XenMobile Server

Estrategia de correo electrónico

El acceso seguro al correo electrónico desde dispositivos móviles es uno de los motivos principales detrás de una iniciativa de administración de la movilidad en todas las organizaciones. Decidir la estrategia de correo electrónico adecuada suele ser un componente clave a la hora de diseñar elementos en XenMobile. XenMobile ofrece varias opciones para adaptarse a diferentes casos de uso, en función de la seguridad, la experiencia del usuario y los requisitos de integración. En este artículo se documenta el proceso de toma de decisiones sobre un diseño típico y se indican criterios para elegir la solución adecuada, desde la selección del cliente hasta el flujo del tráfico de correo.

Elegir los clientes de correo electrónico

Generalmente, la elección de un cliente encabeza la lista a la hora de diseñar la estrategia a seguir para el correo electrónico. Puede elegir entre varios clientes: Citrix Secure Mail, el correo nativo que se incluye con el sistema operativo de la plataforma móvil en cuestión, o bien otros clientes de terceros, disponibles a través de las tiendas públicas de aplicaciones. En función de sus necesidades, puede ofrecer soporte a comunidades de usuarios con un solo cliente (estándar) o puede que necesite usar una combinación de clientes.

En la siguiente tabla se describen algunos criterios de diseño para las diferentes opciones de cliente disponibles:

       
Temática Secure Mail Nativo (por ejemplo, iOS Mail) Correo de terceros
Edición mínima de XenMobile Avanzado MDM MDM
Configuración Perfiles de cuentas de Exchange configurados a través de una directiva MDX. Perfiles de cuenta de Exchange configurados a través de una directiva MDM. La compatibilidad con Android está limitada a: SAFE/Knox y Android Enterprise. Todos los demás clientes se consideran clientes de terceros. Generalmente requiere una configuración manual por parte del usuario.
Seguridad Seguro gracias a su diseño, con lo que proporciona la seguridad más alta. Utiliza directivas MDX con niveles agregados de cifrado de datos. Secure Mail es una aplicación administrada totalmente a través de una directiva MDX. Capa agregada de autenticación con el PIN de Citrix. Según el conjunto de funciones del proveedor o la aplicación. Proporciona más seguridad. Utiliza la configuración de cifrado del dispositivo (sin seguridad desde las directivas MDX). Se basa en la autenticación a nivel de dispositivo para acceder a la aplicación. Según el conjunto de funciones del proveedor o la aplicación. Proporciona alta seguridad.
Integración Permite la interacción con aplicaciones administradas (MDX) de forma predeterminada. Permite abrir direcciones URL con Citrix Secure Web. Guardar archivos y adjuntarlos desde Citrix Files. Unirse directamente o acceder por teléfono a reuniones en GoToMeeting. Solo puede interactuar con otras aplicaciones no administradas (que no sean MDX) de forma predeterminada. Solo puede interactuar con otras aplicaciones no administradas (que no sean MDX) de forma predeterminada.
Implementación o Licencias Puede enviar Secure Mail a través de MDM, directamente desde las tiendas públicas de aplicaciones. Incluido con las licencias XenMobile Advanced y Enterprise. La aplicación del cliente, incluida con el sistema operativo de la plataforma. Sin requisitos de licencia adicionales. Puede enviarse a través de MDM, como una aplicación de empresa o directamente desde las tiendas públicas de aplicaciones. Costes o modelos de licencia asociados según el proveedor de la aplicación.
Asistencia Soporte del proveedor único para el cliente y la solución de EMM (Citrix). Información de contacto de asistencia integrada en las capacidades del registro de depuración en Secure Hub o la aplicación. Un cliente al que ofrecer soporte. Soporte definido por el proveedor (Apple o Google). Puede que necesite ofrecer soporte a diferentes clientes, según la plataforma del dispositivo. Soporte definido por el proveedor. Un cliente al que ofrecer soporte, suponiendo que el cliente de terceros es compatible con todas las plataformas de los dispositivos administrados.

Consideraciones sobre el filtrado y el flujo del tráfico de correo

En esta sección se tratan los tres casos principales y las consideraciones sobre el diseño con respecto al flujo del tráfico de correo (ActiveSync) en el contexto de XenMobile.

Caso 1: Exchange expuesto

Los entornos que admiten clientes externos suelen tener los servicios de Exchange ActiveSync expuestos a Internet. Los clientes móviles de ActiveSync se conectan por esta ruta externa a través de un proxy inverso (por ejemplo, Citrix ADC) o a través de un servidor perimetral. Esta opción es necesaria para usar clientes de correo nativos o de terceros, con lo que estos clientes se convierten en la elección típica en este caso. Aunque sea poco frecuente, también puede usar el cliente de Secure Mail en este caso. Al hacerlo, aprovecha las funciones de seguridad que ofrecen el uso de las directivas MDX y la administración de la aplicación.

