Безопасный доступ смартфонов к серверам Exchange
Шлюз безопасности из Швейцарии дополняет решение AppTec EMM безопасным доступом к серверам Exchange для всех управляемых мобильных устройств.
По соображениям безопасности серверы Exchange обычно работают за брандмауэром. Это возможно при условии, что пользователи, находящиеся в роуминге, не запрашивают доступ к службам Exchange, находясь в пути. Предоставление пользователям со смартфонами доступа извне представляет собой риск для безопасности, а иногда и вовсе запрещено. AppTec, швейцарский поставщик программного обеспечения EMM, предлагает решение для обеспечения безопасности в этом сценарии. Универсальный шлюз AppTec обеспечивает безопасный доступ пользователей Exchange к почтовой системе извне.
Архитектура обратного прокси-сервера
Универсальный шлюз подключается к сети в качестве обратного прокси и выступает в роли единой точки доступа для мобильных устройств. Он поставляется компанией AppTec в виде виртуального устройства и обычно устанавливается в DMZ («демилитаризованной зоне»). В сочетании с EMM-решением «AppTec Enterprise Mobility Management» внешний доступ к серверу Exchange предоставляется только управляемым смартфонам. Программное обеспечение EMM обеспечивает полностью автоматическую настройку мобильных устройств.
Установка в качестве виртуального устройства
Система шлюзов быстро устанавливается. Он может работать в виртуальной машине (VM) с помощью любого стандартного программного обеспечения для виртуализации. Конфигурирование осуществляется через простое текстовое меню на уровне консоли. По сути, нужно только назначить пароли для администрирования и выполнить настройку сети. В качестве опции можно проверить соединение с сервером AppTec EMM с помощью ping.
Вся система является модульной. Это означает, что универсальный шлюз может быть настроен независимо от того, работает ли AppTec EMM в облаке или локально. Для связи между шлюзом и Exchange, а также между шлюзом и сервером EMM необходимо включить только различные порты брандмауэра.
Настройка через веб-консоль EMM
После настройки серверного программного обеспечения конфигурация шлюза осуществляется через веб-консоль AppTec EMM. Универсальный шлюз активируется в пункте меню «Добавить шлюз». Для этого введите сетевой адрес устройства и сохраните сертификат SSL. На следующем шаге соединение с сервером Exchange задается через «Add Gateway Configuration». Здесь вам нужно решить, должны ли управляемые устройства автоматически получать доступ к Exchange или же они должны изначально попадать в карантинный список и включаться администратором Exchange вручную.
Kerberos обеспечивает безопасность и удобство для пользователей
Администраторы могут активировать Kerberos для связи между смартфоном и шлюзом. Она повышает безопасность системы и избавляет пользователей от необходимости вводить или периодически менять пароли, поскольку превращает их мобильные устройства в аппаратные токены. Чтобы иметь возможность использовать Kerberos, необходимо либо предоставить файл Kerberos keytab во время настройки, либо, в качестве альтернативы, создать пользователя делегации в Active Directory.
В настройках ActiveSync администратор может также задать параметры протокола связи между Exchange и мобильными устройствами. После этого конфигурация Kerberos и ActiveSync автоматически распространяется на конечные устройства. С этого момента они будут подключаться к универсальному шлюзу только для передачи почты. Прямого подключения к серверу Exchange нет.
VPN для смартфонов Android
Пользователи Android также могут получить VPN-соединение с сетью компании через Универсальный шлюз. Это определяется с помощью дополнительного профиля конфигурации шлюза и обеспечивает автоматическую установку клиента AppTec VPN на конечном устройстве.
Администратор может просматривать состояние подключения всех устройств в консоли EMM. Используя опцию «Всегда включен», он может указать, что мобильное устройство всегда взаимодействует с внешним миром через VPN. По умолчанию приложение автоматически определяет, должно ли быть установлено соединение с Интернетом — например, когда пользователь открывает браузер, — а затем автоматически запускает VPN-соединение по требованию.
Заключение
Помимо аспекта безопасности, универсальный шлюз AppTec предоставляет пользователям дополнительные преимущества. Пользователям смартфонов не нужно выполнять никаких настроек. Они могут пользоваться службами Exchange как обычно и, благодаря Kerberos, им не нужно вводить пароль или вносить какие-либо раздражающие изменения в пароль.
Цены и наличие
Универсальный шлюз может использоваться только в сочетании с системой AppTec EMM. Это стоит 0,79 евро за устройство в месяц в дополнение к плате за использование EMM. По запросу швейцарский производитель установит и настроит систему для клиента (за отдельную плату).
Источник: https://www.computerwoche.de/a/smartphone-zugriff-auf-exchange-server-absichern,3544683