Whitepaper Eine Übersicht der Samsung KNOXTM Plattform

Transkript

1 Juni 2015 Lösungen für Unternehmensmobilität Samsung Electronics Co., Ltd.

2 Inhalt Samsung KNOX Plattform 2 Technologie-Übersicht 3 Plattform-Sicherheit 3 Hardware Root of Trust 3 Secure Boot und Trusted Boot 4 Sicherheitsverbesserungen für Android 4 TrustZone-basierte Integrity Measurement Architecture 5 TrustZone-basierte Sicherheitsdienste 7 Anwendungssicherheit 8 KNOX Workspace 8 Virtual Private Network Support 10 SmartCard Framework 12 Single Sign-On 13 Mobile Device Management 13 Umfassende Managementrichtlinien 13 Active Directory-Integration 14 Vereinfachte Registrierung 14 Getrennte Firmenabrechnung 15 Zertifizierungen 16 Zusammenfassung 17 Über Samsung Electronics Co., Ltd. 18

3 Abkürzungen AES BYOD CAC CESG COPE DAR DISA DIT DoD FIPS IPC MAC MDM NIST ODE PKCS ROM SBU SE for Android SE Linux SRG SSO STIGs TIMA VPN Advanced Encryption Standard Bring Your Own Device U.S. Common Access Card Communications and Electronic Security Group Corporate-Owned Personally Enabled Data-at-Rest U.S. Defense Information Systems Agency Data-in-Transit U.S. Department of Defense Federal Information Processing Standard Inter Process Communication Mandatory Access Control Mobile Device Management National Institute of Standards and Technology On-Device Encryption Public Key Cryptography Standards Read-Only Memory Sensitive But Unclassified Security Enhancements for Android Security-Enhanced Linux Security Requirements Guide Single Sign-On Security Technical Implementation Guides TrustZone-based Integrity Measurement Architecture Virtual Private Network 1

4 Samsung KNOX TM Plattform KNOX ist die schützende Plattform für mobile Sicherheit von Samsung, die in unsere neuesten Geräte eingebaut ist. Einfach das Gerät einschalten, und schon sind Sie geschützt. KNOX bietet eine starke Garantie zum Schutz von Unternehmensdaten durch den Aufbau einer Hardware-geführten sicheren Umgebung. Eine sichere Umgebung sorgt dafür, dass unternehmenskritische Operationen, wie beispielsweise Verschlüsselung von Unternehmensdaten, nur auftreten können, wenn wichtige Systemkomponenten nachweislich nicht beeinträchtigt werden können. Für viele Teile der Geräte-Software, wie z. B. dem Kern und den TrustZone-Apps, erfolgt dies durch Überprüfung der kryptographischen Signatur der einzelnen Software-Komponenten. Eine sichere Umgebung ist Hardware-geführt, wenn die kryptographischen Schlüssel und der Code zur Berechnung dieser Signaturen an nicht veränderbare, in der Hardware gespeicherte, Werte geknüpft sind. Die wichtigsten Funktionen von KNOX umfassen Secure Boot, Trusted Boot, ARM TrustZone -basierte Integrity Measurement Architecture (TIMA), Security Enhancements für Android (SE for Android) und TrustZone-basierte Security Services. Der KNOW Workspace-Container wurde entwickelt für die Trennung, Isolierung, Verschlüsselung und zum Schutz von Arbeitsdaten vor Angreifern. Die unternehmensbereite Lösung bietet Management-Tools und Hilfsprogramme zur Erfüllung von Sicherheitsanforderungen großer und kleiner Unternehmen. Figure 1 Samsung KNOX Plat orm, Workspace, f Management Tools and Utilities Abbildung 1 Samsung KNOX Plattform, Workspace, Management-Tools und Hilfsprogramme 2

5 Technologie-Übersicht Dieser Abschnitt beschreibt die technischen Aspekte der drei Hauptsäulen der Samsung KNOX Plattform: 1. Plattform-Sicherheit 2. Anwendungssicherheit 3. Mobile Device Management Plattform-Sicherheit Samsung KNOX sorgt mit einer umfassenden, Hardware-basierten sicheren Umgebung für Schutz: Hardware Root of Trust Secure Boot und Trusted Boot Security Enhancements für Android (SE für Android) TrustZone-basierte Integrity Measurement Architecture (TIMA) TrustZone-basierte Security Services Hardware Root of Trust Drei Hardware-Komponenten bilden die Grundlage der sicheren Umgebung von Samsung KNOX. Der Device Root Key (DRK) ist ein für das Gerät einzigartiger asymmetrischer Schlüssel, der von Samsung durch ein X.509-Zertifikat signiert wird. Dieses Zertifikat attestiert, dass der DRK durch Samsung erstellt wurde. Der DRK wird zum Herstellungszeitpunkt im Werk von Samsung in das Gerät infiziert und ist nur durch spezielle, privilegierte Software-Module innerhalb der TrustZone Secure World zugänglich. Da es sich bei dem DRK um ein für das Gerät einmaliges Merkmal handelt, kann es zur Geräteidentifikation verwendet werden. Beispielsweise wird ein mit TIMA-Attestierung versehenes Zertifikat durch den DRK unterzeichnet (genauer gesagt, durch einen Schlüssel, der durch den DRK attestiert wurde), der sicherstellt, dass das Attestierungsdatum von der TrustZone Secure World auf einem Samsung Gerät stammt. KNOX verwendet außerdem für das jeweilige Gerät einmalige Schlüssel und von Hardware-Schlüsseln abgeleitete Schlüssel, die nur in der TrustZone Secure World zugänglich sind. Solche Schlüssel können zur Bindung von Daten an ein Gerät verwendet werden. KNOX Workspace-Daten werden z. B. durch einen solchen Schlüssel verschlüsselt und können auf keinem anderen Gerät entschlüsselt werden. Der Samsung Secure Boot-Schlüssel wird für die Signierung von durch Samsung genehmigten Programmdateien von Boot-Komponenten verwendet. Der öffentliche Teil des Samsung Secure Boot-Schlüssels wird zum Herstellungszeitpunkt im Samsung-Werk in der Hardware gespeichert. Der Secure Boot-Prozess verwendet diesen öffentlichen Schlüssen, um zu überprüfen, ob jede geladene Boot-Komponenten genehmigt ist. Sicherungen für Rollback-Vermeidung sind Hardware-Sicherungen, die die niedrigste zulässige Version der von Samsung genehmigten Programmdateien verschlüsselt. Diese Sicherungen werden zum Herstellungszeitpunkt im Samsung-Werk eingerichtet. Da alte Images bekannte, ausnutzbare, Schwachstellen enthalten können, verhindert diese Funktion, dass genehmigte, jedoch alte Versionen von Programmdateien geladen werden. 3