Caso 2: Túnel a través de Citrix ADC (micro VPN y STA)

Este es el caso predeterminado cuando se utiliza el cliente de Secure Mail, debido a sus capacidades de micro VPN. En este caso, el cliente de Secure Mail establece una conexión segura con ActiveSync a través de Citrix Gateway. Básicamente, puede considerar Secure Mail como el cliente que se conecta directamente a ActiveSync desde la red interna. Los clientes de Citrix suelen usar Secure Mail como el cliente móvil preferido para ActiveSync. Esa decisión forma parte de una iniciativa para evitar exponer los servicios de ActiveSync a Internet en un servidor Exchange ya expuesto (primer caso descrito).

Solo las aplicaciones habilitadas para el SDK de MAM o empaquetadas con MDX pueden usar la función micro VPN. Este supuesto no es aplicable a los clientes nativos si se utiliza el empaquetado con MDX. Aunque es posible empaquetar clientes de terceros con el MDX Toolkit, no es frecuente. El uso de clientes VPN a nivel de dispositivo para permitir el acceso por túnel a clientes nativos o de terceros ha resultado ser engorroso y no es una solución viable

Caso 3: Servicios de Exchange alojados en la nube

El uso de los servicios de Exchange alojados en la nube, como Microsoft Office 365, está cada vez más extendido. En el contexto de XenMobile, este caso se puede tratar de la misma manera que el primero, porque aquí el servicio ActiveSync también está expuesto a Internet. En este caso, los requisitos del proveedor de servicios en la nube dictan las opciones del cliente. Las opciones suelen ser compatibles con la mayoría de los clientes ActiveSync, como Secure Mail y otros clientes nativos o de terceros.

XenMobile puede agregar valor en tres áreas de este caso:

  • Clientes con directivas MDX y administración de aplicaciones con Secure Mail
  • Configuración de clientes con una directiva MDM en clientes de correo nativos admitidos
  • Opciones de filtrado de ActiveSync mediante el conector de Endpoint Management para Exchange ActiveSync

Consideraciones sobre el filtrado del tráfico de correo

Al igual que con la mayoría de los servicios expuestos a Internet, debe proteger la ruta y proporcionar filtros para el acceso autorizado. La solución XenMobile incluye dos componentes diseñados específicamente para proporcionar las capacidades de filtrado de ActiveSync a clientes nativos y de terceros: conector de Citrix Gateway para Exchange ActiveSync y conector de Endpoint Management para Exchange ActiveSync.

Conector de Citrix Gateway para Exchange ActiveSync

El conector de Citrix Gateway para Exchange ActiveSync ofrece el filtrado de ActiveSync en el perímetro, mediante Citrix ADC como proxy para el tráfico de ActiveSync. Así, el componente de filtrado se encuentra en la ruta de tráfico del correo: lo intercepta a medida que entra o sale del entorno. El conector de Citrix Gateway para Exchange ActiveSync actúa como intermediario entre Citrix ADC y XenMobile Server. Cuando un dispositivo se comunica con Exchange a través del servidor virtual de ActiveSync presente en Citrix ADC, Citrix ADC realiza una llamada HTTP al servicio del conector para Exchange ActiveSync. Ese servicio verifica el estado del dispositivo a través de XenMobile. El conector para Exchange ActiveSync responde a Citrix ADC en función del estado del dispositivo para permitir o denegar la conexión. También se pueden configurar reglas estáticas para filtrar el acceso en función del usuario, el agente, el ID o el tipo de dispositivo.

Esta configuración permite que los servicios Exchange ActiveSync se expongan a Internet con una capa adicional de seguridad para evitar el acceso no autorizado. En las consideraciones sobre el diseño se incluye:

  • Servidor de Windows: El componente del conector para Exchange ActiveSync requiere un servidor de Windows.
  • Conjunto de reglas de filtrado: El conector para Exchange ActiveSync está diseñado para filtrar según el estado y la información del dispositivo, en lugar de la información del usuario. Aunque puede configurar reglas estáticas para filtrar por ID de usuario, no existen opciones para filtrar según la pertenencia a un grupo de Active Directory, por ejemplo. Si hay un requisito para el filtrado por grupos de Active Directory, puede usar el conector de Endpoint Management para Exchange ActiveSync en su lugar.
  • Escalabilidad de Citrix ADC: Dado el requisito de proxy para el tráfico de ActiveSync a través de Citrix ADC, un tamaño adecuado de la instancia de Citrix ADC es fundamental para admitir la carga de trabajo adicional de todas las conexiones SSL de ActiveSync.
  • Almacenamiento en caché integrado de Citrix ADC: La configuración del conector para Exchange ActiveSync en Citrix ADC utiliza la función “Almacenamiento en caché integrado” para almacenar en caché las respuestas de este componente. Como resultado de esa configuración, Citrix ADC no necesita emitir ninguna solicitud para el conector de Citrix Gateway para Exchange ActiveSync para cada transacción de ActiveSync en las sesiones. Esa configuración también es vital para un rendimiento y una escala adecuados. El “Almacenamiento en caché integrado” está disponible con Citrix ADC Platinum Edition, o puede licenciar la función por separado para las ediciones Enterprise.
  • Directivas de filtrado personalizadas: Puede que necesite crear directivas personalizadas de Citrix ADC para restringir algunos clientes de ActiveSync que no sean los clientes móviles nativos estándar. Esta configuración requiere conocimiento sobre las solicitudes HTTP de ActiveSync y la creación de directivas del respondedor de Citrix ADC.
  • Clientes de Secure Mail: Secure Mail ofrece redes micro VPN, que eliminan la necesidad de filtros en el perímetro. Por regla general, el cliente de Secure Mail se trataría como un cliente de ActiveSync interno (de confianza) cuando se conecta a través de Citrix Gateway. Si se necesita la funcionalidad para clientes nativos y de terceros (con el conector para Exchange ActiveSync) y Secure Mail: Citrix recomienda que el tráfico de Secure Mail no fluya a través del servidor virtual de Citrix ADC utilizado para el conector para Exchange ActiveSync. Puede lograr este flujo de tráfico a través de DNS y evitar que la directiva del conector para Exchange ActiveSync afecte a los clientes de Secure Mail.

