Szerző: Gálffy Csaba

2014. október 22. 11:46

Mégsem virtualizálja a telefonokat a VMware

2011-ben jelentette be a VMware, hogy virtualizációval oldaná meg az okostelefonok biztonsági problémáit, külön VM-be csoportosítva a céges és a magánfelhasználású adatokat. Az iparág azonban más irányba indult el, a VMware pedig inkább MDM-be fektetett, a virtualizációs megoldást pedig lefújta.

Leállította virtualizációs alapokat használó biztonsági megoldás fejlesztését a VMware - ismerte el a The Register kérdésére egy sajtóeseményen John Marshall, a cég mobilos szoftverekért felelős alelnöke. A cég korábban, még 2011-ben jelentette be, hogy hypervisor-alapú biztonsági rendszert fejleszt okostelefonok számára, a projektet azonban idővel leállította és inkább a felvásárolt Airwatch szoftvereivel építkezik.

Az eredeti elképzelés szerint az okostelefon processzorán a VMware mobilra optimalizált hypervisora futott volna, amely felel a két (vagy több) operációs rendszer biztonságos szeparációjáért. A koncepcióban a céges és a személyes adatok teljesen, a rendszerrel együtt különválnak, átjárás pedig csak a hypervisor által közvetített, ellenőrzött csatornákon keresztül lett volna csak lehetséges. A terv szerint a két rendszer között egyszerűen, akár gombnyomásra lehetett volna váltani, az erős szeparáció azonban megakadályozta volna a céges adatok szivárgását, miközben garantálta volna a teljes kontrollt a személyes profil felett.

A megoldás elméletben akár azt is lehetővé tette volna, hogy személyes használatra például Androidot, céges használatra pedig Windows Phone-t futtasson a telefon. A bejelentéskor a megoldás iránt érdeklődést mutatott az LG és a Motorola is, illetve a szolgáltatói oldalról a Telefonica és a Verizon kötött partnerséget.

Az iparág azonban egységesen egy másik irányba, az alkalmazásszintű szeparáció irányába indult el, amely hypervisor helyett az operációs rendszer funkcióira támaszkodik a hermetikus lezáráshoz, ezt az utat járja az Android és a BlackBerry 10 is. Készül a munka- és személyes programokat, adatokat hermetikusan leválasztó Android-verzió, amely már nagyvállalati környezetben is minden szükséges biztonsági funkciót támogat. Ezt a Google az alkalmazások konténerezésének erősítésével kívánja elérni, az ezt implementáló szigorításokat a cég folyamatosan vezeti be, a KitKatban például az SD-kártyán tudnak az alkalmazások biztonságosan, más appok által elérhetetlen formában adatot tárolni. Az SELinux és a Samsung Knox technológiák beemelésével pedig tovább erősödik a rendszer szintjén megvalósuló biztonságos szeparáció.

Fejlesztő vagy? Segíts! Hack the Crisis. Gyere hétvégén fejleszteni, csatlakozz a hazai fejlesztői közösséghez!

Időközben a VMware is rájött, hogy az eredeti koncepció súlyos problémákkal küzd. Egyrészt az okostelefonos hardverekre a szerveres-PC-s eredetű virtualizáció elképesztő terhet rakna (különösen a memóriát illetően), másrészt nem állt össze a telefongyártók és a platformtulajdonosok oldaláról is szükséges egyöntetű támogatás sem. A hypervisor megfelelő működéséhez ugyanis a gyártópartnereknek hozzáférést kell biztosítaniuk a firmware-hez, illetve közvetlen elérést az egyes hardverelemekhez, ez pedig széleskörű iparági összefogást feltételez.

A VMware tavaly januárban vásárolta fel az MDM-piac egyik legfontosabb szereplőjét, az Airwatch-ot. A mobilflotta-kezelő szolgáltatás a telefonos biztonságot szintén konténeres rendszerben látja megvalósíthatónak, az üzemeltető kezébe adva a lehetőséget a céges appok távoli telepítésére és menedzsmentjére.

Az okostelefonok vállalati használatával külön szekció foglalkozik a november 12-i App!mobile 2014 konferencián, amelynek programja itt érhető el. Az eseményre regisztrálni is lehet már.

a címlapról