השיטות המומלצות האלה בנושא אבטחה מיועדות לאדמינים של Google Workspace ו-Cloud Identity.
אדמינים יכולים להשתמש בתכונות ובהגדרות של ניהול נקודות קצה ב-Google כדי להגן על נתוני העבודה במכשירים אישיים של משתמשים (BYOD) ובמכשירים בבעלות הארגון. תכונות אבטחה אחרות מספקות הגנה חזקה יותר על החשבון, אמצעי בקרה פרטניים על הגישה והגנה על הנתונים. כדי לוודא שההגדרות שלכם עומדות ביעדי אבטחת המכשירים של הארגון, כדאי לעיין ברשימת המשימות הבאה.
כל השירותים לנייד
|
דרישת סיסמאות כדי להגן על הנתונים במכשירים ניידים מנוהלים, אפשר לדרוש מהמשתמשים להגדיר נעילת מסך או סיסמה למכשיר. במכשירים עם ניהול מתקדם, אפשר גם להגדיר את סוג הסיסמה, חוזק הסיסמה ומספר התווים המינימלי. |
|
|
נעילה או איפוס של נתוני חברה ממכשירים חסרים כשמכשיר אובד או כשעובד עוזב את הארגון, נתוני העבודה במכשיר נמצאים בסיכון. אתם יכולים לאפס את חשבון העבודה של המשתמש במכשיר, כולל כל נתוני העבודה שלו. במכשירים עם ניהול מתקדם, אפשר למחוק את כל התוכן במכשיר. התכונה הזו לא זמינה בגרסה החינמית של Cloud Identity. |
|
|
ניהול אפליקציות ל-Android שמשמשות לעבודה כדי למנוע גישה לא מורשית לאפליקציות ל-Android שמשמשות לעבודה, אתם יכולים להוסיף אותן לרשימת האפליקציות לאינטרנט ולנייד כדי שהאפליקציות יהיו מנוהלות. אתם יכולים לכפות התקנה של אפליקציות אבטחה מנוהלות ולהסיר אפליקציות מנוהלות ממכשירים שאבדו או נגנבו. אפליקציות מנוהלות מוסָרות אוטומטית ממכשירים כשהמשתמשים מסירים את החשבון לצורכי עבודה. |
מכשירים ניידים שנמצאים בניהול מתקדם
|
|
דרישה להצפנת מכשיר כשההצפנה פועלת, הנתונים שמורים כך שאפשר לקרוא אותם רק אם פותחים את הנעילה של המכשיר. כשפותחים את הנעילה של המכשיר, ההצפנה מתבטלת. הצפנה משפרת את ההגנה במקרה של אובדן או גניבת המכשיר. |
|
|
החלת מגבלות למכשירים אתם יכולים להגביל את האופן שבו משתמשים משתפים ומגבים נתונים במכשירי Android ו-Apple iOS. לדוגמה, ב-Android אפשר למנוע העברת קבצים דרך USB, ובמכשירי iOS אפשר להפסיק גיבויים לאחסון בענן לשימוש אישי. אפשר גם להגביל את הגישה לחלק מההגדרות של המכשיר והרשת. לדוגמה, אתם יכולים להשבית את המצלמה במכשיר ולמנוע ממשתמשי Android לשנות את הגדרות ה-Wi-Fi שלהם. |
|
|
חסימת מכשירים שנפרצו להפסיק את הסנכרון של חשבון העבודה של משתמש עם מכשירי Android ו-Apple iOS שאולי נפרצו. מכשיר נפרץ כשהוא עובר תהליך רוט (Root) או פריצה (jailbreak) – תהליכים שמסירים הגבלות במכשיר. מכשירים שנפרצו יכולים להעיד על איום אבטחה פוטנציאלי. |
|
|
חסימה אוטומטית של מכשירי Android שלא עומדים בדרישות המדיניות כשמכשיר לא עומד בדרישות המדיניות של הארגון, אתם יכולים לחסום אוטומטית את הגישה שלו לנתוני העבודה ולשלוח למשתמש הודעה על כך. לדוגמה, אם אתם אוכפים אורך סיסמה מינימלי של 6 תווים ומשתמש משנה את הסיסמה במכשיר ל-5 תווים, המכשיר לא עומד בדרישות כי הוא לא פועל בהתאם למדיניות הסיסמאות. |
|
|
הפעלת איפוס אוטומטי של נתונים בחשבון במכשירי Android הסרה אוטומטית של נתונים מחשבון לצורכי עבודה ואפליקציות מנוהלות ממכשיר Android כשהוא לא פעיל במשך מספר ימים מוגדר. כך אפשר לצמצם את הסיכון לדליפות נתונים. |
|
|
ניהול אפליקציות ל-iOS שמשמשות לעבודה כדי למנוע גישה לא מורשית לאפליקציות ל-iOS שמשמשות לעבודה, מוסיפים אותן לרשימת האפליקציות לאינטרנט ולנייד ומגדירים אותן כאפליקציות מנוהלות. אתם יכולים להסיר אפליקציות מנוהלות ממכשירים שאבדו או נגנבו. אפליקציות מנוהלות מוסָרות אוטומטית ממכשירים כשהמשתמשים מסירים את החשבון לצורכי עבודה. |
|
|
חסימת אפליקציות ל-Android שעלולות להיות מסוכנות כברירת מחדל, Google חוסמת אפליקציות שלא מחנות Play במכשירים ניידים עם Android ממקורות לא מוכרים. מערכת Google Play Protect גם סורקת את האפליקציות באופן אוטומטי, ואם היא מזהה אפליקציות מסוכנות היא חוסמת אותן. התכונות האלה מפחיתות את הסיכון לדליפת נתונים, לפריצה לחשבונות, לזליגת נתונים, למחיקת נתונים ולחדירה של תוכנות זדוניות. מוודאים שהאפשרות חסימת התקנת אפליקציות ממקורות לא מוכרים מופעלת ושהאפשרות המשתמשים יכולים להשבית את Google Play Protect מושבתת אצל כל המשתמשים. |
