Siber Güvenlik

Mobil Cihaz Yönetimi Nedir? (MDM)

Mobil Cihaz Yönetimi (Mobile Device Management - MDM) son yıllarda akıllı telefon, tablet ve benzeri cihazların hayatımıza girmesiyle kurumlar tarafından bu cihazların da yönetilmesi ve güvenliğinin sağlanması amacıyla hayatımıza giren konulardan biridir.

Selin Ozkan Turan |

02.01.2022

Kısaca MDM; mobil cihazların, cihazların işletim sistemlerinin, barındırdığı uygulamaların ve içerdiği kurum bilgilerinin yönetilmesidir, diyebiliriz.

 

MDM ile ayrıca yönetilmek istenen cihaz envanteri ile ilgili detaylı bilgi görme imkanı sağlanır. Cihazların marka ve modeli, işletim sistemleri, seri numarası, IMEI bilgisi, varsa hat numarası, IP adresi ve cihazla ilgili daha birçok bilgi MDM uygulamaları ile elde edilebilir.

 

MDM’le beraber iki kavramı daha konuşmaya başladık: BYOD (Bring Your Own Device) diye adlandırdığımız kişisel cihazlar ve kurumsal cihazlar.

 

BYOD Cihazlar

 

BYOD cihazlar son kullanıcı tarafından sahip olunan veya kurum tarafından satın alınsa bile kullanıldığı süre boyunca son kullanıcıya  zimmetlenen ve kurumların kullanılmasına izin verdiği kaynaklara erişen mobil cihazlara verilen isimdir. Bu kaynaklara en bilinen örnek activesync üzerinden e-mail erişimidir. Buna ek olarak kurum içi veriye erişimi olan mobil uygulamalar ya da web sitelerinin mobil cihaz üzerinden kullanılması örnek gösterilebilir.

 

Kurum Cihazları

 

Kurum cihazları genelde kurum tarafından satın alınan, son kullanıcıya iş kullanımı için verilen, genelde kuruma ait uygulama ve veri erişimi olan cihazlardır. Kurumlar tarafından satış işlemleri, müşteri ilişkileri, kayıt işlemleri, kiosk gibi işlemler için kullanılan uygulamalar bu tip cihazlar üzerinde kullanılabilir.

 

Kurumların satın aldığı cihazlara özel, mobil cihazların yönetilmesi kapsamında kurumlar MDM’e ek olarak cihazların kaybolmaları ve çalınmaları durumunda takip edilmeleri için Apple DEP, Samsung Knox gibi kurum cihaz envanterini yönetebilen çözümler de kullanmaktadır.

 

Kurumlar, cihazların modeline göre kuruma ait cihazların IMEI’lerini bildirerek internet üzerinden bağlantı kurmaları durumunda MDM üzerinden kayıt olmaya zorlayabilirler. Cihazların kayıp/çalıntı durumunda fabrika ayarlarına döndürerek başka bir amaç için kullanılması imkansız hale getirilmiş olur.

 

Mobil Cihaz Yönetimi için iki tip cihaza da MDM uygulamaları kurularak farklı politikalar ile cihaz yönetimi sağlanabilir. Her kurumda, kurumdaki verinin hassasiyeti ve kurumun genel güvenlik politikasına göre kurulacak MDM uygulamasında BYOD ve kurum cihazları için farklı güvenlik politikaları uygulanabilir.

 

Politikalar

 

Politikalar

 

Mobil cihazlara uygulanan, en çok kullanılan politika çeşitlerine ve cihaz çeşidine göre politikaların nasıl değiştiği ile genel kullanıma bakalım.

 

Gizlilik Politikası

 

Mobil cihazların üzerinden toplanan verinin ne olacağı ile ilgili oluşturulan politikadır. Mobil cihaz üzerine kurulan ajanla birlikte cihazdan bazı verilerin alınmasına ve bazı özelliklerin kontrol edilmesine baştan izin vermiş olursunuz. Android cihazlar genelde uygulama kurulurken bu izinlerin ne olacağı ile ilgili bir ekran gösterir, IOS cihazlarda da ayarlar altından uygulamalara verilen izinler görüntülenir. Verilen izinden bağımsız olarak uygulanan politika ve konfigürasyonlar ile hangi izinlerin aktif olacağı belirlenir.

