Segurança e experiência do usuário
A segurança é importante para qualquer organização, mas você precisa encontrar um equilíbrio entre segurança e experiência do usuário. Por exemplo, você pode ter um ambiente altamente seguro que é difícil para os usuários usarem. Ou o seu ambiente pode ser tão fácil de usar que o seu controle de acesso não se mostra tão rigoroso. As outras seções deste manual virtual cobrem os recursos de segurança em detalhes. O objetivo deste artigo é oferecer uma visão geral das considerações comuns de segurança e das opções de segurança disponíveis no XenMobile.
Aqui estão algumas considerações importantes a serem analisadas para cada caso de uso:
- Você quer proteger determinados aplicativos, o dispositivo inteiro ou ambos?
- Como você deseja que seus usuários autentiquem a identidade deles? Você planeja usar LDAP, autenticação baseada em certificado ou uma combinação dos dois?
- Como você deseja lidar com os tempos limite de sessão do usuário? Tenha em mente que existem diferentes valores de tempo limite para serviços em segundo plano, Citrix ADC e para poder acessar aplicativos enquanto estiver off-line.
- Deseja que os usuários definam um código secreto no nível do dispositivo, um código secreto no nível do aplicativo ou ambos? Quantas tentativas de login você deseja conceder aos usuários? Tenha em mente que os requisitos extras de autenticação por aplicativo implementados com o MAM podem afetar a experiência do usuário.
- Quais outras restrições você deseja impor aos usuários? Deseja que os usuários acessem serviços de nuvem como a Siri? O que eles podem e não podem fazer com cada aplicativo que você disponibiliza a eles? Deseja implantar políticas de Wi-Fi corporativas para impedir que os planos de dados da rede celular sejam consumidos enquanto estiver dentro da área do escritório?
Aplicativo versus dispositivo
Uma das primeiras coisas a considerar é se deve-se proteger apenas determinados aplicativos usando o gerenciamento de aplicativos móveis (MAM). Ou se você também quer gerenciar todo o dispositivo usando o gerenciamento de dispositivos móveis (MDM). Normalmente, se você não precisar de controle no nível do dispositivo, e apenas gerenciar aplicativos móveis, especialmente se a sua organização trabalhar com dispositivos BYOD (Traga seu próprio dispositivo).
Usuários com dispositivos que o XenMobile não gerencia podem instalar aplicativos através da App Store. Em vez de controles no nível do dispositivo, como apagamento seletivo ou completo, você controla o acesso aos aplicativos por meio de políticas de aplicativos. As políticas, dependendo dos valores definidos, exigem que o dispositivo verifique o XenMobile rotineiramente para confirmar que os aplicativos ainda têm permissão para serem executados.
O MDM permite proteger um dispositivo inteiro, incluindo a capacidade de fazer o inventário de todo o software em um dispositivo. Você pode impedir o registro se o dispositivo estiver com jailbreak, root ou tiver um software inseguro instalado. No entanto, esse nível de controle deixa os usuários desconfiados de dar tanto poder sobre seus dispositivos pessoais e poderá reduzir as taxas de registro.
Authenticação
Autenticação é onde ocorre grande parte da experiência do usuário. Se sua organização já estiver executando o Active Directory, o uso do Active Directory é a maneira mais simples de fazer com que seus usuários acessem o sistema.
Outra parte significativa da experiência do usuário em relação à autenticação é o tempo limite. Um ambiente de alta segurança pode exigir que os usuários façam logon toda vez que acessarem o sistema, mas essa opção não é ideal para todas as organizações. Por exemplo, fazer com que os usuários insiram suas credenciais toda vez que quiserem acessar seus e-mails pode afetar significativamente a experiência do usuário.
Entropia de usuário
Para maior segurança, você pode ativar um recurso chamado entropia de usuário. O Citrix Secure Hub e alguns outros aplicativos geralmente compartilham dados comuns, como senhas, PINs e certificados, para garantir que tudo funcione corretamente. Essas informações são armazenadas em um cofre genérico no Secure Hub. Se você habilitar a entropia de usuário através da opção Criptografar segredos, o XenMobile cria um novo cofre chamado UserEntropy. O XenMobile move as informações do cofre genérico para o novo cofre. Para que o Secure Hub ou outro aplicativo acesse os dados, os usuários devem inserir uma senha ou PIN.
A ativação da entropia de usuário adiciona outra camada de autenticação a vários lugares. Como resultado, os usuários devem inserir uma senha ou PIN sempre que um aplicativo exigir acesso a dados compartilhados, incluindo certificados, no cofre UserEntropy.
Você pode saber mais sobre a entropia de usuário lendo Sobre o MDX Toolkit na documentação do XenMobile. Para ativar a entropia de usuário, você pode encontrar as configurações relacionadas nas Propriedades do cliente.
