XenMobile Server

XenMobile 통합

이 문서에서는 XenMobile과 기존 네트워크 및 솔루션의 통합을 계획할 때 고려해야 할 사항에 대해 다룹니다. 예를 들어 Virtual Apps and Desktops에 Citrix ADC를 사용 중인 경우 다음을 고려해야 할 수 있습니다.

  • 기존 Citrix ADC 인스턴스를 사용해야 합니까? 새로운 전용 인스턴스를 사용해야 합니까?
  • StoreFront를 사용하여 게시된 HDX 앱을 XenMobile과 통합하려고 합니까?
  • XenMobile에서 Citrix Files를 사용할 계획입니까?
  • XenMobile에 통합하려는 네트워크 액세스 제어 솔루션이 있습니까?
  • 네트워크의 모든 아웃바운드 트래픽에 대한 웹 프록시를 배포합니까?

Citrix ADC 및 Citrix Gateway

XenMobile ENT 및 MAM 모드에는 Citrix Gateway가 필요합니다. Citrix Gateway는 모든 회사 리소스에 액세스할 수 있는 Micro VPN 경로를 제공하며 강력한 다중 단계 인증을 지원합니다. 다음의 경우 모든 XenMobile Server 장치 모드에 Citrix ADC 부하 분산이 필요합니다.

  • 다수의 XenMobile Server가 있는 경우
  • XenMobile Server가 DMZ 또는 내부 네트워크에 있는 경우(트래픽이 장치에서 Citrix ADC를 거쳐 XenMobile로 흐르는 경우).

기존 Citrix ADC 인스턴스를 사용하거나 XenMobile 전용의 새 인스턴스를 설정할 수 있습니다. 다음 섹션에서는 기존 Citrix ADC 인스턴스 또는 새로운 전용 Citrix ADC 인스턴스를 사용할 때의 장점과 단점을 살펴봅니다.

XenMobile용으로 만든 Citrix Gateway VIP를 Citrix ADC MPX와 공유

장점:

  • 모든 Citrix 원격 연결(Citrix Virtual Apps and Desktops, 전체 VPN 및 클라이언트 없는 VPN)에 공통된 Citrix ADC 인스턴스를 사용합니다.
  • 인증서 인증 및 DNS, LDAP 및 NTP 같은 서비스 액세스 시 기존 Citrix ADC 구성을 사용합니다.
  • 단일 Citrix ADC 플랫폼 라이센스를 사용합니다.

단점:

  • 동일한 Citrix ADC에서 두 개의 다른 사용 사례를 처리하는 경우 확장을 계획하기가 더 어렵습니다.
  • 가끔, Citrix Virtual Apps and Desktops 사용 사례에 대한 특정 Citrix ADC 버전이 필요할 수 있습니다. 이러한 버전에는 XenMobile의 알려진 문제가 포함될 수 있습니다. 또는 XenMobile에 Citrix ADC 버전의 알려진 문제가 포함될 수 있습니다.
  • Citrix Gateway가 있는 경우 XenMobile에 대한 Citrix ADC 구성을 만들 때 XenMobile용 Citrix ADC 마법사를 두 번 실행할 수 없습니다.
  • Citrix Gateway 11.1 이상에서 Platinum 라이센스를 사용하는 경우를 제외하고 Citrix ADC에 설치되고 VPN 연결에 필요한 사용자 액세스 라이센스가 풀링됩니다. 모든 Citrix ADC 가상 서버에서 이러한 라이센스를 사용할 수 있으므로 XenMobile 외의 다른 서비스에 의해 라이센스가 소비될 수 있습니다.

전용 Citrix ADC VPX/MPX 인스턴스

장점:

Citrix ADC의 전용 인스턴스를 사용하는 것이 좋습니다.

