Mobiles Arbeiten Trend Micro Safe Mobile Workforce 1.5 im Test

Autor / Redakteur: Götz Güttich / Stephan Augsten

Ein Datenverlust kann Unternehmen bares Geld kosten. Safe Mobile Workforce von Trend Micro soll potenziellen Datenabfluss auf Basis einer virtuellen, gehärteten Android-Umgebung verhindern. Security-Insider hat sich den virtuellen Arbeitsbereich einmal angesehen.

Firmen zum Thema

Auf Grundlage einer gehosteten und speziell gehärteten Android-Umgebung soll Safe Mobile Workforce das mobile Arbeiten absichern.
Auf Grundlage einer gehosteten und speziell gehärteten Android-Umgebung soll Safe Mobile Workforce das mobile Arbeiten absichern.
(Bild: Trend Micro)

Die Sicherheit von Daten auf mobilen Geräten spielt in Zeiten des zunehmenden Einsatzes von Smartphones und Tablets im Unternehmensumfeld eine immer wichtigere Rolle. Mobile Geräte können leicht verloren gehen oder gestohlen werden. In diesem Fall kommt es immer wieder vor, dass wichtige Informationen verschwinden oder in falsche Hände geraten.

IT-Verantwortliche müssen Datenverluste also im Idealfall vollkommen ausschließen können und entsprechende Lösungen implementieren. Safe Mobile Workforce (SMW) von Trend Micro nimmt sich des Problems an und sorgt dafür, dass Geschäftsinformationen gar nicht erst auf die mobilen Geräte gelangen.

Bildergalerie
Bildergalerie mit 6 Bildern

Mit Safe Mobile Workforce stellt Trend Micro eine Virtualisierungsinfrastruktur bereit, die eine Android-Umgebung (gehärtetes Android 4.0.4) auf mobile Geräte unter Android, iOS und Windows RT/Phone streamt. Die Anwender rufen im laufenden Betrieb auf ihren Endgeräten eine App auf und loggen sich bei dem SMW-Server ein. Der Server steht dabei entweder bei einem Dienstleister oder befindet sich im Unternehmensnetz.

Schlanke Alternative zur Virtual Desktop Infrastructure

Nach dem Login erscheint die Arbeitsfläche des virtuellen Android-Betriebssystems auf dem Bildschirm. Die Benutzer arbeiten hier mit den von der IT-Abteilung auf den virtuellen Systemen installierten Apps. Da die Arbeit über eine Online-Verbindung abläuft, liegen stets alle Daten auf dem Server. Nichts wird aus dem Unternehmensnetz auf die Clients kopiert.

Zugegeben, der gleiche Effekt ließe sich auch durch die Bereitstellung von virtuellen Desktops (VDI) realisieren, auf die die Unternehmensmitarbeiter von unterwegs aus zugreifen können. Diese lassen sich aber von Smartphones und Tablets schlecht bedienen, da die Anwendungen nicht auf die Arbeit mit Touch-Screens ausgelegt sind.

Deswegen ist es sinnvoll, auf einem mobilen Endgerät auch ein mobiles Betriebssystem zu virtualisieren. Das vereinfacht nicht nur die Bedienung und damit die Benutzerakzeptanz, sondern profitiert auch von vielen weiteren Funktionen, die mobile Geräte mit sich bringen. So rotiert die Safe Mobile Workforce-App beispielsweise auf Smartphones und Tablets den Bildschirminhalt, wenn der Anwender sein Gerät dreht.

Der Test

Für den Test stellte Trend Micro einen Zugang auf die in Irland gehostete Demo-Installation von Safe Mobile Workforce bereit. Außerdem erhielt der Autor die Software für einen eigenen SMW-Server, den er im Testlabor installierte. Der Autor nutzte die Demo-Installation in Irland über mehrere Monate und griff auch während diverser Pressereisen aus dem Ausland auf die virtualisierte Android-Umgebung (VM) zu.

Im eigenen Testlabor wurde der SMW-Server aus Sicht des Administrators unter die Lupe genommen. Dazu wurden unterschiedliche Benutzerprofile mit verschiedenen Rechten angelegt und diverse VM-Images mit unterschiedlichen Benutzer-Apps erzeugten. Zum Schluss nutzte der Autor diese VMs ebenfalls mit der Client-App.

