Sicherheit und Benutzerfreundlichkeit

Sicherheit ist für jede Organisation wichtig, Sie müssen jedoch ein Gleichgewicht zwischen Sicherheit und Benutzererfahrung finden. Eine sehr sichere Umgebung kann für die Benutzer mühselig sein. Auf der anderen Seite kann eine sehr benutzerfreundliche Umgebung bedeuten, dass die Zugriffssteuerung nicht so streng ist. In den anderen Abschnitten dieses Handbuchs werden die Sicherheitsfunktionen ausführlich behandelt. Dieser Artikel soll einen allgemeinen Überblick über die Sicherheitsoptionen geben und zum Nachdenken über die allgemeinen Sicherheitsaspekte in XenMobile anregen.

Wichtige Überlegungen für alle Anwendungsfälle:

  • Möchten Sie bestimmte Apps, das gesamte Gerät oder beides schützen?
  • Wie sollen sich die Benutzer authentifizieren? Möchten Sie LDAP, die zertifikatbasierte Authentifizierung oder beides zusammen verwenden?
  • Wie viel Zeit soll verstreichen, bis ein Timeout bei Benutzersitzungen eintritt? Beachten Sie, dass es für Hintergrunddienste, NetScaler und für den Offlinezugriff auf Apps unterschiedliche Timeouts gibt.
  • Sollen die Benutzer einen Passcode auf Geräteebene und/oder auf App-Ebene einrichten? Wie viele Anmeldeversuche möchten Sie den Benutzern erlauben? Denken Sie an die zusätzlichen Anforderungen der Authentifizierung pro App, die ggf. mit MAM implementiert werden, und wie dies von den Benutzern wahrgenommen wird.
  • Welche weiteren Einschränkungen möchten Sie den Benutzern auferlegen? Sollen sie auf Clouddienste wie Siri zugreifen können? Was können die Benutzer mit den einzelnen von Ihnen zur Verfügung gestellten Apps tun und was nicht? Sollten Sie unternehmensweite Wi-Fi-Richtlinien bereitstellen, damit mobile Datenkontingente im Büro nicht verbraucht werden?

Gegenüberstellung: Apps und Geräte

Zunächst sollten Sie überlegen, ob Sie nur bestimmte Apps schützen möchten (Mobilanwendungsverwaltung, MAM) oder ob Sie die Geräte im Ganzen verwalten möchten (Mobilgeräteverwaltung, MDM). Wenn Sie keine Steuerung auf Geräteebene benötigen, müssen Sie meist nur die mobilen Apps verwalten, insbesondere wenn Sie BYOD-Geräte (Bring Your Own Device) zulassen.

In einer Nur-MAM-Umgebung können die Benutzer auf Ressourcen zugreifen, die ihnen zur Verfügung gestellt werden. Die Apps selbst werden über MAM-Richtlinien gesichert und verwaltet.

Mit MDM können Sie Geräte im Ganzen schützen, die gesamte Software auf Geräten inventarisieren und die Registrierung von Geräten mit Jailbreak, Rooting oder unsicherer Software verhindern. Eine so umfassende Kontrolle macht die Benutzer jedoch misstrauisch und kann dazu führen, dass weniger persönliche Geräte registriert werden.

Es ist möglich, MDM nur für eine Auswahl an Geräten zu verwenden. Dies kann jedoch die Einrichtung zweier dedizierter Umgebungen und damit einen zusätzlichen Ressourcen- und Pflegeaufwand erfordern.

Authentifizierung

Die Authentifizierung spielt für die Benutzererfahrung eine große Rolle. Wenn in Ihrer Organisation bereits Active Directory in Verwendung ist, bietet es die einfachste Möglichkeit für den Benutzerzugriff auf das System.

Ein wichtiger Aspekt der Benutzererfahrung bei der Authentifizierung sind Timeouts. In hochsicheren Umgebungen müssen sich Benutzer ggf. bei jedem Zugriff auf das System anmelden. Diese Option ist jedoch nicht unbedingt für alle Organisationen geeignet. Es ist beispielsweise für die Benutzer mühselig, wenn sie sich jedes Mal, wenn sie in ihre E-Mail schauen möchten, anmelden müssen. Dieser Aufwand ist außerdem nicht in jedem Fall erforderlich.

Benutzerentropie

Für zusätzliche Sicherheit können Sie ein Feature namens Benutzerentropie aktivieren. Citrix Secure Hub und einige weitere Apps verwenden häufig gemeinsame Daten wie Kennwörter, PINs und Zertifikate, um sicherzustellen, dass alles ordnungsgemäß funktioniert. Diese Informationen werden in einem generischen Tresor in Secure Hub gespeichert. Wenn Sie die Benutzerentropie über die Option Encrypt Secrets aktivieren, erstellt XenMobile einen neuen Tresor namens “UserEntropy” und verschiebt die Informationen aus dem allgemeinen Tresor in diesen neuen Tresor. Damit Secure Hub bzw. andere Apps auf die Informationen zugreifen können, müssen die Benutzer ein Kennwort oder eine PIN eingeben.

Durch Aktivieren der Benutzerentropie wird an mehreren Stellen eine weitere Authentifizierungsebene hinzugefügt. Es bedeutet jedoch, dass die Benutzer jedes Mal ein Kennwort oder eine PIN eingeben müssen, wenn eine App Zugriff auf Daten im UserEntropy-Tresor (d. h. Kennwörter, PINs und Zertifikate) benötigt.