מחשבים שיש להם גישה לנתוני עבודה
|
|
הפעלת אימות של נקודות קצה כשמחשבים ניידים ומחשבים שולחניים מנוהלים באמצעות אימות נקודות קצה, אתם יכולים להשתמש בגישה מודעת-הקשר כדי להגן על נתוני הארגון ולקבל מידע נוסף על המכשירים שניגשים לנתונים האלה. |
|
|
הגבלת השימוש ב-"Google Drive לשולחן העבודה" למכשירים בבעלות החברה 'Drive לשולחן העבודה' מאפשר למשתמשים לעבוד על קבצים ב-Drive במחשב Mac או Windows מחוץ לדפדפן. כדי להגביל את החשיפה של נתוני הארגון, אתם יכולים לאפשר את ההפעלה של Drive לשולחן העבודה רק במכשירים שבבעלות החברה שמופיעים ברשימת המלאי. |
|
|
הגדרת ספק פרטי הכניסה של Google ל-Windows (GCPW) לאפשר למשתמשים להיכנס למחשבי Windows 10 באמצעות חשבון Google לצורכי עבודה. GCPW כולל אימות דו-שלבי ואימותי זהות. המשתמשים יכולים גם לגשת לשירותי Google Workspace ולאפליקציות אחרות של כניסה יחידה (SSO) בלי להזין מחדש את שם המשתמש והסיסמה שלהם ב-Google. |
|
|
הגבלת הרשאות משתמש במחשבי Windows בבעלות החברה בעזרת ניהול מכשירי Windows, אתם יכולים לקבוע אילו פעולות משתמשים יוכלו לבצע במחשבי Windows 10 בבעלות החברה. אתם יכולים להגדיר את רמת הרשאות הניהול של המשתמשים ב-Windows. אפשר גם להחיל הגדרות אבטחה, רשת, חומרה ותוכנה של Windows. |
אפשרויות אבטחה נוספות לכל המכשירים
|
|
מניעת גישה לא מורשית לחשבון של משתמש לדרוש הוכחת זהות נוספת כשמשתמשים נכנסים לחשבון Google שלהם באמצעות אימות דו-שלבי (2SV). ההוכחה הזו יכולה להיות מפתח אבטחה פיזי, מפתח אבטחה מובנה במכשיר של המשתמש, קוד אבטחה שנשלח בהודעת טקסט או בשיחת טלפון ועוד. אם Google חושדת שאדם לא מורשה מנסה לגשת לחשבון של משתמש, אנחנו מציגים לו שאלת אבטחה נוספת או אימות זהות. כשמשתמשים בניהול נקודות קצה ב-Google, יכול להיות שנבקש מהמשתמשים לאמת את הזהות שלהם באמצעות המכשיר הנייד המנוהל שלהם (המכשיר שבו הם משתמשים בדרך כלל כדי לגשת לחשבון לצורכי עבודה). אימותי הזהות הנוספים מפחיתים באופן משמעותי את הסיכוי שאדם לא מורשה יפרוץ לחשבונות משתמשים. |
|
|
שימוש בבקרת גישה מבוססת-הקשר כדי לאפשר גישה מותנית לאפליקציות Google אפשר להגדיר רמות גישה שונות על סמך זהות המשתמש וההקשר של הבקשה (מדינה/אזור, סטטוס האבטחה של המכשיר, כתובת IP). לדוגמה, אתם יכולים לחסום גישה למכשירים ניידים לאפליקציית Google (אינטרנט ונייד) אם המכשיר נמצא מחוץ למדינה או לאזור ספציפיים, או אם המכשיר לא עומד בדרישות ההצפנה והסיסמה שלכם. דוגמה נוספת: אתם יכולים לאפשר לקבלן עצמאי לגשת לאפליקציות אינטרנט של Google רק במכשירי Chromebook שמנוהלים על ידי החברה. |
|
|
שליטה באפליקציות שיכולות לגשת לנתונים של Google Workspace קובעים אילו אפליקציות לנייד מנוהלות על ידי הארגון. אפשר גם לציין לאילו שירותים אפליקציה יכולה לגשת באמצעות בקרת הגישה לאפליקציות. כך אפליקציות זדוניות לא יכולות לגרום למשתמשים להעניק בטעות גישה לנתוני העבודה שלהם. הגדרת בקרת הגישה לאפליקציות לא תלויה במכשיר, והיא חוסמת גישה לאפליקציות לא מורשות גם במכשירים אישיים וגם במכשירים בבעלות החברה. |
|
|
זיהוי נתונים רגישים ב-Google Drive, ב-Docs, ב-Sheets, ב-Slides וב-Gmail כדי להגן על נתונים רגישים, כמו מספרי תעודת זהות שהונפקו על ידי הממשלה, אפשר להגדיר מדיניות למניעת אובדן נתונים (DLP). הכללים האלה יכולים לזהות הרבה סוגי נתונים נפוצים, ואפשר גם ליצור מזהי תוכן בהתאמה אישית כדי לענות על צרכים ספציפיים של העסק. ה-DLP מגן על נתונים ברמת המקור והאפליקציה, והוא חל על מכשירים ושיטות גישה. |
Google, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.