Souhrnná zpráva projektu

Transkript

1 Souhrnná zpráva projektu Tato souhrnná zpráva je výsledkem projektu Multiplatformní přístup k univerzitním datům a aplikacím z mobilních zařízení (dále jen projekt), který byl za podpory Fondu rozvoje CESNET zpracován na Univerzitě Pardubice v období srpen 2011 až prosinec Rozebírá všechny aspekty deklarované projektem (viz příloha č. 4 Text projektu výchozí záměr) pro potřeby uživatelů, kteří migrují na některou z mobilních platforem. Řešitelé projektu: Ing. Jiří Slanina Oddělení správy systémů a sítí (OSSS), , jiri.slanina@upce.cz Oblast: bezpečnost, komunikační architektura Ing. Petr Švec Oddělení správy výpočetní techniky (OSVT), , petr.svec@upce.cz Oblast: centrální servery a aplikace David Matušek Oddělení OSSS, , david.matusek@upce.cz Oblast: virtualizovaná řešení VMWARE, zálohování Zdeněk Darmovzal Oddělení OSVT, , zdenek.darmovzal@upce.cz Oblast: správa zařízení uživatelů, operačních systémů a SW Kolektiv řešitelů pracuje na Informačním centru Univerzity Pardubice a na uvedených kontaktech je k dispozici jak pro veškeré dotazy, které se týkají specifických oblastí uvedených výše, tak obecných otázek souvisejících s danou problematikou a centralizovaných služeb, které uživatelům poskytuje Informační centrum Univerzity Pardubice (IC UPa). Stránka 1 z 22

2 1 Obsah 1 Obsah Úvod Přehled poskytovaných služeb UPa mobilním uživatelům a jejich popis Poštovní služby Exchange VPN přístup Služby portálu SharePoint Služby založené na MS Lync Terminálové služby Virtuální desktopy Dostupnost obecných služeb Přehled operačních systémů mobilních platforem Apple ios Google Android 2.x Google Android 3.x, 4.x Verze Android v Smartphone se systémem Windows mobile 6.x Windows 8 RT Podpora pro začínající uživatele chytrých telefonů nebo tabletů Rozhodovací diagramy pro koncového uživatele Mobilní datový tarif Testovací prostředí Testovací hardware Ochrana dat aplikací a uživatelů Publikace obsahu Bezpečnostní architektura mobilního přístupu Soulad s bezpečnostní politikou UPa Mobile policy a centrální správa Zálohování a šifrování dat Trend dalšího vývoje Literatura Přílohy: Stránka 2 z 22

3 8.1 Příloha č. 1 Diagram výběru telefonu Příloha č. 2 Diagram výběru tabletu Příloha č. 3 - Seznam otestovaných aplikací se stávajícími službami UPa Příloha č. 4 - Text projektu výchozí záměr Úvod Tato souhrnná zpráva je určena všem uživatelům, kteří již využívají nebo shromažďují informace o přístupu k univerzitním aplikacím a datům z nových platforem, které se masově rozšířily v letech 2011 až Jedná se především o operační systémy chytrých mobilních telefonů a tabletů (ios a Android). Obsahuje srovnání přístupu oproti klasickým prostředkům výpočetní techniky jako stolních PC a notebooků. IT prostředí, ve kterém se uživatel se svým zařízením pohybuje, resp. infrastruktura, která mu určité služby poskytuje je v případě výskytu jiné/nové platformy vystavena výzvě, jaké služby je možné uživateli této platformy poskytnout. Očekávání uživatele a reálné služby jsou však rozdílné. Nicméně se podporou těchto nových trendů zlepšuje projektové řízení, týmovou spolupráci, zvyšuje rychlost procesů, mobilitu klientů, jejich produktivitu, informovanost a naopak se snižuje jejich reakční doba. Organizace, které mají zpracovanou a zavedenou tuto metodiku do praxe včetně souvisejících obchodních záměrů, si vytvářejí prostor pro konkurenční výhodu a technologický náskok. Předchozí záměr vytvořit tuto příručku byl na jaře 2012 posílen tím, že na pražské konferenci CISCO EXPO 2012 [1] tento IT trend používání tabletů a chytrých telefonů získal oficiální název BYOD (Bring Your Own Device), tedy využívání soukromých zařízení pro pracovní účely a přístupu k firemním datům, Název BYOD od té doby převzali všichni, kdo se zabývají jak vývojem aplikací, síťovou infrastrukturou, bezpečností, tak službami s tím spojených. Dalším důležitý posun zaznamenal v této souvislosti termín data uživatele. Jak bylo dříve zvykem, data měl uživatel pod kontrolou na svém pevném disku. Uživatel, který chce svá data sdílet mezi několika svými zařízeními, však nutně tato data přesune na vzdálené úložiště do cloudu (nebo ze svého lokálního úložiště učiní cloud přístupný z veřejné sítě), čímž se však jeho data dostávají pod kontrolu dalším subjektům a data již nevlastní pouze uživatel. Pro zpřístupnění dat různým platformám tak musí tvůrci infrastruktury i aplikací brát v úvahu další parametry, podle kterých je možné zachovat složky bezpečnosti dat (důvěrnost, integrita, dostupnost), funkcionalitu aplikace a tím i spokojenost uživatele. Viz obrázek. Srovnání vlastností nejdůležitějších kategorií a podpora uživatelů je cílem této souhrnné zprávy. Stránka 3 z 22