Die Arbeit mit der Demo-Umgebung

Im Test kamen diverse Endgeräte zum Einsatz. Unter Android gehörten dazu ein Tablet vom Typ Arnova 10c G3 mit Android 4.0.3 sowie ein Samsung Galaxy S2 mit Android 4.1.2 und ein Samsung Galaxy S4 mit Android 4.4.2. Hinzu kamen ein iPhone 4s mit iOS 8.1.2 und ein iPad Mini, ebenfalls mit iOS 8.1.2.

Nachdem die Client-Apps aus den App Stores von Apple und Google auf den Endgeräten eingespielt waren, meldete sich der Autor mit den Zugangsdaten bei den Servern in Irland an. Danach fragte die App, ob man den Zugang auf die virtuelle Umgebung zusätzlich noch mit einem Entsperrmuster, einer PIN oder einem Passwort sichern wolle.

Die zusätzliche Sicherung ergibt in Umgebungen Sinn, in denen der Anwender die Login-Daten für Safe Mobile Workforce direkt auf dem Client speichert. Zu einem solchen Szenario könnte es beim Einsatz aufwendiger Passwörter kommen, die sich schlecht über die Tastatur des mobilen Geräts eingeben lassen. Da dies ein potenzielles Sicherheitsrisiko darstellt, können die Administratoren das Speichern der Passwörter auf den Clients auch untersagen.

Nachdem die PIN vergeben war, begann der Autor direkt mit der Arbeit. Trend Micro hatte in der Test-VM bereits diverse Standard-Apps eingerichtet, mit der sich die üblichen Arbeitsschritte eines Business-Users abbilden lassen. Neben dem Android-Browser gehörten dazu unter anderem ein E-Mail-Programm, ein Kalender, eine Adressverwaltung, ein Taschenrechner und WPS Office.

Der Autor arbeitete im Wesentlichen mit dem Browser und der Office-Anwendung, die zum Erstellen von Notizen diente. Die Arbeit über schnelle Netze wie WLAN oder 3G-, HSPA- und LTE-Netzwerke lief dabei problemlos. Ein flüssiges Arbeiten über GRPS- und EDGE-Netze ist nicht möglich. In der Regel – beispielsweise in Flughafen-WLANs oder in Hotelzimmern – funktioniert der Betrieb der Lösung aber reibungslos.

Der Safe Mobile Workforce Server

Wenden wir uns nun dem Safe Mobile Workforce Server im Testlabor zu. Nachdem diese eingerichtet war, kann man sich mit den Standard-Credentials „admin/admin“ über die URL HTTPS://{IP-Adresse des Management-Interfaces} anmelden. Nach dem Login wird eine Dashboard-Übersicht aufgerufen, die die fünf Top-User, den Benutzerstatus (Active, Idle, Offline, Disabled), die Top 5-Apps und die Top 5-Web Clips anzeigt. Die Web-Clips bieten die Möglichkeit, URL-Schnellzugriffe auf Webseiten oder Sharepoint-Inhalte bereit zu stellen.

Insgesamt wurde das Management-Interface in acht Bereiche aufgeteilt. Der zweite nennt sich „Users“ und befasst sich mit der Benutzerverwaltung. Das Sicherheitsprodukt unterstützt zwei verschiedene Ansätze zum Management der Benutzerkonten. User lassen sich zum einen innerhalb der SMW-Umgebung manuell anlegen. Dies ist in Testumgebungen sinnvoll, für den Produktiveinsatz unterstützt das Produkt aber die Zusammenarbeit mit einem Active-Directory-Server.

Stellt der IT-Verantwortliche eine Verbindung zwischen dem Safe Mobile Workforce Server und einem Active Directory her, so kann er alle bereits vorhandenen Benutzerkonten auch für die mobile Sicherheitslösung verwenden. Das lohnt sich insbesondere in großen Umgebungen mit vielen Anwendern – in denen die Lösung von Trend Micro wohl meistens zum Einsatz kommen dürfte. Im Test verwendeten wir sowohl lokale als auch Active Directory-Konten, beide Account-Typen funktionierten reibungslos.