 

Gizlilik politikası ile toplanan veriler genelde cihaz üzerinde kurulu uygulamalar, lokasyon verisi, gerekli altyapı kurulursa sms ve arama verisi şeklindedir.

 

BYOD cihazlarda kullanım son kullanıcıya ait olduğu için genelde bu verilerden sadece cihazda kurulu uygulamalar alınacak şekilde tanımlama yapılır. Ancak bu cihazdaki tüm uygulamalar değil, sadece MDM uygulaması tarafından cihaza kurulan ve yönetilen uygulamalar şeklinde yapılır. Bu verinin toplanmasındaki ana sebep cihazlara gönderilen/yönetilen uygulamaların kurulumunun yapılıp yapılmadığını ve versiyonunu takip etmek içindir.

 

Kurum cihazlarında toplanan veriler daha çeşitli olabilir. Kurulu uygulama verilerinin toplanması tüm uygulamalar için yapılabilir. Bu sayede cihazlara kurulan ve güvenlik riski veya verimsizliğe sebep olabilecek uygulamaların kurulumu merkezden izlenebilir ve müdahele edilebilir.

 

Bunun dışında sahada dolaşan bir ekip tarafından kullanılan cihazlar söz konusu ise lokasyon verisi toplanabilir.

 

Ek olarak kurumun ihtiyacına göre sms ve arama datası da cihazlardan toplanabilir.

 

Gizlilik politikası belirlenirken hem BYOD hem de kurum cihazlarında ihtiyaç duyulan en az veriyi toplama prensibi esastır.

 

Bu kısımda yapılacak değişiklikler genelde cihaz kullanıcısına politikanın değiştiğine dair uyarı olarak gider. Bu nedenle politikanın baştan belirlenmesi, kurum politikalarına uygun olması ve kullanıcıların bilgilendirilmesi önemlidir.

 

Güvenlik Politikası

 

MDM uygulanan cihazların üzerindeki güvenlik seviyesinin belirli bir seviyede tutulması ile ilgili belirlenen politikalardır.

 

Yapılan kontroller genelde şu şekildedir:

 

  • Cihazlar root/jailbreak ise, USB Debug modu açıksa,
  • Cihazlar belirli bir günden fazla MDM sunucusu ile bağlantı kurmamışsa veya güncelleme almamışsa,
  • Cihazların işletim sistemleri belirli bir versiyonun altında ise,
  • Cihaz üzerindeki MDM bir şekilde deaktif hale getirilmişse veya cihaz yöneticilik fonksiyonu devre dışı bırakılmışsa,
  • Cihazın herhangi bir şifresi yoksa, eski şifre kullanılıyorsa, şifresi yeterince karmaşık değilse,
  • Cihazda AV programı yoksa, encryption açık değilse, istenen bir uygulama yüklü değilse, istenmeyen bir uygulama yüklü ise,

 

Cihazlar üzerinde kurum kaynaklarına erişim engellenmesi ya da politika ile belirlenen kriterlerin cihazda uygulamaya zorlanması gibi aksiyonlar alınabilir.

 

Bu politikalar cihazlardaki güvenlik belirli bir seviyede olursa kurum kaynaklarına erişim sağlanabilmesi amacı taşıdığı için genelde hem BYOD hem kurum cihazlarına uygulanır. Hangi kontrollerin uygulanacağı ve hangi seviyede olacağı kurumun güvenlik politikasına göre değişir.

 

Güvenlik açısından root/jailbreak cihazların MDM tarafından engellenmesi, çok eski işletim sistemine sahip cihazlardan bağlantının engellenmesi, cihazların ana ekran şifresi yoksa şifre oluşturmaya zorlanması genel kabul gören politikalardandır.

 

Kısıtlama Politikaları

 

Cihazlar üzerindeki birçok fonksiyonun ya da iletişimin kısıtlanmasına yönelik olan politikalardır.