4 3 Přehled poskytovaných služeb UPa mobilním uživatelům a jejich popis 3.1 Poštovní služby Exchange Univerzita Pardubice má dlouhodobě nasazeno pro zaměstnance groupwarové řešení založené na MS Exchange, momentálně ve verzi Vzhledem k tomu, že zhruba třetina zaměstnanců používá pro práci mimo interní síť UPa notebooky, umožňuje toto řešení těmto uživatelům přistupovat ke své poštovní schránce jednotným způsobem pomocí Outlook Anywhere. Zároveň je mobilním uživatelům standardně nabízen přístup k poštovním službám Exchange pomocí protokolu ActiveSync a IMAPs. Toto řešení bude Univerzita Pardubice nadále rozvíjet a v blízké době migrovat na platformu Office 365 kde je tato platforma přímo spojena a nejnovější verzi Exchange 2013 a Office Přístup k základním poštovním službám (mailová korespondence, kalendáře, kontakty, úkoly, veřejné složky apod.) je založen na Active Directory a centrálně spravován a řízen pomocí systémových politik. Toto řešení umožňuje cíleně konfigurovat a nastavovat jednotlivé služby a složky podle požadavků cílových skupin uživatelů. 3.2 VPN přístup Veškeré VPN přístupy běžných uživatelů jsou realizovány pomocí klientského software Cisco AnyConnect, které používá pokročilé funkce SSL. [2] Instalační balíček je nabídnut uživateli automaticky centrálním firewallem Cisco ASA 5580 při požadavku webového prohlížeče na zabezpečené připojení na adresu Po instalaci zůstává AnyConnect nainstalovaný na PC pro budoucí použití i bez webového prohlížeče. Po navázání šifrovaného připojení jsou uživateli přístupné vybrané služby z vnitřní sítě UPa. V průběhu realizace projektu byly potřeba dokoupit VPN licence pro centrální firewall. Jedna je obecná, pro jakékoliv (nonpc) přistupující mobilní zařízení Cisco AnyConnect Mobile, která není omezena počtem mobilních klientů a Cisco VPN client, které licencují počet současně vytvořených šifrovaných spojení. Jejich potřeba vytrvale stoupá a tato licence byla každý rok navyšována z původního počtu 50 spojení na 100 a dále na 250. Hodnota počtu současně připojených uživatelů VPN je online sledována v monitorovacím SW datové sítě UPa. Stránka 4 z 22

5 3.3 Služby portálu SharePoint Univerzita Pardubice má nasazeno v pilotním projektu pro Informační centrum řešení založené na SharePoint Toto řešení slouží v této fázi zejména pro centrální správu, řízení a verzování společných dokumentů Informačního Centra. Toto řešení poskytuje jednotlivým technikům a správcům snadný a jednotný přístup k dokumentům prakticky odkudkoliv pomocí mobilních zařízení. Do budoucna UPa počítá s využitím této platformy rodiny SharePoint právě v rámci programu Office 365 pro širší okruh zaměstnanců. Těmto klientům je k dispozici aplikace SharePoint Mobile Client pro platformu ios, Android a Windows Služby založené na MS Lync Univerzita Pardubice počítá v rámci programu Office 365 s nasazením produktu MS Lync, jak pro desktopová, tak pro mobilní zařízení. Toto řešení umožní mobilním uživatelům zasílání rychlých zpráv, hlasové volání mezi zařízeními uživatelů, možnost účastnit se webových konferencí a integraci hlasové schránky do elektronické pošty. Pro tuto aplikaci existuje podpora pro platformy ios, Android a Windows 8. Testování a nasazení této služby plánuje UPa se zavedením Office 365 v roce Terminálové služby Univerzita Pardubice má nasazeno terminálové řešení pro zaměstnance a studenty založené na terminálových službách Windows Serveru 2008 R2. V současné době může toto řešení využívat 100 současně pracujících uživatelů. V terminálovém prostředí je provozována řada aplikací a přístupových služeb, které jsou jistým způsobem svázány s licenčními podmínkami poskytovatelů těchto aplikací a služeb. Jedná se zejména o právní informace, knihovní systémy a přístupy do aplikací spojených s vědou a výzkumem technických fakult. Přímý přístup do těchto systémů odkudkoliv je prakticky nemožný, proto je pro mobilní uživatele použit jako zprostředkující článek služba terminálového přístupu. Terminálový přístup je zprostředkován v rámci VPN připojení, je řízen a spravován přes Active Directory a je k dispozici pro platformu ios, Android. 3.6 Virtuální desktopy V roce 2012 nasadila Univerzita Pardubice provoz virtuální platformy založené na VMware View. Toto řešení umožňuje jednoduší přístup a správu aplikací pro koncové uživatele jak v rámci virtuálních desktopů, tak v rámci distribuce samostatných virtuálních aplikaci. Přístup do tohoto prostředí je zprostředkován opět v rámci VPN připojení a přístup j jednotlivým virtuálním strojům a aplikacím je řízen a spravován přes Active Directory a Group Policy. Pomocí klienta VMware View, který je k dispozici pro platformu ios, Android může vzdálený uživatel pracovat na svém osobním nebo sdíleném desktopu s přístupem ke svým datům uloženým na síťových discích. Jména všech konkrétních aplikací využívající výše uvedené služby jednotlivých platforem (zejména ios a Android) nejsou podrobněji uváděna vzhledem k většímu množství těchto aplikací a poměrně rychlému vývoji v této oblasti. Přehled testovaných aplikací v rámci tohoto projektu je uveden v příloze č. 3. Stránka 5 z 22