  • 확장을 계획하기가 쉽고 XenMobile 트래픽이 이미 리소스 제약이 있을 수 있는 Citrix ADC 인스턴스와 분리됩니다.
  • XenMobile과 Citrix Virtual Apps and Desktops에서 서로 다른 Citrix ADC 소프트웨어 버전을 사용해야 하는 경우 문제가 방지됩니다. XenMobile과 호환되는 최신 Citrix ADC 버전 및 빌드를 사용하는 것이 일반적으로 권장됩니다.
  • XenMobile용 기본 제공 Citrix ADC 마법사를 통해 XenMobile에서 Citrix ADC를 구성할 수 있습니다.
  • 가상 서비스와 물리적 서비스가 분리됩니다.
  • Citrix Gateway 11.1 이상에서 Platinum 라이센스를 사용하는 경우를 제외하고 XenMobile에 필요한 사용자 라이센스가 Citrix ADC의 XenMobile 서비스에만 제공됩니다.

단점:

  • Citrix ADC에서 XenMobile 구성을 지원하는 추가 서비스를 설정해야 합니다.
  • 다른 Citrix ADC 플랫폼 라이센스가 필요합니다. 각 Citrix ADC 인스턴스에 Citrix Gateway 라이센스가 있어야 합니다.

Citrix ADC 및 Citrix Gateway를 XenMobile 서버 모드와 통합할 때의 고려 사항에 대한 자세한 내용은 Citrix ADC와 Citrix Gateway의 통합을 참조하십시오.

StoreFront

Citrix Virtual Apps and Desktops 환경이 있는 경우 StoreFront를 사용하여 HDX 응용 프로그램을 XenMobile과 통합할 수 있습니다. HDX 앱을 XenMobile과 통합하는 경우:

  • XenMobile에 등록한 사용자가 앱을 사용할 수 있습니다.
  • XenMobile Store에 다른 모바일 앱과 함께 앱이 표시됩니다.
  • XenMobile이 StoreFront의 레거시 PNAgent(서비스) 사이트를 사용합니다.
  • Citrix Receiver가 장치에 설치된 경우 HDX 앱이 Citrix Receiver 사용을 시작합니다.

StoreFront에는 StoreFront 인스턴스당 하나의 서비스 사이트를 사용해야 하는 제한이 있습니다. 여러 저장소가 있고 이러한 저장소를 다른 프로덕션 사용과 구분해야 하는 경우 XenMobile에 사용할 새 StoreFront 인스턴스 및 서비스 사이트를 만드는 것이 좋습니다.

고려 사항은 다음과 같습니다.

  • StoreFront에 대한 특정 인증 요구 사항이 있습니까? StoreFront 서비스 사이트에 로그온하려면 Active Directory 자격 증명이 필요합니다. 인증서 기반 인증만 사용하는 고객은 동일한 Citrix Gateway를 사용하는 XenMobile을 통해 응용 프로그램을 열거할 수 없습니다.
  • 동일한 저장소를 사용합니까? 새 저장소를 만듭니까?
  • 동일한 StoreFront 서버를 사용합니까? 새 StoreFront 서버를 사용합니까?

다음 섹션에서는 Receiver 및 모바일 생산성 앱에 대해 개별 StoreFront 또는 결합된 StoreFront를 사용할 때의 장점과 단점을 살펴봅니다.

기존 StoreFront 인스턴스를 XenMobile 서버와 통합

장점:

  • 동일한 저장소: 동일한 Citrix ADC VIP를 HDX 액세스에 사용하는 것으로 가정할 경우 XenMobile용 StoreFront를 추가로 구성할 필요가 없습니다. 동일한 저장소를 사용하고 Receiver 액세스를 새 Citrix ADC VIP로 연결한다고 가정할 수 있습니다. 이 경우 적절한 Citrix Gateway 구성을 StoreFront에 추가해야 합니다.
  • 동일한 StoreFront 서버: 기존 StoreFront 설치 및 구성을 사용합니다.

단점:

  • 동일한 저장소: Virtual Apps and Desktops 작업 부하를 지원하기 위해 StoreFront를 재구성할 경우 XenMobile에도 부정적인 영향이 발생할 수 있습니다.
  • 동일한 StoreFront 서버: 대규모 환경의 경우 XenMobile에서 앱을 열거하고 시작할 때 PNAgent를 사용하므로 추가 부하가 발생할 수 있습니다.