 

Bu kısıtlamalar genelde cihazın BYOD ya da kurum cihazı olmasına göre ve kullanım amacına göre değişiklik gösterir.

 

MDM uygulamaları üzerinde birçok özelliğin kapatılması ile ilgili seçenek olsa da genelde cihazda uygulanıp uygulanamayacağı cihazın işletim sistemine, versiyonuna göre değişir.

 

Wireless bağlantı, USB ile medya bağlantısı, bluetooth, hotspot, SMS, aramalar gibi çevre bağlantıların engellenmesi, kopyala/yapıştır fonksiyonunun engellenmesi, ekran görüntüsü alınmasının engellenmesi, ayarlar kısmına erişimin engellenmesi,  MDM’in cihaz adminlerinden kaldırılmasının engellenmesi, mikrofon, kamera kullanımın engellenmesi, cihazın fabrika ayarlarına dönülmesinin engellenmesi ve bunun gibi birçok fonksiyon ve erişim kısıtlama politikaları ile engellenebilir.

 

Buna ek olarak cihazlara kurulu uygulamaların verisi toplanıyorsa sakıncalı bulunan uygulamaların cihazlarda görünmez hale getirilmesi ya da kullanımının bloklanması sağlanabilir.

 

MDM ile cihazların özelliklerinin kısıtlanması genelde BYOD cihazlara değil, şirket cihazlarına uygulanan politikalardır. Örnek olarak bir şirket cihazı üzerinden satış yapılıyorsa son kullanıcıya o cihazdan sadece satış uygulamasını ve e-posta kullanımı sağlanması, cihazı USB ile başka bir ortama bağlamaması, cihaz üzerinden yapılan ayarları değiştirememesi sağlanabilir. Bunun dışında MDM uygulamaları üzerinde birçok farklı politika yapılabilir. Örneğin cihazların hangi aralıklarla sunucuyla iletişim kuracağı (sync) politika ile belirlenir.

 

Bunun dışında cihazların kurum kaynaklarına hangi koşullar altına erişeceği, erişeceği uygulamalar üzerindeki hakları da aynı şekilde politikalar ile belirlenir. Kurum cihazları için sadece belirli bir arayüzün kullanılabildiği kiosk ya da single app politikaları yapılabilir.

 

Konfigurasyonlar

 

Konfigürasyonlar

 

MDM tarafından yönetilen mobil cihazlara merkezi olarak birçok konfigürasyon gönderilebilir.

 

İlk yapı kurulduğunda ilk gönderilen konfigürasyon mobil cihaza uygulama kurulduktan sonra cihazla sunucu arasındaki güvenin sağlanabilmesi için SCEP protokolü ile sertifika dağıtımı ve doğrulaması için gönderilen konfigürasyondur. Bu sayede registration sonrası cihazın kurum kaynaklarına erişim için güvenilir kaynak olduğu doğrulanmış olur. Doğrulama sağlandıktan sonra diğer konfigürasyonların gönderimi sağlanabilir.

 

Activesync

 

Activesync Konfigürasyonu

 

MDM uygulamaları üzerinden en sık gönderilen konfigürasyon Activesync konfigürasyonudur.

 

Bu konfigürasyon ile kullanıcı MDM uygulamasına register olduktan sonra mail için tüm ayarlar otomatik gelmiş olur. Genelde register olurken girilen kullanıcı adı ve şifre bilgisi activesync konfigürasyonu için de kullanılır.

 

MDM üzerinden gönderilen activesync ayarları IOS, Android, Windows gibi işletim sistemlerine göre farklılık gösterebilir. MDM uygulamasına göre işletim sistemi üzerindeki default e-posta uygulaması ya da MDM uygulamasına ait e-posta uygulaması kullanılabilir. Bu durumda e-posta uygulaması da MDM registration sonrası cihazlara gönderilir ve uzaktan otomatik kurulum yapılabilir.