6 3.7 Dostupnost obecných služeb V rámci zpracování přehledu poskytovaných služeb, byla vypracována tabulka o dostupnosti obecných služeb. Tabulka shrnuje přehled základních služeb, které jsou nejčastěji uživateli prostředí Univerzity Pardubice využívány. V oblasti posuzovaných operačních systémů mobilních zařízení jsou tyto služby navzájem STEJNÉ a dále se shodují i se službami, které jsou stejně funkční i na běžných PC. DOSTUPNOST OBECNÝCH SLUŽEB (z internetu a WiFi eduroam) PC TABLET/TELEFON Windows Linux Mac ios Android Pošta https ANO ANO ANO ANO ANO Kalendář https ANO ANO ANO ANO ANO Kontakty https ANO ANO ANO ANO ANO SLUŽBA Úkoly https ANO ANO ANO ANO ANO PROTOKOL VPN IPsec ANO ANO ANO ANO ANO Share Point WWW https ANO ANO ANO ANO ANO http/ https ANO ANO ANO ANO ANO VDI PCoIP VPN VPN VPN VPN VPN Terminál server RDP VPN VPN VPN VPN VPN 4 Přehled operačních systémů mobilních platforem 4.1 Apple ios Obecně: zdařilý a trendový systém, není příliš variabilní a aplikace jsou ve velké míře placeny. Zařízení Apple není možno dále rozšířit pomocí SD karty, popřípadě nelze připojit USB flash disk pro běžné použití. Exchange ANO - bezproblémová synchronizace všech údajů a dat Kontakty Kalendář a úkoly Tisk ze zařízení - ANO nativně na zařízení s podporou AirPrint nebo přes placené aplikace třetích stran na ostatní zařízení Možnost využití VPN - ANO přes aplikaci zdarma Cisco AnyConnect pro iphone MS Sharepoint - ANO Stránka 6 z 22

7 Centrální správa ANO Vzdálená plocha (připojení na vzdálený PC) ANO aplikace RDP klient je dostačující. VMWARE view (připojení na virtuální desktop) -ANO Běžná práce s dokumenty MS Office 2007/2010, PDF ANO zapotřebí dokoupit placený SW na možnost editace (jak office, tak PDF) Prohlížení internetu specifikace neumožňuje zobrazení flash aplikací 4.2 Google Android 2.x Obecně: velmi rychlý a variabilní systém s příjemným rozhraním. Uživatelsky přátelský s možností dalších zdarma aplikací. Drtivá většina zařízení podporuje rozšíření pomocí SD karet a připojení USB flash disků. Tato variabilita má za následek i to, že existuje mnoho specifických zařízení, které mají více variant HW i SW vybavení. Exchange 2010 ANO - bezproblémová synchronizace všech údajů a dat jak s dodávanou aplikací tak lze využít detailnější synchronizaci přes bezplatnou aplikaci DropBox. Kontakty včetně adresáře z Exchange serveru Kalendář, poznámky a úkoly Tisk ze zařízení ANO s použitím aplikace třetích stran Možnost využití VPN ANO přes aplikaci Cisco AnyConnect pro Android MS Sharepoint ANO bezproblémový chod Centrální správa ANO Vzdálená plocha (připojení na vzdálený PC) ANO na výběr je mnoho aplikací zdarma, které jsou vyhovující. VMWARE view (připojení na virtuální desktop) - ANO Běžná práce s dokumenty MS Office 2007/2010, PDF ANO všechny formáty podporovány doc, docx, xls, xlsx, ppt, pptx, pfd. Prohlížení internetu specifikace prohlížeč pracuje rychle, odpadá problém s flash aplikacemi, který je u systému ios. 4.3 Google Android 3.x, 4.x Obecně: variabilní systém s příjemným uživatelským rozhraním. Při výběru zařízení s USB portem možnost připojení do kabelové datové sítě prostřednictvím redukce USB to LAN RJ45. Především pak model Asus Transformer je velmi vydařený, co se týká výdrže na baterii a využití hardwarové klávesnice. Drtivá většina zařízení podporuje rozšíření pomocí SD karet a připojení USB flash disků. Tato variabilita má za následek i to, že existuje mnoho specifických zařízení, které mají více variant HW i SW vybavení. Exchange 2010 ANO - bezproblémová synchronizace všech údajů a dat Tisk ze zařízení ANO s použitím aplikace třetích stran Možnost využití VPN ANO - přes Cisco AnyConnect MS Sharepoint ANO Centrální správa ANO Vzdálená plocha (připojení na vzdálené PC) ANO Stránka 7 z 22