6 Secure Boot und Trusted Boot Der Startablauf für Android beginnt mit dem primären Bootloader, der vom ROM geladen wird. Dieser Code führt die grundlegende Systeminitialisierung aus und lädt anschließend einen weiteren Bootloader, den sekundären Bootloader, vom Dateisystem in dem RAM, und führt diesen anschließend aus. Es können mehrere sekundäre Bootloader vorhanden sein, wobei jeweils einer eine spezifische Aufgabe ausführt. Der Boot-Prozess erfolgt sequenziell, wobei jeder sekundäre Bootloader seine Aufgabe abschließt und den nächsten sekundären Bootloader in der Sequenz ausführt, und abschließend den Android Bootloader unter der Bezeichnung A-Boot lädt, der jetzt das Android Betriebssystem lädt. Secure Boot ist ein Sicherheitsmechanismus, der verhindert, dass nicht autorisierte Bootloader und Betriebssysteme während des Startvorgangs geladen werden. Secure Boot wird implementiert, indem jeder Bootloader die Signatur des nächsten Bootloaders in der Sequenz kryptographisch überprüft und hierfür eine Zertifikatskette verwendet, die ihren Root-of-Trust-Ursprung in der Hardware hat. Der Boot-Prozess wird abgebrochen, wenn die Überprüfung an einem Punkt scheitert. Secure Boot ist wirkungsvoll bei der Vermeidung von nicht autorisierten Bootloadern (und manchmal auch des Kerns, wenn dieser ebenfalls auf das Kern-Binärsystem angewendet wird). Allerdings kann Secure Boot nicht zwischen verschiedenen Versionen autorisierter Binärsysteme unterscheiden, wie z. B. einem Bootloader mit bekannter Anfälligkeit vs. einer späteren Patch-Version. Der Grund hierfür ist, dass beide Versionen über gültige Signaturen verfügen. Hinzu kommt, dass bei Zulassung von benutzerspezifischen Kernen auf den Geräten Secure Boot nicht in der Lage ist, zu verhindern, dass Nicht-Samsung-Kerne auf diesen Geräten ausgeführt werden. Damit wird eine Angriffsfläche geboten, die eine potenzielle Gefahr für Unternehmensanwendungen und -daten darstellt. Samsung KNOX implementiert Trusted Boot (zusätzlich zu Secure Boot), um diese Beschränkung anzugehen. Mit Trusted Boot werden Messungen der Bootloaders während des Boot-Prozesses im sicheren Speicher aufgezeichnet. Während der Laufzeit verwenden TrustZone-Anwendungen diese Messungen, um sicherheitskritische Entscheidungen zu treffen, wie beispielsweise die Überprüfung der Freigabe von kryptographischen Schlüsseln vom TMA KeyStore, Container-Aktivierung etc. Wenn der A-Boot-Bootloader zudem nicht in der Lage ist, den Android-Kern zu überprüfen, wird ein einmalig programmierbarer Speicherbereich (als Sicherung bezeichnet) geschrieben, um auf eine mögliche Manipulation hinzuweisen. Selbst wenn der Boot-Code wieder auf seinen ursprünglichen Werkszustand hergestellt wurde, bleibt dieser Manipulationsnachweis erhalten. Allerdings wird der Boot-Prozess nicht gestoppt und der A-Boot-Bootloader fährt mit dem Bootvorgang des Android-Betriebssystems fort. Dieser Prozess stellt sicher, dass der Normalbetrieb des Geräts nicht beeinträchtigt wird. Sicherheitsverbesserungen für Android Samsung KNOX führte die Security Enhancements für Android (SE für Android) in 2012 ein, um die Mandatory Access Control (MAC) -Richtlinien durchzusetzen. Diese Verbesserungen schützen Anwendungen und Daten durch strikte Definition dessen, was jeder Prozess tun darf und auf welche Daten er zugreifen kann. Die innovative Zusammenarbeit von Samsung mit anderen Autoren von SELinux führte zu dem Gold Standard für Android-Sicherheit. In der Version 4.4 von AOSP führte Google eine Unterkategorie der SE für Android-Verbesserungen ein, die Samsung erstmals einführte (d. h. den SELinux-Bereich). Samsung führt weiterhin Google und alle anderen in der Fortsetzung der Einführung neuer Erweiterungen von SE für Android an. Unsere Verbesserungen erlauben uns, Bereiche des Android-Rahmenwerks zu schützen, für die der Zugriff zuvor unbeschränkt war. Unsere Richtlinie schützt Software, die von Samsung, AOSP und anderen Drittpartnern erstellt wurde. Die erhöhte Durchsetzungsgenauigkeit durch unsere AOSP-Erweiterungen und die strikten und industrieführenden Zugriffsrichtlinien von Samsung, die über 200 einzigartige Sicherheitsdomänen definieren, wurden gemeinsam entwickelt, um die engsten Restriktionen mit den niedrigsten Raten für Über- oder Unterprivilegierung durchzusetzen. 4

7 Samsung hat zudem ein innovatives globales Validierungssystem für Richtlinien erstellt, das erkennen kann, wenn untersagte Aktionen versucht werden. Das ermöglicht uns einen einzigartigen Überblick dazu, wie unsere Geräte verwendet werden, und kann uns zu diesen neuen Gefahren warnen. Dieses System kann verwendet werden, um unsere Richtlinie zu verfeinern und auf sehr akkurate Art und Weise nur die erforderlichen Mindesterlaubnisse zu erteilen. Die KNOX-Plattform enthält jetzt das SE für Android Management Service (SEAMS), das eine Kontrolle der Sicherheitsrichtlinien-Engine auf API-Ebene ermöglicht. SEAMS wird in erster Linie intern durch den KNOX Workspace-Container verwendet, ist jedoch auch für Drittanbieter verfügbar, um deren eigene Containerlösungen zu sichern. Die SEAMS APIs ermöglichen benutzerdefinierte Software-Genehmigungen für jedes Unternehmen. Indem wir unsere Kontrollen nutzen, um die Sicherheitscontainer zu definieren und zu schützen, können Kunden Anwendungen und Daten dynamisch isolieren. Unsere Container verwenden die neue SE fürandroid Multi-Level Security (MLS) Schutz und erhalten damit erheblich mehr Schutz, als dies bei anderen bestehenden Android-Isolierungsmechanismen möglich ist. Unsere Erweiterungen für Android zeigen gemeinsam mit unserer robusten Richtlinie, den Sicherheitstools, Datenerfassungs- und Richtlinien-Management, dass Samsung KNOX-Geräte entwickelt wurden, um den besten Schutz aller Mobilgerätehersteller zu bieten. Dieser Schutz bildet die Grundlage für die Sicherheit der Benutzer gegenüber böswilligen oder versehentlichen Sicherheitsverstößen. TrustZone-basierte Integrity Measurement Architecture Der von SE für Android gebotene Systemschutz vertraut auf der Annahme der Integrität des OS-Kerns. Wenn der Kern an sich kompromittiert ist (möglicherweise durch eine noch unbekannte zukünftige Bedrohung), könnten die SE für Android-Sicherheitsmechanismen potenziell deaktiviert werden und damit wirkungslos sein. Die Samsung TrustZone-basierte Integrity Measurement Architecture(TIMA) wurde entwickelt, um diese Anfälligkeit zu beheben. TIMA nutzt die Hardware-Funktionen speziell für TrustZone, um sicherzustellen, dass sie nicht durch Schadsoftware beeinträchtigt oder deaktiviert werden kann. TIMA Periodic Kernel Measurement (PKM) TIMA PKM führt kontinuierlich periodische Überwachung des Kerns aus, um zu erkennen, ob ein rechtmäßiger Kerncode und Daten durch Schadsoftware verändert wurden. Zusätzlich überwacht TMA wichtige SE für Android-Datenstrukturen im OS-Kernspeicher, um bösartige Angriffe zu erkennen, die diese beschädigen und möglicherweise SE für Android deaktivieren. TIMA Real-time Kernel Protection (RKP) TIMA RKP führt durchgehende, strategisch platzierte Echtzeit-Überwachung des Betriebssystems über die TrustZone aus, um eine Manipulation des Kerns zu verhindern. RKP unterbricht kritische Kernereignisse, die dann in der TrustZone untersucht werden. Wenn bei einem Ereignis festgestellt wurde, dass es einen Einfluss auf die Integrität des OS-Kerns hat, stoppt RKP das Ereignis entweder oder protokolliert eine Alarmmeldung zu der vermuteten Manipulation. Diese Warnmeldung wird in den Remote-Attestierungsergebnissen aufgenommen, die an das MDM gesendet werden, damit IT-Administratoren weitere erforderliche Maßnahmen durch die Sicherheitsrichtlinien des Unternehmens festlegen können. Dies schützt gegen schädliche Modifikationen und Injektionen des Kerncodes,einschließlich solcher, die den Kern in die Unterbrechung seiner eigenen Daten zwingen. 5

