Im Test: Trend Micro Safe Mobile Workforce 1.5
Die Arbeit mit Profilen
Die Profile – also die Vorlagen für die Android-Arbeitsumgebungen – verwalten die Administratoren im nächsten Konfigurationspunkt des Benutzerinterfaces. Sie lassen sich genau wie Benutzer anlegen, löschen und bearbeiten. Möchte ein IT-Verantwortlicher ein neues Profil erzeugen, so muss er ihm zunächst einen Namen geben. Sobald das erledigt ist, kann der zuständige Mitarbeiter dem Profil ein Hintergrundbild hinzufügen und festlegen, welche Apps jeweils zur Verfügung stehen sollen. Auch die Profile erscheinen im Web-Interface in Form einer Liste und können dort jederzeit bearbeitet werden.
Wenden wir uns jetzt der App-Definition zu. Die Apps, die in Verbindung mit Safe Mobile Workforce zum Einsatz kommen können, müssen als APK-Datei vorliegen. Klickt ein Administrator auf “Add App”, so erhält er die Möglichkeit, zur APK-Datei zu browsen und die App in das System hochzuladen. Dabei weist Trend Micro der App nach einem Abgleich mit dem MARS-Reputationsservice (Mobile Application Reputation Service) gleich einen “Risk Level” zu, nämlich “Unknown”, “Safe”, Notable” und “Malicious”. Während die beiden ersten Level selbsterklärend sind, ergibt es an dieser Stelle Sinn, kurz auf Notable und Malicious einzugehen. Anwendungen, die als Notable eingestuft wurden, können die Mail-Adressen der Benutzer und die Location Information auslesen. Außerdem haben solche Apps das Recht, auf die Browser-Bookmarks zuzugreifen, die Browser Homepage zu ändern, Icons zum Home-Bildschirm hinzuzufügen oder Werbung einzublenden. Malicious Apps schließlich sammeln sogar persönliche und private Daten.
Fest vorgegebene Standardanwendungen wie E-Mail, Web-Browser und Taschenrechner sowie Lösungen zum Verwalten von Terminen und Kontakten gehören zum System, lassen sich aber bei Bedarf deaktivieren. Alle anderen Apps müssen die IT-Mitarbeiter selbst hochladen und einrichten. Dabei ist es auch möglich, sie mittels App Wrapping in die Single-Sign-On-Umgebung des Unternehmens einzubinden. Das stellt eine sehr wichtige Funktion dar, da sie dafür sorgt, dass die Anwender nicht für jede App, die sie nutzen möchten, eigene Benutzerdaten eintippen müssen. Das spart folglich Zeit und Fummelei und trägt so zur Akzeptanz der Sicherheitslösung bei.
Zusätzlich zu den Apps lassen sich an dieser Stelle auch die erwähnten Web Clips zu Safe Mobile Workforce hinzufügen. Diese werden durch ihre URL in das System eingebunden und die Administratoren können sie bei Bedarf zum Verbessern der Übersichtlichkeit auch mit Icons versehen.
Die Serververwaltung ermöglicht das Starten, Stoppen, Hinzufügen, Entfernen und Aktualisieren der Safe Mobile Workforce-Server. Die vorhandenen Server finden sich wieder in einer Liste und die Verantwortlichen haben über die einzelnen Einträge Zugriff auf Daten wie die User Sessions, die CPU- und Speicherauslastung und einen Usage Trend als Liniendiagramm. Darüber hinaus verändern die Administratoren bei Bedarf hier die Netzwerkkonfiguration der einzelnen Serversysteme, was bei der Kommunikation mit Proxy-Systemen von Bedeutung sein kann. Die Einstellungen für eine High-Availability-Konfiguration lassen sich im Betrieb über die lokale Konsole der Server vornehmen, diese Funktionalität wird aber in einem der nächsten Releases ebenfalls in das Web-Interface eingebaut.
Die Reports verschaffen den zuständigen Mitarbeitern einen umfassenden Überblick über das System. Es gibt sowohl “Quick Reports”, die sich nach Bedarf erzeugen lassen, als auch “Scheduled Reports”, die Safe Mobile Workforce nach Zeitplänen – also wöchentlich, täglich und so weiter – generiert. Die Reports umfassen entweder Daten zur Nutzung der Workspaces (User Status, Activity und Apps Launched Times) oder zur Nutzung der Systemressourcen (RAM, CPU und Festplattenspeicher). Auf Wunsch schickt die Sicherheitslösung die Reports den Verantwortlichen auch per E-Mail zu. Im Test traten dabei keine Probleme auf.