XenMobile 서버 통합에 새로운 전용 StoreFront 인스턴스 사용

장점:

  • 새 저장소: XenMobile의 StoreFront 저장소에 대한 구성 변경이 기존 Virtual Apps and Desktops 작업 부하에 영향을 미치지 않습니다.
  • 새 StoreFront 서버: 서버 구성 변경이 Virtual Apps and Desktops 워크플로에 영향을 미치지 않습니다. 또한 XenMobile에서 PNAgent를 사용하여 앱을 열거하고 시작할 때 발생하는 부하 외의 부하가 확장성에 영향을 미치지 않습니다.

단점:

  • 새 저장소: StoreFront 저장소 구성.
  • 새 StoreFront 서버: 새 StoreFront 설치 및 구성이 필요합니다.

자세한 내용은 XenMobile 설명서에서 Citrix Secure Hub를 통한 Virtual Apps and Desktops를 참조하십시오.

ShareFile 및 Citrix Files

사용자는 Citrix Files를 사용하여 모든 장치의 모든 데이터에 액세스하고 동기화할 수 있습니다. Citrix Files를 사용하면 조직 내부 및 외부 사용자와 안전하게 데이터를 공유할 수 있습니다. ShareFile을 XenMobile Advanced Edition 또는 Enterprise Edition과 통합하면 XenMobile을 통해 Citrix Files에 다음을 제공할 수 있습니다.

  • XenMobile App 사용자의 SSO(Single Sign-on) 인증.
  • Active Directory 기반 사용자 계정 프로비전.
  • 포괄적인 액세스 제어 정책.

모바일 사용자는 모든 Enterprise 계정 기능 집합을 사용할 수 있습니다.

또는 StorageZone 커넥터만 통합하도록 XenMobile을 구성할 수 있습니다. Citrix Files는 StorageZone 커넥터를 통해 다음에 대한 액세스를 제공합니다.

  • 문서 및 폴더
  • 네트워크 파일 공유
  • SharePoint 사이트: 사이트 모음 및 문서 라이브러리.

연결된 파일 공유에는 Citrix Virtual Apps and Desktops 환경에 사용된 것과 동일한 네트워크 홈 드라이브가 포함될 수 있습니다. XenMobile 콘솔을 사용하여 Citrix Files 또는 StorageZones 커넥터와의 통합을 구성할 수 있습니다. 자세한 내용은 XenMobile에서 Citrix Files 사용을 참조하십시오.

다음 섹션에서는 Citrix Files에 대한 설계 의사 결정을 내릴 때 고려할 수 있는 질문을 살펴봅니다.

Citrix Files 또는 StorageZone 커넥터만 통합

질문:

  • Citrix에서 관리하는 StorageZones에 데이터를 저장해야 합니까?
  • 사용자에게 파일 공유 및 동기화 기능을 제공하려고 합니까?
  • 사용자가 Citrix Files 웹 사이트의 파일에 액세스할 수 있어야 합니까? 또는 모바일 장치에서 Office 365 콘텐츠 및 개인용 클라우드 커넥터에 액세스해야 합니까?

설계 의사 결정:

  • 위 질문 중 하나 이상에 대한 답이 “예”인 경우 Citrix Files와 통합합니다.
  • StorageZone 커넥터만 통합하는 경우 SharePoint 사이트 및 네트워크 파일 공유 등의 기존 온-프레미스 스토리지 저장소에 대한 보안 모바일 액세스를 iOS 사용자에게 제공할 수 있습니다. 이 구성에서는 ShareFile 하위 도메인을 설정하거나, Citrix Files에 사용자를 프로비전하거나, Citrix Files 데이터를 호스팅하지 않습니다. StorageZones 커넥터를 XenMobile과 함께 사용하면 사용자 정보가 회사 네트워크 밖으로 유출되지 않도록 하는 보안 제한 사항을 준수할 수 있습니다.