Políticas
As políticas MDX e MDM oferecem bastante flexibilidade às organizações, mas também podem restringir os usuários. Por exemplo, convém bloquear o acesso a aplicativos na nuvem, como a Siri ou o iCloud, que podem enviar dados confidenciais para vários locais. Você pode configurar uma política para bloquear o acesso a esses serviços, mas lembre-se de que tal política pode ter consequências indesejadas. O microfone para teclado do iOS também depende do acesso à nuvem, e você irá bloquear o acesso a esse recurso também.
Aplicativos
Gerenciamento de Mobilidade Empresarial (EMM) em Gerenciamento de Dispositivos Móveis (MDM) e Gerenciamento de Aplicativos Móveis (MAM). Enquanto o MDM permite que as organizações protejam e controlem dispositivos móveis, o MAM facilita a entrega e o gerenciamento de aplicativos. Com a crescente adoção do BYOD, você pode implementar uma solução MAM, para ajudar na entrega de aplicativos, no licenciamento de software, na configuração e no gerenciamento do ciclo de vida do aplicativo.
Com o XenMobile, você pode proteger esses aplicativos ainda mais, configurando políticas específicas de MAM e configurações de VPN para evitar o vazamento de dados e outras ameaças de segurança. O XenMobile oferece às organizações a flexibilidade de implantar qualquer uma das seguintes soluções:
- Ambiente somente MAM
- Ambiente somente MDM
- Ambiente unificado XenMobile Enterprise que fornece funcionalidade MDM e MAM na mesma plataforma
Além da capacidade de fornecer aplicativos para dispositivos móveis, o XenMobile oferece contêiner de aplicativos por meio da tecnologia MDX. O MDX protege aplicativos por meio de criptografia separada da criptografia no nível do dispositivo fornecida pela plataforma. Você pode apagar ou bloquear o aplicativo, e os aplicativos estão sujeitos a controles granulares baseados em políticas. Os fornecedores independentes de software (ISVs) podem aplicar esses controles usando o Mobile Apps SDK.
Em um ambiente corporativo, os usuários usam diferentes aplicativos móveis para ajudar em suas funções. Os aplicativos podem incluir aplicativos da loja de aplicativos pública, aplicativos desenvolvidos internamente e aplicativos nativos. O XenMobile categoriza esses aplicativos da seguinte maneira:
Aplicativos públicos: estes aplicativos incluem os aplicativos gratuitos ou pagos em uma loja de aplicativos pública, como o Apple App Store ou o Google Play. Fornecedores fora da organização geralmente disponibilizam seus aplicativos em lojas de aplicativos públicas. Esta opção permite que seus clientes baixem os aplicativos diretamente da Internet. Você pode usar vários aplicativos públicos em sua organização, dependendo das necessidades dos usuários. Exemplos de tais aplicativos incluem os aplicativos GoToMeeting, Salesforce e EpicCare.
A Citrix não suporta o download de binários de aplicativos diretamente de lojas de aplicativos públicas para posterior preparação com o MDX Toolkit para distribuição corporativa. Para habilitar com MDX aplicativos de terceiros, fale com o fornecedor do aplicativo para obter os binários do aplicativo. Você pode preparar os binários usando o MDX Toolkit ou integrar o MAM SDK com os binários.
Aplicativos internos: muitas organizações possuem desenvolvedores internos que criam aplicativos que fornecem funcionalidade específica e são desenvolvidos e distribuídos de maneira independente dentro da organização. Em certos casos, algumas organizações também podem ter aplicativos que os ISVs fornecem. Você pode implantar esses aplicativos como aplicativos nativos ou pode agrupar os aplicativos em contêineres usando uma solução MAM, como o XenMobile. Por exemplo, uma organização de medicina e saúde pode criar um aplicativo interno que permita que os médicos visualizem informações do paciente em dispositivos móveis. A organização pode então habilitar o aplicativo com MAM SDK ou preparar o aplicativo com MDX para proteger as informações do paciente e permitir o acesso VPN ao servidor de banco de dados de pacientes de back-end.
Aplicativos Web e SaaS: esses aplicativos incluem os aplicativos acessados em uma rede interna (aplicativos Web) ou em uma rede pública (SaaS). O XenMobile também permite que você crie aplicativos da Web e SaaS personalizados usando uma lista de conectores de aplicativos. Esses conectores de aplicativos podem facilitar o logon único (SSO) em aplicativos da Web existentes. Para obter detalhes, consulte Tipos de conectores de aplicativos. Por exemplo, você pode usar o SAML do Google Apps para SSO com base no SAML (Security Assertion Markup Language) para o Google Apps.
Aplicativos móveis de produtividade: aplicativos desenvolvidos pela Citrix e incluídos na licença do XenMobile. Para obter detalhes, consulte Sobre aplicativos móveis de produtividade. A Citrix também oferece outros aplicativos prontos para os negócios que os ISVs desenvolvem usando o Mobile Apps SDK.
Aplicativos HDX: aplicativos hospedados no Windows que você publica com o StoreFront. Se você tiver um ambiente Citrix Virtual Apps and Desktops, poderá integrar os aplicativos ao XenMobile para disponibilizá-los para os usuários registrados.