8 Abbildung 2 Übersicht Samsung KNOX Plattform-Sicherheit Remote Attestation Remote Attestation (manchmal einfach nur Testierung genannt) basiert auf Trusted Boot und wird zur Überprüfung der Plattformintegrität verwendet. Remote Attestation kann auf Abruf durch das unternehmenseigene Mobile Device Management (MDM) -System, abgerufen werden üblicherweise vor Erstellung des KNOX Workspace. Bei Abruf liest diese Testierung die durch Trusted Boot erfassten Messdaten und sendet diese an die anfordernde Stelle zurück. Um die Handhabung in MDM-Servern zu erleichtern, produziert der Testierungsagent auf dem Gerät ein Resultat, das den Gesamtstatus der Testierung anzeigt. Er vergleicht die Messungen mit den Werksangaben in TrustZone Secure World. Trusted Boot-Messdaten umfassen einen Hardware-Sicherungswert, der anzeigt, ob das Gerät in der Vergangenheit in einen nicht autorisierten Kern gebootet hat. Trusted Boot-Messdaten bilden gemeinsam mit der SE für Android-Durchsetzungseinstellung die Grundlage des produzierten Testierungsresultats. Dieses Resultat, das im Wesentlichen ein erstes Anzeichen dafür ist, dass eine Manipulation versucht wurde, wird an das anfordernde MDM zurückgesendet. Neben dem Resultat umfassen die Testierungsdaten alle Trusted Boot-Messungen, RKP- und PJM-Protokolle, die das Vorhandensein von Schadsoftware im Gerät anzeigen können und andere Gerätedaten, die verwendet werden können, um das Testierungsergebnis mit dem Gerät zu verbinden. 6

9 Der Remote-Server, der die Testierung anfordert, liefert ein zufälliges Nonce, um Replay-Angriffe zu verhindern. Das Nonce, das Testierungsergebnis und die restlichen Testierungsdaten werden an den Server zurückgegeben und mit dem Testierungszertifikat signiert. Das Testierungszertifikat wird durch den Device Root Key (DRK) signiert; das ist ein für das Gerät einzigartiger asymmetrischer Schlüssel, der von Samsung durch ein X.509-Zertifikat signiert wird. Diese Zertifikatskette stellt sicher, dass das Testierungsergebnis während der Übertragung nicht verändert werden kann. Je nach Testierungsergebnis und den Daten werden weitere Maßnahmen durch die MDM-Sicherheitsrichtlinie des Unternehmens definiert. Die Sicherheitsrichtlinie entscheidet möglicherweise eine Abkopplung vom Gerät, Löschung der Inhalte des Containers für sichere Anwendungen, Nachfrage nach dem Gerätestandort oder viele weitere mögliche Prozeduren zur Wiederherstellung der Sicherheit. TrustZone-basierte Sicherheitsdienste TrustZone-basiertes Client Certificate Management (CCM) TIMA CCM ist ein TrustZone-basierter Sicherheitsdienst, der auch auf der Grundlage von Trusted Boot erstellt wurde. Eine wichtige Funktion von TIMA CCM ist, dass wenn die Trusted Boot-Messungen nicht mit den autorisierten Werten übereinstimmen oder wenn das KNOX Warrant-Bit nicht mehr gültig ist, die gesamten TIMA CCM-Funktionen abschalten und somit den Schutz der Unternehmensdaten im Fall eines unsicheren Geräts schützen. TIMA CMM ermöglicht das Speichern und Abrufen von digitalen Zertifikaten und anderen Operationen mithilfe dieser Zertifikate, wie z. B. Verschlüsselung, Entschlüsselung, Signatur, Überprüfung und so weiter auf eine Art und Weise, die mit den Funktionen einer SmartCard vergleichbar sind. Tatsächlich bietet der CCM TrustZone-Code eine PKCS #11-Schnittstelle zum Android-Betriebssystem und emuliert damit wirkungsvoll eine SmartCard-Oberfläche auf einem Mobilgerät. Die Zertifikate und dazugehörigen Schlüssel sind mit dem für das Gerät einzigartigen Hardware-Schlüssel verschlüsselt, der nur durch einen Code entschlüsselt werden kann, der innerhalb von TrustZone ausgeführt wird. TIMA CCM bietet die Möglichkeit, einen Certificate Signing Request (CSR) und die dazugehörigen öffentlichen/privaten Schlüsselpaare zu generieren, um ein digitales Zertifikat zu erhalten. Für Anwendungen, die kein eigenes Zertifikat benötigen, wird ein Standardzertifikat bereitgestellt. TIMA CCM unterstützt die standardmäßige Android Key Chain API; Apps können CCM durch Aufruf von APIs verwenden, die Android so konfigurieren, dass ein alternativer Keychain-Anbieter verwendet werden kann. TrustZone-basiertes KeyStore Ähnlich wie TIMA CCM ist TIMA KreyStore ein TrustZone-basierter Sicherheitsdienst, der auch auf der Grundlage von Trusted Boot erstellt wurde. Der KeyStore bietet Anwendungen mit Services zur Generierung und Bewahrung von kryptographischen Schlüsseln. Diese Schlüssel werden mithilfe eines für das Gerät einzigartigen Hardware-Schlüssels weiter verschlüsselt und diese Verschlüsselung kann nur durch die Hardware in TrustZone entschlüsselt werden. Alle kryptographischen Schritte werden nur innerhalb von TrustZone ausgeführt und deaktiviert, wenn das System nach Feststellung durch Trusted Boot kompromittiert wurde. TIMA KeyStore unterstützt die Android Key Store API. Anwendungsentwickler können weiterhin die vertrauten Android KeyStore APIs verwenden und festlegen, dass der TIMA KeyStore für die Bereitstellung dieses Dienstes verwendet wird. TrustZone-basierte On-Device-Verschlüsselung Die KNOX-Plattform stärkt die vollständige Geräteverschlüsselungskapazität, die durch die Android-Plattform angeboten wird, zusätzlich. Neben der erfolgreichen Passwort-Authentifizierung wird die Systemintegrität gemäß Trusted Boot ebenfalls überprüft, bevor eine Datenentschlüsselung erfolgt. Diese Funktion ist nur verfügbar, wenn der IT-Administrator des Unternehmens die Verschlüsselung über das MDM aktiviert. Damit wird gewährleistet, dass alle Gerätedaten für den unwahrscheinlichen Fall geschützt werden, in dem ein Betriebssystem kompromittiert wird. 7

