Журнал о компьютерных сетях и телекоммуникационных технологиях
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК:
    Домой
 
   
АРХИВ ЖУРНАЛА
   

2008: 1 2 3 4 5 6 7 8 9 10 11 12 13
2007: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2006: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2005: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2004: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2003: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2002: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2001: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2000: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
1999: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
1998: 1 2 3 4 5 6 7 8 9 10 11 12
1997: 1 2 3 4 5 6 7 8 9 10 11 12
1996: 1 2 3 4 5 6 7 8 9 10


Rambler's Top100

  

Администрирование в движении

Шон Джиневэн

Если в вашей компании имеется сколько-нибудь значительное число сотрудников с карманными мобильными устройствами, то вам пора развернуть систему администрирования, чтобы упорядочить эксплуатацию этих устройств.

Существует масса свидетельств того, что предприятия становятся все более «мобильными». Согласно прогнозу компании IDC, рынок мобильных приложений к 2010 г. переживет бурный рост и достигнет 3,5 млрд долл. Руководству организаций импонирует мысль, что если их служащие смогут работать, находясь в принципе в любом месте, то производительность их труда может значительно повыситься.

Мобильность диктует необходимость выработать стратегию централизованного администрирования карманных устройств пользователей. Однако до сих пор компании продвигались по пути «мобилизации» без этого. Последний опрос 505 руководителей из семи вертикальных секторов рынка по вопросам развертывания и распространения беспроводных приложений, проведенный организацией In-Stat, показал, что почти половина предприятий позволяет своим служащим самим выбирать себе мобильные устройства, операторов связи и тарифные планы.

Такая позиция невмешательства малооправданна, потому что препятствует развитию тенденции повышения производительности труда и делает организацию уязвимой в отношении информационной безопасности. Принуждение пользователей рабо-тать на единой платформе, например, такой, как BlackBerry, может оказаться по меньшей мере недальновидным. Системы администрирования мобильных устройств (Mobile Device Management — MDM) могут служить для блокировки устройств, поддержки функций безопасности, администрирования ресурсов и политик, а также резервного копирования/восстановления данных, но при этом они предоставляют пользователям возможность выбирать устройства по своему вкусу.

Такие системы предлагают девять поставщиков, и четыре из них — компании Avocent, Nokia, Novell и Sybase — предоставили свои продукты на тестирование в нашу лабораторию. Тестирование не выходило за рамки наших последних испытаний систем MDM (см.: Сети и системы связи. 2005. № 1. C. 28). Высокоуровневую поддержку карманных устройств и ноутбуков обеспечивают все тестировавшиеся продукты, но между ними имеются существенные различия. Система Afaria компании Sybase предлагает наилучшие функции шифрования данных: платформа Intellisync Device Management компании Nokia — функции самообслуживания; компании Novell и Avocent LANDesk в своих средствах управления «мобильной флотилией» предприятия воспроизвели все функции администрирования его настольных систем. Для сравнения мы проанализировали также систему BlackBerry Enterprise Server компании Research in Motion (RIM) (см. «А что же RIM?») и сервисы по администрированию мобильных устройств, предлагаемые компаниями Perlego и iPass (см. «не могут ли делать это другие?»).

Полную версию данной статьи смотрите в 14-ом номере журнала за 2007 год.

Широта охвата

Над MDM-продуктами, служащими базой для развертывания приложений и реализации политики обеспечения безопасности устройств, в качестве средств более высокого уровня могут быть развернуты другие приложения и продукты администрирования. Мобильные виртуальные частные сети (VPN), системы управления соединениями и контентом, ПО администрирования периферийного оборудования мобильных устройств, мобильная противовирусная защита, межсетевые экраны и средства шифрования — все это вместе с соответствующим MDM-продуктом приобретает особую значимость для корпоративных пользователей. Однако мы ограничили свой сравнительный анализ указанных выше систем развертыванием приложений, администрированием на основе политик и информационной безопасностью.

Из девяти поставщиков пять отказались от участия в испытаниях. Согласившись сначала, компания Altiris потом отказалась от тестирования, заявив, что работает над новым вариантом ПО безопасности мобильных систем и что не может его нам предоставить к установленному сроку. Компания Motorola отклонила предложение, сославшись на то, что ее продукт больше ориентирован на безопасность, чем на те функции, которые мы указали в качестве предмета наших испытаний (например, администрирование ресурсов и резервирование данных устройств). Компании Hewlett-Packard/Bitfone и Synchronica не уложились в сроки, указанные нами в приглашении. Ericsson же нам вообще не ответила.