StorageZones Controller 서버 위치

질문:

  • 온-프레미스 스토리지 또는 기능(예: StorageZone 커넥터)이 필요합니까?
  • Citrix Files의 온-프레미스 기능을 사용하는 경우 StorageZones Controller는 네트워크의 어디에 위치합니까?

설계 의사 결정:

  • StorageZones Controller 서버의 위치(Citrix Files 클라우드, 온-프레미스 단일 테넌트 스토리지 시스템 또는 지원되는 타사 클라우드 스토리지)를 결정합니다.
  • StorageZones Controller를 사용하려면 인터넷 액세스를 통해 Citrix Files 제어부와 통신해야 합니다. 직접 액세스, NAT/PAT 구성 또는 프록시 구성 등 다양한 방법으로 연결할 수 있습니다.

StorageZone 커넥터

질문:

  • CIFS 공유 경로는 무엇입니까?
  • SharePoint URL은 무엇입니까?

설계 의사 결정:

  • 온-프레미스 StorageZones Controller에서 이러한 위치에 액세스해야 하는지 여부를 결정합니다.
  • StorageZone 커넥터에서 파일 저장소, CIFS 공유 및 SharePoint 같은 내부 리소스와 통신해야 하므로 StorageZones Controller를 내부 네트워크의 DMZ 방화벽 뒤와 Citrix ADC 앞에 배치하는 것이 좋습니다.

SAML과 XenMobile Enterprise 통합

질문:

  • Citrix Files에 Active Directory 인증이 필요합니까?
  • XenMobile용 Citrix Files 앱을 처음으로 사용할 때 SSO가 필요합니까?
  • 현재 환경에 표준 IdP가 있습니까?
  • SAML을 사용해야 하는 도메인은 몇 개입니까?
  • Active Directory 사용자에 대한 전자 메일 별칭이 여러 개입니까?
  • Active Directory 도메인 마이그레이션이 진행 중이거나 곧 예약되어 있습니까?

설계 의사 결정:

XenMobile Enterprise 환경에서는 SAML을 Citrix Files의 인증 메커니즘으로 사용할 수 있습니다. 인증 옵션은 다음과 같습니다.

  • XenMobile 서버를 SAML의 IdP(ID 공급자)로 사용합니다.

이 옵션을 사용하면 사용자 환경을 향상하고 Citrix Files 계정 생성을 자동화하는 동시에 모바일 앱 SSO 기능을 지원할 수 있습니다.

  • XenMobile 서버에서 이 프로세스가 향상되며 Active Directory 동기화가 필요하지 않습니다.
  • Citrix Files 사용자 관리 도구를 사용자 프로비전에 사용합니다.
  • 지원되는 타사 공급업체를 SAML의 IdP로 사용합니다.

기존의 지원되는 IdP가 있고 모바일 앱 SSO 기능이 필요하지 않은 경우 이 옵션이 가장 적합할 수 있습니다. 이 옵션을 사용하려면 계정 프로비전에 Citrix Files 사용자 관리 도구를 사용해야 합니다.

타사 IdP 솔루션(예: ADFS)을 사용하는 경우 Windows 클라이언트 측에서 SSO 기능을 사용할 수도 있습니다. Citrix Files SAML IdP를 선택하기 전에 사용 사례를 평가하십시오.

또한 두 사용 사례를 모두 충족하기 위해 ADFS 및 XenMobile을 이중 IdP로 구성할 수 있습니다.

모바일 앱

질문:

  • 사용하려는 Citrix Files 모바일 앱은 무엇입니까(공용, MDM, MDX)?

설계 의사 결정:

  • Apple App Store 및 Google Play Store로부터 모바일 생산성 앱을 배포할 수 있습니다. 공용 앱 스토어 배포를 사용하는 경우 Citrix 다운로드 페이지에서 래핑된 앱을 받을 수 있습니다.
  • 보안 수준이 낮고 컨테이너화가 필요하지 않은 경우 공용 Citrix Files 응용 프로그램은 적합하지 않을 수 있습니다. MDM 전용 환경에서는 XenMobile을 MDM 모드에서 사용하여 Citrix Files 앱의 MDM 버전을 제공할 수 있습니다.
  • 자세한 내용은 XenMobile용 Citrix Files에서 을 참조하십시오.