10 Anwendungssicherheit Außer der Sicherung der Plattform bietet Samsung KNOX Lösungen für den Sicherheitsbedarf einzelner Anwendungen: KNOX Workspace Virtual Private Network Support SmartCard Framework Single Sign-On KNOX Workspace Samsung KNOX-Workspace ist ein Schutzprodukt für zwei Personen zur Trennung, Isolierung, Verschlüsselung und zum Schutz von Unternehmensdaten vor Angreifern. Diese Arbeits-/Spielumgebung sorgt dafür, dass Arbeitsdaten und persönliche Daten getrennt werden und nur der Arbeitscontainer durch das Unternehmen verwaltet wird. Persönliche Daten wie Fotos und Mitteilungen werden nicht durch die IT-Abteilung verwaltet oder kontrolliert. Nach der Aktivierung ist das KNOX Workspace-Produkt eng in der KNOX Plattform integriert. Workspace bietet diese separate Umgebung innerhalb des Mobilgeräts komplett mit eigenem Startbildschirm, eigenen Anwendungen und Widgets. Anwendungen und Daten in Workspace werden von Anwendungen außerhalb von Workspace getrennt, d. h. Anwendungen außerhalb von Workspace können die prozessübergreifende Kommunikations- oder Datenfreigabemethoden von Android nicht mit Anwendungen innerhalb von Workspace verwenden. Das bedeutet beispielsweise, dass Fotos, die mit der Kamera in Workspace erstellt wurden, nicht in der Galerie außerhalb von Workspace sichtbar sind. Dieselben Beschränkungen gelten für das Kopieren und Einfügen. Sofern die IT-Richtlinie dies zulässt, können einige Anwendungsdaten, wie z. B. Kontakte und Kalenderdaten zwischen den Workspace-Grenzen geteilt werden. Der Endanwender kann wählen, ob er Kontakte und Kalendernotizen zwischen Workspace und dem persönlichen Bereich teilen möchte, allerdings kontrolliert die IT-Richtlinie letztlich diese Option. Das Unternehmen kann Workspace genau wie alle anderen IT-Einrichtungen über die MDM-Lösung verwalten; dieser Container-Verwaltungsprozess wird als Mobile Container Management (MCM) bezeichnet. Samsung KNOX unterstützt viele führende MDM-Lösungen auf dem Markt. MCM wird durch die Einstellung der Richtlinien auf dieselbe Art und Weise beeinflusst, wie herkömmliche MDM-Richtlinien. Samsung KNOX-Workspace umfasst zahlreiche Richtlinien für Authentifizierung, Datensicherheit, VPN, , Anwendungs-Blacklisten, Whitelisten etc. Die KNOX 2.X-Plattform ermöglicht die Eliminierung von App-Wrapping, wie es von KNOX 1.0 und vielen vergleichbaren Anwendungen verwendet wurde. Dies wird erreicht, indem die durch Google in Android 4.2 eingeführte Technologie zur Unterstützung von mehreren Nutzern an Geräten verwendet wird. Diese Technologie reduziert die Barriere zum Einstieg für unabhängige Softwareentwickler, die planen, Anwendungen für KNOX Workspace zu entwickeln und zu verwenden. 8

11 Abbildung 3 Samsung KNOX Workspace-Ordner- und Container-Typen KNOX Workspace kann auch nur für den Container-Betrieb konfiguriert werden. In diesem Modus wird die gesamte Geräteanwendung auf Workspace beschränkt. Dieser Modus eignet sich für Bereiche wie Gesundheitspflege, Finanzen und andere, die ihren Mitarbeitern Geräte zur Verfügung stellen und den Zugriff auf Geschäftsanwendungen beschränken möchte. Workspace verfügt zudem über einen Zwei-Faktoren-Authentifizierungsprozess. Der Benutzer kann Workspace konfigurieren, um einen Fingerabdruck als primären Authentifizierungsfaktor für den Container mit einer PIN, einem Passwort oder Mustern als zweiten Faktor zu verwenden. Die KNOX-Plattform unterstützt außerdem zwei Container und erfüllt damit die Anforderungen von Fachkräften, die ihre eigenen Geräte für den Arbeitgeber nutzen (BYOD) und dazu mehrere Arbeitgeber haben, wie beispielsweise Ärzte oder Berater. Die neuen Funktionen ermöglichen die Aktivierung von Bluetooth und Near Field Communication (NFC) innerhalb von Workspace. NFC ermöglicht die Verwendung eines Geräts als SmartCard-basierte Anmeldeinformationen für Anwendungen wie physischen Zugang und Zugang zu IT-Konten. Die Verwendung von Bluetooth ist möglich, um mit verbundenen Geräten zu kommunizieren und unterstützt Bluetooth-Profile, die Anwendungsfälle über Musik und Anrufe innerhalb von KNOX Workspace hinaus ermöglichen. Beispiele umfassen Drucken, Dateifreigaben und externe Kartenleser. Externe SD-Karten können außerdem mit Sicherheitsbeschränkungen aktiviert werden. KNOX Anrufer-ID für eingehende Anrufe im Personal-Modus sind durch IT-Administratoren konfigurierbar, um die Anrufer-Kenndaten von persönlichen Kontakten und KNOX Workspace Kontakten anzuzeigen. 9

