Estratégia de email
O acesso seguro ao email de dispositivos móveis é um dos principais impulsionadores da iniciativa de gerenciamento de mobilidade de qualquer organização. Decidir sobre a estratégia de e-mail adequada é muitas vezes um componente-chave de qualquer design do XenMobile. O XenMobile oferece várias opções para acomodar diferentes casos de uso, com base na segurança, na experiência do usuário e nos requisitos de integração. Este artigo aborda o processo típico de decisão de design e as considerações para escolher a solução certa, desde a seleção do cliente até o fluxo de tráfego de correio.
Escolhendo seus clientes de e-mail
A seleção de clientes geralmente está no topo da lista do design geral da estratégia de email. Você pode escolher entre vários clientes: o Citrix Secure Mail, o correio nativo incluído em um determinado sistema operacional de plataforma móvel ou outros clientes de terceiros disponíveis nas lojas de aplicativos públicas. Dependendo de suas necessidades, você pode possivelmente oferecer suporte às comunidades de usuários com um único cliente (padrão) ou talvez seja necessário usar uma combinação de clientes.
A tabela a seguir descreve algumas considerações de design para as diferentes opções de cliente disponíveis:
Tópico | Secure Mail | Nativo (por exemplo, o iOS Mail) | Email de terceiros |
XenMobile Edition mínimo | Avançado | MDM | MDM |
Configuração | Perfis de conta do Exchange configurados por meio de uma política do MDX. | Perfis de conta do Exchange configurados por meio de uma política do MDM. O suporte para Android está limitado a: SAFE/KNOX e Android Enterprise. Todos os outros clientes são considerados clientes de terceiros. | Geralmente requer configuração manual pelo usuário. |
Segurança | Seguro por design, proporcionando a mais alta segurança. Usa políticas de MDX com níveis de criptografia de dados adicionais. O Secure Mail é um aplicativo totalmente gerenciado por meio de uma política de MDX. Camada adicional de autenticação com o Citrix PIN. | Com base no conjunto de recursos do fornecedor/aplicativo. Fornece maior segurança. Usa configurações de criptografia de dispositivo (sem segurança por meio de políticas de MDX). Depende da autenticação no nível do dispositivo para acesso ao aplicativo. | Com base no conjunto de recursos do fornecedor/aplicativo. Fornece alta segurança. |
Integração | Permite a interação com aplicativos gerenciados (MDX) por padrão. Abra URLs da Web com o Citrix Secure Web. Salve arquivos e anexe arquivos do Citrix Files. Entrar e digitar diretamente no GoToMeeting. | Só é possível interagir com outros aplicativos não gerenciados (não MDX) por padrão. | Só é possível interagir com outros aplicativos não gerenciados (não MDX) por padrão. |
Implantação/licenciamento | Você pode enviar o Secure Mail pelo MDM diretamente de lojas de aplicativos públicas. Incluído no licenciamento XenMobile Advanced e Enterprise. | Aplicativo cliente incluído no sistema operacional da plataforma. Nenhum requisito de licenciamento adicional. | Pode enviar por meio do MDM, como um aplicativo corporativo ou diretamente de lojas de aplicativos públicas. Modelo de licenciamento associado/custos com base no fornecedor do aplicativo. |
Suporte | Único suporte de fornecedor para o cliente e solução de EMM (Citrix). Informações de contato do suporte incorporado nos recursos de registro de depuração do Secure Hub/aplicativo. Um cliente para suporte. | Suporte definido pelo fornecedor (Apple/Google). Pode ser necessário oferecer suporte a diferentes clientes com base na plataforma do dispositivo. | Suporte definido pelo fornecedor. Um cliente para suportar, pressupondo-se que o cliente de terceiros é suportado em todas as plataformas de dispositivos gerenciados. |
Fluxo de tráfego de email e considerações de filtragem
Esta seção discute os três principais cenários e considerações de design relacionadas ao fluxo de tráfego de email (ActiveSync) no contexto do XenMobile.
Cenário 1: Exchange exposto
Ambientes que suportam clientes externos geralmente possuem serviços do Exchange ActiveSync expostos à Internet. Os clientes do Mobile ActiveSync se conectam por meio desse caminho externo por meio de um proxy reverso (por exemplo, Citrix ADC) ou por meio de um servidor de borda. Essa opção é necessária para o uso de clientes de email nativos ou de terceiros, tornando esses clientes a escolha popular para esse cenário. Embora não seja uma prática comum, você também pode usar o cliente do Secure Mail nesse cenário. Ao fazer isso, você se beneficia dos recursos de segurança oferecidos pelo uso de políticas de MDX e pelo gerenciamento do aplicativo.
