Citrix Endpoint Management

Estrategia de correo electrónico

El acceso seguro al correo electrónico desde dispositivos móviles es uno de los motivos principales detrás de una iniciativa de administración de la movilidad en todas las organizaciones. Decidir la estrategia de correo electrónico adecuada suele ser un componente clave a la hora de diseñar elementos en Citrix Endpoint Management. Citrix Endpoint Management ofrece varias opciones para adaptarse a diferentes casos de uso, en función de la seguridad, la experiencia de usuario y los requisitos de integración. En este artículo se documenta el proceso de toma de decisiones sobre un diseño típico y se indican criterios para elegir la solución adecuada, desde la selección del cliente hasta el flujo del tráfico de correo.

Elegir los clientes de correo electrónico

Generalmente, la elección de un cliente encabeza la lista a la hora de diseñar la estrategia a seguir para el correo electrónico. Puede elegir entre varios clientes: Citrix Secure Mail, el correo nativo que se incluye con el sistema operativo de la plataforma móvil en cuestión, o bien otros clientes de terceros, disponibles a través de las tiendas públicas de aplicaciones. En función de sus necesidades, puede ofrecer soporte a comunidades de usuarios con un solo cliente (estándar) o puede que necesite usar una combinación de clientes.

En la siguiente tabla se describen algunos criterios de diseño para las diferentes opciones de cliente disponibles:

       
Temática Citrix Secure Mail Nativo (por ejemplo, iOS Mail) Correo de terceros
Configuración Perfiles de cuentas de Exchange configurados a través de una directiva MDX. Perfiles de cuenta de Exchange configurados a través de una directiva MDM. La compatibilidad con Android está limitada a: Android Enterprise. Todos los demás clientes se consideran clientes de terceros. Generalmente requiere una configuración manual por parte del usuario.
Seguridad Seguro gracias a su diseño, con lo que proporciona la seguridad más alta. Utiliza directivas MDX con niveles agregados de cifrado de datos. Citrix Secure Mail es una aplicación administrada totalmente a través de una directiva MDX. Capa agregada de autenticación con el PIN de Citrix. Según el conjunto de funciones del proveedor o la aplicación. Proporciona más seguridad. Utiliza los parámetros de cifrado de dispositivos. Se basa en la autenticación a nivel de dispositivo para acceder a la aplicación. Según el conjunto de funciones del proveedor o la aplicación. Proporciona alta seguridad.
Integración Permite la interacción con aplicaciones administradas (MDX) de forma predeterminada. Permite abrir direcciones URL con Citrix Secure Web. Guardar archivos y adjuntarlos desde Citrix Files. Unirse directamente o acceder por teléfono a reuniones en GoToMeeting. Solo puede interactuar con otras aplicaciones no administradas (que no sean MDX) de forma predeterminada. Solo puede interactuar con otras aplicaciones no administradas (que no sean MDX) de forma predeterminada.
Implementación o Licencias Puede enviar Citrix Secure Mail a través de MDM, directamente desde las tiendas públicas de aplicaciones. Incluido con las licencias Citrix Endpoint Management Advanced y Enterprise. La aplicación del cliente, incluida con el sistema operativo de la plataforma. Sin requisitos de licencia adicionales. Puede enviarse a través de MDM, como una aplicación de empresa o directamente desde las tiendas públicas de aplicaciones. Costes o modelos de licencia asociados según el proveedor de la aplicación.
Asistencia Soporte del proveedor único para el cliente y la solución de EMM (Citrix). Información de contacto de asistencia integrada en las capacidades del registro de depuración en Citrix Secure Hub o la aplicación. Un cliente al que ofrecer soporte. Soporte definido por el proveedor (Apple o Google). Puede que necesite ofrecer soporte a diferentes clientes, según la plataforma del dispositivo. Soporte definido por el proveedor. Un cliente al que ofrecer soporte, suponiendo que el cliente de terceros es compatible con todas las plataformas de los dispositivos administrados.

Consideraciones sobre el filtrado y el flujo del tráfico de correo

En esta sección se tratan los tres casos principales y las consideraciones sobre el diseño con respecto al flujo del tráfico de correo (ActiveSync) en el contexto de Citrix Endpoint Management.

Caso 1: Exchange expuesto

Los entornos que admiten clientes externos suelen tener los servicios de Exchange ActiveSync expuestos a Internet. Los clientes móviles de ActiveSync se conectan por esta ruta externa a través de un proxy inverso (por ejemplo, NetScaler Gateway) o a través de un servidor perimetral. Esta opción es necesaria para usar clientes de correo nativos o de terceros, con lo que estos clientes se convierten en la elección típica en este caso. Aunque sea poco frecuente, también puede usar el cliente de Citrix Secure Mail en este caso. Al hacerlo, aprovecha las funciones de seguridad que ofrecen el uso de las directivas MDX y la administración de la aplicación.