보안, 정책 및 액세스 제어

질문:

  • 데스크톱, 웹 및 모바일 사용자에게 적용해야 하는 제한은 무엇입니까?
  • 사용자에게 적용하려는 표준 액세스 제어 설정은 무엇입니까?
  • 사용하려는 파일 보존 정책은 무엇입니까?

설계 의사 결정:

  • Citrix Files를 사용하여 직원 권한 및 장치 보안을 관리할 수 있습니다. 자세한 내용은 Employee Permissions(직원 권한)Managing Devices and Apps(장치 및 앱 관리)를 참조하십시오.
  • 일부 Citrix Files 장치 보안 설정 및 MDX 정책은 동일한 기능을 제어합니다. 이러한 경우 XenMobile 정책이 우선하며 Citrix Files 장치 보안 설정이 그 다음으로 적용됩니다. 예: Citrix Files에서 외부 앱을 사용하지 않도록 설정하고 XenMobile에서 사용하도록 설정하면 외부 앱이 Citrix Files에서 사용되지 않습니다. XenMobile에서는 PIN/암호를 사용하지 않고 Citrix Files 앱에서 PIN/암호를 사용하도록 앱을 구성할 수 있습니다.

표준 StorageZone와 제한된 StorageZone 비교

질문:

  • 제한된 StorageZone이 필요합니까?

설계 의사 결정:

  • 표준 StorageZone은 중요하지 않은 데이터에 사용되며 이를 통해 직원들은 직원 이외의 사람들과 데이터를 공유할 수 있습니다. 이 옵션은 도메인 외부의 데이터 공유와 관련된 워크플로를 지원합니다.
  • 제한된 StorageZone은 중요한 데이터를 보호합니다. 인증된 도메인 사용자만 해당 영역에 저장된 데이터에 액세스할 수 있습니다.

웹 프록시

HTTP(S)/SOCKS 프록시를 통해 XenMobile 트래픽을 라우팅하는 가장 일반적인 시나리오는 XenMobile 서버가 상주하는 서브넷에서 아웃바운드 인터넷 액세스를 통해 필요한 Apple, Google 또는 Microsoft IP 주소에 액세스할 수 없는 경우입니다. XenMobile에서 모든 인터넷 트래픽을 프록시 서버로 라우팅하도록 프록시 서버 설정을 지정할 수 있습니다. 자세한 내용은 프록시 서버 사용을 참조하십시오.

다음 표에서는 XenMobile에 사용되는 가장 일반적인 프록시의 장점 및 단점에 대해 설명합니다.

     
옵션 장점 단점
XenMobile 서버에서 HTTP(S)/ SOCKS 프록시를 사용합니다. 정책이 XenMobile 서버 서브넷의 아웃바운드 인터넷 연결을 허용하지 않는 경우 HTTP(S) 또는 SOCKS 프록시를 구성하여 인터넷 연결을 제공할 수 있습니다. 프록시 서버가 실패하면 APNs(iOS) 또는 Firebase Cloud Messaging(Android) 연결이 끊깁니다. 그 결과 모든 iOS 및 Android 장치에 대한 장치 알림이 실패합니다.
Secure Web에서 HTTP(S) 프록시를 사용합니다. HTTP/HTTPS 트래픽을 모니터링하여 인터넷 활동이 조직의 표준을 준수하는지 확인할 수 있습니다. 이 구성에서는 모든 Secure Web 인터넷 트래픽을 회사 네트워크로 다시 터널링한 다음 인터넷으로 전송해야 합니다. 회사의 인터넷 연결이 브라우징을 제한하는 경우 이 구성이 인터넷 브라우징 성능에 영향을 미칠 수 있습니다.

분할 터널링에 대한 Citrix ADC 세션 프로필 구성은 트래픽에 다음과 같은 영향을 미칩니다.