 

MDM olan durumda activesync kullanılmasının en büyük farkı e-postalara eklenen dokümanlarda görülür. MDM olmadığı durumda activesync üzerinden alınan e-postalarda ekli dokümanlar mobil cihaza indirilebilirken MDM olduğu durumda dokümanın indirilmesi engellenir ya da sadece MDM’in doküman görüntüleme programlarında dokümanı görüntüleyebilir ya da kaydedebilirsiniz. Bu sayede kuruma ait veri sadece MDM uygulaması üzerinde kalmış ve cihazın kaynaklarına indirilememiş olur. Hatta bir cihaz belirlenen güvenlik politikalarına uygunluğunu kaybederse MDM üzerinden silinir ve bu sayede kuruma ait tüm veri de silinmiş olur. Hatta çalınma ve kaybolma durumlarında cihaz uzaktan fabrika ayarlarına döndürülebilir. Veri sızıntısının engellenmesi için mobil cihaz tarafı bu şekilde kontrol altına alınmış olur.

 

En genel kullanım activesync olmakla beraber MDM uygulaması üzerinden yönetilebilen birçok özellik bulunmaktadır.

 

Örneğin cihazlara belirli bir wireless SSID bilgisi MDM ile konfigürasyon olarak dağıtılabilir.

 

Bunun dışında MDM tarafından desteklenen uygulamalar tanımlanarak kurum ağındaymış gibi erişim sağlanabilmesi için uygulama bazlı tünelleme yapılabilir. Örnek olarak MDM uygulaması tarafından desteklenen bir SAP uygulamanız var ve sadece kurum içinde iken bağlantı imkanınız varsa MDM ile trafiğini uygulama bazlı kuruma doğru tünelleyerek kurum dışında da bir mobil cihazdan erişimini sağlayabilirsiniz. Buna ek olarak sadece MDM’e register olduğuna ve güvenilir bir cihaz üzerinden bu bağlantının yapıldığına emin olursunuz.

 

Cihazlara kuruma ait sertifikaların dağıtılması ve VPN konfigürasyonu MDM ile yapılabilir.

 

MDM’e ait doküman yönetimi uygulaması üzerinden belirlenen kurum için dosya sunucuları tanımlanabilir, mobil cihazdan dosya sunucularına erişim verilebilir.

 

MDM’e ait browser üzerinden kurum içi web sayfalarına erişim sağlanabilir, istenen siteler bookmark olarak merkezi olarak eklenebilir. IOS cihazlar için webclip dağıtılması sağlanabilir.

 

IOS cihazlara özel olarak IOS cihazlara uygulanacak kısıtlamalar da konfigürasyonlar ile yapılır. IOS cihazlarda MDM uygulamaları öncesi cihazların Supervised (cihazın denetimli olarak işaretlenmesi) edilmesi ve Apple Configuration Manager ile configuration profile uygulanması işlemlerinin MDM uygulamalarından sonra merkezi yapılabilmesi sağlanmıştır. Kurumlar tarafından DEP ile yönetilen cihazlar default supervised olmaktadır. Daha sonra da Apple Configuration Manager üzerinden yapılabilecek tüm konfigürasyonlar MDM uygulamaları ile yapılabilmektedir.

 

IOS’a özel yapılabilecek konfigürasyonlar ve kısıtlamalar cihazın supervised olup olmadığına göre değişiklik gösterebilir. Örnek olarak bir IOS cihazda sadece Safari kullanılmasını, başka hiçbir alana erişim olmamasını istersek cihazın önceden supervised edilmiş olmasından emin olmalıyız.

 

Mobile Device Management ile ilgili yapılabilecekler cloud teknolojileri geliştikçe daha da çeşitlenmektedir. MDM ortamlarının cloud tabanlı altyapılara taşınması, device management yanında zararlı yazılımların engellenmesi için ek fonksiyonlar eklenmesi gibi çeşitli geliştirmeler günümüzde sıklıkla kullanılmaktadır. Mobil cihazların kullanımının günden güne artmasıyla ve kullanım alanlarının çeşitlenmesiyle bu alanda daha da fazla gelişmeler göreceğiz.

Selin Ozkan Turan |

02.01.2022

Yorumlar

Kamille Kunde
24.01.2022 - 07:04

Great blog! It is really informative and innovative keep us posted with new updates. It was really valuable. thanks a lot.
cupcake 2048