Caso 2: Túnel a través de NetScaler Gateway (micro VPN y STA)

Este es el caso predeterminado cuando se utiliza el cliente de Citrix Secure Mail, debido a sus capacidades de micro VPN. En este caso, el cliente de Citrix Secure Mail establece una conexión segura con ActiveSync a través de NetScaler Gateway. Básicamente, puede considerar Citrix Secure Mail como el cliente que se conecta directamente a ActiveSync desde la red interna. Los clientes de Citrix suelen usar Citrix Secure Mail como el cliente móvil preferido para ActiveSync. Esa decisión forma parte de una iniciativa para evitar exponer los servicios de ActiveSync a Internet en un servidor Exchange ya expuesto (primer caso descrito).

Solo las aplicaciones habilitadas para el SDK de MAM o empaquetadas con MDX pueden usar la función micro VPN. Este supuesto no es aplicable a los clientes nativos si se utiliza el empaquetado con MDX. Aunque es posible empaquetar clientes de terceros con el MDX Toolkit, no es frecuente. El uso de clientes VPN a nivel de dispositivo para permitir el acceso por túnel a clientes nativos o de terceros ha resultado ser engorroso y no es una solución viable.

Caso 3: Servicios de Exchange alojados en la nube

El uso de los servicios de Exchange alojados en la nube, como Microsoft Office 365, está cada vez más extendido. En el contexto de Citrix Endpoint Management, este caso se puede tratar de la misma manera que el primero, porque aquí el servicio ActiveSync también está expuesto a Internet. En este caso, los requisitos del proveedor de servicios en la nube dictan las opciones del cliente. Las opciones suelen ser compatibles con la mayoría de los clientes ActiveSync, como Citrix Secure Mail y otros clientes nativos o de terceros.

Citrix Endpoint Management puede agregar valor en tres áreas de este caso:

  • Clientes con directivas MDX y administración de aplicaciones con Citrix Secure Mail
  • Configuración de clientes con una directiva MDM en clientes de correo nativos admitidos
  • Opciones de filtrado de ActiveSync mediante el conector de Citrix Endpoint Management para Exchange ActiveSync

Consideraciones sobre el filtrado del tráfico de correo

Al igual que con la mayoría de los servicios expuestos a Internet, debe proteger la ruta y proporcionar filtros para el acceso autorizado. La solución Citrix Endpoint Management incluye dos componentes diseñados específicamente para proporcionar las capacidades de filtrado de ActiveSync a clientes nativos y de terceros: el conector de NetScaler Gateway para Exchange ActiveSync y el conector de Citrix Endpoint Management para Exchange ActiveSync.

Conector de NetScaler Gateway para Exchange ActiveSync

El conector de NetScaler Gateway para Exchange ActiveSync ofrece el filtrado de ActiveSync en el perímetro, mediante NetScaler Gateway como proxy para el tráfico de ActiveSync. Así, el componente de filtrado se encuentra en la ruta de tráfico del correo: lo intercepta a medida que entra o sale del entorno. El conector para Exchange ActiveSync actúa como intermediario entre NetScaler Gateway y Citrix Endpoint Management. Cuando un dispositivo se comunica con Exchange a través del servidor virtual de ActiveSync en NetScaler Gateway, NetScaler Gateway realiza una llamada HTTP al servicio de connector for Exchange ActiveSync. Ese servicio verifica el estado del dispositivo a través de Citrix Endpoint Management. El componente connector for Exchange ActiveSync responde a NetScaler Gateway en función del estado del dispositivo, para permitir o denegar la conexión. También se pueden configurar reglas estáticas para filtrar el acceso en función del usuario, el agente, el ID o el tipo de dispositivo.

Esta configuración permite que los servicios Exchange ActiveSync se expongan a Internet con una capa adicional de seguridad para evitar el acceso no autorizado. En las consideraciones sobre el diseño se incluye:

  • Servidor de Windows: El componente del conector para Exchange ActiveSync requiere un servidor de Windows.
  • Conjunto de reglas de filtrado: El conector para Exchange ActiveSync está diseñado para filtrar según el estado y la información del dispositivo, en lugar de la información del usuario. Aunque puede configurar reglas estáticas para filtrar por ID de usuario, no existen opciones para filtrar según la pertenencia a un grupo de Active Directory, por ejemplo. Si hay un requisito para el filtrado por grupos de Active Directory, puede usar el conector de Citrix Endpoint Management para Exchange ActiveSync en su lugar.
  • Escalabilidad de NetScaler Gateway: Dado el requisito de proxy para el tráfico de ActiveSync a través de NetScaler Gateway, un tamaño adecuado de la instancia de NetScaler Gateway es fundamental para admitir la carga de trabajo adicional de todas las conexiones SSL de ActiveSync.
  • Almacenamiento en caché integrado de NetScaler Gateway: La configuración del conector para Exchange ActiveSync en NetScaler Gateway utiliza la función “Almacenamiento en caché integrado” para almacenar en caché las respuestas del conector. Como resultado de esa configuración, NetScaler Gateway no necesita emitir una solicitud al conector para cada transacción de ActiveSync en una sesión determinada. Esa configuración también es vital para un rendimiento y una escala adecuados. El almacenamiento en caché integrado está disponible con la edición NetScaler Gateway Platinum.
  • Directivas de filtrado personalizadas: Puede que necesite crear directivas personalizadas de NetScaler Gateway para restringir algunos clientes de ActiveSync que no sean los clientes móviles nativos estándar. Esta configuración requiere conocimiento sobre las solicitudes HTTP de ActiveSync y la creación de directivas del respondedor de NetScaler Gateway.
  • Clientes de Citrix Secure Mail: Citrix Secure Mail ofrece redes micro VPN, que eliminan la necesidad de filtros en el perímetro. Por regla general, el cliente de Citrix Secure Mail se trataría como un cliente de ActiveSync interno (de confianza) cuando se conecta a través de NetScaler Gateway. Si se requiere compatibilidad con clientes nativos y de terceros (con el conector para Exchange ActiveSync) y Citrix Secure Mail, Citrix recomienda que el tráfico de Citrix Secure Mail no fluya a través del servidor virtual de NetScaler Gateway utilizado para el conector. Puede lograr este flujo de tráfico a través de DNS y evitar que la directiva del conector afecte a los clientes de Citrix Secure Mail.

