ARUBA INSTANT WI-FI: ПРОСТІ, ПОТУЖНІ, ДОСТУПНІ
Могли б ви для початку дати просте визначення Exchange ActiveSync - що це таке і яке призначення EAS?
Таким чином, з'єднання зберігається без пересилання даних по лінії. Оскільки з'єднання відкрито, по ньому можна передавати повідомлення. Як тільки сервер електронної пошти отримує повідомлення, календарне запрошення або оновлення контактної інформації, дані негайно пересилаються в пристрій Exchange ActiveSync. Це новий спосіб перевести електронну пошту і PIM-функції в реальному часі, що не пересилаючи постійно дані і не змушуючи користувача чекати 15 хвилин, щоб отримати інформацію.
Компоненти, що виходять за рамки електронної пошти, відокремлюють EAS від протоколів POP і IMAP, в яких немає можливостей для обробки електронної пошти і контактів. У сучасних версіях ActiveSync є завдання і замітки, а також додаткові можливості на основі метаданих, наприклад маркування елементів як мають високу важливість або захист повідомлень з використанням механізму IRM (Information Rights Management). Все це унікальні особливості Exchange ActiveSync, відсутні в інших широко використовуваних протоколах поштового зв'язування. Це короткий огляд Exchange ActiveSync, аргументів на користь його застосування і технічних переваг.
Отже, це досить універсальний стандарт. Його додаткове гідність для ІТ-професіоналів, якого немає в інших стандартів синхронізації електронної пошти, - управління на основі політик. У минулому ми вже говорили про можливість блокувати і обмежувати повідомлення, що надходять в мережу компанії, але управління на основі політик забезпечує управління пристроями, обраними для застосування в компанії. Політики застосовуються всюди, починаючи з контролю обов'язкового використання співробітниками PIN-коду і визначення довжини та складності цього PIN-коду: складається тільки з цифр або цифр і букв? Чи обов'язково застосовувати шифрування в пристроях? Що є основною пам'яттю, чи може це бути карта пам'яті, якщо карти пам'яті дозволені? Чи дозволяється доповнювати пристрою іншими функціями, наприклад Bluetooth, для зв'язку? Чи можна задіяти пристрій для зв'язку з комп'ютером?
Існує всього 52 політики; 49 з них відкриті користувачам. Решта застосовуються виключно самим сервером. Ці політики складені на основі відгуків ІТ-професіоналів про необхідні заходи безпеки. Ми постаралися охопити всіх, починаючи з компаній, де дозволено все, до організацій, дуже ревно ставляться до захисту даних. Ми намагаємося бути в курсі їхніх потреб. Зараз ця тема піднімається рідко, але в минулому політики були предметом палких суперечок. Багато говорили: «Занадто багато політик - у вас 25, у мене 40. У вас 45, а у мене тепер 65». Свого роду кількісна гонка політик. Постійно доводилося стикатися з питанням, які ж функції дійсно потрібні.
Я зазвичай порівнюю політики з кілограмами: більше - не завжди краще, і вони повинні розміщуватися в потрібних місцях. Тому, спілкуючись з ІТ-професіоналами, ми запитували, в яких областях слід розміщувати політики, що в дійсності необхідно? В результаті нам вдалося уникнути непорозумінь з деякими адміністраторами, які говорили, що мають намір просто впровадити всі існуючі політики. Така помилка було властиво багатьом ІТ-адміністраторам. Тому нашою метою було зробити політики зручними для управління і одночасно потужними, щоб у адміністраторів було все необхідне. Крім того, потрібно надати достатню свободу дій, щоб користувачі могли приймати рішення про пристрої, дозволених в ІТ-інфраструктурі. Такий короткий огляд проблеми.
Протягом останніх двох років спостерігався справжній бум на ринку споживчих пристроїв, і користувачі просять ІТ-підрозділу обслуговувати ці пристрої. Яким чином вибір пристроїв впливає на вимоги адміністраторів до політиків?