Dependendo do tipo de aplicativos móveis que você planeja implantar e gerenciar com o XenMobile, a configuração e a arquitetura subjacentes serão diferentes. Por exemplo, se vários grupos de usuários com diferentes níveis de permissões consumirem um único aplicativo, talvez você precise separar os grupos de entrega para implantar duas versões do aplicativo. Além disso, você deve garantir que a associação do grupo de usuários seja mutuamente exclusiva para evitar incompatibilidades de política nos dispositivos do usuário.
Também é possível gerenciar o licenciamento de aplicativos iOS usando a compra por volume da Apple. Essa opção exigirá que você se registre na compra por volume da Apple e configure os parâmetros de compra por volume do XenMobile no console XenMobile para distribuir os aplicativos com as licenças de compra por volume. Vários casos de uso tornam importante avaliar e planejar sua estratégia MAM antes de implementar o ambiente XenMobile. Você pode começar a planejar sua estratégia MAM definindo o seguinte:
Tipos de aplicativos: liste os diferentes tipos de aplicativos aos quais planeja oferecer suporte e categorize-os. Por exemplo: aplicativos móveis de produtividade, públicos, nativos, aplicativos ISV, Web, internos e assim por diante. Além disso, categorize os aplicativos para diferentes plataformas de dispositivos, como iOS e Android. Essa categorização ajuda você a alinhar as configurações do XenMobile necessárias para cada tipo de aplicativo. Por exemplo, alguns aplicativos podem não se qualificar para preparação, ou podem exigir o Mobile Apps SDK para habilitar APIs especiais para interação com outros aplicativos.
Requisitos de rede: configure aplicativos com requisitos específicos de acesso à rede com as configurações apropriadas. Por exemplo, alguns aplicativos podem precisar de acesso à sua rede interna por meio de VPN. Alguns aplicativos podem exigir acesso à Internet para rotear o acesso via DMZ. Para permitir que esses aplicativos se conectem à rede necessária, você precisa definir várias configurações de acordo. A definição de requisitos de rede por aplicativo ajuda a finalizar suas decisões de arquitetura desde o início, o que simplifica o processo geral de implementação.
Requisitos de segurança: é fundamental definir os requisitos de segurança que se aplicam a aplicativos individuais ou a todos os aplicativos. Esse planejamento garante que você crie as configurações certas ao instalar o XenMobile Server. Embora as configurações, como as políticas de MDX, se apliquem a aplicativos individuais, as configurações de sessão e autenticação se aplicam a todos os aplicativos. Alguns aplicativos podem ter requisitos específicos de criptografia, conteinerização, preparação, criptografia, autenticação, cerca geográfica, código secreto ou compartilhamento de dados que você pode descrever antecipadamente para simplificar a implementação.
Requisitos de implantação: convém usar uma implantação baseada em políticas para permitir que apenas usuários em conformidade baixem os aplicativos publicados. Por exemplo, você pode querer que determinados aplicativos exijam que:
- a criptografia baseada em plataforma de dispositivo está habilitada
- o dispositivo é gerenciado
- o dispositivo atende a uma versão mínima do sistema operacional
- determinados aplicativos estão disponíveis apenas para usuários corporativos
Você também pode querer que determinados aplicativos estejam disponíveis apenas para usuários corporativos. Descreva esses requisitos com antecedência para poder configurar as regras ou ações de implantação apropriadas.
Requisitos de licenciamento: mantenha um registro dos requisitos de licenciamento relacionados a aplicativo. Essas notas ajudam a gerenciar o uso de licenças de forma eficaz e a decidir se você deseja configurar recursos específicos no XenMobile para facilitar o licenciamento. Por exemplo, se você implantar um aplicativo iOS gratuito ou pago, a Apple irá aplicar os requisitos de licenciamento no aplicativo exigindo que os usuários façam logon em suas contas do iTunes. Você pode se registrar na compra por volume da Apple para distribuir e gerenciar esses aplicativos usando o XenMobile. A compra por volume permite que os usuários baixem os aplicativos sem precisar entrar em suas contas do iTunes. Além disso, as ferramentas, como o Samsung SAFE e o Samsung Knox, têm requisitos especiais de licenciamento, que você precisa concluir antes de implantar esses recursos.
Requisitos de lista de permissão e lista de bloqueio: você provavelmente vai querer impedir que os usuários instalem ou usem alguns aplicativos. Crie uma lista de permissão de aplicativos que tornam um dispositivo fora de conformidade. Em seguida, configure as políticas para disparar quando um dispositivo se tornar não compatível. Por outro lado, um aplicativo pode ser aceitável para uso, mas pode cair na lista de bloqueio por algum motivo. Nesse caso, você pode adicionar o aplicativo a uma lista de permissão e indicar que o aplicativo é aceitável para uso, mas não é necessário. Além disso, lembre-se de que os aplicativos pré-instalados em novos dispositivos podem incluir alguns aplicativos comumente usados que não fazem parte do sistema operacional. Esses aplicativos podem entrar em conflito com sua estratégia de lista de bloqueio.