Para ver un diagrama de Citrix Gateway connector for Exchange ActiveSync en una implementación de XenMobile, consulte Arquitectura de referencia para implementaciones locales.

Conector de Endpoint Management para Exchange ActiveSync

El conector de Endpoint Management para Exchange ActiveSync es un componente de XenMobile que ofrece el filtrado de ActiveSync al nivel de servicio de Exchange. Así, el filtrado solo se produce una vez que el correo haya llegado al servicio de Exchange, en lugar de hacerlo en cuanto entre en el entorno de XenMobile. Mail Manager utiliza PowerShell para consultar Exchange ActiveSync cuando busca información de asociación de dispositivos y para controlar el acceso a través de acciones de cuarentena de dispositivos. Estas acciones ponen los dispositivos en cuarentena, y los sacan de ella, en función de los criterios de las reglas del conector de Endpoint Management para Exchange ActiveSync. De forma similar al conector de Citrix Gateway para Exchange ActiveSync, el conector de Endpoint Management para Exchange ActiveSync comprueba el estado del dispositivo con XenMobile para filtrar el acceso en función de la conformidad del dispositivo. También se pueden configurar reglas estáticas para filtrar el acceso en función del ID o el tipo de dispositivo, la versión del agente y la pertenencia al grupo de Active Directory.

Esta solución no requiere el uso de Citrix ADC. Puede implementar el conector de Endpoint Management para Exchange ActiveSync sin cambiar la redirección del tráfico de ActiveSync existente. En las consideraciones sobre el diseño se incluye:

  • Servidor Windows Server: El componente del conector de Endpoint Management para Exchange ActiveSync requiere la implementación de un servidor Windows Server.
  • Conjunto de reglas de filtro: Al igual que el conector de Citrix Gateway para Exchange ActiveSync, el conector de Endpoint Management para Exchange ActiveSync incluye reglas de filtro para evaluar el estado del dispositivo. Además, el conector de Endpoint Management para Exchange ActiveSync también admite reglas estáticas para filtrar según la pertenencia al grupo de Active Directory.
  • Integración de Exchange: El conector de Endpoint Management para Exchange ActiveSync requiere acceso directo al servidor de acceso de cliente (CAS) de Exchange que aloja el rol de ActiveSync y controla las acciones de cuarentena del dispositivo. Este requisito puede ser un problema dependiendo de la arquitectura del entorno y las indicaciones de seguridad. Es fundamental que evalúe este requisito técnico por adelantado.
  • Otros clientes de ActiveSync: Como el conector de Endpoint Management para Exchange ActiveSync filtra en el nivel de servicio de ActiveSync, tenga en cuenta otros clientes de ActiveSync fuera del entorno de XenMobile. Puede configurar reglas estáticas del conector de Endpoint Management para Exchange ActiveSync para evitar un impacto involuntario sobre otros clientes de ActiveSync.
  • Funciones extendidas de Exchange: A través de la integración directa con Exchange ActiveSync, el conector de Endpoint Management para Exchange ActiveSync ofrece la capacidad de que XenMobile borre los datos de Exchange ActiveSync que haya en un dispositivo móvil. El conector de Endpoint Management para Exchange ActiveSync también permite que XenMobile acceda a información sobre dispositivos BlackBerry y realice otras operaciones de control.

Para ver un diagrama de Endpoint Management connector for Exchange ActiveSync en una implementación de XenMobile, consulte Arquitectura de referencia para implementaciones locales.

Árbol de decisiones sobre la plataforma de correo electrónico

La siguiente imagen tiene por objetivo facilitar la distinción entre las ventajas y las desventajas que ofrecen las soluciones de correo electrónico nativas o Secure Mail en su implementación de XenMobile. Cada opción conlleva que las opciones y los requisitos de XenMobile asociados permitan el acceso al servidor, la red y la base de datos. En los criterios de pros y contras se incluyen detalles sobre seguridad, directivas e interfaz de usuario.

Diagrama del árbol de decisiones sobre la plataforma de correo electrónico

Estrategia de correo electrónico