12 KNOX Active Protection (KAP) Endanwender können KNOX Active Protection (KAP) über die Smart Manager-App auf Geräten aktivieren oder deaktivieren, die nicht durch ein MDM verwaltet werden. KAP verwendet Echtzeit-Kernschutz (RKP) und DM Verity, eine Funktion, die Integritätsprüfungen für Systemcode und -daten ermöglicht. KAP ist auf MDM-verwalteten Geräten stets aktiviert. Schutz sensibler Daten und KNOX Chamber KNOX definiert zwei Datenklassen geschützte und sensible Daten. Alle von Apps im sicheren Workspace geschriebenen Daten sind geschützt. Geschützte Daten werden auf der Festplatte beim Ausschalten des Geräts verschlüsselt. Zusätzlich ist der Entschlüsselungsschlüssel für geschützte Daten mit der Gerätehardware verknüpft. Damit können Daten nur auf demselben Gerät wieder hergestellt werden. Weiterhin werden Zugriffskontrollen verwendet, um zu verhindern, dass Anwendungen außerhalb von KNOX Workspace versuchen, auf geschützte Daten zuzugreifen. Ein noch stärkerer Schutz wird für sensible Daten angewendet. Sensible Daten bleiben solange verschlüsselt, wie Workspace gesperrt ist. Das gilt sogar, wenn das Gerät eingeschaltet ist. Wenn ein Benutzer KNOX Workspace mit seinem Passwort entsperrt, lässt Sensitive Data Protection (SDP) die Entschlüsselung sensibler Daten zu. Sperrt der Benutzer Workspace erneut, so werden die SDP-Schlüssel entfernt. Der Entschlüsselungsschlüssel für SDP-Daten ist mit der Gerätehardware und der Benutzereingabe gekoppelt. Aus diesem Grund sind die Daten nur auf demselben Gerät mit derselben Benutzereingabe wiederherstellbar. SDP kann auf zwei verschiedene Arten verwendet werden. Erstens: Alle erhaltenen s werden als sensibel behandelt und sofort durch SDP-Verschlüsselung geschützt. s, die erhalten wurden, während Workspace gesperrt ist, werden sofort verschlüsselt und können erst bei der nächsten Entsperrung von Workspace entschlüsselt werden. Zweitens: Verwendung von SDP durch KNOX Chamber. Chamber bezeichnet ein zugehöriges Verzeichnis des Dateisystems und einem durch den Benutzer aufrufbaren Ordner innerhalb von Workspace. Daten, die in Chamber abgelegt werden, erhalten automatisch eine Markierung als sensibel und werden durch SDP geschützt. KNOX Quick Access Abhängig von der Nähe eines registrierten und verbundenen Gear-Geräts erweitert KNOW Quick Access auf Samsung Galaxy S6 Geräten die Entsperrdauer von KNOX Workspace und reduziert damit die Häufigkeit, mit welcher der Endnutzer die Passwort-Kenndaten eingeben muss. 10

13 Abbildung 4 Samsung KNOX Workspace Virtual Private Network Support Die KNOX Plattform bietet weiteren umfassenden Support für Virtual Private Networks (VPN) auf Unternehmensebene. Dieser Support ermöglicht Unternehmen, ihren Mitarbeitern einen optimierte, geschützten Pfad zu Unternehmensressourcen über ihr BYOD oder über Corporate-Owned Personally Enabled(COPE) -Geräte zu anzubieten. Die KNOX-Plattform bietet zahlreiche Funktionen zur Unterstützung der IPSec-Protokollsuite, einschließlich: y Internet Key Exchange (IKE und IKEv2) y Triple DES (56/168-bit), AES (128/256-bit) Verschlüsselung y Split Tunneling-Modus y Suite B Kryptographie Da eine große Anzahl von Unternehmen Secure Socket Link (SSL) VPNs verwendet haben, bietet die KNOX-Plattform Support für führende SSL VPN-Anbieter. Da SSL-Implementierungen proprietär sind, bietet KNOW ein neues, generisches VPN-Framework, das es SSL-Drittanbietern ermöglicht, ihre Clients als Plug-ins anzubieten. IT-Administratoren in Unternehmen verwenden KNOX MDM-Richtlinien für die Installation und Konfiguration eines spezifischen SSL VPN-Client. 11

14 Abbildung 5 Support für mehrere Anbieter in KNOX Die pro Anwendung ausgelegte VPN-Funktion im KNOX-Container unterstützt ebenfalls SSL VPNs. Diese Funktion ermöglicht Unternehmen die automatische Durchsetzung der ausschließlichen Verwendung von VPN auf einem spezifischen Anwendungssatz. Beispielsweise kann der IT-Administrator eines Unternehmens das Gerät eines Mitarbeiters so konfigurieren, dass VPN nur für Geschäftsanwendungen durchgesetzt wird. Diese Konfiguration stellt sicher, dass die Daten der persönlichen Anwendungen der Benutzer das VPN nicht verwenden und das Firmen-Intranet nicht überlasten. Gleichzeitig bleibt der Datenschutz der Benutzer bewahrt, da persönliche Daten nicht in das Unternehmensnetzwerk eintreten. Die VPN-Funktion pro App kann auch für die KNOX Workspace-Container für alle oder eine Untergruppe von Anwendungen im Container angewendet werden. Abbildung 6 Pro Anwendungs-VPN in KNOX 12

15 SmartCard Framework Das United States Department of Defense (US DoD) hat die Verwendung von Public Key Infrastructure (PKI) -Zertifikaten für Mitarbeiter zur digitalen Unterzeichnung von Dokumenten, Verschlüsselung und Entschlüsselung von -Nachrichten und Erstellung von sicheren Online-Netzwerk-Verbindungen verfügt. Diese Zertifikate werden üblicherweise auf einer SmartCard unter der Bezeichnung Common Access Card (CAC) gespeichert. Die Samsung KNOX-Plattform ermöglicht Anwendungen den Zugriff auf die Hardware-Zertifikate auf der CAC über standardbasierte Public Key Cryptography Standards (PKCS) APIs. Dieser Zugriffsprozess ermöglicht die Verwendung der CAC-Karte durch den Browser, -Anwendungen und VPN-Client und durch andere benutzerdefinierte Regierungsanwendungen. Andere Unternehmen zeigen steigendes Interesse an der Nutzung der SmartCards für eben diese Zwecke, insbesondere solche, die hohe Sicherheitslevel und hohen Datenschutz erfordern. Die KNOX-Plattform bietet verbesserte SmartCard-Kompatibilität über ein Software-Rahmenwerk, das es Drittanbietern von SmartCards und Lesegeräten ermöglicht, ihre Lösungen in das Rahmenwerk zu integrieren. Abbildung 7 Samsung KNOX für SmartCards 13