Caso de uso de aplicativos
Uma organização de saúde planeja implantar o XenMobile para servir como uma solução MAM para seus aplicativos móveis. Aplicativos móveis são entregues a usuários corporativos e BYOD. A TI decide entregar e gerenciar os seguintes aplicativos:
- Aplicativos móveis de produtividade: Aplicativos para iOS e Android fornecidos pela Citrix.
- Secure Mail: email, calendário e aplicativo de contato.
- Secure Web: navegador seguro que fornece acesso aos sites da Internet e da intranet.
- Citrix Files: aplicativo para acessar dados compartilhados e para compartilhar, sincronizar e editar arquivos.
Loja de aplicativos pública
- Secure Hub: cliente usado por todos os dispositivos móveis para se comunicar com o XenMobile. A TI envia parâmetros de segurança, configurações e aplicativos móveis para dispositivos móveis via cliente do Secure Hub. Dispositivos Android e iOS se registram no XenMobile através do Secure Hub.
- Citrix Receiver: aplicativo móvel que permite aos usuários abrir aplicativos hospedados por aplicativos e áreas de trabalho virtuais em dispositivos móveis.
- GoToMeeting: um cliente de reunião on-line, compartilhamento de área de trabalho e videoconferência que permite que os usuários se encontrem com outros usuários de computador, clientes, consumidores ou colegas pela Internet em tempo real.
- Salesforce1: o Salesforce1 permite que os usuários acessem o Salesforce a partir de dispositivos móveis e reúnam todos os aplicativos Chatter, CRM, personalizados e de negócios em uma experiência unificada para qualquer usuário do Salesforce.
- RSA SecurID: token baseado em software para autenticação de dois fatores.
-
Aplicativos EpicCare: esses aplicativos fornecem aos profissionais de saúde acesso seguro e portátil a prontuários, listas de pacientes, agendamentos e mensagens.
- Haiku: aplicativo móvel para telefones iPhone e Android.
- Canto: aplicativo móvel para o iPad
- Rover: aplicativos móveis para iPhone e iPad.
HDX: estes aplicativos são fornecidos via Citrix Virtual Apps and Desktops.
- Epic Hyperspace: aplicativo cliente Epic para gerenciamento eletrônico de prontuários médicos.
ISV
- Vocera: aplicativo móvel de mensagens e IP de voz compatível com HIPAA que amplia os benefícios da tecnologia de voz Vocera a qualquer hora, em qualquer lugar, através de smartphones iPhone e Android.
Aplicativos internos
- HCMail: aplicativo que ajuda a compor mensagens criptografadas, pesquisar catálogos de endereços em servidores de e-mail internos e enviar as mensagens criptografadas para os contatos usando um cliente de e-mail.
Aplicativos da web internos
- PatientRounding: aplicativo da Web usado para registrar informações médicas do paciente por diferentes departamentos.
- Outlook Web Access: permite o acesso de email por meio de um navegador da web.
- SharePoint: usado para compartilhamento de arquivos e dados em toda a organização.
A tabela a seguir lista as informações básicas necessárias para a configuração do MAM.
Nome do aplicativo | Tipo de aplicativo | Preparação de MDX | iOS | Android |
Secure Mail | XenMobile App | Não para a versão 10.4.1 e posterior | Sim | Sim |
Secure Web | XenMobile App | Não para a versão 10.4.1 e posterior | Sim | Sim |
Citrix Files | XenMobile App | Não para a versão 10.4.1 e posterior | Sim | Sim |
Secure Hub | Aplicativo público | N/D | Sim | Sim |
Citrix Receiver | Aplicativo público | N/D | Sim | Sim |
GoToMeeting | Aplicativo público | N/D | Sim | Sim |
Salesforce1 | Aplicativo público | N/D | Sim | Sim |
RSA SecurID | Aplicativo público | N/D | Sim | Sim |
Epic Haiku | Aplicativo público | N/D | Sim | Sim |
Epic Canto | Aplicativo público | N/D | Sim | Não |
Epic Rover | Aplicativo público | N/D | Sim | Não |
Epic Hyperspace | Aplicativo HDX | N/D | Sim | Sim |
Vocera | Aplicativo ISV | Sim | Sim | Sim |
HCMail | Aplicativo interno | Sim | Sim | Sim |
PatientRounding | Aplicativo Web | N/D | Sim | Sim |
Outlook Web Access | Aplicativo Web | N/D | Sim | Sim |
SharePoint | Aplicativo Web | N/D | Sim | Sim |
As tabelas a seguir listam os requisitos específicos que você pode consultar ao configurar as políticas do MAM no XenMobile.