Архитектура

Все предоставленные нам для испытаний продукты требуют инсталляции клиентского ПО на каждое карманное устройство. Для упрощения задачи развертывания такого ПО администратор может послать веб-ссылку на программу установки через службу SMS (Short Message Service) или по электронной почте, с тем чтобы дистанционно распространить клиентские программы. Базовая функциональность последних во всех системах в основном одна и та же: клиентская программа устанавливает соединение с корпоративным сервером в порядке опроса через заранее заданные интервалы, чтобы определить, есть ли необходимость в обновлении или установке нового ПО.

Исключение составляет система компании Nokia — она может обновлять ПО, одновременно забирая обновления устройством (режим pull) или подавая ПО в устройство (режим push). Соединения push-типа — это те же самые соединения, которые Nokia использует для мобильной электронной почты (они поддерживаются также платформой Intellisync). Учитывая то, что большинство обновлений не являются особо срочными, совсем не обязательно поддерживать для них постоянное соединение. И это действительно так, поскольку сервер может уведомлять (по SMS) мобильные устройства о том, что им необходимо инициировать синхронизацию с ним. Однако для организаций, придающих большое значение обновлению ПО, резервному копированию данных и/или принудительной реализации мер обеспечения безопасности (путем выдачи, например, команд на блокирование устройств), режим push является более эффективным по сравнению с режимом pull.

Большинство протестированных нами продуктов работают за межсетевым экраном, и это обстоятельство требует, чтобы его порты были открыты для коммуникаций между устройствами и внутренним сервером (рис. 2). Сетевая архитектура Nokia и здесь отличается от других: если остальные системы по умолчанию используют прямые соединения с сервером — администратором устройств через корпоративный межсетевой экран, то инфраструктура Nokia позволяет иметь второй сервер в демилитаризованной зоне (DMZ) для безопасной передачи трафика серверу Intellisync. Однако такую же функциональность можно реализовать и в других системах с помощью реверсивного сервера-посредника (для аналогичных целей компания Sybase вместе с сервером — администратором устройств в своей системе Afaria поставляет еще и сервер Apache).

Все протестированные нами продукты размещают копию программы-установщика клиентского ПО на веб-сайте и после этого информируют пользователя, что ПО готово для загрузки на устройство с этого сайта. Информирование осуществляется либо путем отправки пользователю сообщения по электронной почте или посредством передачи SMS-сообщения на его устройство. Другой вариант сводится к инсталляции клиентского ПО на устройствах с помощью настольной системы и синхронизирующей программы типа ActiveSync компании Microsoft или HotSync компании Palm. Правда, мы не думаем, что это можно будет легко реализовать при большом числе устройств: уж слишком сильно все зависит от дисциплины конечных пользователей. Развертывание ПО с привлечением беспроводной технологии передачи OTA (Over The Air) представляется более удачным вариантом.

Затыкание «дыр»

Очень важно обеспечить информационную безопасность мобильных устройств. Даже если единственным приложением, доступным служащему, является мобильная электронная почта, неадминистрируемые мобильные устройства могут представлять реальную угрозу для организации с точки зрения безопасности информации, поскольку сообщения часто содержат конфиденциальные сведения. Кроме того, миниатюрность смартфонов и КПК делает их легкой добычей воров, пользователи их часто теряют, что создает большую проблему для отвечающих за безопасность администраторов.

С полной уверенностью можно лишь утверждать, что пакеты администрирования мобильных устройств различаются именно своими функциями безопасности. «Козырями» здесь являются принудительная парольная защита, дистанционные блокировка и стирание содержимого. Наш недавний опрос пользователей показал, что на третье место в списке наиболее желательных характеристик они ставят шифрование файлов (первое же и второе место принадлежит шифрованию данных при их передаче и аутентификации пользователей). Если шифрование данных при их передаче мы оставляем поставщикам промежуточного ПО для мобильных устройств и VPN-провайдерам, то шифрование файлов мобильных устройств — это то, что мы хотели бы видеть во всех MDM-продуктах.

Все системы общие задачи обеспечения безопасности позволяют решать относительно просто. Однако компании Sybase и Nokia предлагают в этом отношении более развитые возможности.

C точки зрения специалиста по безопасности, система Sybase iAnywhere хороша по нескольким параметрам. Во-первых, iAnywhere — это единственный продукт, который в рамках пакета администрирования устройств обеспечивает шифрование на уровне файлов, и это ключевая характеристика. Имея эту систему, администратор может инициировать зашифровку данных вместо их полного стирания с устройства в случае нескольких попыток ввода неправильного пароля или длительного невыхода на связь с сервером — администратором устройств. Это полезная характеристика, если устройство валялось в ящике стола, а потом было продано с аукциона eBay. Если выполнено полное стирание данных, придется заново переустанавливать все ПО. Шифрование обеспечивает информационную безопасность и в то же время позволяет избежать полного стирания данных.

