Panoramica della sicurezza di Surface Duo
Surface Duo offre una protezione integrata a ogni livello con hardware, firmware e software profondamente integrati per proteggere i dispositivi, le identità e i dati. Come dispositivo Android 10, Surface Duo usa le funzionalità di sicurezza Android a livello di sistema operativo e a livello di servizi Google. Il sistema operativo Android sfrutta i tradizionali controlli di sicurezza del sistema operativo per proteggere i dati utente e le risorse di sistema, protegge l'integrità del dispositivo dal malware e fornisce l'isolamento delle applicazioni. Google offre inoltre vari servizi sovrapposti al sistema operativo che, se combinati con la sicurezza del sistema operativo Android, consentono di proteggere continuamente l'utente Android.
- UEFI personalizzato. Unico per Surface Duo, tra i dispositivi Android, è l'interfaccia UEFI (Unified Extensible Firmware Interface) personalizzata di Microsoft, che consente il controllo completo sui componenti del firmware. Microsoft offre sicurezza di livello aziendale a Surface Duo scrivendo o rivedendo internamente ogni riga di codice firmware, consentendo a Microsoft di rispondere direttamente e in modo agile alle potenziali minacce del firmware e ridurre i rischi per la sicurezza della supply chain.
- Avvio verificato. A partire dal livello hardware al momento dell'accesso, l'avvio verificato si impegna a garantire che il codice eseguito provenga solo da un'origine attendibile. Stabilisce una catena completa di attendibilità, dalla radice di trust protetta dall'hardware al bootloader, alla partizione di avvio e ad altre partizioni verificate. All'avvio di Surface Duo, ogni fase verifica l'integrità e l'autenticità della fase successiva prima di consegnare l'esecuzione.
- Separazione dell'app. Il sandboxing delle applicazioni isola e protegge le app Android, impedendo alle app dannose di accedere alle informazioni private. La crittografia always-on obbligatoria e la gestione delle chiavi consentono di proteggere i dati in transito e inattivi, anche se i dispositivi cadono nelle mani sbagliate. La crittografia è protetta con chiavi keystore, che archivia le chiavi di crittografia in un contenitore, rendendo più difficile l'estrazione da un dispositivo.
- Google Play Protect. A livello software, Surface Duo usa il rilevamento delle minacce di Google Play Protect, che analizza tutte le applicazioni, incluse le app pubbliche di Google Play, le app di sistema aggiornate da Microsoft e i gestori e le app sideload.
- Microsoft Defender ATP. Il software di protezione antivirus e malware di livello aziendale per Window 10 è ora disponibile per i dispositivi Android gestiti da Intune. Per altre informazioni, vedere Microsoft defender ATP per Android.
Sicurezza di gestione dei dispositivi mobili
Surface Duo è protetto in un ambiente aziendale usando una soluzione Enterprise Mobility Management (EMM) che fornisce un set coerente di strumenti di protezione, tecnologie e procedure consigliate che è possibile personalizzare per soddisfare i requisiti aziendali e di conformità. Un'ampia gamma di API di gestione offre ai reparti IT gli strumenti per prevenire la perdita di dati e applicare la conformità in vari scenari. Il supporto multi-profilo e le opzioni di gestione dei dispositivi consentono la separazione dei dati aziendali e personali, consentendo di proteggere i dati aziendali.
La sicurezza MDM si basa su un set in espansione di tecnologie di configurazione per consentire agli utenti di essere produttivi in movimento, proteggendo allo stesso tempo la proprietà intellettuale aziendale critica. Sono inclusi i criteri di protezione delle app, i criteri di restrizione dei dispositivi e le tecnologie correlate progettate per consentire di raggiungere obiettivi specifici a seconda dell'ambiente, indipendentemente dal fatto che l'azienda sia costituita dalla consegna di ordini da asporto di ristoranti, dalla gestione dei servizi IT per gli uffici dentistici o dalla gestione di informazioni sensibili sulla sicurezza nazionale.