| **Nome do aplicativo** | **VPN necessária** | **Interação** | **Interação** | **Criptografia baseada em plataforma de dispositivo** | | | | (com aplicativos fora do contêiner) | (de aplicativos fora do contêiner) | | | —————— | — | ———————————— | ———————————— | ———— | | Secure Mail | S | Permitido seletivamente | Allowed | Desnecessário | | Secure Web | S | Allowed | Allowed | Desnecessário | | Citrix Files | S | Allowed | Allowed | Desnecessário | | Secure Hub | S | N/A | N/A | N/A | | Citrix Receiver | S | N/A | N/A | N/A | | GoToMeeting | N | N/A | N/A | N/A | | Salesforce1 | N | N/A | N/A | N/A | | RSA SecurID | N | N/A | N/A | N/A | | Epic Haiku | S | N/A | N/A | N/A | | Epic Canto | S | N/A | N/A | N/A | | Epic Rover | S | N/A | N/A | N/A | | Epic Hyperspace | S | N/A | N/A | N/A | | Vocera | S | Bloqueado | Bloqueado | Desnecessário | | HCMail | S | Bloqueado | Bloqueado | Obrigatório | | PatientRounding | S | N/A | N/A | Obrigatório | | Outlook Web Access | S | N/A | N/A | Desnecessário | | SharePoint | S | N/A | N/A | Desnecessário |
Nome do aplicativo | Filtragem Proxy | Licenciamento | Cerca geográfica | Mobile Apps SDK | Versão mínima do sistema operacional |
---|---|---|---|---|---|
Secure Mail | Obrigatório | N/A | Seletivamente Obrigatório | N/A | Imposto |
Secure Web | Obrigatório | N/A | Desnecessário | N/A | Imposto |
Citrix Files | Obrigatório | N/A | Desnecessário | N/A | Imposto |
Secure Hub | Desnecessário | Compra por volume | Desnecessário | N/A | Não aplicado |
Citrix Receiver | Desnecessário | Compra por volume | Desnecessário | N/A | Não aplicado |
GoToMeeting | Desnecessário | Compra por volume | Desnecessário | N/A | Não aplicado |
Salesforce1 | Desnecessário | Compra por volume | Desnecessário | N/A | Não aplicado |
RSA SecurID | Desnecessário | Compra por volume | Desnecessário | N/A | Não aplicado |
Epic Haiku | Desnecessário | Compra por volume | Desnecessário | N/A | Não aplicado |
Epic Canto | Desnecessário | Compra por volume | Desnecessário | N/A | Não aplicado |
Epic Rover | Desnecessário | Compra por volume | Desnecessário | N/A | Não aplicado |
Epic Hyperspace | Desnecessário | N/A | Desnecessário | N/A | Não aplicado |
Vocera | Obrigatório | N/A | Obrigatório | Obrigatório | Imposto |
HCMail | Obrigatório | N/A | Obrigatório | Obrigatório | Imposto |
PatientRound-ing | Obrigatório | N/A | Desnecessário | N/A | Não aplicado |
Outlook Web Access | Obrigatório | N/A | Desnecessário | N/A | Não aplicado |
SharePoint | Obrigatório | N/A | Desnecessário | N/A | Não aplicado |
Comunidades do usuário
Cada organização consiste em diversas comunidades de usuários que operam em diferentes funções. Essas comunidades de usuários executam tarefas e funções de escritório diferentes usando vários recursos fornecidos por meio dos dispositivos móveis dos usuários. Os usuários podem trabalhar em casa ou em escritórios remotos usando dispositivos móveis fornecidos por você. Ou os usuários podem usar seus dispositivos móveis pessoais, o que permite que eles acessem ferramentas que estão sujeitas a determinadas regras de conformidade de segurança.
Com mais comunidades de usuários usando dispositivos móveis, o gerenciamento de mobilidade empresarial (EMM) se torna crítico para evitar vazamentos de dados e impor restrições de segurança. Para um gerenciamento eficiente e sofisticado de dispositivos móveis, você pode categorizar suas comunidades de usuários. Isso simplifica o mapeamento de usuários para recursos e garante que as políticas de segurança corretas sejam aplicadas aos usuários certos.
O exemplo a seguir ilustra como as comunidades de usuários de uma organização de assistência médica são classificadas para o EMM.
Cado de uso de comunidades de usuários
Neste exemplo, esta organização de assistência médica fornece recursos de tecnologia e acesso a vários usuários, incluindo funcionários e voluntários da rede e afiliados. A organização optou por implantar a solução EMM apenas para usuários não executivos.
Os cargos e funções dos usuários dessa organização podem ser divididos em subgrupos, incluindo: clínico, não clínico e contratados. Um grupo selecionado de usuários recebe dispositivos móveis corporativos, enquanto outros podem acessar recursos limitados da empresa a partir de seus dispositivos pessoais. Para impor o nível certo de restrições de segurança e impedir vazamentos de dados, a organização decidiu que a TI corporativa gerencia cada dispositivo registrado, seja corporativo ou BYOD (traga seu próprio dispositivo). Além disso, os usuários só podem registrar um único dispositivo.