Weitere Informationen zur Benutzerentropie finden Sie unter Informationen zum MDX Toolkit. Die Einstellungen zum Aktivieren der Benutzerentropie finden Sie in den Clienteigenschaften.

Richtlinien

MDX- und MDM-Richtlinien bieten große Flexibilität, sie können jedoch auch die Benutzer einschränken. In manchen Situationen mag dies erwünscht sein, Richtlinien können jedoch ein System auch unbrauchbar machen. Beispielsweise können Sie den Zugriff auf Cloudanwendungen wie Siri oder iCloud sperren, von denen aus sensible Daten an unerwünschte Ziele gesendet werden könnten. Sie können eine Richtlinie einrichten, um den Zugriff auf diese Dienste zu sperren, eine solche Richtlinie kann aber unbeabsichtigte Konsequenzen haben. Das iOS-Tastaturmikrofon erfordert ebenfalls Cloudzugriff und Sie blockeren möglicherweise auch den Zugriff auf dieses Feature.

Apps

Das Enterprise Mobility Management (EMM) Segmente besteht aus dem Mobile Device Management (MDM) und dem Mobile Application Management (MAM). Mit MDM können Unternehmen Mobilgeräte schützen und steuern und MAM erleichtert die Bereitstellung und Verwaltung von Apps. Angesichts der Zunahme von BYOD wird häufig eine MAM-Lösung wie XenMobile zur App-Bereitstellung, Softwarelizenzierung, Konfiguration und App-Lebenszyklusverwaltung implementiert.

Mit XenMobile können Sie diese Apps noch sicherer machen, indem Sie bestimmte MAM-Richtlinien und VPN-Einstellungen konfigurieren, um Datenlecks und andere Sicherheitsbedrohungen zu vermeiden. Unternehmen können XenMobile flexibel als reine MAM- oder MDM-Umgebung oder aber als einheitliche XenMobile Enterprise-Umgebung mit MDM- und MAM-Funktionalität implementieren.

Zusätzlich zur App-Bereitstellung für Mobilgeräte ermöglicht XenMobile die App-Containerization per MDX-Technologie. MDX schützt Apps durch eine von der Verschlüsselung auf Geräteebene unabhängige Verschlüsselung. Sie können Apps löschen oder sperren und über Richtlinien granular steuern. Unabhängige Softwarehersteller (ISV) können diese granularen Steuerelemente über das Worx App SDK anwenden.

In Unternehmensumgebungen verwenden Benutzer eine Vielzahl mobiler Apps für ihre Arbeit. Dabei kann es sich um Apps aus einem öffentlichen App-Store, um unternehmensintern entwickelte Apps oder native Apps handeln. In XenMobile werden Apps wie folgt kategorisiert:

Öffentliche Apps: kostenlose oder kostenpflichtige Apps in einem öffentlichen App-Store, z. B. iTunes oder Google Play. Unternehmensexterne Hersteller bieten ihre Apps häufig in öffentlichen App-Stores an. Die Kunden können solche Apps direkt aus dem Internet herunterladen. Je nach Bedarf werden in einem Unternehmen u. U. zahlreiche öffentliche Apps in verwendet. Beispiele für solche Apps sind GoToMeeting, Salesforce und EpicCare.

Citrix unterstützt das direkte Herunterladen von App-Binärdateien aus öffentlichen App-Stores und das anschließende Umschließen mit dem MDX Toolkit zur Verteilung im Unternehmen nicht. Wenn Sie Apps von Drittanbietern umschließen müssen, wenden Sie sich an den App-Anbieter, um die Binärdateien zu erhalten, die Sie dann mit dem MDX Toolkit umschließen können.

Intern entwickelte Apps: In vielen Unternehmen gibt es interne Entwickler, die Apps für spezifische Zwecke und zur unabhängigen Verteilung im Unternehmen entwickeln. In manchen Fällen haben Unternehmen auch Apps von ISV. Sie können solche Apps als native Apps bereitstellen oder mithilfe einer MAM-Lösung wie XenMobile eine Containerization durchführen. Beispielsweise kann eine Gesundheitsorganisation eine interne App erstellen, mit der Ärzte Patientendaten auf Mobilgeräten anzeigen können. Diese kann dann mit dem MDX Service oder dem MDX Toolkit umschlossen werden, um die Patientendaten zu schützen und den VPN-Zugriff auf den Backendserver mit der Patientendatenbank zu ermöglichen.

Web- und SaaS-Apps: Apps, auf die über ein internes Netzwerk (Web-Apps) oder ein öffentliches Netzwerk (SaaS-Apps) zugegriffen wird. Mit XenMobile können Sie auch benutzerdefinierte Web- und SaaS-Apps unter Einsatz mehrerer App-Connectors erstellen. Die App-Connectors können das Single Sign-On (SSO) für bestehende Web-Apps vereinfachen. Weitere Informationen finden Sie unter App-Connectortypen. Sie können beispielsweise Google Apps SAML für das SSO basierend auf SAML (Security Assertion Markup Language) für Google Apps verwenden.

XenMobile Apps: von Citrix entwickelte Apps, die in der XenMobile-Lizenz enthalten sind. Weitere Informationen finden Sie unter Info über XenMobile Apps. Citrix bietet auch andere Citrix Ready-Apps an, die ISV mit dem Worx App SDK entwickelt haben.

HDX-Apps: unter Windows gehostete Apps, die mit StoreFront veröffentlicht werden. In einer Citrix XenApp und XenDesktop-Umgebung können Sie solche Apps in XenMobile integrieren, um sie registrierten Benutzern zur Verfügung zu stellen.