Компания Nokia произвела на нас большое впечатление своим порталом самообслуживания, через который пользователи могут выполнять функции администрирования. Портал предоставляет им возможность дистанционно стирать все содержимое менеджера персональной информации (PIM) и электронную почту, аппаратно перезапускать устройство (т. е. перевести его к установленным на заводе-изготовителе значениям параметров) или защитить его паролем. Это позволяет в случае утери КПК или смартфона обойтись без обращения в службу оперативной поддержки пользователей. Учитывая, сколько раз они в нашей лаборатории «терялись» и находились — по прошествии нескольких часов, — мы по достоинству оценили это решение, как ощутимо снижающее нагрузку упомянутой службы по дистанционной блокировке/стиранию содержимого мобильных устройств.

Для организаций, которых заботит проблема аутентификации пользователей, наилучшим выбором могут быть продукты компаний Nokia и Novell. Несмотря на то что иногда нас раздражала система ZENworks компании Novell, базирующаяся на ее службе справочника eDirectory, она тем не менее имеет некоторые неоспоримые преимущества. Поскольку информация о пользователях извлекается из eDirectory, а не из собственного хранилища системы ZENworks, последняя может принудительно вводить пароли, беря их из eDirectory, куда те, в свою очередь, попадают из службы Active Directory. Система Intellisync также позволяет извлекать аутентифицирующую пользователей информацию из сервера Active Directory. Хотя в обоих решениях аутентификация пользователей на первый взгляд удачно связана с корпоративной системой аутентификации, однако та и другая требуют ввода сложных паролей (это предусматривается технологией LDAP), что может вызвать раздражение пользователей, поскольку вводить такие пароли с помощью мелких клавиш смартфонов нелегко (мы в этом убедились во время тестирования).

Развертывание приложений

Безопасность не единственная проблема мобильных устройств: невозможность централизованно администрировать их, развертывать приложения и ставить программные «заплаты» означает, что эти задачи становятся весьма трудоемкими для предприятий. ИТ-подразделения должны проводить соответствующие операции вручную, и притом на каждом устройстве в отдельности. Отсутствие централизованной инвентаризации ресурсов затрудняет аудит лицензий на ПО и контроль за тем, имеют ли пользователи в своих КПК и смартфонах именно те приложения, которые необходимы им для работы. Такая дополнительная нагрузка на ИТ-персонал способна перевесить все достигнутое от повышения производительности труда пользователей, работающих в других подразделениях и, следовательно, свести на нет положительный финансовый эффект от применения мобильных устройств.

Одной из наиболее впечатляющих характеристик MDM-систем является имеющаяся у них возможность доставлять приложения и обновления ПО на пользовательские устройства по беспроводной сети. В марте 2007 г. персонал многих ИТ-служб имел дело с дополнительной рабочей нагрузкой в связи с решением конгресса США передвинуть дату ввода летнего времени еще на месяц вперед. Это повлияло не только на настольные системы и серверы: всей четверке лидеров рынка ОС для мобильных устройств — Microsoft, Palm, RIM и Symbian — за несколько недель до новой даты перехода на летнее время пришлось выпустить программные «заплаты» для своих мобильных платформ. Если большинство моделей сотовых телефонов это не затрагивало, поскольку календарное время в них настраивается по сети, то приложением, использующим встроенные часы устройств, на которых они выполняются (таким приложением является, например, Outlook), потребовалась корректировка. Те администраторы, у которых не было MDM-системы, вынуждены были либо делать это по каждому устройству в отдельно-сти, либо полагаться на то, что этим займутся их владельцы, либо испытывать определенные риски, оттого что люди будут в своих делах опаздывать на час.

Все протестированные нами системы давали администраторам возможность развертывать приложения через беспроводную сеть из некоего центрального пункта. ПО компаний Nokia и Sybase позволяет администраторам распространять файлы «кусками» (т. е. порциями конфигурируемой длины, передаваемыми с каждой операцией синхронизации). Это важно, если речь идет об обновлениях ПО большого объема. Дело в том, что мобильные устройства работают в условиях ограниченной полосы пропускания (так WAN-соединения обеспечивают полосу пропускания от нескольких сот килобитов в секунду до чуть более 1 Мбит/с) и администраторы, естественно, не хотят иметь дело с мультимегабайтовыми обновлениями, которые просто-таки будут «пожирать» полосу пропускания. Описанный механизм позволяет справляться и со сложными процедурами установки ПО, включая те, которые требуют соблюдения некоторых правил (например, «Запрещается установка компонента X, пока не установлен компонент Y»), или те, что запрашивают исполнения программ-мастеров установки в заданной последовательности.