A seção a seguir fornece uma visão geral dos cargos e funções de cada subgrupo:
Clínico
- Enfermeiros
- Médicos (doutores, cirurgiões e outros)
- Especialistas (nutricionistas, anestesistas, radiologistas, cardiologistas, oncologistas e outros)
- Médicos externos (médicos não empregados e trabalhadores de escritório que trabalham em escritórios remotos)
- Serviços de Saúde Domiciliar (trabalhadores de escritório e móveis realizando serviços médicos em visitas domiciliares ao paciente)
- Especialista em pesquisa (trabalhadores do conhecimento e usuários avançados em seis institutos de pesquisa que realizam pesquisas clínicas para encontrar respostas para problemas clínicos)
- Educação e Formação (enfermeiros, médicos e especialistas em educação e formação)
Não clínico
- Serviços compartilhados (funcionários de escritório executando várias funções de back-office, incluindo: RH, folha de pagamento, contas a pagar, serviço de cadeia de fornecimento e outros)
- Serviços Médicos (funcionários do escritório realizando várias soluções de gestão de saúde, serviços administrativos e processos de negócios para fornecedores, incluindo: Serviços Administrativos, Analytics e Business Intelligence, Sistemas de Negócios, Serviços ao Cliente, Finanças, Administração de Cuidados Gerenciados, Soluções de Acesso ao Paciente, Soluções de Ciclo de Receita e outros)
- Serviços de Suporte (trabalhadores de escritório realizando várias funções não clínicas, incluindo Administração de Benefícios, Integração Clínica, Comunicações, Gerenciamento de Compensação e Desempenho, Serviços de Instalações e Propriedade, Sistemas de Tecnologia de RH, Serviços de Informação, Auditoria Interna e Melhoria de Processos e outros)
- Programas filantrópicos (funcionários de escritório e móveis que realizam várias funções de apoio a programas filantrópicos)
Contratados
- Parceiros fabricantes e fornecedores (conectados no local e remotamente via VPN site-to-site, fornecendo várias funções de suporte não clínicas)
Com base nas informações anteriores, a organização criou as seguintes entidades. Para obter mais informações sobre grupos de entrega no XenMobile, consulte Implantar recursos.
Grupos e Unidades Organizacionais (OUs) do Active Directory
Para OU = Recursos do XenMobile:
- OU = Clínico; Grupos =
- XM-Enfermeiros
- XM-Médicos
- XM-Especialistas
- XM-Médicos Externos
- XM-Serviços de Saúde Domiciliar
- XM-Especialista em Pesquisa
- XM-Educação e Formação
- OU = Não clínico; Grupos =
- XM-Serviços Compartilhados
- XM-Serviços Médicos
- XM-Serviços de Suporte
- XM-Programas Filantrópicos
Usuários locais e grupos do XenMobile
ForGroup= Contratados, Usuários =
- Vendor1
- Vendor2
- Vendor3
- … Vendor10
Grupos de entrega do XenMobile
- Clínico-Enfermeiros
- Clínico-Médicos
- Clínico-Especialistas
- Clínico-Médicos Externos
- Clínico-Serviços de Saúde Domiciliar
- Clínico-Especialista em Pesquisa
- Clínico-Educação e Formação
- Não clínicos-Serviços Compartilhados
- Não clínicos-Serviços Médicos
- Não clínicos-Serviços de Suporte
- Não clínicos-Programas Filantrópicos
Mapeamento de Grupo de entrega e Grupo de usuários
Grupos do Active Directory | Grupos de entrega do XenMobile |
XM-Enfermeiros | Clínico-Enfermeiros |
XM-Médicos | Clínico-Médicos |
XM-Especialistas | Clínico-Especialistas |
XM-Médicos Externos | Clínico-Médicos Externos |
XM-Serviços de Saúde Domiciliar | Clínico-Serviços de Saúde Domiciliar |
XM-Especialista em Pesquisa | Clínico-Especialista em Pesquisa |
XM-Educação e Formação | Clínico-Educação e Formação |
XM-Serviços Compartilhados | Não clínicos-Serviços Compartilhados |
XM-Serviços Médicos | Não clínicos-Serviços Médicos |
XM-Serviços de Suporte | Não clínicos-Serviços de Suporte |
XM-Programas Filantrópicos | Não clínicos-Programas Filantrópicos |
Mapeamento de Grupo de entrega e Recursos
As tabelas a seguir ilustram os recursos atribuídos a cada grupo de entrega neste caso de uso. A primeira tabela mostra as atribuições do aplicativo móvel. A segunda tabela mostra o aplicativo público, os aplicativos HDX e os recursos de gerenciamento de dispositivos.
