На конференции Google I/O глава отдела разработки Android, Chrome и приложений Сундар Пичаи заявил о том, что поисковой корпорации удалось достичь соглашения с Samsung по адаптации Android к реалиям корпоративного рынка. Южнокорейская корпорация согласилась передать в Open Source часть своих программных разработок пакета Knox, но детали партнёрства стали известны только теперь.
После анонса многие издания и журналисты решили, что разницы в механизмах безопасности между Android L и Samsung Knox больше нет, поэтому компании решили уточнить, что же имелось в виду под анонсом партнёрства. В новой версии Android, получившей пока кодовую литеру L, будет реализована только программная, аппаратнонезависимая, часть Knox, относящаяся к защите устройства и данных, поддержки политик безпасности и конфигурации для IT-департаментов, а также мобильного менеджмента приложений. Теперь любой смартфон, работающий под управлением Android L, сможет применяться в схеме BYOD-политик, которые позволяют использовать личные устройства в корпоративном окружении. У IT-администраторов будет возможность использовать унифицированную схему управления устройствами от самых разных производителей, используя EMM-решения, которые созданы на базе новых API в Android L.
Защита устройства и данных будет выстроена на базе профилей пользователей, которые были впервые анонсированы в Android 4.2 Jelly Bean на планшете Google Nexus 10. Личные и корпоративные приложения будут работать в разделённых профилях, изоляция которых реализована на основе принципе песочниц. Данные этих профилей защищаются шифрованием блочного уровня, которое позволяет абстрагироваться от разных типов файловых систем, а также технологией верифицированной загрузки, которая не допустит выполнения неподписанного кода для компрометации защиты. Отдельный управляемый профиль может сосуществовать и в пользовательском окружении, но корпоративное приложение будет отмечаться специальным значком, означающем, что к нему применены различные политики. Различные API для EMM, которые пришли в Android из Knox, будут включены прямо в Android SDK, поэтому будут доступны не только Google, но и всем участникам Open Handset Alliance и Android Open Source Project на равных условиях. В случае, если разработчики уже создали похожие приложения, но для Knox, Google пообещала, что оптимизации для Android L не понадобится, так как к официальному выпуску ОС Samsung выпустит специальную библиотеку совместимости, которая будет подменять Knox API на стандартизированные API Android.
Представители Samsung со своей стороны заявили, что улучшения безопасности в Android L являются необходимым минимумом для корпоративного рынка, но ни в коем случае не являются заменой Knox. Для того, чтобы Android L обладал функциональностью Knox, необходима упорная работа производителей смартфонов для интеграции программных и аппаратных возможностей. Для Knox эксклюзивными останется работа архитектуры ARM TrustZone, обеспечивающей защиту ядра Linux в реальном времени, безопасное управление клиентскими сертификатами, хранение ключей на основе технологии Trusted Boot, а также удалённую аттестацию устройства. Также Samsung не передаёт в Android L работу с биометрической авторизацией, со смарт-картами Knox, а также компоненты, которые получили государственную сертификацию FIPS, CESG, US DoD и других силовых структур. В Samsung поясняют, что южнокорейская корпорация не передаёт эти технологии не по злому умыслу, а так как ARM TrustZone привязана к архитектуре ARM и не совместима с x86 и MIPS, которые официально поддерживаются Google, а также потому, что для реализации защитных возможностей этой технологии требуется непосредственное сотрудничество с ARM Holdings с заключением дополнительных договоров. Что касается сертифицированных компонентов, то их передача не имеет никакого смысла, так как сертификация привязана к конкретному устройству и контрольным суммам, поэтому в любом случае сертификация автоматически аннулируется. Samsung считает, что предоставленных технологий на данный момент достаточно, чтобы дать участникам Open Handset Alliance заявить о себе на корпоративном рынке, не обладая при этом ресурсами, доступными только крупнейшим производителям как Samsung.
Участники Android Open Source Project подтверждают, что все переданные Samsung технологии будут распространены на условиях свободных лицензий и будут доступны для изучения, модификации и дальнейшего распространения, даже коммерческого. Компания Google, которая ранее практически не интересовалась безопасностью Android, полагаясь на архитектурную изоляцию, но по мере развития системы улучшались и защитные технологии — аппаратный No eXecute (Gingerbread), dm-crypt (Honeycomb), ASLR (Ice Cream Sandwich), Position Independent Executable, FORTIFY_SOURCE (Jelly Bean), SELinux и dm-verity (KitKat). Таким образом, к Android L вместе с ядром Linux 3.10 система вполне может всерьёз рассматриваться организациями в качестве безопасной. Недавнее приобретение Divide поисковой корпорацией, а также возросший интерес разработчиков к Android на корпоративном рынке, только подтверждают новое стремление Google. Впрочем, компания пока остерегается входить в сегмент «тяжёлого» корпоративного рынка, где по-прежнему правит бал Microsoft с её Windows Embedded Compact, а «честь» Android там отстаивают Motorola Solutions и Bluebird. Что касается Samsung, то к её программе Knox за последние полгода подключаются минимум 200 тыс. новых смартфонов и планшетов, что по меркам корпоративного рынка — весьма неплозой результат.
Источник: oszone
|
