Реализация контейнеризации корпоративных данных в мобильном приложении

TRUETECH занимается разработкой, поддержкой и обслуживанием мобильных приложений iOS, Android, PWA. Имеем большой опыт и экспертизу для публикации мобильных приложений в популярные маркеты Google Play, App Store, Amazon, AppGallery и другие.
8+Лет на рынке900+Реализованных проектов100+Разработчиков в штате19+Партнеров

Разработка и поддержка любых видов мобильных приложений:

Информационные и развлекательные мобильные приложения
Новостные приложения, игры, справочники, онлайн-каталоги, погодные, фитнес и здоровье, туристические, образовательные, социальные сети и мессенджеры, квиз, блоги и подкасты, форумы, агрегаторы
Мобильные приложения электронной коммерции
Интернет-магазины, B2B-приложения, маркетплейсы, онлайн-обменники, кэшбэк-сервисы, биржи, дропшиппинг-платформы, программы лояльности, доставка еды и товаров, платежные системы
Мобильные приложения для управления бизнес-процессами
CRM-системы, ERP-системы, управление проектами, инструменты для команды продаж, учет финансов, управление производством, логистика и доставка, управление персоналом, системы мониторинга данных
Мобильные приложения электронных услуг
Доски объявлений, онлайн-школы, онлайн-кинотеатры, платформы предоставления электронных услуг, платформы кешбека, видеохостинги, тематические порталы, платформы онлайн-бронирования и записи, платформы онлайн-торговли

Это лишь некоторые из типы мобильных приложений, с которыми мы работаем, и каждый из них может иметь свои специфические особенности и функциональность, а также быть адаптированным под конкретные потребности и цели клиента.

Услуги, которые мы предлагаем
Показано 1 из 1Все 1735 услуг
Реализация контейнеризации корпоративных данных в мобильном приложении
Сложный
~3-5 дней
Часто задаваемые вопросы

Наши компетенции:

Этапы разработки

Последние работы

  • image_mobile-applications_feedme_467_0.webp
    Разработка мобильного приложения для компании FEEDME
    792
  • image_mobile-applications_xoomer_471_0.webp
    Разработка мобильного приложения для компании XOOMER
    671
  • image_mobile-applications_rhl_428_0.webp
    Разработка мобильного приложения для компании RHL
    1097
  • image_mobile-applications_zippy_411_0.webp
    Разработка мобильного приложения для компании ZIPPY
    969
  • image_mobile-applications_affhome_429_0.webp
    Разработка мобильного приложения для компании Affhome
    914
  • image_mobile-applications_flavors_409_0.webp
    Разработка мобильного приложения для компании FLAVORS
    495
Показать больше работ

Реализация контейнеризации корпоративных данных в мобильном приложении

Контейнеризация данных на мобильном устройстве — это архитектурный принцип: корпоративные данные изолированы от личных и от других приложений, зашифрованы независимым ключом, и доступ к ним защищён отдельной аутентификацией. Не путать с Docker-контейнерами — речь о data container на уровне мобильной ОС.

Платформенные механизмы контейнеризации

iOS: Keychain Access Groups + Data Protection API. Keychain-записи с общим accessGroup доступны нескольким приложениям одного вендора — это базовый механизм шэринга секретов. Для изоляции наоборот: каждое приложение имеет собственный Keychain раздел, недоступный другим без явного Access Group.

Data Protection классы определяют, когда данные расшифровываются:

// Файл доступен только при разблокированном устройстве
let attrs: [FileAttributeKey: Any] = [
    .protectionKey: FileProtectionType.complete
]
try FileManager.default.setAttributes(attrs, ofItemAtPath: filePath)

// Для Keychain-записей
let query: [String: Any] = [
    kSecAttrAccessible as String: kSecAttrAccessibleWhenUnlockedThisDeviceOnly
]

kSecAttrAccessibleWhenUnlockedThisDeviceOnly — ключ привязан к устройству (не переносится в iCloud Backup) и доступен только при разблокированном экране. Для корпоративных данных — минимально достаточный уровень защиты.

Android: Work Profile + EncryptedSharedPreferences + Keystore. Work Profile создаёт изолированный user space с отдельным экземпляром Keystore. EncryptedSharedPreferences шифрует ключи и значения через Tink library:

val masterKey = MasterKey.Builder(context)
    .setKeyScheme(MasterKey.KeyScheme.AES256_GCM)
    .build()

val sharedPreferences = EncryptedSharedPreferences.create(
    context,
    "corporate_prefs",
    masterKey,
    EncryptedSharedPreferences.PrefKeyEncryptionScheme.AES256_SIV,
    EncryptedSharedPreferences.PrefValueEncryptionScheme.AES256_GCM
)

Для файлов — EncryptedFile из androidx.security:security-crypto:

val encryptedFile = EncryptedFile.Builder(
    context,
    File(context.filesDir, "corporate_document.enc"),
    masterKey,
    EncryptedFile.FileEncryptionScheme.AES256_GCM_HKDF_4KB
).build()

encryptedFile.openFileOutput().use { output ->
    output.write(corporateData)
}

Изоляция на уровне сети

Корпоративные данные не должны утекать через личные сетевые каналы. Реализация через per-app VPN:

  • iOS: NEAppProxyProvider + MDM-конфигурация. MDM назначает VPN конкретному bundle ID. Трафик этого приложения идёт через корпоративный VPN, трафик личных приложений — напрямую.
  • Android: VpnService с allowedApplications в VpnProfile. Только перечисленные пакеты туннелируются.

Без per-app VPN альтернатива — NSURLSession с URLSessionConfiguration.ephemeral и принудительными Corporate Proxy настройками через ProxyDictionary.

Контейнер для файлов: собственная реализация

Для приложений с требованием полного контроля над шифрованием (финансовые, медицинские) иногда нужен собственный файловый контейнер — аналог VeraCrypt-тома, но на мобильном уровне.

Упрощённая архитектура:

container.vault
├── header (256 bytes): version, salt, PBKDF2 params, iv
├── index.enc: CBOR-манифест файлов (имя, размер, offset, per-file iv)
└── data.blob: конкатенация зашифрованных файлов (AES-256-GCM, per-file key)

Мастер-ключ деривируется из биометрии через LAContext.evaluatePolicy + Keychain-связка. Без биометрии — только хэш пароля через Argon2. Контейнер открывается при авторизации, закрывается при applicationWillResignActive.

Защита от утечки через буфер обмена

UIPasteboard.general — глобальный, читается любым приложением. Для корпоративных данных используем UIPasteboard.withUniqueName() — приватный буфер с TTL:

let privatePasteboard = UIPasteboard.withUniqueName()
privatePasteboard.setData(corporateData, forPasteboardType: UTType.plainText.identifier)
privatePasteboard.setPersistent(false)
// Автоматически удаляется при следующем запуске или через TTL

На Android: ClipboardManager глобален до Android 10. С Android 10 приложения могут читать clipboard только в foreground — это ограничивает атаку. Дополнительно: очищаем буфер при onPause если в него была скопирована чувствительная информация.

Этапы работы

Анализ данных и уровней чувствительности → проектирование схемы хранения → реализация encrypted storage (Keychain + EncryptedFile) → per-app VPN конфигурация → clipboard protection → тестирование изоляции (попытки прочитать данные из другого приложения, из backup) → security audit → деплой.

Сроки: реализация encrypted storage с Keychain/Keystore — 3–4 недели. Полный контейнер с per-app VPN, clipboard protection и security audit — 8–12 недель. Стоимость рассчитывается индивидуально.