Die zugrunde liegende Konfiguration und Architektur hängt von der Art der Apps ab, die Sie mit XenMobile bereitstellen und verwalten möchten. Sollen beispielsweise mehrere Benutzergruppen mit unterschiedlichen Berechtigungsstufen eine App verwenden, müssen Sie ggf. eigene Bereitstellungsgruppen erstellen, um zwei Versionen der App bereitzustellen. Darüber hinaus müssen Sie sicherstellen, dass sich die Benutzergruppenmitgliedschaft gegenseitig ausschließt, um Richtlinienkonflikte auf Benutzergeräten zu vermeiden.

Sie können ggf. auch die Lizenzierung von iOS-Apps mithilfe des Apple iOS-VPP (Volume Purchase Program, Programm für Volumenlizenzen) verwalten. Hierfür müssen Sie sich für das VPP-Programm registrieren und VPP-Einstellungen in der XenMobile-Konsole konfigurieren, um die Apps mit den VPP-Lizenzen zu verteilen. Bei vielen Anwendungsfällen muss die MAM-Strategie vor Implementierung der XenMobile-Umgebung bewertet und geplant werden. Die Planung Ihrer MAM-Strategie können Sie durch Aufstellung folgender Elemente beginnen:

Arten von Apps: Machen Sie eine Liste der Apps, die Sie unterstützen möchten, und kategorisieren Sie sie (öffentliche, native, interne Apps, XenMobile Apps, Web-Apps, ISV-Apps usw.). Kategorisieren Sie die Apps auch nach Geräteplattform (z. B. iOS und Android). Die Kategorisierung hilft bei der Zuweisung verschiedener, für die einzelnen App-Typen erforderlicher XenMobile-Einstellungen. Manche Apps eignen sich beispielsweise evtl. nicht zum Umschließen, andere können die Aktivierung spezielle APIs für die Interaktion mit anderen Apps über das Worx App SDK erfordern.

Netzwerkanforderungen: Sie müssen Apps mit bestimmten Netzwerkzugriffsanforderungen mit den entsprechenden Einstellungen konfigurieren. Beispielsweise erfordern bestimmte Apps möglicherweise Zugriff auf das interne Netzwerk über ein VPN. Andere Apps benötigen ggf. das Internet für das Zugriffsrouting über die DMZ. Damit solche Apps eine Verbindung mit dem gewünschten Netzwerk herstellen können, müssen Sie verschiedene Einstellungen entsprechend konfigurieren. Die Definition der Netzwerkanforderungen für die einzelnen Apps hilft Ihnen, Ihre Architekturentscheidungen frühzeitig zu treffen und verbessert so den gesamten Implementierungsprozess.

Sicherheitsanforderungen: Die Definition der Sicherheitsanforderungen, die für einzelne und/oder alle Apps gelten sollen, ist unverzichtbar. Einstellungen wie die MDX-Richtlinien gelten für einzelne Apps, Sitzungs- und Authentifizierungseinstellungen gelten für alle. Für manche Apps gelten evtl. spezielle Anforderungen hinsichtlich Verschlüsselung, Containerization, Umschließen, Authentifizierung, Geofencing, Passcodes oder Datenfreigabe, die Sie im Voraus aufstellen müssen, um die Bereitstellung zu vereinfachen.

Bereitstellungsvoraussetzungen: Über eine richtlinienbasierte Bereitstellung können Sie bei Bedarf dafür sorgen, dass nur berechtigte Benutzer die veröffentlichten Apps herunterladen können. Sie können beispielsweise für bestimmte Apps festlegen, dass die Geräteverschlüsselung aktiviert sein muss, dass Geräte verwaltet werden oder auf den Geräten eine Mindestversion des Betriebssystems ausgeführt wird. Außerdem können Sie festlegen, dass bestimmte Apps nur für Unternehmensbenutzer verfügbar sind. Solche Anforderungen müssen Sie im Voraus aufstellen, damit Sie die entsprechenden Bereitstellungsregeln oder -aktionen konfigurieren können.

Lizenzanforderungen: Machen Sie eine Liste der Lizenzanforderungen für die Apps. Anhand der Liste können Sie die Lizenzverwendung effektiv verwalten und entscheiden, ob Sie zur Vereinfachung der Lizenzierung bestimmte Funktionen in XenMobile konfigurieren müssen. Für iOS-Apps erzwingt Apple beispielsweise Lizenzanforderungen, unabhängig davon, ob eine App kostenlos oder kostenpflichtig ist, da Benutzer sich bei ihrem iTunes-Konto anmelden müssen. Sie können sich für das Apple-VPP registrieren, um solche Apps über XenMobile zu verteilen und zu verwalten. Über das VPP können Benutzer die Apps ohne Anmeldung bei ihrem iTunes-Konto herunterladen. Für Tools wie Samsung SAFE und Samsung KNOX gelten zudem spezielle Lizenzierungsanforderungen, die Sie vor der Bereitstellung dieser Funktionen erfüllen müssen.

Sperr- und Positivliste: Möglicherweise gibt es Apps, die von Benutzern nicht installiert oder überhaupt nicht verwendet werden sollen. Durch das Erstellen einer Sperrliste wird ein “nicht richtlinientreu”-Ereignis definiert. Sie können dann Richtlinien einrichten, die im Ereignisfall ausgelöst werden. Auf der anderen Seite kann die Verwendung einer App akzeptabel sein, die App jedoch aus dem einen oder anderen Grund unter die Sperrliste fallen. In diesem Fall können Sie die App auf eine Positivliste setzen und angeben, dass sie akzeptabel ist aber nicht benötigt wird. Bedenken Sie auch, dass auf neuen Geräten einige häufig verwendete Apps vorinstalliert sein können, die nicht Teil des Betriebssystems sind. Dies könnte zu Konflikten mit Ihrer Sperrlistenstrategie führen.

