Sécurisation des applications d'entreprise
Vous pouvez utiliser l'encapsulage d'application et le SDK d'application pour implémenter MaaS360® Application Security sur vos applications d'entreprise.
L'encapsulage d'application et le kit SDK d'application sont grandement bénéfiques aux applications développées pour votre entreprise. Vous contrôlez votre stratégie et votre plan de développement d'applications ainsi que vos artefacts d'encapsulage et de signature. Vous pouvez même encapsuler et signer avec votre certificat signataire de code des applications développées par une autre société.
Encapsulage d'application
L'encapsulage d'application désencapsule l'application, injecte le code de sécurité du conteneur MaaS360 et réencapsule l'intégralité du package. Ce processus se produit automatiquement par MaaS360 après que l'application est téléchargée sur le IBM® MaaS360 Portal et que l'administrateur sélectionne l'option App Wrapping (enveloppement d'application).
Pour réencapsuler votre application, MaaS360 a besoin des artefacts spécifiques à la plateforme suivants pour le conditionnement et la signature des applications:
- iOS : profil de mise à disposition iOS, certificat signataire de code et informations d'authentification
- Android : fichier de clés, alias du fichier de clés et informations d'authentification
Ces artefacts étant nécessaires, vous ne pouvez encapsuler que des application d'entreprise et natives. Vous ne pouvez pas encapsuler des applications publiques et de sociétés tierces car les développeurs d'applications ne partagent généralement pas leurs certificats signataires de code et informations d'authentification permettant de réencapsuler leurs applications.
Récapitulatif du processus d'encapsulage d'application
- MaaS360 ajoute une couche de sécurité aux applications d'entreprise (iOS et Android) en injectant du code et en réencapsulant les applications.
- Aucune modification de code par le développeur n'est nécessaire. La couche de sécurité est automatiquement ajoutée par MaaS360 à la demande.
- Certificats signataires de code et informations d'authentification requis pour signer l'application après injection du code.
- Prise en charge des applications privées, d'entreprise, natives et hybrides.
Intégration du kit SDK d'application
Pour l'intégration de SDK d'application, le kit de développement de logiciels (SDK) de sécurité d'application MaaS360 est utilisé dans le code d'application lors du processus de développement. Vous contrôlez mieux et avec plus de souplesse le mode de fonctionnement des dispositifs de sécurité d'application dans votre application. L'intégration du kit SDK d'application offre les mêmes possibilités que l'encapsulage d'application, auxquelles s'ajoutent des fonctions supplémentaires.
Le diagramme suivant illustre le processus d'intégration du kit SDK d'application :
Récapitulatif du processus d'intégration du kit SDK d'application
- Nécessite que les développeurs d'application intègrent le SDK de sécurité d'application MaaS360 lors du développement d'application.
- Contrôle granulaire des fonctions de sécurité.
- Offre plus d'API que l'encapsulage d'application (par exemple, vous pouvez extraire des données d'utilisateur et d'appareil MaaS360 pour les applications à utiliser).
- Prise en charge des applications natives et des applications hybrides.
| Nom de la fonction | Description de la fonctionnalité | Bénéfice | Kit SDK natif iOS | Kit SDK Cordova iOS | Kit SDK natif Android | Kit SDK Cordova Android | Encapsulage iOS ** | Encapsulage Android ** |
|---|---|---|---|---|---|---|---|---|
| Obtention d'informations sur l'utilisateur et l'appareil | Permet au SDK d'obtenir des informations sur l'appareil et l'utilisateur incluant l'UDID de l'appareil, l'ID de l'appareil MaaS360 , le nom d'utilisateur, les groupes d'accès, l'adresse électronique, le statut de conformité et les raisons de non-conformité (le cas échéant). | Fournit des détails d'identification uniques concernant l'utilisateur et l'appareil. | Oui | Oui | Oui | Oui | Non disponible | Non disponible |
| Connexion unique. Contrôle d'accès aux applications | Permet à l'utilisateur d'accéder à toute application à l'aide d'un numéro personnel d'identification unique généré par un même développeur. | Les utilisateurs se connectent à l'aide d'un simple numéro personnel d'identification de conteneur et restent connectés jusqu'à expiration du temps de connexion. | Oui | Oui | Oui | Oui | Oui | Oui |