Cenário 2: Encapsulado via Citrix ADC (micro VPN e STA)
Esse cenário é o padrão ao usar o cliente do Secure Mail, devido aos seus recursos de micro VPN. Nesse caso, o cliente do Secure Mail estabelece uma conexão segura com o ActiveSync via Citrix Gateway. Em essência, você pode considerar o Secure Mail como o cliente que se conecta diretamente ao ActiveSync pela rede interna. Os clientes da Citrix costumam padronizar o Secure Mail como o cliente móvel do ActiveSync preferido. Essa decisão é parte de uma iniciativa para evitar a exposição dos serviços do ActiveSync à Internet em um Exchange Server exposto, conforme descrito no primeiro cenário.
Somente os aplicativos com o MAM SDK habilitado ou preparados com MDX podem usar a função micro VPN. Esse cenário não se aplica a clientes nativos se você preparar com MDX. Mesmo que seja possível preparar clientes de terceiros com o MDX Toolkit, essa prática não é comum. O uso de clientes VPN em nível de dispositivo para permitir acesso com túnel para clientes nativos ou de terceiros provou ser uma solução incômoda e não viável.
Cenário 3: Serviços do Hosted Exchange na nuvem
Serviços do Hosted Exchange na nuvem, como o Microsoft Office 365, estão se tornando mais populares. No contexto do XenMobile, esse cenário pode ser tratado da mesma maneira que o primeiro cenário, porque o serviço ActiveSync também é exposto à Internet. Nesse caso, os requisitos do provedor de serviços de nuvem determinam as escolhas do cliente. As opções geralmente incluem suporte para a maioria dos clientes do ActiveSync, como o Secure Mail e outros clientes nativos ou de terceiros.
O XenMobile pode agregar valor em três áreas neste cenário:
- Clientes com políticas de MDX e gerenciamento de aplicativos com o Secure Mail
- Configuração do cliente com o uso de uma política de MDM em clientes de email nativos com suporte
- Opções de filtragem do ActiveSync com o uso do conector de Endpoint Management para Exchange ActiveSync
Considerações sobre filtragem de tráfego de email
Como na maioria dos serviços expostos à Internet, você deve proteger o caminho e fornecer filtragem para acesso autorizado. A solução XenMobile inclui dois componentes projetados especificamente para fornecer recursos de filtragem do ActiveSync para clientes nativos e de terceiros: conector Citrix Gateway para Exchange ActiveSync e conector de Endpoint Management para Exchange ActiveSync.
Conector Citrix Gateway para Exchange ActiveSync
O Citrix Gateway para Exchange ActiveSync fornece filtragem do ActiveSync no perímetro, usando o Citrix ADC como um proxy para o tráfego do ActiveSync. Como resultado, o componente de filtragem fica no caminho do fluxo de tráfego de mensagens, interceptando mensagens à medida que elas entram ou saem do ambiente. O conector Citrix Gateway para Exchange ActiveSync atua como intermediário entre o Citrix ADC e o XenMobile Server. Quando um dispositivo se comunica com o Exchange através do servidor virtual ActiveSync no Citrix ADC, o Citrix ADC executa uma chamada HTTP para o serviço do conector para Exchange ActiveSync. Esse serviço verifica o status do dispositivo com o XenMobile. Com base no status do dispositivo, o conector para Exchange ActiveSync responde ao Citrix ADC para permitir ou negar a conexão. Você também pode configurar regras estáticas para filtrar o acesso com base no usuário, agente e tipo de dispositivo ou ID.
Essa configuração permite que os serviços do Exchange ActiveSync sejam expostos à Internet com uma camada adicional de segurança para impedir o acesso não autorizado. Considerações de design incluem o seguinte:
- Windows Server: o conector para o componente Exchange ActiveSync requer um Windows Server.
- Conjunto de regras de filtragem: o conector do Exchange ActiveSync foi projetado para filtragem com base no estado e nas informações do dispositivo, em vez de se basear nas informações do usuário. Embora você possa configurar regras estáticas para filtrar por ID de usuário, não há opções para filtragem com base na associação ao grupo do Active Directory, por exemplo. Se houver um requisito para a filtragem de grupos do Active Directory, você poderá usar o conector Endpoint Management para Exchange ActiveSync.
- Escalabilidade do Citrix ADC: dado o requisito de fazer o proxy do tráfego do ActiveSync via Citrix ADC, a escalabilidade adequada da instância do Citrix ADC é crítica para suportar a carga de trabalho adicional de todas as conexões SSL do ActiveSync.
- Cache Integrado do Citrix ADC: a configuração do conector para Exchange ActiveSync no Citrix ADC usa a função Cache Integrado para armazenar em cache as respostas do conector para Exchange ActiveSync. Como resultado dessa configuração, o Citrix ADC não precisa emitir uma solicitação ao conector Citrix Gateway para Exchange ActiveSync para cada transação do ActiveSync em uma determinada sessão. Essa configuração também é crítica para um desempenho e escala adequados. O Cache Integrado está disponível com o Citrix ADC Platinum Edition, ou você pode licenciar o recurso separadamente para Enterprise Editions.
