A VMware introduziu em 2016 o Workspace ONE, uma solução que combina gestão de mobilidade empresarial com gestão de identidade e tem como objetivo permitir que os funcionários trabalhem em qualquer lugar a partir de qualquer dispositivo, e ao mesmo tempo oferecer uma postura de segurança pragmática para a empresa.
Workspace ONE e BYOD
A opção bring-your-own-device (BYOD), quando o funcionário usa seu dispositivo próprio para o trabalho ou para acessar dados corporativos está cada vez mais comum. Possivelmente a maioria das empresas afirmariam hoje já ter adotado programas e políticas BYOD, porém quando investigamos mais a fundo não encontramos uma política concisa, mas uma coleção dispersa de políticas e tecnologias que talvez abranjam o acesso a e-mail e VPN para acesso remoto, porém nada muito mais além disso.
Isso é um reflexo do estado da indústria de TI, onde as soluções tecnológicas foram concentradas em problemas específicos. Os fornecedores de redes concentraram-se em VPN e Firewalls para filtrar o tráfego vindo da DMZ. A mobilidade corporativa concentrou-se no gerenciamento de dispositivos e no acesso a e-mail, e os fornecedores de identidade concentraram-se no single sign-on; e mais recentemente nos aplicativos SaaS. Mesmo as organizações de TI mais avançadas que implementaram múltiplas tecnologias como parte de uma estratégia coordenada enfrentam problemas com brechas na aplicação de políticas, na cobertura de plataformas e na usabilidade.
A resposta a isso não é apenas integrar e empacotar essas tecnologias juntas, e sim evoluir para uma arquitetura que unifica a entrega de aplicativos, a gestão de identidade do funcionário, e o gerenciamento de políticas para todos os funcionários e todos os seus dispositivos, tanto BYOD quanto dispositivos corporativos. Em vez de BYOD exigir uma estratégia separada, esta tornar-se a base para todos os dispositivos, BYOD e corporativos.
A transição da Gestão de dispositivos para Gestão de Identidade
O Workspace ONE foi projetado em torno dos conceitos de gestão de identidade e auto-atendimento onde os funcionários têm direito ou podem solicitar acesso a aplicativos. Esses aplicativos são fornecidos em uma experiência contextual. Isso significa que não se trata apenas de qualquer aplicativo em qualquer dispositivo com uma política comum, mas sim a capacidade de tomar decisões baseadas em risco sobre quais aplicativos os funcionários devem ser capazes de acessar com base no dispositivo que estão usando no momento, e toda uma série de condições, desde a rede local até a postura do dispositivo. Essa funcionalidade se chama acesso condicional.
Com o Workspace ONE o funcionário pode acessar aplicativos SaaS e aplicativos Windows virtualizados com VMware Horizon ou com Citrix XenApp sem ter que se autenticar continuamente, já que o Workspace ONE provê a funcionalidade Single Sign-On (SSO). Além disso a experiência do funcionário é simplificada com um catálogo unificado com todas as aplicações necessárias. O funcionário necessita apenas usar sua conta de domínio para autenticar-se com o Workspace ONE.
Este modelo não é apenas uma opção apenas para BYOD, está também disponível para todos os funcionários e provavelmente haverá sempre um caso de uso para que os funcionários acessem pelo menos um conjunto de seus aplicativos desta forma.
Workspace ONE – a evolução de Gestão de dispositivos (MDM) e Gestão de Aplicativos (MAM)
Até agora para se evitar a perda de dados corporativos, a indústria de gestão de mobilidade empresarial (EMM) teve apenas duas opções: ou gerenciar o dispositivo (MDM) ou usar técnicas de gestão de aplicativos móveis (MAM), usando SDKs específicos ou empacotando o aplicativo com um código específico fornecido pelo produto de gestão de mobilidade empresarial (EMM).
Essa visão tradicional não é escalável pois não pode garantir a compatibilidade entre aplicativos ou produtos para gestão de mobilidade empresarial.