8 VMWARE view (připojení na virtuální desktop) ANO Běžná práce s dokumenty MS Office 2007/2010, PDF ANO všechny formáty podporovány doc, docx, xls, xlsx, ppt, pptx, pfd. Prohlížení internetu specifikace prohlížeč pracuje rychle, odpadá problém s flash aplikacemi, který je u systému ios. Od verze 4.1 již v prohlížeči flash aplikace nejsou podporovány. 4.4 Verze Android v 4.2 Tato nová verze přidává správu uživatelských profilů pro tablety a kontrolu aplikací proti nechtěnému Mallware. 4.5 Smartphone se systémem Windows mobile 6.x Obecně: systém je nedopracovaný do úplného detailu, je pomalý a není variabilní tak, jako konkurenční systémy. Výrazně zaostává s uživatelským rozhraním a možností nastavení. Exchange 2010 ANO synchronizace probíhá pomalu, zobrazení není tak dobré tako u ios popř. Android. Tisk ze zařízení ANO - je možný přes základní aplikaci JETCET Print. Možnost využití VPN ANO MS Sharepoint ANO Centrální správa ANO podporovaná přes MS Manager Console, je nutné ho nastavit i pro verze 6.x. Smartphone se instalací klienta zpomalí. Vzdálená plocha (připojení na vzdálený PC) ANO lze použít vyhovující Remote Desktop Mobile, který je součástí systému. VMWARE View (připojení na virtuální desktop) NE Běžná práce s dokumenty MS Office 2007/2010, PDF ANO práce se soubory je dostačující i se základním Office Mobile, podporované jsou všechny formáty: doc, docx, xls, xlsx, ppt, pptx, pfd. Prohlížení internetu specifikace prohlížení je pomalé, chybí podpora flash aplikací a zoom stránek je nepraktický. 4.6 Windows 8 RT V prosinci 2012 se do prodeje dostala další verze OS Windows určeného právě pro mobilní a dotyková zařízení. Systém je prozatím velmi mladý, Windows Store obsahuje velmi málo aplikací ke stažení. Taktéž centrální správa spolu s VPN klientem prozatím není dořešena. Exchange 2010 ANO plně kompatibilní Tisk ze zařízení ANO Sharepoint ANO VPN prozatím není oficiální verze AnyConnect pro RT Centrální správa bez možností integrace do domény Vzdálená plocha - ANO Vmware View zatím bez oficiálního vydání klienta přes Windows Store Běžná práce s dokumenty MS Office 2007/2010 PDF ANO Tato platforma je zcela nová a není v tomto projektu možné ji podrobněji rozepsat. Stránka 8 z 22

9 5 Podpora pro začínající uživatele chytrých telefonů nebo tabletů 5.1 Rozhodovací diagramy pro koncového uživatele Tato kapitola byla aktuální zejména v počáteční fázi projektu, kdy povědomí uživatelů nebylo na tak vysoké úrovni. Nicméně v souladu s původními záměry byly zpracovány dva rozhodovací diagramy (pro chytré telefony-příloha č. 1 a tablety-příloha č. 2), které zmiňují hlavní kritéria, resp. otázky, které si každý uživatel musí zodpovědět, když zvažuje výběr mobilního produktu. Jejich současný největší přínos spočívá v tom, že při výběru není opomenuto některé důležité kritérium a později nedojde na nepříjemné zjištění nějaké chybějící funkcionality. Tyto diagramy jsou používány v oddělení centrálního nákupu UPa. 5.2 Mobilní datový tarif Služba přenosu datových paketů a její rychlost je dostupná v závislosti na pokrytí měst a krajiny těmito signály, což neomezuje uživatele pouze na používání lokálního WiFi připojení. Služba generuje finanční náklady za poskytnutou datovou službu, používaný tablet však musí tuto službu umožňovat. U tabletů ipad je nutné vybrat, jestli bude potřebovat 3G hned při nákupu. Rozšíření v budoucnu není možné. U tabletů s OS Android je možné připojit 3G přes USB port (je nutný root). 5.3 Testovací prostředí Testovací prostředí na UPa vzniklé je vedlejším produktem (rozšířením) provozního prostředí, které bylo vybudováno s cílem zlepšit služby studentům a zvýšit produktivitu zaměstnanců. V současné době je v testovacím módu, kde uživatel nezasahuje do provozního prostředí nabízeno uživatelům několik aplikací: SharePoint 2010 VMWare View 5.1 Další služby jsou testovány v ostrém prostředí s využitím testovacích účtů. Úplný seznam a podrobný popis je uveden v příloze č Testovací hardware V rámci projektu byly z prostředků UPa nakoupeny produkty, které zastupují jednotlivé mobilní platformy a jsou na IC k dispozici pro testování. 2x Tablet s operačním systémem Android (ASUS Transformer, ACER Iconia A500) Stránka 9 z 22