Если ваша организация развертывает мобильные приложения, то ей очень полезно было бы иметь возможность получать подтверждения, что приложения действительно попали на соответствующие устройства. Здесь вступает в действие функция учета ресурсов. Все протестированные нами платформы позволяют администраторам извлекать из мобильных устройств информацию о перечне установленных программ, проверять объем свободной памяти, определять тип ОС и уровень зарядки аккумулятора. Очень часто администраторы не имеют прямого доступа к мобильным устройствам, которыми они должны управлять. Поэтому возможность дистанционного их аудита очень важна. Участники нашего опроса поставили данную возможность на второе место в перечне наиболее важных характеристик систем администрирования устройств. И в этом есть резон: мобильное приложение, которым располагает организация, приносит ее служащим пользу, только если оно действительно находится на их устройствах и если сами устройства функционируют нормально.

Блокировка устройств

Определенные проблемы связаны с восприятием мобильных устройств конечными пользователями и их ожиданиями. Наиболее активно по сравнению с другими мобильными устройствами люди пользуются сотовыми телефонами, и именно здесь проходит разграничивающая линия между персональной электроникой и корпоративными инструментами. Пользователи рассматривают мобильные устройства как личную собственность и в то же время хотят, чтобы они имели все характеристики корпоративных инструментов, о которых они знают по рекламе. MDM-продукты позволяют администраторам устанавливать правила контроля за тем, как люди пользуются мобильными устройствами, благодаря чему можно, например, заставить их не использовать телефон для игр.

При тестировании мы обнаружили, что у всех систем сравнительно удачные функции блокировки устройств. Хотя после очередной операции синхронизации пользователь может переустановить приложение, удаленное администратором, но это ему не поможет, так как приложение будет снова удалено.

ИТ-служба может пойти на жесткий контроль и запретить установку игр и иных нежелательных приложений, но это не самая удачная политика. Нет ничего плохого в том, что люди могут играть в «тетрис», застряв в аэропорту. Цель контроля — в том, чтобы при сохранении гибкости и свободы, а также при создании определенного уровня защиты гарантировать, что подобные приложения не будут отрицательно сказываться на основной работе пользователя.

Цены

Компании, участвовавшие в тестировании, проводят агрессивную политику ценообразования. Стартовые цены компаний Avocent LANDesk и Novell на свои продукты в расчете на 1 узел разнятся на 4 долл. (система LANDesk Handheld Manager в расчете на узел стоит 55 долл., а система ZenWorks Handheld Management — 59 долл.). Самой дорогой является система Afaria компании Sybase — 69 долл. в расчете на узел плюс 5 тыс. долл. за каждый развернутый сервер. Система Intellisync стоит от 90 долл. за узел. Однако более высокие цены этих двух систем оправдываются наличием некоторых уникальных характеристик, которые дают более высокий экономический эффект по сравнению с системами их конкурентов.

Несколько слов в заключение

Учитывая, что потенциальная небезопасность является главным препятствием для развертывания мобильных приложений и что многие менеджеры ИТ-служб считают мобильные устройства угрозой безопасности, эта проблема рассматривается как ключевая, которую должны решать поставщики систем администрирования мобильных устройств.

Нам понравились функции шифрования данных, реализованные в системе Afaria, и ее несколько более привлекательное клиентское ПО с функциями обеспечения безопасности устройства. Имеющий сильные средства защиты данных продукт компании Sybase оптимально подходит для организаций с вертикальной структурой, которые оперируют большими объемами конфиденциальных данных своей клиентуры — это, например, учреждения здравоохранения или финансовые организации. Используемая в системе модель правил, ориентированных на группы пользователей, подходит для организаций с большим числом мобильных устройств. Система iAnywhere компании Sybase имеет хороший «послужной список»: недавно последняя заключила сделку с Бюро переписи США, согласно которой система Afaria будет администрировать мобильные устройства в 2010 г. при проведении переписи населения. Подлежащий развертыванию парк мобильных устройств станет самым крупным в мире. На первый взгляд цены Sybase могут показаться слишком высокими, но если учесть наличие в системе Afaria функции шифрования данных, которую пришлось бы покупать у стороннего поставщика, то она, по нашим расчетам, вполне может конкурировать с системой Intellisync компании Nokia. Правда, администраторский интерфейс Nokia нам понравился все-таки больше.