Grupos de entrega do XenMobile | Aplicativos móveis Citrix | Aplicativos móveis públicos | Aplicativos móveis HDX |
Clínico-Enfermeiros | X | ||
Clínico-Médicos | |||
Clínico-Especialistas | |||
Clínico-Médicos Externos | X | ||
Clínico-Serviços de Saúde Domiciliar | X | ||
Clínico-Especialista em Pesquisa | X | ||
Clínico-Educação e Formação | X | X | |
Não clínicos-Serviços Compartilhados | X | X | |
Não clínicos-Serviços Médicos | X | X | |
Não clínicos-Serviços de Suporte | X | X | X |
Não clínicos-Programas Filantrópicos | X | X | X |
Contratados | X | X | X |
Grupos de entrega do XenMobile | Aplicativo público: RSA SecurID | Aplicativo público: EpicCare Haiku | Aplicativo HDX: Epic Hyperspace | Política de código secreto | Restrições de dispositivos | Ações automatizadas | Política de WiFi |
Clínico-Enfermeiros | X | ||||||
Clínico-Médicos | X | ||||||
Clínico-Especialistas | |||||||
Clínico-Médicos Externos | |||||||
Clínico-Serviços de Saúde Domiciliar | |||||||
Clínico-Especialista em Pesquisa | |||||||
Clínico-Educação e Formação | X | X | |||||
Não clínicos-Serviços Compartilhados | X | X | |||||
Não clínicos-Serviços Médicos | X | X | |||||
Não clínicos-Serviços de Suporte | X | X |
Notas e considerações
- O XenMobile cria um grupo de entrega padrão chamado Todos os Usuários durante a configuração inicial. Se você não desabilitar esse grupo de entrega, todos os usuários do Active Directory terão direitos para se registrar no XenMobile.
- O XenMobile sincroniza usuários e grupos do Active Directory sob demanda usando uma conexão dinâmica com o servidor LDAP.
- Se um usuário fizer parte de um grupo que não esteja mapeado no XenMobile, esse usuário não poderá se registrar. Da mesma forma, se um usuário for membro de vários grupos, o XenMobile categoriza o usuário como apenas nos grupos mapeados para o XenMobile.
- Para tornar o registro no MDM obrigatório, defina a opção de Registro Obrigatório como True em Propriedades do Servidor no console XenMobile. Para obter detalhes, consulte Propriedades do servidor.
- Você pode excluir um grupo de usuários de um grupo de entrega do XenMobile excluindo a entrada no banco de dados do SQL Server, em dbo.userlistgrps. Cuidado: antes de executar esta ação, crie um backup do XenMobile e do banco de dados.
Sobre a Propriedade de dispositivo no XenMobile
Você pode agrupar usuários de acordo com o proprietário do dispositivo de um usuário. A propriedade do dispositivo inclui dispositivos de propriedade da empresa e dispositivos de propriedade do usuário, também conhecidos como BYOD (traga o seu próprio dispositivo). Você pode controlar como os dispositivos BYOD se conectam à sua rede em dois locais no console XenMobile: nas regras de implantação para cada tipo de recurso e nas propriedades do servidor na página Configurações. Para obter detalhes sobre regras de implantação, consulte Configuração de regras de implantação na documentação do XenMobile. Para obter detalhes sobre as propriedades do servidor, consulte Propriedades do servidor.
Você pode exigir que todos os usuários de BYOD aceitem o gerenciamento corporativo de seus dispositivos antes que eles possam acessar os aplicativos. Ou você pode conceder aos usuários acesso a aplicativos corporativos sem precisar gerenciar seus dispositivos.
Quando você define a configuração do servidor wsapi.mdm.required.flag como true, o XenMobile gerencia todos os dispositivos BYOD, e qualquer usuário que recusar o registro não terá acesso aos aplicativos. Sugerimos configurar wsapi.mdm.required.flag como true em ambientes nos quais as equipes de TI corporativas precisam de alta segurança em conjunto com uma experiência de usuário positiva ao registrar dispositivos de usuários no XenMobile.
Se você deixar o wsapi.mdm.required.flag como false, que é a configuração padrão, os usuários poderão recusar o registro, mas ainda poderão acessar os aplicativos em seus dispositivos através da XenMobile Store. Considere configurar wsapi.mdm.required.flag como false em ambientes nos quais as restrições de privacidade, legais ou regulamentares não exigem gerenciamento de dispositivos, apenas gerenciamento de aplicativos corporativos.
Usuários com dispositivos que o XenMobile não gerencia podem instalar aplicativos através da XenMobile Store. Em vez de controles no nível do dispositivo, como apagamento seletivo ou completo, você controla o acesso aos aplicativos por meio de políticas de aplicativos. As políticas, dependendo dos valores definidos, exigem que o dispositivo verifique o XenMobile Server rotineiramente para confirmar que os aplicativos ainda têm permissão para serem executados.
Requisitos de segurança
A quantidade de considerações de segurança ao implantar um ambiente XenMobile pode se acumular rapidamente. Há muitas definições e configurações interligadas. Para ajudá-lo a começar e escolher um nível aceitável de proteção, a Citrix fornece recomendações para alta, maior e altíssima segurança, descritas na tabela a seguir.
Sua opção de modo de implantação envolve mais do que apenas considerações de segurança. É importante também revisar os requisitos do caso de uso e decidir se você pode atenuar as considerações com a segurança antes de escolher seu modo de implantação.
Alta: o uso dessas configurações proporciona uma experiência de usuário ideal, mantendo um nível básico de segurança aceitável para a maioria das organizações.
Maior: essas configurações criam um equilíbrio mais acirrado entre segurança e usabilidade.
Altíssima: seguir essas recomendações fornece um nível alto de segurança em troca de usabilidade e adoção do usuário.
Considerações sobre segurança no modo de implantação
A tabela a seguir especifica os modos de implantação para cada nível de segurança.