Die letzten beiden Punkte des Web-Interfaces stellen eine Online-Hilfe zur Verfügung und ermöglichen die Administration der Safe Mobile Workforce-Umgebung selbst. Dabei legen die IT-Mitarbeiter das Passwort der Konfigurationsoberfläche fest und nehmen die E-Mail-Konfiguration mit Mail Server und Authentifizierung vor. An gleicher Stelle ist es auch möglich, den Port für die Client-Zugriffe festzulegen und zu erlauben, dass die Anwender das Zugangspasswort auf ihren mobilen Geräten speichern.
Außerdem lassen sich an dieser Stelle diverse externe Dienste in die Umgebung mit einbinden. Dazu gehört zunächst einmal das Active Directory. Dieses konnten wir im Test – wie bereits erwähnt – problemlos in die Umgebung integrieren.
Darüber hinaus haben die zuständigen Mitarbeiter auch die Möglichkeit, den so genannten SafeSync-Dienst mit der Safe Mobile Workforce-Umgebung zu verbinden. Dieser stellt den Benutzern einen privaten Cloud-Speicher zur Verfügung, in dem sie ihre Daten ablegen und dann von anderen Geräten aus darauf zugreifen können. Das ist beispielsweise wichtig, wenn es darum geht, mit Safe Mobile Workforce erstellte Texte oder Tabellen auf den PC zu übernehmen. Der SafeSync-Server muss in diesem Fall im gleichen Netz stehen und ermöglicht im Betrieb das sichere und verschlüsselte Teilen von Daten sowohl mit anderen Mitarbeitern als auch mit externen Partnerunternehmen.
Auf die gleiche Weise lassen sich auch Exchange- und Proxy-Server in die Umgebung einbinden. Das gilt auch für externe NFS-Freigaben, eine Alternative für Unternehmen, die einen externen Speicher benötigen.
Die letzten Funktionen des Managementwerkzeugs geben den Administratoren Informationen über das System, die Lizenz und ermöglichen das Hochladen diverser Wallpaper in den Formaten 600 mal 800 beziehungsweise 640 mal 1066 Pixeln, die in den Workspaces als Hintergründe zum Einsatz kommen.
Nutzung in der Praxis
Im Betrieb richteten wir zunächst einmal diverse Apps wie die Verschlüsselungslösung EDS Lite, Readfy und das WPS Office für die Nutzung mit Safe Mobile Workforce ein. Das funktionierte auf Anhieb und wir konnten die Apps danach bei der Definition der Profile direkt zuweisen und nutzen. Außerdem verwendeten wir diverse Benutzerkonten aus unserem Active Directory, um unterschiedliche Anwender zu simulieren, die auf verschiedene Profile zugriffen. Auch dabei traten keinerlei Schwierigkeiten auf. Den Zugriff auf den Server von außen stellten wir über Port-Forwarding sicher. Unternehmen, denen das nicht ausreicht, können zu diesem Zweck aber auch auf den “Safe Mobile Workforce Secure Access Server” zurückgreifen, der sich der Installation als eine Art Proxy vorschalten lässt und beispielsweise in DMZs zum Einsatz kommen kann.
Fazit
Im Betrieb konnte uns Safe Mobile Workforce vollkommen überzeugen. Eine schnelle Internet-Anbindung vorausgesetzt, ließ sich von allen Endgeräten in unserem Test hervorragend mit der Lösung arbeiten. Unter dem Strich lässt vor allem das Sicherheitskonzept des Produkts keine Fragen offen, da es dafür sorgt, dass kritische Daten überhaupt gar nicht erst auf die Endgeräte gelangen. Die Konfiguration eigener Apps in Verbindung mit den beliebig anpassbaren Profilen machen Unternehmens-App-Stores überflüssig und wegen der leichten Bedienbarkeit dürfte auch die Akzeptanz der Benutzer von Vornherein gegeben sein.
Für Administratoren ist das System ebenfalls leicht einzurichten und zu bedienen. Das Web-Interface wurde übersichtlich gestaltet und stellt den Verantwortlichen alle Funktionen zur Verfügung, die sie zum Verwalten und Überwachen ihrer Mobile Security-Umgebung brauchen. Das senkt die Verwaltungskosten deutlich. Zusatzfunktionen wie die Einbindung externer Speicher und Exchange Server sowie die SSO-Unterstützung bringen noch einen weiteren Mehrwert, da sie dafür sorgen, dass sich Safe Mobile Workforce nahtlos in eine Unternehmensumgebung einfügt, was den Aufwand in den IT-Abteilungen auf ein Minimum reduziert.
[subscribe2]