Ми також спостерігаємо впровадження споживчих пристроїв в ІТ-підрозділах, в різних компаніях воно має різний масштаб. Але ми відзначаємо зростання числа співробітників, що приносять на роботу свої пристрої. На наш погляд, це чудово, тому що одна з переваг ActiveSync - ліцензування для всього спектру пристроїв. Компанія Gartner називає його фактичним стандартом. Всі дивляться на ActiveSync, і наявність Exchange ActiveSync означає, що в пристрої є необхідні можливості.
Події, які почали розгортатися приблизно півтора роки тому, несли реальну загрозу для ІТ-адміністраторів. Рівень захисту численних пристроїв з підтримкою Exchange ActiveSync, що з'явилися в продажу, сильно відрізнявся. Тому компаніям доводилося призначати безліч правил (дозволені тільки пристрої X, а решта блокуються) або підтримувати пристрої, по суті опускаючись нижче порога безпеки (вимушено переглядаючи межу допустимого).
Через півтора року маятник хитнувся в протилежному напрямку. Компанії висловлюють інтерес у функціях, які відповідали б бажаної планки безпеки. Ми також працюємо з постачальниками, повідомляючи їх про важливі функції, які необхідно реалізувати.
Таким чином, маятник хитнувся назад, в напрямку контролю з боку компаній. Думаю, це рух продовжиться. Компанії захочуть отримати більше рішень, які були б зручними для користувачів, але при цьому у компаній залишався б контроль над ресурсами, доступними через мобільні пристрої.
Сьогодні часто доводиться чути про загублені пристроях, що містили важливу інформацію, - без сумніву, дуже неприємна пригода. Ми розробляємо методи захисту пристроїв. Вважаю, компроміс буде знайдений. Виробники пристроїв повинні підвищити свій рівень захисту, і ми співпрацюємо з ними.
Ми також приділили час побудови інтернет-ресурсів, щоб підвищити рівень знань ІТ-фахівців. Зокрема, вони зможуть з'ясувати, які пристрої та операційні системи підтримують ті чи інші функції. До сих пір споживачі були в розгубленості: різноманітність дуже велика, щоб усвідомити картину сумісності. Виробники не завжди надають потрібну інформацію. Спроби пояснити ситуацію поки безуспішні, і питання залишається дуже актуальним для ІТ-фахівців. Ми розробляємо деякі заходи, щоб допомогти їм. Перший крок - публікація вікі-сторінки, на якій члени спільноти можуть обмінюватися інформацією, а ми - представляти свої відомості. Таким чином, сформується ресурс, на підставі якого компанії зможуть приймати поінформовані рішення.
Так, сторінка Comparison of Exchange ActiveSync Clients в Вікіпедії дійсно корисна. Досить поглянути на діаграму, щоб побачити, що одній з головних больових точок для ІТ-фахівців залишається відсутність найважливіших функцій в пристроях деякі марки (навіть якщо вони підтримуються мобільною операційною системою). Чому виробники не використовують всі ліцензовані ними політики?
В даний час умови ліцензування Exchange ActiveSync такі, що після придбання ліцензії на використання протоколу (вся документація вже є відкритою) ми не контролюємо дії постачальника. Ми не можемо зобов'язати його робити що-небудь. Ми інформуємо постачальників про відомих нам потребах ІТ-спільноти, але це їх продукт, і вони приймають рішення про реалізацію тих чи інших функцій. Якщо поглянути на те, що відбувається в останні три роки, то очевидно, що всі учасники ринку, всі власники ліцензій Exchange ActiveSync безперервно розширюють корпоративну функціональність, і не тільки можливості, орієнтовані на кінцевих користувачів, але функції для управління політиками.
Найбільш наочний приклад - поява шифрування в iPhone; це великий крок Apple до впровадження корпоративних функцій. Google, не згадуючи про це в зроблених недавно заявах, вперше доповнила Android API-інтерфейсами шифрування. Очевидно, Windows Mobile має шифруванням ще з часу Windows Mobile 6.0. Таким чином, картина потроху доповнюється потрібними фрагментами. Оголошувати про це - більшою мірою маркетингове рішення компанії. Але в останні три роки спостерігається неухильне рух до збільшення числа функцій.