Apps-Anwendungsfall

Eine Gesundheitsorganisation plant die Bereitstellung von XenMobile als MAM-Lösung für ihre mobilen Apps. Die Apps werden Benutzern mit Unternehmensgeräten und BYOD-Benutzern zur Verfügung gestellt. Die IT entscheidet sich für die Bereitstellung und Verwaltung der folgenden Apps:

  • XenMobile Apps: iOS- und Android-Apps von Citrix.
  • Secure Mail: E-Mail-, Kalender- und Kontakte-App.
  • Secure Web: sicherer Webbrowser, der Zugriff auf das Internet und Intranetsites bietet.
  • Secure Notes: sichere Notizen-App mit E-Mail-und Kalender-Integration.
  • ShareFile: App für den Zugriff auf geteilte Daten und zum Teilen, Synchronisieren und Bearbeiten von Dateien.

Öffentlicher App-Store

  • Secure Hub: Client, der von allen Mobilgeräten zur Kommunikation mit XenMobile verwendet wird. Die IT überträgt über den Secure Hub-Client per Push Sicherheitseinstellungen, Konfigurationen und mobile Apps auf Mobilgeräte. Android- und iOS-Geräte registrieren sich über Secure Hub bei XenMobile.
  • Citrix Receiver: mobile App, mit der Benutzer unter XenApp gehostete Apps auf Mobilgeräten öffnen können.
  • GoToMeeting: Client für Online-Meetings, Desktopfreigabe und Videokonferenzen, mit dem Benutzer Besprechungen mit anderen Computerbenutzern, Kunden oder Kollegen über das Internet in Echtzeit abhalten können.
  • SalesForce1: Mit Salesforce1 können Benutzer von Mobilgeräten aus auf Salesforce zugreifen. Die App vereint für Salesforce-Benutzer alle Chatter-, CRM- und benutzerdefinierten Apps sowie Geschäftsprozesse in einer einheitlichen Umgebung.
  • RSA SecurID: softwarebasiertes Token für die zweistufige Authentifizierung.
  • EpicCare-Apps: Apps für medizinisches Personal, mit denen sicher und mobil auf Patientendaten, Zeitpläne und Nachrichten zugegriffen werden kann.
    • Haiku: mobile App für iPhones und Android-Smartphones.
    • Canto: mobile App für iPads.
    • Rover: mobile Apps für iPhones und iPads.

HDX: Diese Apps werden über Citrix XenApp bereitgestellt.

  • Epic Hyperspace: Epic-Client zur Verwaltung elektronischer Patientenakten.

ISV

  • Vocera: HIPAA-kompatible Voice-over-IP- und Messaging-App, zur Nutzung der Vocera-Sprachtechnologie auf iPhones und Android-Smartphones.

Interne Apps

  • HCMail: App zur Erstellung verschlüsselter Nachrichten, zum Durchsuchen von Adressbüchern auf internen Mailservern und zum Senden verschlüsselter Nachrichten über einen E-Mail-Client an Kontakte.

Interne Web-Apps

  • PatientRounding: Web-App zur Erfassung von Patientendaten in verschiedenen Abteilungen.
  • Outlook Web Access: ermöglicht den Zugriff auf E-Mails über einen Webbrowser.
  • SharePoint: wird für die unternehmensweite Datei- und Datenfreigabe verwendet.

Die folgende Tabelle enthält die grundlegenden, für die MAM-Konfiguration erforderlichen Informationen.

         
App-Name App-Typ Mit MDX umschlossen iOS Android
Secure Mail XenMobile App Ab Version 10.4.1 nein Ja Ja
Secure Web XenMobile App Ab Version 10.4.1 nein Ja Ja
Secure Notes XenMobile App Ab Version 10.4.1 nein Ja Ja
ShareFile XenMobile App Ab Version 10.4.1 nein Ja Ja
Secure Hub Öffentliche App Nicht verfügbar Ja Ja
Citrix Receiver Öffentliche App Nicht verfügbar Ja Ja
GoToMeeting Öffentliche App Nicht verfügbar Ja Ja
SalesForce1 Öffentliche App Nicht verfügbar Ja Ja
RSA SecurID Öffentliche App Nicht verfügbar Ja Ja
Epic Haiku Öffentliche App Nicht verfügbar Ja Ja
Epic Canto Öffentliche App Nicht verfügbar Ja Nein
Epic Rover Öffentliche App Nicht verfügbar Ja Nein
Epic Hyperspace HDX-App Nicht verfügbar Ja Ja
Vocera ISV-App Ja Ja Ja
HCMail Interne App Ja Ja Ja
PatientRounding Web-App Nicht verfügbar Ja Ja
Outlook Web Access Web-App Nicht verfügbar Ja Ja
SharePoint Web-App Nicht verfügbar Ja Ja

In den folgenden Tabellen sind spezifische Anforderungen aufgeführt, die Sie bei der Konfiguration von MAM-Richtlinien in XenMobile konsultieren können.