10 1x ipad2 s operačním systémem Apple IOS 1x mobilní telefon Samsung Galaxy i9100 s operačním systémem Android Další zařízení z jiných prostředků, která se objevila v době realizace projektu nebo později, nejsou uváděna v této zprávě. 6 Ochrana dat aplikací a uživatelů 6.1 Publikace obsahu Pro zpřístupnění dat různým platformám je klíčovým předpokladem jejich publikace. Způsob však musí odpovídat nejen bezpečnostním zásadám, ale také musí podporovat ověření uživatele, různé operační systémy, různé typy zařízení, různé verze aplikace od různých výrobců, které k datům přistupují. Ke splnění těchto předpokladů je nutná vybudovaná bezpečnostní architektura, která umožňuje uchopit a řídit každou vrstvu zvlášť. 6.2 Bezpečnostní architektura mobilního přístupu Pro tvorbu architektury bezpečného mobilního přístupu je nutné uvážit zejména: data jsou uložena v cloudu (na vzdáleném síťovém disku), přístup k nim vyžaduje trvalou konektivitu zařízení uživatele, uživatel se pohybuje a střídá přístupové body (roaming) včetně navázaného VPN připojení Obrázek architektury pro přístup mobilních uživatelů ke službám Stránka 10 z 22

11 6.3 Soulad s bezpečnostní politikou UPa Jednotná politika aplikovaná na mobilní uživatele je v souladu a navazuje na Bezpečnostní politiku informační infrastruktury Univerzity Pardubice z roku 2008 [3], která používá zavedenou terminologii, aplikované bezpečnostní principy, procesy systému řízení informační bezpečnosti i metody hodnocení úrovně vyspělosti procesů. Její principy jsou prakticky používány na IC UPa. 6.4 Mobile policy a centrální správa Pro centrální správu byla nasazena Aplikace 3CX Mobile Management, která je určena jak pro správu zařízení na platformě Android, tak ios. Tato aplikace je do počtu 50 spravovaných zařízení zdarma, což je pro účel projektu dostačující. Pomocí této aplikace je také prováděna centrální evidence mobilních zařízení včetně správy instalovaného SW, správy zabezpečení a komunikace s uživateli koncových zařízení. V případě ztráty zařízení je možné toto zařízení vzdáleně lokalizovat, zablokovat nebo smazat veškerá data. U mobilních telefonů lze smazat data pomocí SMS (bez nutnosti připojení k Internetu). Stránka 11 z 22

12 Vzdálená správa umožňuje zařízení online monitorovat, vzdáleně instalovat nebo blokovat vybrané aplikace, tvořit profily konfigurací (vytvářet skupiny uživatelů podle způsobu užívání HW). SW umožňuje vynutit používání různě silných hesel pro přístup do zařízení. 6.5 Zálohování a šifrování dat Zálohování dat mobilních klientů se provádí na platformě ios pomocí aplikace itunes buď na lokální úložiště nebo online pomocí technologie icloud [4]: itunes: Tato záloha obsahuje kompletní zálohu zařízení (aplikace + data). icloud: Tato záloha obsahuje pouze data aplikací Zálohování dat mobilních klientů na platformě Android se provádí: pomocí cloudové služby Google (nastavení systému a data aplikací, které to podporují) pomocí aplikcí třetích stran (např. Titanium Backup). Je nutný root. (aplikace + data) další varianty jsou specifické dle podpory výrobcem HW zařízení Tím je zaručeno, že při ztrátě dat nebo havárii zařízení (z jakéhokoliv důvodu) existuje poměrně snadná cesta obnovy do původního stavu. Cloudové služby a data uložená vzdáleně (v cloudu), jako jsou např. SharePoint, Exchange, VmWare View a další, jsou již ve svém principu zálohovány poskytovatelem těchto služeb. Proto není jejich záloha starostí uživatele. Šifrování dat uložených na mobilním zařízení (obou platforem) je vedle centrální správy další ochrana pro případ, že by se tablet ztratil nebo byl ukraden. Šifrování je doporučeno pro uživatele UPa, kteří pracují s dokumenty obsahující osobní údaje. Před zapnutím šifrování je doporučena konzultace na IC UPa. Zašifrována mohou být všechna data v tabletu [5]: účty, data aplikací, hudba a další média, stažené soubory atd. Po zašifrování je při každém zapnutí tabletu vyžadován číselný kód PIN nebo heslo. Upozornění pro uživatele: Šifrování je nevratné. Jediný způsob, jak se vrátit k nezašifrovanému tabletu, je provést obnovení továrních dat, které vymaže veškerá vaše data. 6.6 Trend dalšího vývoje Nejdůležitějším a klasickým hybným faktorem změn je požadavek na schopnost uživatelů pracovat kdykoliv a kdekoliv, nově i na čemkoliv. Společným jmenovatelem výše uvedeného je však faktor s nejsilnějším vlivem a to je pohodlí uživatelů! Zachování co možná největší míry Stránka 12 z 22