16 Single Sign-On Single Sign-On (SSO) ist eine Funktion, die gemeinsame Zugriffskontrollen für mehrere verbundene, jedoch unabhängige Softwaresysteme bietet. Der Benutzer loggt sich einmalig ein und hat Zugriff auf alle Systeme, ohne erneut zur Anmeldung aufgefordert zu werden. Beispielsweise erlaubt SSO den Zugang zum Workspace-Container (und zu teilnehmenden Apps, die Zugangsdaten innerhalb des Containers erfordern) mit einem Passwort. SSO teilt zentralisierte Authentifizierungsserver, die alle anderen Anwendungen und Systeme für Authentifizierungszwecke verwenden. Es kombiniert diese mit Techniken, um sicherzustellen, dass Benutzer ihre Zugangsdaten nicht häufiger als einmal eingeben müssen. SSO reduziert die Anzahl der Benutzernamen und Passwörter, die sich ein Benutzer merken muss, und es reduziert die IT-Kosten durch weniger Anrufe des Help Desks zu Anmeldungsdaten. KNOX Identity und Access Management (IAM) bieten eine umfassende und flexible SSO-Lösung zur Unterstützung von Unternehmensanwendungen auf Samsung Mobilgeräten. Dieses Rahmenwerk wurde mit dem Zweck erstellt, die Komplexität von Unternehmensanwendungen zur Unterstützung von SSO auf Mobilgeräten zu reduzieren. Es gibt viele Identitätsanbieter mit unterschiedlichen SSO-Lösungen und zahlreichen Unterstützungsprotokollen, wie z. B. SAML, OAuth, OpenID, etc. Sie vertreiben jeweils ihre Software Development Kits (SDKs) an Entwickler von mobilen Apps, allerdings sind die Entwickler gefordert, verschiedene Versionen ihrer Apps anzupassen, um unterschiedliche SSO-Lösungen zu unterstützen. Das KNOX-generische SSO-Rahmenwerk ist eine Brücke zwischen den Identitätsanbietern und Softwareentwicklern, die eine einzelne Version einer App mit jeder SSO-Lösung funktionieren lässt. Die KNOX SSO-Lösung bietet ein vereinheitlichtes Application Programming Interface (API) für das Abrufen und die Verwaltung von SSO-Token unter der Bezeichnung gettoken. Samsung arbeiten mit führenden Identitätspartners, darunter Microsoft (Azure Active Directory), CA Technologies und Centrify, zusammen. Identitätsanbieter integrieren ihre Android Application Package (APK) Authentifizierungstools in das KNOX-generische SSO-Rahmenwert und jeder Authentifikator funktioniert als Proxy für die Verarbeitung von SSO-Authentifizierungsanfragen und -antworten und schließt damit aus, dass Entwickler mehrere Versionen ihrer Apps erstellen müssen. 14

17 Mobile Device Management Die Anmeldung mobiler Geräte in einem Unternehmensnetzwerk und die Remote-Verwaltung dieser Geräte sind wichtige Aspekte einer unternehmenseigenen Mobilitätsstrategie. Die wesentlichen Geräteverwaltungsfunktionen der KNOX-Plattform umfassen: y Umfassende Verwaltung mit über 1500 MDM APIs y Active Directory-Integration y Vereinfachte Anmeldung für eine schnellere und intuitive Nutzererfahrung, einschließlich Massenanmeldung, um IT-Administratoren bei der schnellen Anmeldung mehrerer Mitarbeiter y in einem Schritt zu unterstützen Unternehmensabrechnung zur Trennung von Arbeits- und persönlichen Datenkosten Umfassende Managementrichtlinien Die verschiedenen Richtliniengruppen sind in zwei Hauptkategorien unterteilt: Standard und Premium. Die Standard-Richtlinien-Suite umfasst kontinuierliche Verbesserungen, die Samsung seit 2009 über Google Android Verwaltungskapazitäten entwickelt hat. Die SDK für diese Richtlinien-APIs ist für MDM-Anbieter und andere interessierte ISVs kostenlos erhältlich. Außerdem fällt keine Betriebslizenz für diese APIs an. Die KNOX Premium-Richtlinien-Suite ist die Sammlung der Richtliniengruppen, die erweiterte Kapazitäten bereitstellt, darunter Verwaltung und Kontrolle des KNOX Workspace, Sicherheitsfunktionen wie Trusted Boot-basierter TIMA KeyStore und Client Certificate Manager, VPN pro Anwendung und mehr. Die SDK für diese Richtlinien-APIs ist ebenfalls kostenlos erhältlich, allerdings sind Unternehmen, die diese Funktionen nutzen, verpflichtet, eine KNOX-Lizenz zu erwerben, die auf dem Gerät während der Betriebszeit überprüft wird. 15

18 Active Directory-Integration KNOX bietet eine Optionen für den IT-Administrator, um ein Active Directory-Passwort als Freischaltmethode für KNOX-Container zu wählen. Das ist mit zwei wichtigen Vorteilen verknüpft. Zunächst können IT-Administratoren eine Verwaltungsrichtlinie mit nur einem Passwort für Desktop- und Mobilgeräte verwenden. Zweitens muss sich der Endnutzer nur ein Passwort merken, um auf alle Dienste zuzugreifen, die der Arbeitgeber anbietet. Damit wird der Mitarbeiter entlastet und die Produktivität gesteigert. Im Mittelpunkt dieser Funktion steht das in der Branche etablierte Kerberos-Protokoll. Active Directory ist der am weitesten verbreitete Verzeichnisdienst, der integrierten Support für Kerberos bietet. KNOX bietet ein Set an Workspace-Erstellungsparametern für die Konfiguration von Workspace, um das Active Directory-Passwort als Freischaltmethode zu verwenden. Zusätzlich können IT-Administratoren auch eine Einzelanmeldung für Dienste innerhalb von Workspace zusätzlich zur Freischaltmethode konfigurieren. Vereinfachte Registrierung Die Registrierung eines Android-Geräts in das MDM-System eines Unternehmens beginnt üblicherweise, indem ein Benutzer die Agent-App aus dem Google Play-Store herunterlädt und diese zwecks Authentifizierung konfiguriert. Unternehmen sehen sich mit einer zunehmenden Belastung der Help Desks konfrontiert und immer mehr Benutzer aktivieren Mobilgeräte für die Arbeit. Bei Eingabeaufforderungen, Datenschutzrichtlinien und Lizenzvereinbarungen können Benutzer auf Probleme stoßen, was zu einer schlechten Gesamterfahrung beiträgt. Die KNOX-Plattform bietet eine vereinfachte Registrierungslösung, die rationalisiert und intuitiv ist und zahlreiche Schritte und menschliche Fehler ausräumt. Der Registrierungsvorgang bietet dem Benutzer einen Registrierungslink, der per , Textnachricht oder durch die interne oder externe Website des Unternehmens versendet wird. Nachdem der Link angeklickt wurde, wird der Benutzer aufgefordert, seine Firmen- -Adresse einzugeben. Dieser Schritt löst die Anzeige aller erforderlichen Datenschutzrichtlinien und Vereinbarungen aus. Nach Bestätigung der Bedingungen gibt der Benutzer ein Passwort für das Firmenkonto zwecks Authentifizierung durch das Unternehmen ein. Alle erforderlichen Agent-Apps werden automatisch heruntergeladen und installiert. MDM-Anbieter können diese Funktion nutzen, um den Einstiegsprozess für Unternehmensanwender zu vereinfachen, die Benutzererfahrung erheblich zu steigern und die Supportkosten zu reduzieren. Zusätzlich ermöglicht das Samsung KNOX Mobile Enrollment IT-Administratoren, Hunderte oder Tausende Mitarbeiter gleichzeitig zu registrieren. Samsung bietet ein Weg-Tool und eine Anwendung, um Package-Barcodes (die Geräte-IMEI) zu scannen. Das Gerät erfordert die Genehmigung des Endnutzers, bevor eine Registrierung am MDM-Server erfolgt. KNOX Mobile Enrollment unterstützt mehrere MDM-Konfigurationen pro Konto. Mit komplexen Geräteumgebungen und multiplen MDM-Profilen oder -Konfigurationen ermöglicht KNOX Mobile Enrollment IT-Administratoren, Hunderte von Geräten vorzubereiten und diese mühelos mit dem korrekten MDM zu verbinden. Endnutzer müssen lediglich das Gerät einschalten und mit dem Netzwerk verbinden. KNOX Mobile Enrollment übernimmt die Aktivierung, ohne dass der Nutzer etwas dazu beitragen muss. 16