App-Name VPN erforderlich Interaktion Interaktion Geräteverschlüsselung
    (mit Apps außerhalb des Containers) (von Apps außerhalb des Containers)  
Secure Mail J Selektiv zugelassen Zugelassen Nicht erforderlich
Secure Web J Zugelassen Zugelassen Nicht erforderlich
Secure Notes J Zugelassen Zugelassen Nicht erforderlich
ShareFile J Zugelassen Zugelassen Nicht erforderlich
Secure Hub J Nicht zutreffend Nicht zutreffend Nicht zutreffend
Citrix Receiver J Nicht zutreffend Nicht zutreffend Nicht zutreffend
GoToMeeting N Nicht zutreffend Nicht zutreffend Nicht zutreffend
SalesForce1 N Nicht zutreffend Nicht zutreffend Nicht zutreffend
RSA SecurID N Nicht zutreffend Nicht zutreffend Nicht zutreffend
Epic Haiku J Nicht zutreffend Nicht zutreffend Nicht zutreffend
Epic Canto J Nicht zutreffend Nicht zutreffend Nicht zutreffend
Epic Rover J Nicht zutreffend Nicht zutreffend Nicht zutreffend
Epic Hyperspace J Nicht zutreffend Nicht zutreffend Nicht zutreffend
Vocera J Nicht zugelassen Nicht zugelassen Nicht erforderlich
HCMail J Nicht zugelassen Nicht zugelassen Erforderlich
PatientRounding J Nicht zutreffend Nicht zutreffend Erforderlich
Outlook Web Access J Nicht zutreffend Nicht zutreffend Nicht erforderlich
SharePoint J Nicht zutreffend Nicht zutreffend Nicht erforderlich
App-Name Proxyfilterung Lizenzierung Geofencing Worx App SDK Mindest-Betriebssystemversion
Secure Mail Erforderlich Nicht zutreffend Selektiv erforderlich Nicht zutreffend Erzwungen
Secure Web Erforderlich Nicht zutreffend Nicht erforderlich Nicht zutreffend Erzwungen
Secure Notes Erforderlich Nicht zutreffend Nicht erforderlich Nicht zutreffend Erzwungen
ShareFile Erforderlich Nicht zutreffend Nicht erforderlich Nicht zutreffend Erzwungen
Secure Hub Nicht erforderlich VPP Nicht erforderlich Nicht zutreffend Nicht erzwungen
Citrix Receiver Nicht erforderlich VPP Nicht erforderlich Nicht zutreffend Nicht erzwungen
GoToMeeting Nicht erforderlich VPP Nicht erforderlich Nicht zutreffend Nicht erzwungen
SalesForce1 Nicht erforderlich VPP Nicht erforderlich Nicht zutreffend Nicht erzwungen
RSA SecurID Nicht erforderlich VPP Nicht erforderlich Nicht zutreffend Nicht erzwungen
Epic Haiku Nicht erforderlich VPP Nicht erforderlich Nicht zutreffend Nicht erzwungen
Epic Canto Nicht erforderlich VPP Nicht erforderlich Nicht zutreffend Nicht erzwungen
Epic Rover Nicht erforderlich VPP Nicht erforderlich Nicht zutreffend Nicht erzwungen
Epic Hyperspace Nicht erforderlich Nicht zutreffend Nicht erforderlich Nicht zutreffend Nicht erzwungen
Vocera Erforderlich Nicht zutreffend Erforderlich Erforderlich Erzwungen
HCMail Erforderlich Nicht zutreffend Erforderlich Erforderlich Erzwungen
PatientRounding Erforderlich Nicht zutreffend Nicht erforderlich Nicht zutreffend Nicht erzwungen
Outlook Web Access Erforderlich Nicht zutreffend Nicht erforderlich Nicht zutreffend Nicht erzwungen
SharePoint Erforderlich Nicht zutreffend Nicht erforderlich Nicht zutreffend Nicht erzwungen

Benutzergemeinschaften

Jede Organisation besteht aus mehreren Benutzergemeinschaften, die unterschiedliche funktionelle Rollen besitzen. Diese Benutzergemeinschaften führen unterschiedliche Aufgaben und Bürofunktionen aus und nutzen diverse Ressourcen, die Sie über die Mobilgeräte bereitstellen. Die Benutzer können von zu Hause aus oder in entfernten Büros mit vom Unternehmen bereitgestellten oder eigenen Mobilgeräten arbeiten und auf Tools zugreifen, die bestimmten Sicherheitsregeln unterliegen.

Je mehr Benutzer mit Mobilgeräten zur Vereinfachung oder Unterstützung ihrer Aufgaben arbeiten, desto bedeutender wird das Enterprise Mobility Management (EMM), um Datenlecks zu verhindern und die Sicherheitsbeschränkungen der Organisation durchzusetzen. Im Interesse einer effizienten und differenzierten Mobilgeräteverwaltung können Sie Benutzergemeinschaften auch in Kategorien unterteilen. Dies vereinfacht die Zuordnung von Benutzern zu Ressourcen und stellt sicher, dass die richtigen Sicherheitsrichtlinien angewandt werden.

Das folgende Beispiel zeigt, wie Benutzergemeinschaften in einer US-Organisation im Gesundheitssektor für EMM klassifiziert werden.

Anwendungsfall Benutzergemeinschaften

Dieses Klinikunternehmen bietet technologische Ressourcen und Zugriffsrechte für verschiedene Benutzer, darunter angestellte, externe und ehrenamtliche Mitarbeiter. Die Organisation plant, die EMM-Lösung nur für Benutzer bereitzustellen, die nicht zur Geschäftsleitung gehören.