- Políticas de filtragem personalizadas: pode ser necessário criar políticas personalizadas do Citrix ADC para restringir determinados clientes do ActiveSync fora dos clientes móveis nativos padrão. Essa configuração requer conhecimento sobre solicitações HTTP do ActiveSync e criação de políticas de resposta do Citrix ADC.
- Clientes Secure Mail: o Secure Mail possui recursos de micro VPN que eliminam a necessidade de filtragem no perímetro. O cliente Secure Mail geralmente seria tratado como um cliente ActiveSync interno (confiável) quando conectado através do Citrix Gateway. Se for necessário suporte para clientes nativos e de terceiros (com o conector para Exchange ActiveSync) e Secure Mail, a Citrix recomenda que o tráfego do Secure Mail não flua pelo servidor virtual Citrix ADC usado para o conector para Exchange ActiveSync. Você pode realizar esse fluxo de tráfego via DNS e evitar que a política do Exchange ActiveSync afete os clientes Secure Mail.
Para obter um diagrama do conector Citrix Gateway para Exchange ActiveSync em uma implantação do XenMobile, consulte Arquitetura de referência para implantações no local.
Conector de Endpoint Management para Exchange ActiveSync
O conector de Endpoint Management para Exchange ActiveSync é um componente do XenMobile que fornece filtragem do ActiveSync no nível de serviço do Exchange. Como resultado, a filtragem só ocorre quando o email chega ao serviço do Exchange, e não quando entra no ambiente do XenMobile. O Mail Manager usa o PowerShell para consultar o Exchange ActiveSync em busca de informações sobre parceria de dispositivos e controle de acesso por meio de ações de quarentena de dispositivos. Essas ações colocam e retiram os dispositivos da quarentena com base nos critérios de regra do conector de Endpoint Management para Exchange ActiveSync. Semelhante ao conector Citrix Gateway para Exchange ActiveSync, o conector de Endpoint Management para Exchange ActiveSync verifica o status do dispositivo no XenMobile para filtrar o acesso com base na conformidade do dispositivo. Você também pode configurar regras estáticas para filtrar o acesso com base no tipo ou ID do dispositivo, na versão do agente e na associação ao grupo do Active Directory.
Esta solução não requer o uso do Citrix ADC. Você pode implantar o conector de Endpoint Management para Exchange ActiveSync sem alterar o roteamento do tráfego do ActiveSync existente. Considerações de design incluem:
- Windows Server: o componente conector de Endpoint Management para Exchange ActiveSync requer a implantação do Windows Server.
- Conjunto de regras de filtragem: assim como o conector Citrix Gateway para Exchange ActiveSync, o conector de Endpoint Management para Exchange ActiveSync inclui regras de filtragem para avaliar o estado do dispositivo. Além disso, o conector de Endpoint Management para Exchange ActiveSync também oferece suporte a regras estáticas para filtrar com base na associação do grupo do Active Directory.
- Integração do Exchange: o conector de Endpoint Management para Exchange ActiveSync requer acesso direto ao Exchange Client Access Server (CAS) que hospeda a função ActiveSync e controle sobre ações de quarentena do dispositivo. Esse requisito pode representar um desafio, dependendo da arquitetura do ambiente e da postura de segurança. É fundamental que você avalie essa exigência técnica antecipadamente.
- Outros clientes do ActiveSync: como o conector de Endpoint Management para Exchange ActiveSync está sendo filtrado no nível de serviço do ActiveSync, considere outros clientes do ActiveSync fora do ambiente do XenMobile. Você pode configurar as regras estáticas do conector de Endpoint Management para Exchange ActiveSync para evitar impacto não intencional em outros clientes do ActiveSync.
- Funções estendidas do Exchange: por meio da integração direta com o Exchange ActiveSync, o conector de Endpoint Management para Exchange ActiveSync permite que o XenMobile execute um apagamento do Exchange ActiveSync em um dispositivo móvel. O conector de Endpoint Management para Exchange ActiveSync também permite que o XenMobile acesse informações sobre dispositivos Blackberry e execute outras operações de controle.
Para obter um diagrama do conector de Endpoint Management para Exchange ActiveSync em uma implantação do XenMobile, consulte Arquitetura de referência para implantações no local.
Árvore de decisão da plataforma de e-mail
A figura a seguir ajuda a distinguir os prós e contras entre o uso de soluções de email nativo ou Secure Mail na sua implantação do XenMobile. Cada escolha permite opções e requisitos associados ao XenMobile para habilitar o acesso ao servidor, rede e banco de dados. Os prós e contras incluem detalhes sobre considerações de segurança, política e interface do usuário.