky jde o výměnu zařízení za nové. Pokud k přepisu dojde, tak je o této změně informován i IT správce prostřednictvím MDM konzole. Navíc IT správce obvykle nastavuje pravidlo, že pro nedůvěryhodná zařízení – které se okamžitě odebírá z podnikové správy a není umožněno je opět pod správu přidat (risk zavedení infikovaného zařízení do podnikové sítě).

„Osobní“ bezpečnost

Aktivováním Device Security lze zapnout vrstvu TIMA i v privátní části pro ochranu soukromých dat, což Samsung poskytuje i pro spotřebitelský segment, jinak Knox pro privátní část telefonu spí. Další možností je MyKnox, který otevře soukromý kontejner, pro bezpečné uložení soukromých dat do šifrovaného prostředí.

Secure Enhancement for Android je kopií serverového prostředí jaké používají bankovní karetní centra.

Kontejner Samsung S6

Kontejner Samsung S6

Hromadné zprovoznění zařízení

Pokud organizace zařazuje do správy větší množství zařízení, je možné využít produkt Knox Mobile Enrollment, který na základě vytvořnení profilu na Mobile Enrollment serveru (typ MDM, uživatelského jména a hesla) umožní aktivovat zařízení bez vlastního zásahu IT. Což šetří čas a náklady za IT.

Při hromadné dodávce několika stovek kusů do organizace tím lze ušetřit až měsíce času. Není výjimkou, když organizace objedná 100 kusů telefonů nebo tabletů najednou. Například v RWE vybavili 850 servisních mobilních pracovníků tablety Samsung. Administrátoři jiného zákazníka ručně nastavovali profily u 600 zařízení a trvalo jim to tři a půl měsíce. S výbavou Samsung Knox by to měli za chvíli. Hromadné zprovoznění zařízení velmi šetří čas administrátorů.

Knox Framework a partnerská řešení

Knox Framework je určen pro korporátní prostředí pro B2B služby. Je vybaven sadou API pro připojování příkazů externích aplikací od partnerů, kteří zakoupili od Samsungu SDK, například pro tvorbu vlastních konzolí MDM – Mobile Device Management za účelem ovládání, zablokování zařízení, nebo sestavení VPN či tvorbu vlastních řešení.
API umožňují řídit zařízení i pomocí různých systémů s například Active Directory, z koncového zařízení lze provádět změnu hesla po jeho vypršení. Jsou k dispozici i propojení pro Dropbox, Box, SharePoint apod.

Existuje také API pro VPN – „data na cestě“, Per-App-on demand pro selektivní aplikace v mobilním zařízení s přenosy dat přes VPN. Trvalé sestavení VPN je totiž velmi náročné na výdrže zařízení – spotřebu energie a toto umožňuje zapnout sestavení VPN jen když je to nutné, tj. pouze při přístupu aplikace do firemního prostředí.

Plně připraveno pro firmy

Knox maximalizuje zabezpečení Androidu a znamená plné připravení smartphonů a tabletů Samsung pro firmy. Jde o zabezpečený design hardwaru od výroby s bootem, zavaděčem a runtime ochranou.

Samsung Knox má širokou podporu uživatelů MDM – SAP, Citrix, CA, BlackBerry, AirWatch, Mobile Iron a dalších. Jsou k dispozici i vlastní kontejnery od třetích stran, existují partneři z pohledu aplikací – Microsoft Office 365, MS Azure, CA, FireEye, Cisco, F5 apod. (více viz www.samsungknox.com). Systém dodává aktualizace vždy dvakrát ročně s řadami Samsung S a Note, vždy ale i se zpětnou podporou ostatních řad produktů Samsung. Aktualizace zabezpečení platformy je prováděna nezávisle na standardních aktualizacích.

Rubriky: HardwarePodnikový softwareSecurityTelekomunikace

Související příspěvky

Zprávičky

Chatovací robot ChatGPT je nejrychleji rostoucí aplikace v historii

5. 2. 2023
Zprávičky

Gen zvýšil ve 3. čtvrtletí tržby o 33 % na 936 milionů dolarů

3. 2. 2023
Apple představil levný iPhone SE pro sítě 5G
Články

Čtvrtletní tržby Applu poprvé za téměř čtyři roky klesly, snížil se i zisk

3. 2. 2023
Zprávičky

Sony má nižší čtvrtletní zisk, zlepšil však celoroční výhled

3. 2. 2023

Zprávičky

Chatovací robot ChatGPT je nejrychleji rostoucí aplikace v historii

ČTK
5. 2. 2023

Chatovací robot ChatGPT, který využívá umělou inteligenci, se stal nejrychleji rostoucí spotřebitelskou aplikací v

Američané silně investují do čínských firem na umělou inteligenci

ČTK
4. 2. 2023

Američtí investoři, včetně investičních divizí firem Intel a Qualcomm, se v letech 2015 až

Gen zvýšil ve 3. čtvrtletí tržby o 33 % na 936 milionů dolarů

ČTK
3. 2. 2023

Antivirová firma Gen, jejíž součástí je i značka Avast, ve třetím čtvrtletí končícím 30.