| Prise en charge des attributs utilisateur personnalisés | Permet de définir des attributs personnalisés au niveau utilisateur et de les propager aux applications. | Les entreprises définissent pour des utilisateurs des attributs personnalisés qui sont utilisés dans les applications. | Oui (Remarque A ) |
Oui (Remarque A ) |
Oui | Oui | ||
| Prise en charge des appareils partagés | Permet à l'utilisateur d'accéder à l'application uniquement lorsqu'il est connecté et l'empêche d'y accéder lorsqu'il est déconnecté. | Garantit la sécurité des données lorsque plusieurs utilisateurs se partagent un même appareil. | Oui (Remarque B ) |
Oui (Remarque B ) |
Oui | Oui | Oui |
| Nom de la fonction | Description de la fonctionnalité | Bénéfice | Kit SDK natif iOS | Kit SDK Cordova iOS | Kit SDK natif Android | Kit SDK Cordova Android | Encapsulage iOS ** | Encapsulage Android ** |
|---|---|---|---|---|---|---|---|---|
| Mise en application de la conformité | Définit des règles relatives à la conformité des utilisateurs et des appareils et impose des restrictions sur des applications pour les appareils non conformes. | Détecte les événements liés à la conformité des utilisateurs et des appareils et impose automatiquement des restrictions sur des applications, par exemple, un blocage de l'accès utilisateur à une application. | Oui | Oui | Oui | Oui (Remarque C ) |
Oui (Remarque D ) |
Oui |
| Politiques basées sur le temps et l'emplacement | Définit des limites de temps et d'emplacement pour l'utilisation d'une application. | Autorise ou bloque l'accès des utilisateurs à une application en fonction d'une heure ou d'un emplacement. | Oui | Oui | Oui | |||
| Restriction d'accès sur débridage | Détecte les appareils débridés et restreint l'accès utilisateur à une application. Le kit SDK d'application impose automatiquement ces API ou fournit pour ces événements des rappels délégués que l'application met en oeuvre. | Détecte les débridages et empêche immédiatement l'utilisateur d'accéder à une application. | Oui | Oui | Oui | Oui (Remarque C ) |
Oui | Oui |
| Restriction d'accès après une longue période d'inactivité | Le kit SDK d'application impose automatiquement ces API ou fournit pour ces événements des rappels délégués que l'application met en oeuvre. | Impose l'authentification auprès d'une application à l'expiration d'une durée de connexion spécifiée. | Oui | Oui | Oui | Oui | Oui | Oui |
| Restriction d'accès sur effacement sélectif | Le kit SDK d'application impose automatiquement ces API ou fournit pour ces événements des rappels délégués que l'application met en oeuvre. | Envoie une alerte lorsque l'administrateur lance un effacement sélectif afin de protéger ou de supprimer des données d'entreprise dans l'application. | Oui | Oui | Oui | Oui (Remarque C ) |
Oui | Oui |
| Nom de la fonction | Description de la fonctionnalité | Bénéfice | Kit SDK natif iOS | Kit SDK Cordova iOS | Kit SDK natif Android | Kit SDK Cordova Android | Encapsulage iOS ** | Encapsulage Android ** |
|---|---|---|---|---|---|---|---|---|
| Chiffrement des données au repos | Applique une sécurité maximale aux données au repos de l'application. | Chiffre les données de l'application pour une sécurité accrue. Chiffre les métadonnées de l'application, la base de données d'application et tous les fichiers utilisés pour l'application. | Oui | Oui (Remarque E ) |
Oui | Oui (Remarque F ) |
Oui | Oui |
| Gestion avancée du chiffrement | Chiffre une application qui utilise un numéro personnel d'identification de conteneur. | Gestion des clés simplifiée pour le chiffrement. | Oui | Oui | Oui | Oui | Oui | |
| Transfert chiffré de données inter-application avec MaaS360 | Chiffre et transfère des données entre MaaS360 et l'application en toute sécurité sans possibilité d'attaques de type man-in-the-middle. | Chiffre les données en transit entre MaaS360 et les applications sur l'appareil. | Oui | Oui | Oui | Oui | Oui | |
| Restriction de l'opération couper, copier ou coller | N'autorise l'opération couper, copier ou coller que dans le cadre de l'ensemble des applications conteneurisées. | Empêche l'utilisateur de copier ou coller des documents depuis le conteneur dans une application personnelle. | Oui | Oui | Oui | Oui (Remarque G ) |
Oui | Oui |