Einrichtung von Profilen und Apps

Die Profile – also die Vorlagen für die Android-Arbeitsumgebungen – verwalten die Administratoren im nächsten Konfigurationspunkt des Benutzerinterfaces. Sie lassen sich genau wie Benutzer anlegen, löschen und bearbeiten. Sie umfassen im Wesentlichen ein Hintergrundbild und die Apps, die den Benutzern zur Verfügung stehen sollen.

Wenden wir uns jetzt der Definition der Apps zu. Die Anwendungen, die in Verbindung mit Safe Mobile Workforce zum Einsatz kommen können, müssen als APK-Datei vorliegen. Klickt ein Administrator auf „Add App“, so erhält er die Möglichkeit, zur APK-Datei zu browsen und in das System hochzuladen.

Dabei ist es auch möglich, sie mittels App Wrapping in die Single-Sign-On-Umgebung des Unternehmens einzubinden. Das stellt eine sehr wichtige Funktion dar, da sie dafür sorgt, dass die Anwender nicht für jede App, die sie nutzen möchten, eigene Benutzerdaten eintippen müssen. Das spart folglich Zeit und Fummelei und trägt so zur Akzeptanz der Sicherheitslösung bei.

Reporting und Administration

Die Server-Verwaltung ermöglicht das Starten, Stoppen, Hinzufügen, Entfernen und Aktualisieren der Safe Mobile Workforce Server und die Reports verschaffen den zuständigen Mitarbeitern einen umfassenden Überblick über das System. Die letzten beiden Punkte des Web-Interfaces stellen eine Online-Hilfe zur Verfügung und ermöglichen die Administration der SMW-Umgebung.

Dabei legen die IT-Mitarbeiter das Passwort der Konfigurationsoberfläche fest und nehmen die E-Mail-Konfiguration mit Mail Server und Authentifizierung vor. Außerdem lassen sich an dieser Stelle diverse externe Dienste in die Umgebung mit einbinden. Dazu gehört zunächst einmal das Active Directory.

Darüber hinaus haben die zuständigen Mitarbeiter auch die Möglichkeit, den so genannten SafeSync-Dienst mit der Safe Mobile Workforce-Umgebung zu verbinden. Dieser stellt den Benutzern einen privaten Cloud-Speicher zur Verfügung, in dem sie ihre Daten ablegen und dann von anderen Geräten aus darauf zugreifen können.

Auf die gleiche Weise lassen sich auch Exchange- und Proxy-Server in die Umgebung einbinden. Das gleiche gilt auch für externe NFS-Freigaben, eine Alternative für Unternehmen, die einen externen Speicher benötigen.

Nutzung in der Praxis

Im Betrieb richteten wir zunächst einmal diverse Apps wie die Verschlüsselungslösung EDS Lite, Readfy und das WPS Office für die Nutzung mit Safe Mobile Workforce ein. Das funktionierte auf Anhieb und wir konnten die Apps danach bei der Definition der Profile direkt zuweisen und nutzen.

Den Zugriff auf den Server von außen stellten wir über Port-Forwarding sicher. Unternehmen, denen das nicht ausreicht, können zu diesem Zweck aber auch auf den „Safe Mobile Workforce Secure Access Server“ zurückgreifen, der sich der Installation als eine Art Proxy vorschalten lässt und beispielsweise in DMZs zum Einsatz kommen kann.

Fazit

Im Betrieb konnte Safe Mobile Workforce überzeugen, eine schnelle Internet-Anbindung vorausgesetzt. Die Konfiguration eigener Apps in Verbindung mit den beliebig anpassbaren Profilen machen Firmen-App-Stores überflüssig. Für Administratoren ist das System leicht einzurichten und zu bedienen, letzteres gilt auch für den Anwender. Das Web-Interface wurde übersichtlich gestaltet und bietet alle notwendigen Funktionen zum Verwalten und Überwachen der mobilen Sicherheit.

Positiv hervorzuheben sind die Zusatzfunktionen wie das Einbinden externer Speicher und Exchange Server sowie SSO-Unterstützung. Dank ihrer Hilfe fügt sich Safe Mobile Workforce nahtlos in eine Unternehmensumgebung ein. Unter dem Strich sorgt die Lösung dafür, dass kritische Daten gar nicht erst auf die Endgeräte gelangen.

(ID:43174660)