13 bezpečnosti se předpokládá automaticky, resp. se stále posouvají některé hranice a vznikají zcela nové hrozby. Nehledě k nákladům na správu aplikací a související infrastruktury. Z hlediska umožnění přístupu všem práce chtivým uživatelům k datům tak přestává vyhovovat prosté navyšování VPN licencí, ale jsou kladeny stále častěji požadavky na to, aby aplikace pracovaly s daty bez nutnosti VPN, což vyžaduje jejich publikaci, viz kapitola 6.1. Podle provedených studií [6] je to však v oblasti podnikových aplikací přehnané očekávání. Jen některé hodně používané a obchodně důležité aplikace mají šanci na plnohodnotné nasazení a odladění většiny bezpečnostních chyb. Lze očekávat, že výsledným efektem bude růst obou trendů: jak větší integrace aplikací do portálů přístupných napřímo bez VPN, tak zůstane oblast aplikací přístupných pouze přes VPN. Výše uvedené otázky se již hodně dotýkají oblasti cloudových služeb (poskytování aplikací a dalších služeb, nejen podnikových) a také dynamického přemisťování dat mezi poskytovateli, což není předmětem tohoto projektu a tyto otázky nebyly cíleně rozebírány, protože se jedná o další rozsáhlou problematiku. Stránka 13 z 22

14 7 Literatura [1] Cisco Expo Praha [2] [3] Bezpečnostní politika informační infrastruktury Univerzity Pardubice řešená projektem Modelové řešení bezpečnostní politiky, Fond rozvoje CESNET 196R1_ [4] [5] [6] 8 Přílohy: Příloha č. 1 Diagram výběru telefonu Příloha č. 2 Diagram výběru tabletu Příloha č. 3 - Seznam otestovaných aplikací se stávajícími službami UPa Příloha č. 4 - Text projektu výchozí záměr Stránka 14 z 22

15 8.1 Příloha č. 1 Diagram výběru telefonu Stránka 15 z 22

16 8.2 Příloha č. 2 Diagram výběru tabletu Stránka 16 z 22

17 8.3 Příloha č. 3 - Seznam otestovaných aplikací se stávajícími službami UPa Platforma Android Microsoft Exchange - Nativní klient systému android umožňuje synchronizaci pouze ů, kontaktů a kalendáře. Kompletní synchronizaci je možná při použití placených aplikací Touchdown nebo Moxier Mail. Microsoft Sharepoint - Přístup je možný při použití aplikace SharePlus ve verzi zdarma pouze pro čtení nebo placené verzi pro plný přístup. VMware View - Přístup je možný při použití aplikace VMware View Client zdarma. VMware vsphere administrace VMware vspere je možná pomocí placené aplikace ivmcontrol. Bohužel společnost VMware doposud nevydala svého nativního klienta pro systém Android. Vzdálená plocha Přístup na vzdálenou plochu PC se systémem Windows je možná pomocí aplikace 2X Client RDP zdarma. Office Dokumenty je možné prohlížet a editovat pomocí aplikace Polaris Office, která je již součástí systému od některých výrobců zařízení nebo pomocí placených aplikaci QuickOffice, Office Suite, DocumentsToGo. Je možné i použití aplikací KingsoftOffice nebo Olive Office, které jsou zdarma. VPN Cisco AnyConnect zdarma. Tiskové služby Tisky je možné provádět na síťové tiskárny nebo tiskárny nasdílené pomocí PC programy PrintBot nebo PrinterShare, oba v placené verzi. Připojení sítových disků přistup na sdílené disky pomocí samba protokolu je možný zdarma pomocí programu File Manager (File Manager HD) Cloudové úložiště třetích stran DropBox, SkyDrive, Google Disk nebo šifrované uložiště Wuala. Platforma ios Microsoft Exchange - Nativní klient systému ios umožňuje synchronizaci ů, kontaktů, kalendáře a úkolů. Microsoft Sharepoint - Přístup je možný při použití aplikace SharePlus ve verzi zdarma pouze pro čtení nebo placené verzi pro plný přístup. VMware View - Přístup je možný při použití aplikace VMware View Client zdarma. VMware vsphere administrace VMware vspere je možná zdarma pomocí nativního klienta vsphere Client. Vzdálená plocha Přístup na vzdálenou plochu PC se systémem Windows je možná pomocí aplikace 2X Client RDP zdarma. Office Dokumenty je možné prohlížet a editovat pomocí placených aplikaci QuickOffice, DocumentsToGo, Pages, Numbers, Keynote. VPN Cisco AnyConnect zdarma. Tiskové služby Tisky je možné provádět na síťové tiskárny pomocí technologie AirPrint nebo tiskárny nasdílené pomocí placených aplikací Print Agent PRO, Print Direct a Print to all Printers. Stránka 17 z 22