Para ver un diagrama del conector de NetScaler Gateway para Exchange ActiveSync en una implementación de Citrix Endpoint Management, consulte Arquitectura.

Conector de Citrix Endpoint Management para Exchange ActiveSync

El conector de Citrix Endpoint Management para Exchange ActiveSync es un componente de Citrix Endpoint Management que ofrece el filtrado de ActiveSync en el nivel de servicio de Exchange. Así, el filtrado solo se produce una vez que el correo haya llegado al servicio de intercambio, en lugar de en cuanto entre en el entorno de Citrix Endpoint Management. Mail Manager utiliza PowerShell para consultar Exchange ActiveSync cuando busca información de asociación de dispositivos y para controlar el acceso a través de acciones de cuarentena de dispositivos. Estas acciones ponen los dispositivos en cuarentena, y los sacan de ella, en función de los criterios de las reglas del conector de Citrix Endpoint Management para Exchange ActiveSync.

De forma similar al conector de NetScaler Gateway para Exchange ActiveSync, el conector para Exchange ActiveSync comprueba el estado del dispositivo con Citrix Endpoint Management para filtrar el acceso en función de la conformidad del dispositivo. También se pueden configurar reglas estáticas para filtrar el acceso en función del ID o el tipo de dispositivo, la versión del agente y la pertenencia al grupo de Active Directory.

Esta solución no requiere el uso de NetScaler Gateway. Puede implementar el conector para Exchange ActiveSync sin cambiar el enrutamiento para el tráfico de ActiveSync existente. En las consideraciones sobre el diseño se incluye:

  • Servidor Windows: El conector para Exchange ActiveSync requiere la implementación de un servidor Windows Server.
  • Conjunto de reglas de filtrado: Al igual que el conector de NetScaler Gateway para Exchange ActiveSync, el conector para Exchange ActiveSync incluye reglas de filtrado para evaluar el estado del dispositivo. Además, el conector para Exchange ActiveSync también admite reglas estáticas para filtrar según la pertenencia al grupo de Active Directory.
  • Integración en Exchange: El conector para Exchange ActiveSync requiere acceso directo al servidor de acceso de cliente (CAS) de Exchange que aloja el rol de ActiveSync y controla las acciones de cuarentena del dispositivo. Este requisito puede ser un problema dependiendo de la arquitectura del entorno y las indicaciones de seguridad. Es fundamental que evalúe este requisito técnico por adelantado.
  • Otros clientes de ActiveSync: Como el conector para Exchange ActiveSync filtra en el nivel de servicio de ActiveSync, tenga en cuenta otros clientes de ActiveSync fuera del entorno de Citrix Endpoint Management. Puede configurar reglas estáticas del conector para Exchange ActiveSync si quiere evitar un impacto involuntario sobre otros clientes de ActiveSync.
  • Funciones extendidas de Exchange: A través de la integración directa en Exchange ActiveSync, el conector para Exchange ActiveSync ofrece la capacidad de que Citrix Endpoint Management borre los datos de Exchange ActiveSync que haya en un dispositivo móvil. El conector para Exchange ActiveSync también permite que Citrix Endpoint Management acceda a información sobre dispositivos BlackBerry y realice otras operaciones de control.

Para ver un diagrama del conector de Citrix Endpoint Management para Exchange ActiveSync en una implementación de Citrix Endpoint Management, consulte Arquitectura.

Árbol de decisiones sobre la plataforma de correo electrónico

La siguiente imagen tiene por objetivo facilitar la distinción entre las ventajas y las desventajas que ofrecen las soluciones de correo electrónico nativas o Citrix Secure Mail en su implementación de Citrix Endpoint Management. Cada opción implica que las opciones y los requisitos de Citrix Endpoint Management asociados permitan el acceso al servidor, la red y la base de datos. En los criterios de pros y contras se incluyen detalles sobre seguridad, directivas e interfaz de usuario.

Árbol de decisiones sobre la plataforma de correo electrónico