Не хочеться використовувати Apple в якості прикладу, але це зручно, так як всі знайомі з її продуктами. Кожен випуск операційної системи, починаючи з другого, в якому з'явився Exchange ActiveSync, доповнюється новими функціями для політик. Те ж відбувається в Android починаючи з версії 2.0. Очевидно, що Windows Phone і Windows Mobile спочатку мали ActiveSync. Першим оновленням Palm після придбання компанією HP стало оновлення EAS для WebOS.
Випускаючи пристрій, компанія дуже швидко отримує відгуки споживачів, і з кожним оновленням ми бачимо, як додаються функції. Іноді правильно реалізувати їх - важка програмне завдання, в залежності від платформи і вбудованих можливостей. Але з часом все додають фрагменти, оскільки в цьому зацікавлені співробітники підприємств.
Навряд чи ви та людина, якій слід задати наступне питання, але все ж: чому не вдалося краще реалізувати EAS в Windows Phones 7? Часто доводиться чути скарги про відсутність таких функцій, як шифрування пристроїв, і в результаті компаніям не вдається впровадити платформу.
Звичайно. Я знаю, що ви хотіли розповісти про блокування рядком UA. Що це таке?
Рядок UA - призначений для користувача агент (user agent). Мобільні пристрої - важливі канали прийому та передачі інформації, тому компанії шукають способи управляти ними. Список «дозволити / блокувати / відправити в карантин» (Allow / Block / Quarantine), безсумнівно, наш кращий і самий новий спосіб такого управління. Список ABQ використовує інформацію, передану пристроєм. Іноді трапляються спроби обману. Шахрайство зустрічається рідко, коли користуються браузером. При пересиланні заголовків HTTP використовується для ідентифікації пристрою призначеним для користувача агентом. Це дуже важливо для мобільних пристроїв, так як веб-вузли можуть перетворити свої сторінки в більш зручний для них формат.
Крім того, відкриваються можливості враховувати інші критерії. Іноді пристрої одного виробника повідомляють про себе однакові відомості, наприклад щось на зразок motodroid. Компанія Motorola випускає кілька пристроїв на основі Android; як визначити, яка саме модель перед вами? Можливо, в компанії допустимо використовувати версії 2.1 або 2.2, але не 1.6. Фільтрація по рядках призначеного для користувача агента дозволяє блокувати пристрої за допомогою даного критерію; в розпорядженні адміністраторів виявляється набір критеріїв для блокування або дозволу пристроїв.
Повернемося до архітектури Exchange. Де місце функцій управління EAS в архітектурі Exchange? У яких випадках вони вступають в дію?
На початку розмови ви згадували про необхідні користувачам функціях управління. Чи отримуєте ви нові запити? Або склад EAS на сьогодні стабілізувався?
Exchange ActiveSync відрізняється стабільністю, але в майбутньому ми ще постараємося поліпшити цю характеристику. Ми постійно відстежуємо потреби споживачів і шукаємо корисні нововведення, щоб доповнити ними продукт. Зараз акцент перенесений на активацію функціональності користувачів і пошук речей, які можна було б зробити інакше. Тому, наприклад, якраз зараз ми шукаємо способи знищувати тільки дані Exchange, а не всього пристрою.
В даний час це неможливо?
Очевидно, це непрості проблеми, які хтось повинен вирішувати.
У різних компаній різне ставлення і підходи до цього питання. Ймовірно, така ситуація збережеться. Компанії, серйозно ставляться до захисту даних, віддадуть перевагу управляти пристроєм цілком, а які відчувають менше побоювань зможуть більш гнучко поводитися з даними, одночасно отримуючи високий рівень захисту.
Саме так. Якщо співробітникам дозволено приносити на роботу особисті пристрої, вони, природно, вважають, що компанія не знищить їх дані. Але такі компанії, як правило, мало стурбовані інформаційною безпекою.
Хочете додати ще щось про EAS?
Мабуть, це все, що я можу сказати на даний момент. Я хотів намалювати загальну картину, великими мазками.
Вам це вдалося. Дякуємо!
Поділіться матеріалом з колегами і друзями