Ad esempio, è possibile rafforzare l'autenticazione del dispositivo richiedendo agli utenti di immettere un pin alfanumerico a 6 cifre insieme all'autenticazione a 2 fattori. È possibile limitare i dispositivi in cui gli utenti possono registrarsi per mantenere la conformità ai limiti di licenza o evitare di concedere l'accesso a telefoni "jailbroken" o ad altri tipi di dispositivo non supportati. Intune e altri EMM consentono alle organizzazioni di gestire i dispositivi in base alle proprie esigenze.
criteri di Protezione di app
Protezione di app criteri (APP) sono regole che garantiscono che i dati di un'organizzazione rimangano sicuri o contenuti in un'app gestita. Un criterio può essere una regola applicata quando l'utente tenta di accedere o spostare dati "aziendali" o un set di azioni non consentite o monitorate quando l'utente si trova all'interno dell'app. Un'app gestita è un'app a cui sono applicati criteri di protezione delle app e può essere gestita da Intune.
Protezione di app criteri consentono di gestire e proteggere i dati dell'organizzazione all'interno di un'applicazione. Molte app per la produttività, ad esempio le app di Microsoft Office, possono essere gestite da Intune MAM. Vedere l'elenco ufficiale delle app protette Microsoft Intune disponibili per l'uso pubblico.
Considerazioni sulla sicurezza per la gestione di Surface Duo
Il numero crescente di impostazioni dei criteri disponibili nelle soluzioni di gestione dei dispositivi mobili consente alle organizzazioni di modificare i livelli di protezione in base alle proprie esigenze specifiche. Per aiutare le organizzazioni a definire la priorità delle impostazioni di sicurezza per Surface Duo (o qualsiasi altro dispositivo Android), Intune ha introdotto il framework di configurazione della sicurezza Android Enterprise organizzato in diversi scenari di configurazione distinti, fornendo indicazioni per il profilo di lavoro e scenari completamente gestiti.
Livello Sicurezza | Destinato a | Riepilogo | Informazioni sulle impostazioni |
---|---|---|---|
Sicurezza di base del profilo di lavoro - Livello 1 | Dispositivi personali con accesso ai dati aziendali o dell'istituto di istruzione. | Introduce i requisiti delle password, separa i dati aziendali e personali e convalida l'attestazione del dispositivo Android. | Impostazioni del livello 1 del profilo di lavoro |
Sicurezza elevata del profilo di lavoro - Livello 3 A causa delle convenzioni del framework, si tratta del livello successivo superiore al livello 1. |
Dispositivi usati da utenti o gruppi a rischio univoco. Ad esempio, gli utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale. | Introduce mobile threat defense o Microsoft Defender ATP, imposta la versione minima di Android su 8.0, applica criteri password più avanzati e limita ulteriormente il lavoro e la separazione personale. | Impostazioni del livello 3 del profilo di lavoro |
Sicurezza di base completamente gestita - Livello 1 | Configurazione di sicurezza minima per un dispositivo aziendale, applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione. | Introduce i requisiti delle password, imposta la versione minima di Android su 8.0 e impone alcune restrizioni per i dispositivi. | Impostazioni di livello 1 completamente gestite |
Livello di sicurezza avanzato completamente gestito 2 | Dispositivi in cui gli utenti accedono a informazioni riservate o riservate. | Attiva criteri password più efficaci e disabilita le funzionalità utente/account. | Settng di livello 2 completamente gestiti |
Livello di sicurezza elevato completamente gestito 3 | Dispositivi usati da utenti o gruppi a rischio univoco. Ad esempio, gli utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale. | Aumenta la versione minima di Android alla versione 10.0, introduce la difesa dalle minacce per dispositivi mobili o Microsoft Defender ATP e applica restrizioni aggiuntive per i dispositivi. | Impostazioni di livello 3 completamente gestite |
Come per qualsiasi framework, potrebbe essere necessario modificare le impostazioni all'interno di un livello corrispondente in base alle esigenze dell'organizzazione in quanto la sicurezza deve valutare l'ambiente delle minacce, la propensione al rischio e l'impatto sull'usabilità.