AirWatch, que está incluso com o Workspace ONE, criou junto com outros provedores de EMM e provedores de aplicativos SaaS a comunidade AppConfig com o intuito de combater os desafios de compatibilidade de gestão de aplicativos. Contudo, mesmo com AppConfig a suposição é que um dispositivo deve primeiro ser inscrito em uma solução EMM. Isso traz de volta a primeira premissa: gerenciar o dispositivo. Porém o gerenciamento de dispositivos é muitas vezes rejeitado devido a potenciais preocupações de privacidade.
O Workspace ONE transforma a experiência dos funcionários para dispositivos BYO. Começando com o acesso simples a uma loja de aplicativos corporativos e a um portal através do aplicativo Workspace ONE, o funcionário pode acessar aplicativos corporativos que não requerem a gestão dos dispositivos e quando um funcionário deseja acessar uma aplicação que exija maior proteção, ele simplesmente pode aceitar a ativação dos Serviços do Workspace ONE, esta funcionalidade é chamada gestão adaptativa.
Ao aceitar a ativação, o Workspace ONE pode enviar um certificado para o dispositivo para prover a autenticação usando impressão digital, impor a política de código PIN e permitir que o departamento de TI possa remover aplicativos corporativos protegidos e impor controles de corte, cópia, colagem e compartilhamento de dados. Através deste modelo, o departamento de TI não pode visualizar aplicativos no dispositivo, acessar qualquer armazenamento de funcionários ou ativar o GPS. Os funcionários podem ter certeza de que sua privacidade é protegida e há um benefício imediato de acesso para que a gestão não seja apenas uma intenção, porém a realidade.
Simplificando a autenticação multifatorial
Para melhorar a usabilidade e prover mais segurança mesmo nos casos de uso com dispositivos não gerenciados, a VMware provê agora um novo serviço com o Workspace ONE chamado VMware Verify.
Quando um funcionário tenta acessar o catálogo Workspace ONE de qualquer dispositivo, ou um aplicativo que exija autenticação forte dentro do catálogo, o VMware Verify pode ser usado para enviar uma notificação ao smartphone do funcionário solicitando que este verifique que é ele ou ela que realmente está tentando acessar o aplicativo. Uma vez que o funcionário aceite o requerimento, o aplicativo é iniciado automaticamente. Essa autenticação simples de dois fatores pode ser usada em toda a empresa, removendo a necessidade de soluções mais complexas que exigem sempre a entrada manual de senhas únicas.
Unified Endpoint Management (UEM) – Unindo a gestão de Endpoints com Workspace ONE
Claro que em qualquer empresa, nem todo dispositivo vai ser de propriedade do funcionário. O departamento de TI continuará a gerenciar laptops, smartphones e tablets corporativos para uma variedade de casos de uso. Muitos desses dispositivos irão migrar para o Windows 10 no futuro próximo e com esta migração vem a oportunidade de abraçar um novo modelo de gerenciamento moderno.
O Windows 10 representa uma mudança de mentalidade completa na gestão de PCs, uma vez que este sistema operacional inclui os princípios de gestão de mobilidade empresarial, onde a segurança, configuração e gestão do ciclo de vida de aplicativos são expostos através de APIs. Ao invés de efetuar o processo de imagem de novos PCs e gerenciar atualizações do sistema operacional com ferramentas associadas a domínios, departamentos de TI podem usar o Workspace ONE e AirWatch para gerenciarem PCs com Windows 10 e assim gerir atualizações do sistema operacional (patches) nos PCs, enviar políticas de restrições, perfis de rede Wi-Fi, VPN e e-mail, instalar aplicativos remotamente, sendo eles universais da loja da Microsoft ou clássicos com MSIs, EXEs ou Zips entre outras funcionalidades.
A Gestão de Endpoints unificada é a evolução a uma plataforma comum para gerenciar todas as diferentes plataformas de dispositivos. Com o Workspace ONE, a organização possui uma ferramenta única que atende todos os requerimentos corporativos de gestão de dispositivos, de identidade e de acesso, sendo esses BYO ou corporativos.
Você pode conhecer mais sobre Workspace ONE e AirWatch aqui e compartilhar suas idéias conosco nos comentários abaixo e no Twitter @AirWatch @WorkspaceONE.
Escrito por: Leonardo Valente, EUC System Engineer