Die Benutzerrollen und -funktionen im Unternehmen können in folgende Untergruppen unterteilt werden: Klinik, Verwaltung, Extern. Einige Benutzer erhalten firmeneigene Mobilgeräte, während andere über Privatgeräte eingeschränkt Zugriff auf Unternehmensressourcen haben. Um das richtige Maß an Sicherheitsbeschränkungen umzusetzen und Datenverluste zu vermeiden, soll das IT-Team der Organisation jedes registrierte Gerät (firmeneigene und private) verwalten. Die Benutzer können zudem nur jeweils ein Gerät registrieren.

Der folgende Abschnitt bietet einen Überblick über die Rollen und Funktionen der einzelnen Untergruppen:

Klinik

  • Pflegepersonal
  • Mediziner (Ärzte, Chirurgen usw.)
  • Fachärzte (Ernährungsberater, Phlebologen, Anästhesisten, Radiologen, Kardiologen, Onkologen usw.)
  • Externe Mediziner (nicht angestellte Ärzte und Büromitarbeiter an Remotestandorten)
  • Hausbesuchsdienste (Büropersonal und mobile Mitarbeiter, die arztbezogene Dienste für Hausbesuche bei Patienten durchführen)
  • Forschungsspezialisten (Wissensarbeiter und Hauptbenutzer in sechs Forschungsinstituten, die in der klinischen Forschung tätig sind und medizinische Studien durchführen)
  • Schulungen, Aus- und Weiterbildung (Pflegepersonal, Mediziner und Pädagogen)

Verwaltung

  • Gemeinsam genutzte Dienste (Büromitarbeiter, die verschiedene Backoffice-Funktionen ausführen, z. B. Personalabteilung, Gehaltsabrechnung, Kreditorenbuchhaltung, Einkauf und Logistik usw.)
  • Arztbezogene Dienste (Büromitarbeiter, die verschiedene Aufgaben im Bereich Gesundheitsmanagement und Administration ausüben und Geschäftsprozesslösungen für Anbieter bereitstellen. Dazu gehören Verwaltung und Geschäftsanalytik, Geschäftssysteme, Serviceangebote für Kunden und Patienten, Finanzwesen, Managed Care, Rentabilitätslösungen usw.)
  • Unterstützende Dienste (Büromitarbeiter, die Funktionen in verschiedenen nichtklinischen Bereichen ausüben: Arbeitgeberleistungen, klinische Integration, Kommunikation, Vergütung, Gebäudemanagement, Technologiesysteme für die Personalabteilung, Informationsdienste, internes Audit und Prozessoptimierung usw.)
  • Gemeinnützige Stiftungen (Büromitarbeiter und mobile Mitarbeiter, die verschiedene Funktionen im Rahmen philanthropischer Programme ausüben)

Auftragnehmer

  • Hersteller und Vertriebspartner (Bereitstellung diverser nicht-klinischer Supportfunktionen vor Ort und remote über Site-to-Site-VPN)

Auf der Grundlage dieser Informationen hat die Organisation folgende Entitäten erstellt. Weitere Informationen zu Bereitstellungsgruppen in XenMobile finden Sie unter Bereitstellen von Ressourcen.

Active Directory-Organisationseinheiten (OUs) und -Gruppen

Für OU = XenMobile-Ressourcen:

  • OU = Klinik; Gruppen =
    • XM - Pflegepersonal
    • XM - Mediziner
    • XM - Fachärzte
    • XM - Externe Mediziner
    • XM - Hausbesuchsdienste
    • XM - Forschungsspezialisten
    • XM - Schulungen, Aus- und Weiterbildung
  • OU = Verwaltung; Gruppen =
    • XM - Gemeinsam genutzte Dienste
    • XM - Arztbezogene Dienste
    • XM - Supportdienste
    • XM - Gemeinnützige Stiftungen

Lokale XenMobile-Benutzer und -Gruppen

Für Gruppe = Auftragnehmer, Benutzer =

  • Anbieter 1
  • Anbieter 2
  • Anbieter 3
  • … Anbieter 10

XenMobile-Bereitstellungsgruppen

  • Klinik - Pflegepersonal
  • Klinik - Mediziner
  • Klinik - Fachärzte
  • Klinik - Externe Mediziner
  • Klinik - Hausbesuchsdienste
  • Klinik - Forschungsspezialisten
  • Klinik - Schulungen, Aus- und Weiterbildung
  • Verwaltung - Gemeinsam genutzte Dienste
  • Verwaltung - Arztbezogene Dienste
  • Verwaltung - Supportdienste
  • Verwaltung - Gemeinnützige Stiftungen

Zuordnung von Bereitstellungsgruppe und Benutzergruppe

   
Active Directory-Gruppen XenMobile-Bereitstellungsgruppen
XM - Pflegepersonal Klinik - Pflegepersonal
XM - Mediziner Klinik - Mediziner
XM - Fachärzte Klinik - Fachärzte
XM - Externe Mediziner Klinik - Externe Mediziner
XM - Hausbesuchsdienste Klinik - Hausbesuchsdienste
XM - Forschungsspezialisten Klinik - Forschungsspezialisten
XM - Schulungen, Aus- und Weiterbildung Klinik - Schulungen, Aus- und Weiterbildung
XM - Gemeinsam genutzte Dienste Verwaltung - Gemeinsam genutzte Dienste
XM - Arztbezogene Dienste Verwaltung - Arztbezogene Dienste
XM - Supportdienste Verwaltung - Supportdienste
XM - Gemeinnützige Stiftungen Verwaltung - Gemeinnützige Stiftungen

Bereitstellungsgruppen und Ressourcenzuordnung

Die folgenden Tabellen zeigen, welche Ressourcen in diesem Anwendungsfall welcher Bereitstellungsgruppe zugeordnet sind. Die erste Tabelle zeigt die Zuweisungen der mobilen Apps und die zweite die der öffentlichen Apps, von HDX-Apps und Geräteverwaltungsressourcen.