Alta Segurança | Maior segurança | Altíssima segurança |
MAM ou MDM | MDM+MAM | MDM+MAM; mais FIPS |
Notas:
- Dependendo do caso de uso, uma implantação somente MDM ou somente MAM pode atender aos requisitos de segurança e fornecer uma boa experiência ao usuário.
- Se você não precisar de conteinerização de aplicativo, micro VPN ou políticas específicas de aplicativo, o MDM é suficiente para gerenciar e proteger dispositivos.
- Para casos de uso como BYOD em quais a conteinerização de aplicativos por si só pode satisfazer todos os requisitos comerciais e de segurança, a Citrix recomenda o modo somente MAM.
- Para ambientes de alta segurança (e dispositivos corporativos), a Citrix recomenda o MDM+MAM para aproveitar todos os recursos de segurança disponíveis. Certifique-se de impor o registro no MDM.
- Opções FIPS para ambientes com as mais altas necessidades de segurança, como o governo federal.
Se você habilitar o modo FIPS, deverá configurar o SQL Server para criptografar o tráfego do SQL.
Considerações de segurança do Citrix ADC e Citrix Gateway
A tabela a seguir especifica as recomendações do Citrix ADC e do Citrix Gateway para cada nível de segurança.
Alta Segurança | Maior segurança | Altíssima segurança |
O Citrix ADC é recomendado. O Citrix Gateway é necessário para MAM e ENT; recomendado para MDM | Configuração padrão do assistente do Citrix ADC for XenMobile com ponte de SSL se o XenMobile estiver na DMZ. Ou descarga de SSL, se for necessário para atender aos padrões de segurança quando o XenMobile Server estiver na rede interna. | Descarga de SSL com criptografia de ponta a ponta |
Notas:
- Expor o XenMobile Server à Internet por meio de NAT ou proxies de terceiros existentes e balanceadores de carga pode ser uma opção para MDM. No entanto, essa configuração requer que o tráfego SSL seja terminado no XenMobile Server, o que representa um risco potencial de segurança.
- Para ambientes de alta segurança, o Citrix ADC com a configuração padrão do XenMobile normalmente atende ou excede os requisitos de segurança.
- Para ambientes de MDM com as mais altas necessidades de segurança, a terminação SSL no Citrix ADC permite a inspeção de tráfego no perímetro e mantém a criptografia SSL de ponta a ponta.
- Opções para definir criptografias SSL/TLS.
- O hardware SSL FIPS Citrix ADC também está disponível.
- Para obter mais informações, consulte Integração com Citrix Gateway e Citrix ADC.
Considerações sobre segurança de registro
A tabela a seguir especifica as recomendações do Citrix ADC e do Citrix Gateway para cada nível de segurança.
Alta Segurança | Maior segurança | Altíssima segurança |
Somente membros do Grupo Active Directory. Grupo de entrega Todos os Usuários desativado. | Modo de segurança de registro apenas por convite. Somente membros do Grupo Active Directory. Grupo de entrega Todos os Usuários desativado | Modo de segurança de registro vinculado ao ID do dispositivo. Somente membros do Grupo Active Directory. Grupo de entrega Todos os Usuários desativado |
Notas:
- A Citrix geralmente recomenda que você restrinja o registro somente aos usuários em grupos predefinidos do Active Directory. Essa configuração requer a desativação do grupo de entrega interno Todos os Usuários.
- Você pode usar convites de registro para restringir o registro para os usuários com um convite. Os convites para registro não estão disponíveis para dispositivos Windows.
- Você pode usar os convites de registro de PIN de uso único (OTP) como uma solução de autenticação de dois fatores e para controlar o número de dispositivos que um usuário pode registrar. Os convites OTP não estão disponíveis para dispositivos Windows.
Considerações sobre segurança do código secreto do dispositivo
A tabela a seguir especifica as recomendações de código secreto do dispositivo para cada nível de segurança.
Alta Segurança | Maior segurança | Altíssima segurança |
Recomendado Alta segurança é necessária para criptografia no nível do dispositivo. Imposta usando MDM. Você pode definir alta segurança conforme necessário para Somente MAM usando a política MDX, Comportamento do dispositivo não compatível. | Imposta usando MDM, uma política MDX ou ambos. | Aplicado usando a política MDM e MDX. Política de código secreto Complexo do MDM. |
Notas:
- A Citrix recomenda o uso de um código secreto de dispositivo.
- Você pode impor um código secreto de dispositivo por meio de uma política de MDM.
- Você pode usar uma política de MDX para tornar um código secreto de dispositivo um requisito para o uso de aplicativos gerenciados. Por exemplo, para casos de uso BYOD.
- A Citrix recomenda combinar as opções de política MDM e MDX para aumentar a segurança em ambientes MDM+MAM.
- Para ambientes com os mais altos requisitos de segurança, você pode configurar políticas complexas de código secreto e aplicá-las com o MDM. Você pode configurar ações automáticas para notificar os administradores ou iniciar o apagamento seletivo/completo de dispositivos quando um dispositivo não obedecer a uma política de código secreto.