Introducción a la seguridad de Surface Duo
Surface Duo tiene protección integrada en todas las capas con hardware, firmware y software profundamente integrados para proteger los dispositivos, identidades y datos. Como dispositivo Android 10, Surface Duo usa características de seguridad de Android en el nivel de sistema operativo y en la capa de servicios de Google. El sistema operativo Android aprovecha los controles de seguridad del sistema operativo tradicionales para proteger los datos de usuario y los recursos del sistema, protege la integridad del dispositivo frente a malware y proporciona aislamiento de aplicaciones. Además, Google proporciona varios servicios en capas sobre el sistema operativo que, cuando se combinan con la seguridad del sistema operativo Android, ayudan a proteger continuamente al usuario de Android.
- UEFI de diseño personalizado. Único para Surface Duo, entre dispositivos Android, es la interfaz de firmware extensible unificada (UEFI) diseñada a medida de Microsoft, que permite un control completo sobre los componentes de firmware. Microsoft ofrece seguridad de nivel empresarial a Surface Duo escribiendo o revisando cada línea de código de firmware internamente, lo que permite a Microsoft responder de forma directa y ágil ante posibles amenazas de firmware y mitigar los riesgos de seguridad de la cadena de suministro.
- Arranque comprobado. A partir del nivel de hardware al iniciar sesión, El arranque comprobado se esfuerza por garantizar que el código ejecutado solo procede de un origen de confianza. Establece una cadena completa de confianza, desde la raíz de confianza protegida por hardware hasta el cargador de arranque, la partición de arranque y otras particiones verificadas. Cuando Surface Duo arranca, cada fase comprueba la integridad y autenticidad de la siguiente fase antes de entregar la ejecución.
- Separación de aplicaciones. El espacio aislado de aplicaciones aísla y protege las aplicaciones Android, evitando que las aplicaciones malintencionadas accedan a información privada. El cifrado y el control de claves obligatorios y siempre activados ayudan a proteger los datos en tránsito y en reposo, incluso si los dispositivos se encuentran en manos equivocadas. El cifrado está protegido con claves de almacén de claves, que almacenan claves criptográficas en un contenedor, lo que dificulta la extracción de un dispositivo.
- Protección de Google Play. En la capa de software, Surface Duo usa la detección de amenazas de Google Play Protect, que examina todas las aplicaciones, incluidas las aplicaciones públicas de Google Play, las aplicaciones del sistema actualizadas por Microsoft y los operadores y las aplicaciones de prueba.
- Microsoft Defender ATP. El antivirus de nivel empresarial y el software de protección contra malware para Window 10 ya están disponibles para dispositivos Android administrados desde Intune. Para más información, consulte ATP de Microsoft Defender para Android.
Seguridad de administración de dispositivos móviles
Surface Duo está protegido en un entorno corporativo mediante una solución de Enterprise Mobility Management (EMM) que proporciona un conjunto coherente de herramientas de protección, tecnologías y procedimientos recomendados que puede adaptar para satisfacer los requisitos de cumplimiento y organización. Una amplia gama de API de administración proporciona a los departamentos de TI las herramientas para ayudar a evitar la pérdida de datos y aplicar el cumplimiento en varios escenarios. La compatibilidad con varios perfiles y las opciones de administración de dispositivos permiten la separación de datos profesionales y personales, lo que ayuda a proteger los datos de la empresa.
La seguridad de MDM se basa en un conjunto en expansión de tecnologías de configuración para permitir que los usuarios sean productivos sobre la marcha, a la vez que protegen la propiedad intelectual corporativa crítica. Esto incluye directivas de protección de aplicaciones, directivas de restricción de dispositivos y tecnologías relacionadas diseñadas para permitirle cumplir objetivos específicos en función de su entorno, ya sea que su negocio se compone de la entrega de pedidos de comida para llevar restaurantes, la administración de servicios de TI para oficinas dentales o el control de información confidencial de seguridad nacional.