18 Cloudové úložiště třetích stran DropBox, SkyDrive, Google Disk nebo šifrované uložiště Wuala. 8.4 Příloha č. 4 - Text projektu výchozí záměr Název: a) Současný stav řešeného problému Obecně: Epocha informační společnosti, ve které se nacházíme, přináší nové možnosti a posouvá hranice v mnoha oblastech: komunikace, potřeby uživatelů a dalších, což je doplňováno rostoucími požadavky uživatelů. Zařízení a aplikace se více provazují, vzájemně spolupracují (komunikují). Postupně jsme všichni zjistili, že data jsou dostupná odkudkoliv, kdykoliv, jakémukoliv oprávněnému uživateli a můžeme důvěřovat i jejich integritě a bezpečnosti. Navíc se stává standardem, že rychlost přenosu dat je dostatečná a objem dat není ničím omezen. Zejména cenou za přenos. Uživatelé informačních technologií ve stále větší míře využívají nové produkty a častěji přechází k mobilním technologiím, resp. zařízením, která jsou stále levnější, uživatelsky příjemnější, mají stále lepší technické parametry včetně výdrže na baterie. V řadě případů uživatel nemá jen jedno takové zařízení, ale podle typu práce používá střídavě několik takových zařízení a potřebuje pracovat nad stejnými daty. Rovněž používá stejnou sadu jemu známých aplikací, se kterými je schopen zvládat potřebné pracovní úkony (pošta, běžné kancelářské, grafické aplikace a několik jeho specializovaných aplikací). Sada nástrojů synchronizace, která uživateli vyřešila problém střídavého používání pevného počítače a notebooku, později notebooku a mobilního telefonu, již na vše nestačí a objevily se nové možnosti a požadavky: virtualizace a mobilita se zachováním pohodlí uživatelů. Na druhé straně je uživatelův zaměstnavatel, který požaduje jeho produktivitu, bezpečnou a mobilní komunikaci, dostupnost kdykoliv a odkudkoliv, dále pokud možno centrální správu, možnost nastavovat politiky, tedy přidělování přístupu podle typu a stavu zařízení nebo uživatele a stupni jeho oprávnění. Konkrétně: Informační centrum Univerzity Pardubice (dále jen IC) je průběžně zásobováno rozličnými požadavky na zprovoznění standardních služeb, které by uživatelé s různými zařízeními uvítali. IC má zájem chránit důležitá data zaměstnanců a studentů. IC se snaží předcházet často obtížně splnitelnému požadavku uživatele: Připojte mi toto do sítě. Vývoj mobilních technologií a klesající ceny přinesl trend, kdy nastává přechod od notebooků, ke stejně mocným mobilním destičkám, které se stávají prostředkem pro nahlížení a práci nad jedněmi vzdálenými daty. Stránka 18 z 22