| Restriction de capture d'écran | Empêche l'utilisateur d'effectuer une capture d'écran de l'appareil. | Protège les données sensibles contre tout risque de fuite via des captures d'écran. | Non disponible (Remarque H ) |
Non disponible | Oui | Oui (Remarque J ) |
Non disponible (Remarque H ) |
Oui |
| Restriction de l'importation depuis l'appareil photo ou la galerie | Empêche l'utilisateur d'utiliser l'appareil photo ou d'importer des images depuis la galerie dans l'application. | Sépare les applications de travail des données et images personnelles. | Oui | Oui | Oui | |||
| Restriction de l'importation à partir d'une carte SD | Empêche l'utilisateur d'importer du contenu depuis la carte SD dans l'application. | Sépare les applications de travail des contenus extérieurs stockés sur la carte SD. | Non disponible | Non disponible | Oui | |||
| Restriction de l'importation de fichiers | Empêche l'importation de fichiers depuis d'autres applications dans l'application conteneurisée. | Empêche les utilisateurs d'importer dans l'application conteneurisée des documents non liés au travail. | Oui | Oui | Oui | |||
| Filtrage des notifications en cas de verrouillage du conteneur | Interdit les messages de notification provenant de l'application lorsque le conteneur est verrouillé, évitant ainsi toute fuite de données. | Bloque l'affichage sur l'écran des messages de notification sensibles si le conteneur est verrouillé. Ces notifications s'affichent lorsque l'utilisateur déverrouille le conteneur. | Oui | Oui | Oui | |||
| Autoriser l'importation de fichiers à partir d'un ensemble d'applications autorisées | Permet d'importer des fichiers à partir d'une liste sélectionnée d'applications autorisées, comme défini dans la politique. | Autorise les utilisateurs à importer des documents depuis une liste de sélection d'applications de confiance dans l'application conteneurisée. | Oui | Oui | ||||
| Restriction de l'exportation de fichiers | Restreint l'exportation de fichiers à des applications autorisées uniquement. (Le kit SDK fournit un contrôleur d'interaction distinct pour gérer cette action.) |
Empêche la fuite des fichiers et permet l'ouverture de fichiers dans un ensemble d'applications autorisées et conteneurisées. Les utilisateurs ne peuvent pas exporter de fichiers vers d'autres applications. | Oui | Oui | Oui | Oui (Remarque J ) |
Oui | Oui |
| Restriction de l'impression | Restreint l'impression des fichiers, si elle est activée. | Evite les fuites de données liées à l'impression. Les utilisateurs ne peuvent pas imprimer à partir de l'application encapsulée. | Oui | Oui | Oui | Oui | Oui | Oui |
| Epinglage de certificat | Valide la correspondance des certificats publics de l'autorité de certification avec les certificats épinglés par l'application. | Protège les applications contre les certificats frauduleux. | Oui | Oui | Oui |
| Nom de la fonction | Description de la fonctionnalité | Bénéfice | Kit SDK natif iOS | Kit SDK Cordova iOS | Kit SDK natif Android | Kit SDK Cordova Android | Encapsulage iOS ** | Encapsulage Android ** |
|---|---|---|---|---|---|---|---|---|
| Réseau privé virtuel par application | Etablit l'accès à la passerelle de sorte que l'application accède aux ressources qui se trouvent derrière le pare-feu d'entreprise. | Fournit un accès intranet au niveau de l'application sans réseau privé virtuel au niveau de l'appareil. Chiffre les données en mouvement. Réduit le trafic sur le réseau privé virtuel puisque seules les applications d'entreprise extraient des données par l'intermédiaire de la passerelle, tandis que les applications personnelles accèdent directement à Internet. | Oui | Oui | Oui | Oui | Oui | Oui |
| Prise en charge de la passerelle régionale pour le réseau privé virtuel par application | Utilise une passerelle MaaS360 régionale pour le VPN par application en fonction de l'emplacement géographique de l'utilisateur. | Permet aux utilisateurs d'accéder plus rapidement aux données en réduisant le temps d'attente des réseaux. | Oui | Oui | Oui | Oui | Oui | Oui |
| Détection de réseau d'entreprise | Utilise l'accès direct et ignore le réseau privé virtuel par application dans le réseau d'entreprise. | Permet aux utilisateurs d'accéder plus rapidement aux données par un accès direct aux ressources d'entreprise depuis le réseau d'entreprise. | Oui | Oui | Oui | Oui | ||
| Certificat d'identité pour la passerelle directe | Permet la validation d'un certificat d'identité par un équilibreur de charge lors des négociations SSL. | Valide un certificat d'identité depuis l'appareil par une configuration de passerelle directe avec un équilibreur de charge. | Oui | Oui | Oui |