Переходя к Nokia, следует сказать, что ее ПО пре-доставляет в распоряжение администраторов еще одну сильную возможность в рамках MDM-системы с уникальными характеристиками. В этой системе реализован более эффективный подход по сравнению с системой компании Sybase с точки зрения как затрат, так и необходимого числа обслуживающего персонала. Портал самообслуживания компании позволяет освободить службу оперативной поддержки пользователей от выполнения ряда функций администрирования, переложив их на самих владельцев мобильных устройств. Это поможет организациям сократить расходы на содержание обслуживающего персонала. Кроме того, Nokia предлагает и значительно более «интуитивный» пользовательский интерфейс — на данный момент ее система самая простая в использовании. Поскольку в системе Nokia можно легко устанавливать правила для каждого пользователя в отдельности (напомним, что в системе Afaria компании Sybase применяется групповой подход), «горизонтальные» предприятия и их торговые подразделения могут найти ее более удачной. Интернет-портал самообслуживания компании Nokia окажется полезным также и для малых предприятий и для предприятий среднего масштаба со скромными по числу работников ИТ-службами и службами оперативной поддержки пользователей. Nokia имеет также отличный послужной список в области мобильных технологий: ее платформа Intellisync с целью предоставления услуг администрирования мобильных устройств развернута крупными операторами связи и сервис-провайдерами по всему миру.

Если вы уже эксплуатируете систему Novell ZEN-works или Avocent LANDesk для администрирования своих настольных систем или серверов, то использование их применительно к решению задачи администрирования мобильных устройств имеет большой смысл. В этом случае все ваши администраторы смогут работать в единой среде. И само собой разумеется, что при этом существующая система администрирования наращивается функциями администрирования мобильных устройств за счет сравнительно небольших дополнительных затрат в расчете на одно устройство. Хотя поставщики «чистых» MDM-систем утверждают, что они поддерживают также и администрирование настольных систем, но если вы попытаетесь управлять десятками тысяч настольных ПК, то наверняка быстро выйдете на верхний предел возможностей MDM-систем.

Поставщики тестировавшихся нами продуктов специализируются на мобильных технологиях, тем не менее внимания заслуживают и поставщики традиционных систем администрирования. Учитывая тот факт, что компания Symantec (имеющая опыт в разработке продуктов для обеспечения безопасности мобильных устройств) поглотила компанию Altiris (ведущую в области администрирования мобильных устройств), мы ожидаем, что данное направление указанной области будет продолжать развиваться и традиционные системы сравняются по своим характеристикам с системами специализированных поставщиков. Будут ли последние продолжать попытки пробиться в сектор администрирования настольных систем, пока неясно.

И последнее замечание, относящееся к стандартизации: мы слышали жалобы относительно отсутствия на данный момент стандартизации в отрасли мобильных устройств даже там, где используется одна и та же ОС. Существуют два решения: 1) разработать стандартный «профиль» аппаратных характеристик, как это имеет место в отношении ПК и 2) разработать стандартный механизм администрирования устройств. Хорошая новость состоит в том, что Nokia и другие поставщики проталкивают на рынок идею альянса OMA DM (Open Mobile Alliance Device Management) — базирующегося на стандартизации подхода, который должен позволить осуществлять администрирование устройств на аппаратном уровне. В настоящее время подход OMA DM ориентирован на операторов связи, но уже были предприняты усилия, направленные на то, чтобы более тесно связать OMA DM с корпоративными платформами администрирования устройств. В 2008 г. мы надеемся увидеть дальнейшие шаги в этом направлении..

  
14 '2007
СОДЕРЖАНИЕ

бизнес

• Как делили «последнюю милю»

• ЦОД «в комплексе»

инфраструктура

• NAC: и больше и лучше

• Администрирование в движении

• Стандарт NEA

• Будущее DVR в свете внедрения IP-систем видеонаблюдения

сети связи

• «Многоликие» фиксированные беспроводные системы

• Что такое конвергентная сеть и как к ней перейти?

информационные системы

• Ключевые параметры для управления call-центром

• BPEL4People: человеческий фактор

• Изменения в стеке Windows повышают производительность сети

защита данных

• В поисках совершенства

электронная коммерция

• Эффективность ЦОДов: все дело в метриках

• Оптоволокно меняет облик внешних кабельных инфраструктур


• Калейдоскоп


Реклама:
 Copyright © 1996-2008 ООО "Сети и Системы Связи". вверх