19 Abbildung 8 Vereinfachte Registrierung KNOX Workspace Enterprise Billing Enterprise Billing bietet eine Möglichkeit zur Trennung der Datennutzung auf Unternehmensebene und im privaten Bereich. Damit erhalten Unternehmen die Möglichkeit, ihren Mitarbeitern die Kosten zu erstatten, die im Rahmen ihrer Arbeit für das Unternehmen entstanden sind, insbesondere in BYOD-Fällen, oder aber in COPE-Fällen nur für arbeitsbezogene Daten zu zahlen. Die KNOX-Plattform unterstützt Enterprise Billing ab KNOX Version 2.2 oder höher und erfordert MDM-Support. Unternehmen konfigurieren zwei Access Point Name (APN) -Gateways. Ein APN dient für Daten in Verbindung mit durch das Unternehmen genehmigten Apps und ein weiterer APN ist für alle sonstigen persönlichen Daten vorgesehen. Unternehmen müssen sich zunächst bei einem Unternehmensberechnungsdienst des Netzwerkbetreibers anmelden. Nachdem ein neuer APN für Geschäftszwecke bereitgestellt wurde, kann KNOX Workspace für diesen spezifischen APN aktiviert werden. IT-Administratoren können zudem einzelne Apps innerhalb oder außerhalb von Workspace für die Verwendung von Daten über den Unternehmens-APN auswählen. Enterprise Billing, konfiguriert mit einem spezifischen APN: y Trennt Datennutzung über das mobile Internet für 2G/3G/4G Verbindungen y Leitet den Datenverkehr von KNOX Workspace über den Unternehmens-APN y Ermöglicht die Auswahl einzelner Apps innerhalb oder außerhalb von KNOX Workspace zur Verwendung von Daten über den Unternehmens-APN 17

20 Der Unternehmens-APN kann außerdem konfiguriert werden, um Roaming zuzulassen oder zu sperren. Wenn Roaming aktiviert ist, werden persönliche Daten über den standardmäßigen APN geleitet und Unternehmensdaten werden über einen speziellen Unternehmens-APN geleitet. Roaming über den Unternehmens-APN ist standardmäßig deaktiviert. Wenn ein Benutzer in einem einzelnen Packet Data Protocol (PDP) -Netzwerk Roaming verwendet, werden alle Unternehmens-Apps automatisch zwecks Fortsetzung der Arbeit an den persönlichen APN geleitet. Wenn Unternehmen eine VPN-Verbindung zum Netzwerk verwenden, kann das VPN-Profil konfiguriert werden, um Daten durch den Unternehmens-APN zu leiten. Dual-SIM-Geräte können ebenfalls für KNOX Enterprise Billing aktiviert werden. Der primäre oder erste SIM-Kartenplatz wird automatisch für die Konfiguration eines APN und die Aktivierung von Enterprise Billing auf dem Gerät gewählt. Um die persönliche Nutzung einer SIM-Karte zu verhindern, können IT-Administratoren die SIM-Karte mit einer einmaligen PIN-Kombination sperren.damit wird gewährleistet, dass die SIM nur für Enterprise Billing auf dem autorisierten Gerät verwendet werden kann. Außerdem sind dedizierte Unternehmens-APN beschränkt und APN-Einstellungen sind auf dem Gerät nicht sichtbar und können hier nicht bearbeitet werden. Benutzer können die Nutzung von persönlichen und Unternehmensdaten auf einem KNOX-Gerät im Menü Einstellungen überprüfen. Um die Datennutzung anzuzeigen, wählen Mitarbeiter Einstellungen > Datennutzung > Registerkarte Mobil (persönlich) oder Registerkarte Unternehmen (Arbeit). 18