       
XenMobile-Bereitstellungsgruppen Citrix Mobile Apps Öffentliche mobile Apps Mobile HDX-Apps
Klinik - Pflegepersonal X    
Klinik - Mediziner      
Klinik - Fachärzte      
Klinik - Externe Mediziner X    
Klinik - Hausbesuchsdienste X    
Klinik - Forschungsspezialisten X    
Klinik - Schulungen, Aus- und Weiterbildung   X X
Verwaltung - Gemeinsam genutzte Dienste   X X
Verwaltung - Arztbezogene Dienste   X X
Verwaltung - Supportdienste X X X
Verwaltung - Gemeinnützige Stiftungen X X X
Auftragnehmer X X X
               
XenMobile-Bereitstellungsgruppen Öffentliche App: RSA SecurID Öffentliche App: EpicCare Haiku HDX-App: Epic Hyperspace Passcoderichtlinie Geräteeinschränkungen Automatisierte Aktionen WiFi-Richtlinie
Klinik - Pflegepersonal             X
Klinik - Mediziner         X    
Klinik - Fachärzte              
Klinik - Externe Mediziner              
Klinik - Hausbesuchsdienste              
Klinik - Forschungsspezialisten              
Klinik - Schulungen, Aus- und Weiterbildung   X X        
Verwaltung - Gemeinsam genutzte Dienste   X X        
Verwaltung - Arztbezogene Dienste   X X        
Verwaltung - Supportdienste   X X        

Hinweise und Überlegungen

  • XenMobile erstellt bei der Erstkonfiguration die Standardbereitstellungsgruppe “Alle Benutzer”. Wenn Sie diese Bereitstellungsgruppe nicht deaktivieren, sind alle Active Directory-Benutzer berechtigt, sich bei XenMobile zu registrieren.
  • XenMobile synchronisiert Active Directory-Benutzer und -Gruppen bei Bedarf über eine dynamische Verbindung mit dem LDAP-Server.
  • Wenn ein Benutzer zu einer Gruppe gehört, die nicht in XenMobile zugeordnet ist, kann der Benutzer sich nicht registrieren. Wenn ein Benutzer Mitglieder mehrerer Gruppen ist, kategorisiert XenMobile den Benutzer nur als Mitglied der Gruppen, die XenMobile zugeordnet sind.
  • Für eine verbindliche MDM-Registrierung wählen Sie in der XenMobile-Konsole unter “Servereigenschaften” für die Option “Registrierung erforderlich” die Einstellung “True”. Einzelheiten finden Sie unter Servereigenschaften.
  • Sie können eine Benutzergruppe aus einer XenMobile-Bereitstellungsgruppe löschen, indem Sie den Eintrag in der SQL Server-Datenbank unter dbo.userlistgrps löschen. Achtung: Erstellen Sie ein Backup von XenMobile und der Datenbank, bevor Sie diese Aktion durchführen.

Geräteeigentümerschaft in XenMobile

Sie können Benutzer auch nach dem Eigentümer eines Benutzergeräts gruppieren. Es gibt unternehmenseigene Geräte und solche, die Benutzern gehören. Letztere werden auch als BYOD-Geräte (von “bring your own device”) bezeichnet. Sie können in zwei Bereichen der XenMobile-Konsole steuern, wie BYOD-Geräte eine Verbindung mit Ihrem Netzwerk herstellen: unter “Bereitstellungsregeln” und über die XenMobile-Servereigenschaften auf der Seite “Einstellungen”. Informationen über Bereitstellungsregeln finden Sie unter Konfigurieren von Bereitstellungsregeln. Weitere Informationen über Servereigenschaften finden Sie unter Servereigenschaften.

Beim Definieren der Servereigenschaften können Sie festlegen, ob alle BYOD-Benutzer der Verwaltung ihrer Geräte durch das Unternehmen zustimmen müssen, um Zugriff auf Apps zu erhalten.

Wenn Sie die Servereinstellung wsapi.mdm.required.flag auf true festlegen, werden alle BYOD-Geräte von XenMobile verwaltet und Benutzer, die eine Registrierung ablehnen, erhalten keinen Zugriff auf Apps. Das Festlegen von wsapi.mdm.required.flag auf true sollte in Umgebungen erwogen werden, in denen neben einer hohen Sicherheit eine gute Benutzererfahrung durch die Registrierung der Geräte erforderlich ist.

Wenn Sie die Einstellung nicht ändern und die Standardeinstellung false für wsapi.mdm.required.flag übernehmen, können Benutzer die Registrierung ablehnen und dennoch ggf. mit ihrem Gerät auf Apps über den XenMobile Store zugreifen. Das Festlegen von wsapi.mdm.required.flag auf false eignet sich für Umgebungen, in denen juristische und datenschutzrechtliche Vorgaben keine Verwaltung von Geräten erfordern, sondern nur die Verwaltung von Unternehmens-Apps.