19 b) Cíle řešení Jsou stanoveny konkrétní 3 cíle: 1. Nalezení strategie organizace v podpoře mobility osob. Zpřístupnění většiny služeb nabízených v síti UPa (výukových a webových aplikací, sdílených diskových prostor, terminálových služeb, virtuálních serverů a desktopů, ) studentům a vyučujícím z široké palety mobilních zařízení. 2. Vznik vzorového testovacího prostředí pro mobilního uživatele, možnost vyzkoušet si konkrétní typ zařízení a operačního systému nad vzorovými aplikacemi. 3. Bezpečnost při používání mobilních zařízení. Vytvoření jednotné Mobile Policy aplikované na tato zařízení pro řešení incidentů jako je zneužití nebo ztráta těchto zařízení. Cílem realizace projektu je uživateli/zájemci nabídnout doporučení, porovnání možností, rozhodovací proces a existenci testovacího prostředí, kde si může vybrané řešení fyzicky vyzkoušet na vzorových aplikacích, v budoucnu pak konkrétním zájemcům vytvořit jejich konkrétní prostředí (virtuální desktop), které pro něj bude dostupné z jeho mobilního/mobilních zařízení a které může neomezeně/mobilně používat. Tyto mobilní technologie pak skloubit s nastupujícím trendem rozšiřování a nasazování virtuálních desktopů napříč univerzitou, což by mělo přinést finanční úspory v budoucnu. Testovací prostředí bude přístupné ve všech bezdrátových sítích, v prostorách IC a oddělení centrálního nákupu techniky bude uživateli nabízeno použití HW prostředků a plný informační servis. Jedním z důležitých aspektů projektu je práce s jednotnými daty na více zařízeních současně: Mít na jednání s dalšími partnery jednotná a aktuální data je problém, který tento projekt elegantně řeší a může předvést uživatelům. Obvyklá je situace, kdy před jednáním někdo vytiskne podklady všem zúčastněným osobám a na poslední chvíli přijde nějaká změna nebo doplnění. Rázem jsou vytištěné podklady neaktuální a je neefektivní tisknout je znovu. V případě používání mobilních zařízení (pro náhled na podklady) postačí aktuálním dokumentem nahradit zastaralý dokument na společném úložišti a všichni účastníci jednání mají hned k dispozici aktuální verzi. Společný náhled na jednotná aktuální data v jeden okamžik na několika zařízeních je druhotným efektem projektu, kdy si uživatel může ověřit, jak toto sdílení aktuálních informací funguje. Související problematika je mnohem širší a dotýká se více aspektů, které by byly řešeny např.: optimalizace nákladů na komunikaci, kterou uživatelé často samostatně hledají podpora majitelů mobilních zařízení a zlepšení služby helpdesk bezpečnost, možnosti centrální správy, zálohování dat a monitoring vytvoření standardů (jak SW, tak HW), včetně jejich odzkoušení a kompatibility se systémy používaných na UPa. c) Způsob řešení K realizaci projektu budou využity tyto prostředky: Stránka 19 z 22

20 1. Ve stávajícím virtuálním prostředí VMWARE bude nasazeno řešení VMWARE Virtual Desktop Infrastructure (dále jen VDI) produktem VMWARE View. Tím bude položen základ uživateli nabídnout odkudkoli dostupné virtuální PC s aplikacemi a potřebnými vlastnostmi. 2. Stávající mobilní prostředky: Notebooky (Windows7), mobilní telefony se systémy Apple ios, Google Android, Windows Mobile. 3. Nově pořízené mobilní prostředky: Tablety a mobilní telefony na platformě Android (v různých verzích), Apple IOS a Windows Mobile. 4. Nově pořízené antiviry a podpůrný komunikační SW. 5. Předpokládáme i začlenění dostupných variant dalších stávajících zařízení, vyskytující se u uživatelů, které není třeba podrobněji specifikovat. Připojení mobilních zařízení bude testováno bezdrátové sítě wi-fi eduroam v areálu UPa a dostupných datových sítí mobilního operátora: edge, 3G, GPRS. Mobilní přístup uživatelů k datům a aplikacím bude posuzován z hledisek: bezpečnost, možnosti centrální správy, zálohování dat a monitoringu. Motivace: Potřebou uživatelů a snahou správců je širší zpřístupnění služeb a aplikací. Nestačí přístup z klasických zařízení typu notebook nebo domácí počítač, požadavkem je umožnění přístupu z dalších mobilních zařízení, které jsou založeny na jiných operačních systémech. Přístup k vnitřním službám organizace je pro oprávněné uživatele zpravidla řešen pomocí VPN přístupu pro klasické operační systémy, což u mobilních zařízení často naráží na značnou různorodost implementace technologie VPN. Do hry dále vstupuje i důležitý faktor bezpečnosti dat i těchto mobilních koncových zařízení. V neposlední řadě je vhodné centralizovat a používat nástroje na vytvoření Mobile Policy aplikované na tyto zařízení pro případ zneužití nebo ztráty těchto zařízení. d) Konkrétní výstupy projektu Souhrnná zpráva, kde budou vyjmenovány konkrétní vlastnosti prostředí, které je uživatelům nabízeno pro různé platformy. Zpráva bude členěna podle HW prostředků, operačních systémů a požadovaných funkcionalit. Poslouží jako manuál a průvodce pro koncového uživatele, který má zájem o nákup mobilního zařízení a na základě seznámení s problematikou se může lépe rozhodnout. Rozhodovací diagram pro koncového uživatele, který na základě jeho představ a požadavků, jej bude směřovat k volbě cílové technologie, bude součástí souhrnné zprávy. Aplikace na centrální evidenci mobilních zařízení včetně jejich dalších parametrů důležitých pro centrální správu. Testovací prostředí pro mobilního uživatele. e) Prezentace výsledků Projekt bude zhodnocen v závěrečné zprávě projektu a bude přiložena výše uvedená souhrnná zpráva. Na UPa bude projekt zveřejněn na intranetech studentů a zaměstnanců. Pro zájemce z řad mobilních uživatelů bude uspořádán seminář s ukázkou a prezentací výsledků projektu. Informace o testovacím prostředí a souhrnná zpráva bude trvale uvedena na stránkách IC UPa. f) Finanční rozvaha: Stránka 20 z 22