21 Zertifizierungen FIPS Zertifizierung Erstellt durch das National Institute of Standards and Technology (NIST): Der Federal Information Processing Standard (FIPS) ist ein US-Sicherheitsstandard, der sicherstellt, dass Unternehmen, die sensible, aber nicht klassifizierte Informationen (SBU) und kontrollierte, nicht klassifizierte Informationen (CUI) erfassen, speichern, freigeben und veröffentlichen, informierte Kaufentscheidungen treffen können, wenn es um die Wahl von Geräten zur Verwendung am Arbeitsplatz geht. Samsung KNOX erfüllt die Anforderungen für FIPS Level 1 Zertifizierung für Data-at-Rest (DAR) und Data-in-Transit (DIT). DISA-zertifizierte STIG Die Defense Information Systems Agency (DISA) ist eine Behörde innerhalb der US DoD, die Security Technical Implementation Guides (STIGs) veröffentlicht, in denen Sicherheitsrichtlinien, Anforderungen und Implementierungsvorgaben für die Compliance mit der DoD-Richtlinie aufgeführt sind. Am 17. April 2014 zertifizierte DISA die STIG für Samsung KNOX 1.0. Liste der DISA-zertifizierten Produkte Common Criteria-Zertifizierung CESG-zertifziert FICORA ASD NIAP-validiert Am 14. Mai 2014 fügte DISA fünf Knox-aktivierte Geräte zur US DoD-Liste der zertifizierten Geräte (APL) hinzu. HINWEIS: Die fünf zur DISA APL hinzugefügten Samsung-Geräte sind die einzigen Geräte mit Android-Betriebssystem 4.4 in der Liste vom 14. Mail Sie sind außerdem die einzigen Geräte, die unter den Common Criteria (CC) durch das Mobile Device Fundamental Protection Profile (MDFPP) zertifiziert wurden. Diese fünf neuen Geräte stellen einen Zuwachs von 20 Prozent für die zum Kauf angebotenen Mobilprodukte in der DoD dar. Die Common Criteria for Information Technology Security Evaluation, üblicherweise als Common Criteria (Allgemeine Kriterien) bezeichnet, bezeichnet einen international anerkannten Standard für die Definition von Sicherheitszielsetzungen für Produkte der Informationstechnologie und für die Bewertung der Anbieter-Compliance mit diesen Zielsetzungen. Einige Regierungen verwenden die Common Criteria als Grundlage für ihre eigenen Zertifizierungspläne. Ausgewählte Galaxy-Geräte mit KNOX-Integration erhielten die Common Criteria (CC) Zertifizierung am 27. Februar Die aktuelle CC-Zertifizierungsziel richtet sich an dem neuen Mobile Device Fundamentals Protection Profile (MDFPP) der National Information Assurance Partnership (NIAP), wie im Oktober 2013 veröffentlicht, aus, das die Sicherheitsanforderungen von Mobilgeräten für die Nutzung in Unternehmen behandelt. Die Communications and Electronic Security Group (CESG) zertifizierte am 14. Mai 2014 KNOX-fähige Android-Geräte für die Nutzung durch die Regierung des Vereinigten Königreichs. Samsung-Geräte mit KNOX erfüllen nationale Sicherheitsanforderungen gemäß Definition durch die finnischen nationalen Sicherheitsüberprüfungskriterien (KATAKRI II). Australian Signals Directorate (ASD): ASD unterstützt die Grundlagen für Schutzprofile von Mobilgeräten und erkennt Evaluierungen gegen dieses Schutzprofil. Samsung KNOX wurde durch die Regierung der Vereinigten Staaten als erste NIPA-validierte Mobilgeräte für Verbraucher anerkannt, die den vollen Umfang klassifizierter Daten abdecken. 19

22 Zusammenfassung Die Samsung KNOX-Plattform deckte mehrere CIO-Bedenken zur Sicherheit und Verwaltung von Android-Geräten an: - Trusted Boot, TIMA und SE für Android schützen das Betriebssystem und Plattformdienste vor Angriffen durch Schadprogramme und Hackern - KNOX Workspace bietet mehr Sicherheit für Unternehmensanwendungen durch Vermeidung von Datenverlust - Die VPN-Funktionen pro Anwendung ermöglichen Unternehmen die Durchsetzung sicherer VPN-Konnektivität nur für Unternehmens-Apps. - Das umfangreiche Set der MDM-Richtlinien ermöglicht IT-Administratoren in Unternehmen die umfassende Geräteverwaltung Die KNOX-Plattform setzt die Messlatte für Sicherheit, Verwaltbarkeit und Anwenderfreundlichkeit mit mehreren Funktionen und Verbesserungen noch höher: - Echtzeit-Kernschutz gegen böswillige Kernangriffe - Hardware-unterstützter Speicher für kryptographische Schlüssel und Client-Zertifikate - Remote-Testierung zur Überprüfung der Echtheit und Integrität von KNOX-Geräten durch Unternehmen während und nach der Registrierung - KNOX Workspace akzeptiert unveränderte Android-Anwendungen und macht Anwendungs-Wrapping überflüssig - Durch Unternehmen kontrollierbare Datenfreigabe zwischen persönlichen und Unternehmens-Containern - VPN-Rahmenwerk mit mehreren Anbietern für eine Vielzahl von Clients durch Drittanbieter, einschließlich SSL VPN - Ein offenes SmartCard-Rahmenwerk, das es Unternehmen erlaubt, aus einer Reihe von SmartCard-Readern zu wählen 20

23 Über Samsung Electronics Co., Ltd. Samsung Electronics Co., Ltd. ist ein weltweiter Technologie-Marktführer und eröffnet neue Möglichkeiten für Menschen rund um den Globus. Durch unermüdliche Innovation und Entdeckung verändern wir die Welten von TV-Geräten, Smartphones, PCs, Druckern, Kameras, Haushaltsgeräten, LTE-Systemen, medizinischen Geräten, Halbleitern und LED-Lösungen. Wir beschäftigen Menschen in 79 Ländern mit jährlichen Umsätzen von über 201 Billionen KRW. Um mehr zu erfahren, besuchen Sie Für weitere Informationen über Samsung KNOX besuchen Sie Copyright 2015 Samsung Electronics Co. Ltd. Alle Rechte vorbehalten. Samsung ist eine eingetragene Marke von Samsung Electronics Co. Ltd. Samsung KNOX ist eine Marke von Samsung Electronics, Co., Ltd. in den Vereinigten Staaten und anderen Ländern. Spezifikationen und Designs können sich ohne Vorankündigung ändern. Nicht-metrische Gewichte und Abmessungen sind Circa-Maße. Alle Daten wurden zum Zeitpunkt der Erstellung als korrekt eingestuft. Samsung haftet nicht für Fehler oder Auslassungen Android und Google Play sind Marken von Google Inc. ARM und TrustZone sind eingetragene Marken von ARM Limited (oder deren Tochtergesellschaften) in der EU und/oder andernorts. ios ist eine Marke von Apple Inc. mit Sitz in den USA und anderen Ländern. Microsoft Azure und Microsoft Active Directory sind entweder eingetragene Marken oder Marken von Microsoft Corporation in den Vereinigten Staaten und/oder anderen Ländern. Bluetooth ist eine eingetragene Marke von Bluetooth SIG, Inc. weltweit. NFC Forum und das NFC Forum-Logo sind Marken des Near Field Communication Forums. Wi-Fi ist eine eingetragene Marke der Wi-Fi Alliance. Oracle und Java sind eingetragene Marken von Oracle und/oder deren Konzerngesellschaften. Cisco AnyConnect ist eine eingetragene Marke von Cisco Systems, Inc. und/oder deren Konzerngesellschaften in den Vereinigten Staaten und einigen anderen Ländern. KeyVPN Client ist eine Marke von Mocana Corporation. F5 Big IP-Edge Client ist eine eingetragene Marke von F5 Networks, Inc. in den USA und in einigen anderen Ländern. Junos Pulse ist eine Marke von Pulse Secure, LLC. strongswan ist eine Open Surce-Software unter General Public License und wurde durch die Free Software Foundation veröffentlicht. OpenVPN ist eine eingetragene Marke von OpenVPN Technologies Inc. Alle Marken, Produkte, Servicenamen und Logos sind Markenzeichen und/oder eingetragene Markenzeichen ihrer jeweiligen Eigentümer und werden hiermit bestätigt und anerkannt. Samsung Electronics Co., Ltd. 416, Maetan 3-dong, Yeongtong-gu Suwon-si, Gyeonggi-do , Korea Version Datum _V1.11 Juni 1, 2015 _V1.10 April 24, 2015 _V1.09 April 17,