Por ejemplo, puede que desee reforzar la autenticación de dispositivos exigiendo a los usuarios que escriban un pin alfanumérico de 6 dígitos junto con la autenticación en 2 fases. Es posible que quiera restringir los dispositivos en los que los usuarios pueden inscribirse para ayudarle a cumplir con los límites de licencia o evitar conceder acceso a teléfonos "jailbreak" u otros tipos de dispositivos no admitidos. Intune y otros EMM permiten a las organizaciones administrar dispositivos según sus necesidades.
directivas de Protección de aplicaciones
Protección de aplicaciones directivas (APP) son reglas que garantizan que los datos de una organización permanecen seguros o contenidos en una aplicación administrada. Una directiva puede ser una regla que se aplica cuando el usuario intenta acceder o mover datos "corporativos" o un conjunto de acciones que están prohibidas o supervisadas cuando el usuario está dentro de la aplicación. Una aplicación administrada es una aplicación que tiene directivas de protección de aplicaciones aplicadas y que puede administrarse mediante Intune.
Protección de aplicaciones directivas le permiten administrar y proteger los datos de su organización dentro de una aplicación. Muchas aplicaciones de productividad, como las aplicaciones de Microsoft Office, se pueden administrar mediante Intune MAM. Consulta la lista oficial de Microsoft Intune aplicaciones protegidas disponibles para uso público.
Consideraciones de seguridad para administrar Surface Duo
El creciente número de configuraciones de directivas disponibles en las soluciones de administración de dispositivos móviles permite a las organizaciones ajustar los niveles de protección para satisfacer sus necesidades específicas. Para ayudar a las organizaciones a priorizar la configuración de seguridad para Surface Duo (o cualquier otro dispositivo Android), Intune ha introducido su marco de configuración de seguridad de Android Enterprise organizado en varios escenarios de configuración distintos, proporcionando instrucciones para escenarios de perfil de trabajo y totalmente administrados.
| Nivel Seguridad | Destinado a | Resumen | Información de configuración |
|---|---|---|---|
| Seguridad básica del perfil de trabajo: nivel 1 | Dispositivos personales con acceso a datos profesionales o educativos. | Presenta los requisitos de contraseña, separa los datos profesionales y personales y valida la atestación de dispositivos Android. | Configuración de nivel 1 del perfil de trabajo |
| Alta seguridad en el perfil de trabajo: nivel 3 (Debido a las convenciones de marco, este es el siguiente nivel por encima del nivel 1). |
Dispositivos utilizados por usuarios o grupos que tienen un riesgo único alto. Por ejemplo, los usuarios que controlan datos altamente confidenciales donde la divulgación no autorizada provoca una pérdida considerable de material. | Presenta la protección contra amenazas móviles o Microsoft Defender ATP, establece la versión mínima de Android en 8.0, implementa directivas de contraseña más seguras y restringe aún más la separación personal y laboral. | Configuración de nivel 3 del perfil de trabajo |
| Seguridad básica totalmente administrada: nivel 1 | Configuración de seguridad mínima para un dispositivo empresarial, aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos. | Introduce los requisitos de contraseña, establece la versión mínima de Android en 8.0 y establece ciertas restricciones de dispositivo. | Configuración de nivel 1 totalmente administrada |
| Nivel 2 de seguridad mejorado totalmente administrado | Dispositivos en los que los usuarios acceden a información confidencial o confidencial. | Implementa directivas de contraseña más seguras y deshabilita las funcionalidades de usuario o cuenta. | Settngs de nivel 2 totalmente administrados |
| Nivel 3 de alta seguridad totalmente administrado | Dispositivos utilizados por usuarios o grupos que tienen un riesgo único alto. Por ejemplo, los usuarios que controlan datos altamente confidenciales donde la divulgación no autorizada provoca una pérdida considerable de material. | Aumenta la versión mínima de Android a la versión 10.0, presenta la defensa contra amenazas móviles o Microsoft Defender ATP y aplica restricciones de dispositivo adicionales. | Configuración de nivel 3 totalmente administrada |
Al igual que con cualquier marco, es posible que sea necesario ajustar la configuración dentro de un nivel correspondiente en función de las necesidades de la organización, ya que la seguridad debe evaluar el entorno de amenazas, el apetito de riesgo y el impacto en la facilidad de uso.
Obtén más información
- Marco de configuración de seguridad de Android Enterprise
- introducción a las directivas de Protección de aplicaciones
- Configuración de la directiva de protección de aplicaciones Android en Microsoft Intune
- Establecimiento de restricciones de inscripción
- Notas del producto Android Enterprise Security
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de