Čtvrtletní zisk majitele Googlu klesl o třetinu, tržby zaostaly za očekáváním

ČTK
3. 2. 2023

Americké technologické společnosti Alphabet, která je majitelem internetového vyhledávače Google, ve čtvrtém čtvrtletí klesl

Sony má nižší čtvrtletní zisk, zlepšil však celoroční výhled

ČTK
3. 2. 2023

Japonskému výrobci elektroniky Sony Group ve třetím čtvrtletí jeho finančního roku klesl čistý zisk

Čtvrtletní zisk Mety klesl, zveřejnila ale výhled nad očekávání a akcie rostou

ČTK
2. 2. 2023

Čistý zisk americké internetové společnosti Meta Platforms se ve čtvrtém čtvrtletí meziročně snížil na

Americký Wolfspeed postaví v Německu závod na čipy do elektroaut za 3 mld. dolarů

ČTK
2. 2. 2023

Americký výrobce čipů Wolfspeed postaví v Německu továrnu na výrobu čipů do elektromobilů za

Bude 5G v budoucnosti motorem ekonomiky?

Nový šéf ČTÚ Ebert: V současnosti není možnost vstupu čtvrtého operátora

ČTK
2. 2. 2023

V Česku není v současnosti možnost pro vstup čtvrtého mobilního operátora na trh. Ve

Tiskové zprávy

Finanční výsledky NETGEAR za rok 2022

Obrat skupiny Packeta, majitele Zásilkovny, dosáhl v roce 2022 6,1 miliardy Kč

Goodoffer24 říká – v únoru dáte za doživotní licenci Windows 10 jen €12 a za Office €23

Epson přidává do nové řady ultralehkých 3LCD projektorů s vysokou svítivostí rozlišení 4K

SAP a Red Hat prohlubují partnerství: cílem je lepší podpora softwarových úloh SAP na Red Hat Enterprise Linuxu

Epson představuje laserové projektory nové generace vycházející vstříc požadavkům propojených tříd a hybridních pracovních prostředí

Zpráva dne

Goodoffer24 říká – v únoru dáte za doživotní licenci Windows 10 jen €12 a za Office €23

Goodoffer24 říká – v únoru dáte za doživotní licenci Windows 10 jen €12 a za Office €23

Redakce
2. 2. 2023

Zdaleka ne každý má stovky dolarů na upgrady svého počítačového softwaru. To je také...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Komentujeme

Chvála černých skřínek

Prokletý smartphone: nejen chyby, ale i špatné rozhodování

Pavel Houser
27. 12. 2022

Asi nikoho nepřekvapí, že za neustálou dostupnost smartphonu se platí tím, že práce na tom zařízení...

Nadcházející akce

  1. Virtuální konference Kyberbezpečnost pro zdravotnictví

    23. února
  2. Hannover Messe 2023

    17. dubna - 21. dubna

Zobrazit všechny Akce

Slovník

.ISO

LCD

3G

Nejpopulárnější články

Kde se v podnicích uplatní metaverzum?

Redakce
2. 1. 2023

Podařilo připravit husté křemíkové nanodrátky pro aplikace s vysokými frekvencemi

Při vzniku chyby by kvantové počítače mohly data automaticky mazat

Pavel Houser
3. 1. 2023

Vybudujte linii obrany pro zastavení vlny ransomwarových útoků

Redakce
23. 12. 2022

Trendy: předplacené služby, kontejnery, vliv rostoucích cen energií a experti se širším záběrem

Redakce
28. 12. 2022

Acer rozšiřuje řadu Aspire o nové stolní all-in-one počítače a notebooky

Acer rozšiřuje řadu Aspire o nové stolní all-in-one počítače a notebooky

Redakce
4. 1. 2023

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Operační systémy Podnikový software Právo Rozhovory Science Security techn Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT česk

Píšeme jinde

RSS ScienceMag RSS

  • Týden na ITBiz: Elektronové můstky umožňují sdílení energie mezi vrstvami polovodičů
  • Hmotnost hvězdy poprvé změřili pomocí gravitační čočky
  • Našli systém s více exoplanetami u dvojhvězdy, teprve podruhé

RSS AbcLinuxu RSS

  • Open Assistant, konverzační umělá inteligence pro každého
  • Shell & Display Next hackfest proběhne 24. až 26. dubna v Brně
  • Razer Viper Mini Signature Edition

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.