Citrix ADC 분할 터널링이 꺼짐인 경우:

  • MDX 네트워크 액세스 정책이 내부 네트워크로 터널링됨인 경우: 모든 트래픽에 Citrix Gateway로 다시 터널링되는 Micro VPN 또는 cVPN(클라이언트 없는 VPN) 터널이 사용됩니다.
  • 프록시 서버에 대한 Citrix ADC 트래픽 정책/프로필을 구성하고 Citrix Gateway VIP에 정책을 바인딩합니다.

중요:

Secure Hub cVPN 트래픽을 프록시에서 제외하십시오.

Citrix ADC 분할 터널링켜짐인 경우:

  • MDX 네트워크 액세스 정책이 내부 네트워크로 터널링됨으로 구성된 앱의 경우: 앱이 웹 리소스에 직접 액세스를 시도합니다. 웹 리소스가 공개적으로 제공되지 않는 경우 이러한 앱은 Citrix Gateway로 폴백합니다.
  • 프록시 서버에 대한 Citrix ADC 트래픽 정책 및 프로필을 구성합니다. 그런 다음 이러한 정책 및 프로필을 Citrix Gateway VIP에 바인딩합니다.

중요:

Secure Hub cVPN 트래픽을 프록시에서 제외하십시오.

Split DNS(DNS 분할)(Client experience(클라이언트 환경) 아래)에 대한 Citrix ADC 세션 프로필 구성은 분할 터널링과 유사하게 작동합니다.

Split DNS(DNS 분할)를 사용하고 둘 다로 설정한 경우:

  • 클라이언트가 FQDN을 로컬로 확인한 다음 실패 시 Citrix ADC로 폴백하여 DNS를 확인합니다.

Split DNS(DNS 분할)원격으로 설정한 경우:

  • DNS 확인이 Citrix ADC에서만 수행됩니다.

Split DNS(DNS 분할)로컬로 설정한 경우:

  • 클라이언트가 FQDN을 로컬로 확인합니다. Citrix ADC는 DNS 확인에 사용되지 않습니다.

액세스 제어

회사에서 네트워크 내부 및 외부의 모바일 장치를 관리할 수 있습니다. XenMobile 같은 엔터프라이즈 모빌리티 관리 솔루션은 모바일 장치의 위치에 관계없이 보안 및 제어를 제공할 수 있습니다. 그뿐만 아니라 NAC(네트워크 액세스 제어) 솔루션과 함께 사용할 경우 QoS를 추가하고 네트워크 내부의 장치를 보다 세부적으로 제어할 수 있습니다. 이러한 결합을 사용할 경우 XenMobile 장치의 보안 평가를 NAC 솔루션을 통해 확장할 수 있습니다. 그런 다음 NAC 솔루션에서 XenMobile 보안 평가를 사용하여 인증 의사 결정을 지원하고 처리할 수 있습니다.

다음 솔루션 중 하나를 사용하여 NAC 정책을 적용할 수 있습니다.

  • Citrix Gateway
  • Cisco Identity Services Engine(ISE)
  • ForeScout

Citrix는 다른 NAC 솔루션에 대한 통합을 보장하지 않습니다.

NAC 솔루션과 XenMobile의 통합은 다음과 같은 장점을 제공합니다.

  • 엔터프라이즈 네트워크의 모든 끝점에 대한 보안, 규정 준수 및 제어가 개선됩니다.
  • NAC 솔루션은 다음과 같은 기능을 제공합니다.
    • 회사 네트워크에 연결하는 장치를 즉시 감지합니다.
    • XenMobile에 장치 특성을 쿼리합니다.
    • 해당 장치 정보를 사용하여 이러한 장치를 허용, 차단, 제한 또는 리디렉션할지 결정합니다. 이러한 결정은 회사에서 선택하는 보안 정책에 따라 다릅니다.
  • IT 관리자는 NAC 솔루션을 사용하여 관리되지 않는 장치와 규정을 준수하지 않는 장치를 확인할 수 있습니다.

XenMobile에서 지원되는 NAC 규정 준수 필터에 대한 설명 및 구성 개요는 네트워크 액세스 제어에서 확인하십시오.

XenMobile 통합