| Nom de la fonction | Description de la fonctionnalité | Bénéfice | Kit SDK natif iOS | Kit SDK Cordova iOS | Kit SDK natif Android | Kit SDK Cordova Android | Encapsulage iOS ** | Encapsulage Android ** |
|---|---|---|---|---|---|---|---|---|
| Configuration de l'application | Un fichier de configuration contenant les entrées requises est transmis depuis MaaS360 et distribué de manière sécurisée à l'application. | Améliore l'acquis utilisateur car l'application est préconfigurée. | Oui | Oui | Oui | Oui | Non disponible | Non disponible |
| Authenticité de l'application | Valide la signature d'application avant qu'une application n'accède au conteneur MaaS360 . | Garantit qu'aucune application falsifiée ou malveillante n'accède au conteneur. | Oui | Oui | Oui |
| Nom de la fonction | Description de la fonctionnalité | Bénéfice | Kit SDK natif iOS | Kit SDK Cordova iOS | Kit SDK natif Android | Kit SDK Cordova Android | Encapsulage iOS ** | Encapsulage Android ** |
|---|---|---|---|---|---|---|---|---|
| Envoyer un e-mail MaaS360 | Fournit un contrôleur d'interaction qui est utilisé pour envoyer des courriels via IBM MaaS360 Mail avec ou sans pièces jointes. | Permettez aux utilisateurs d'envoyer des courriels à partir de votre application avec IBM MaaS360 Mail. | Oui | Oui | Oui | Oui | Non disponible | Non disponible |
| Ouverture d'un document directement dans Secure Viewer | Offre aux développeurs la possibilité d'ouvrir des documents directement dans Secure Viewer, alors qu'Android ne fournit pas de visualiseur. | Permet aux développeurs de fournir facilement des vues de document dans les applications qui utilisent le SDK MaaS360 . | Non disponible | Non disponible | Oui | Oui | Non disponible | Oui |
| Sauvegarde de documents dans l'application MaaS360 | Fournit un contrôleur d'interaction pour l'application afin de permettre aux utilisateurs de sauvegarder le document en toute sécurité dans l'application MaaS360 . | Les utilisateurs peuvent sauvegarder des documents à partir de n'importe quelle application dans la section My Docs du conteneur. | Oui | Oui | Oui | Oui | Non disponible | Non disponible |
| Ouvrir les liens dans le navigateur IBM MaaS360 | Permet aux utilisateurs d'ouvrir des liens à partir d'applications dans le navigateur IBM MaaS360. | Les utilisateurs sont dirigés vers le navigateur IBM MaaS360 pour ouvrir les URL présentes dans les applications, y compris les sites intranet sans VPN au niveau de l'appareil. | Oui | Oui | Oui | Oui | ||
| Parcourir la documentation MaaS360 | Fournit un contrôleur d'interaction pour l'application afin de permettre aux utilisateurs de parcourir des documents en toute sécurité à partir de MaaS360 Docs. | L'utilisateur peut parcourir des documents dans MaaS360 Docs à partir de n'importe quelle application en toute sécurité. | Oui | Oui | Oui | |||
| Modifier des documents dans IBM MaaS360 Editor | Fournit un contrôleur d'interaction pour l'application afin de permettre aux utilisateurs de modifier le document en toute sécurité dans l' éditeur IBM MaaS360. Le kit SDK gère le transfert du document vers l'éditeur ainsi que sa réception depuis l'éditeur une fois l'édition terminée. | Permet aux utilisateurs de modifier un document directement à l'intérieur du conteneur en utilisant l' éditeur IBM MaaS360. | Oui | Oui | Oui | Oui | Oui |
| Remarque | Description |
|---|---|
| A | Utilisable avec la configuration d'application |
| R | Nécessite une reconfiguration de l'application |
| C | Action d'effacement sélectif par l'application MaaS360 uniquement. Pas de rappels délégués. |
| D | Uniquement pour des événements d'effacement sélectif |
| E | Fourni par iOS. Base de données JSON chiffrée par Worklight. |
| F | Fichiers et texte chiffrés par MaaS360. Base de données JSON chiffrée par Worklight. |
| G | Par extension de la classe MaaS360WLDroidGap |
| H | Disponible en utilisant MDM |
| J | Par extension de la classe MaaS360WLDroidGap |
| n/a | Impossible ou disponible via le système d'exploitation |
| ** | Prise en charge de l'encapsulage pour les applications basées sur Cordova iOS équivalente à celle pour les applications intégrées au SDK, alors que l'encapsulage n'est actuellement pas pris en charge pour les applications basée sur Cordova Android. |