Benutzer mit nicht von XenMobile verwalteten Geräten können Apps über den XenMobile Store installieren. Anstelle einer Steuerung auf Gerätebasis, etwa der selektiven oder vollständigen Löschung der Daten auf einem Gerät, steuern Sie den Zugriff auf Apps über App-Richtlinien. Je nach Einstellung erfordern die Richtlinien, dass Geräte regelmäßig XenMobile abfragen, um sicherzustellen, dass Apps weiterhin zugelassen sind.

Sicherheitsanforderungen

Die Zahl der bei der Bereitstellung einer XenMobile-Umgebung zu beachtenden Sicherheitsaspekte kann schnell zu einer Herausforderung werden. Es gibt so viele ineinandergreifende Komponenten und Einstellungen, dass Sie vielleicht nicht sicher sind, wo Sie anfangen und was Sie für ein akzeptables Sicherheitsniveau wählen sollen. Um diese Auswahl zu vereinfachen, gibt Citrix Empfehlungen für hohe, höhere und höchste Sicherheit. Diese sind in der folgenden Tabelle aufgeführt.

Die Wahl des Bereitstellungsmodus sollte jedoch nicht ausschließlich nach Sicherheitsaspekten getroffen werden. Sie müssen auch die Anforderungen des Anwendungsfalls bedenken und überlegen, ob Sie Sicherheitsbedenken ausräumen können.

Hoch: Die Verwendung dieser Einstellungen bietet die optimale Benutzererfahrung bei gleichzeitiger Gewährleistung einer einfachen, für die meisten Organisationen akzeptablen Sicherheitsstufe.

Höher: Diese Einstellungen bewirken ein ausgeglicheneres Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit.

Höchste: Die Einhaltung dieser Empfehlungen bietet ein sehr hohes Maß an Sicherheit auf Kosten von Benutzerfreundlichkeit und Benutzerakzeptanz.

Bereitstellungsmodus – Sicherheitsüberlegungen

Die folgende Tabelle enthält die Bereitstellungsmodi für jede Sicherheitsstufe.

     
Hohe Sicherheit Höhere Sicherheit Höchste Sicherheit
MAM und/oder MDM MDM+MAM MDM+MAM

Hinweise:

  • Je nach Anwendungsfall kann eine Nur-MDM- oder Nur-MAM-Bereitstellung die Sicherheitsanforderungen erfüllen und eine gute Benutzererfahrung bieten.
  • Wenn keine App-Containerization, kein Micro-VPN- und keine App-spezifischen Richtlinien erforderlich sind, dürfte MDM zur Verwaltung und zum Schützen von Geräten ausreichen.
  • Für Anwendungsfälle wie BYOD, bei denen alle geschäftlichen und Sicherheitsanforderungen mit bloßer App-Containerization erfüllt werden können, empfiehlt Citrix den Nur-MAM-Modus.
  • Für Umgebungen mit hoher Sicherheit (und vom Unternehmen gestellten Geräten) empfiehlt Citrix MDM+MAM zur Nutzung aller verfügbaren Sicherheitsfunktionen. Die MDM-Registrierung sollte über eine Servereigenschaft in der XenMobile-Konsole erzwungen werden.

NetScaler und NetScaler Gateway – Sicherheitsüberlegungen

Die folgende Tabelle enthält Empfehlungen für NetScaler und NetScaler Gateway für jede Sicherheitsstufe.

     
Hohe Sicherheit Höhere Sicherheit Höchste Sicherheit
NetScaler wird empfohlen. NetScaler Gateway ist für MAM und ENT erforderlich und wird für MDM empfohlen. Standardkonfiguration im NetScaler für XenMobile-Assistenten mit SSL-Brücke, wenn XenMobile in der DMZ ist, oder SSL-Offload, wenn dies zur Erfüllung der Sicherheitsstandards erforderlich ist und der XenMobile-Server im internen Netzwerk ist. SSL-Offload mit End-to-End-Verschlüsselung

Hinweise:

  • Eine Verbindung des XenMobile-Servers mit dem Internet über NAT oder Proxys/Load Balancer von Drittanbietern kann eine Option für MDM sein, vorausgesetzt, der SSL-Verkehr endet auf dem XenMobile-Server. Diese Konfiguration stellt jedoch ein Sicherheitsrisiko dar.
  • In Umgebungen mit hoher Sicherheit muss NetScaler mit der standardmäßigen XenMobile-Konfiguration die Sicherheitsanforderungen erfüllen oder übertreffen.
  • In MDM-Umgebungen mit höchsten Sicherheitsanforderungen bietet die SSL-Terminierung am NetScaler die Möglichkeit, den Datenverkehr am Umkreis zu untersuchen und gewährleistet gleichzeitig eine Ende-zu-Ende-SSL-Verschlüsselung.
  • Optionen zum Definieren von SSL-/TLS-Verschlüsselungsverfahren.
  • Weitere Informationen finden Sie unter Integration in NetScaler Gateway und NetScaler.

Registrierung – Sicherheitsüberlegungen

Die folgende Tabelle enthält Empfehlungen für NetScaler und NetScaler Gateway für jede Sicherheitsstufe.

     
Hohe Sicherheit Höhere Sicherheit Höchste Sicherheit
Nur Active Directory-Gruppenmitgliedschaft. Bereitstellungsgruppe “Alle Benutzer” deaktiviert. Registrierung nur auf Einladung. Nur Active Directory-Gruppenmitgliedschaft. Bereitstellungsgruppe “Alle Benutzer” deaktiviert. Registrierung an Geräte-ID gebunden. Nur Active Directory-Gruppenmitgliedschaft. Bereitstellungsgruppe “Alle Benutzer” deaktiviert.

Hinweise:

  • Citrix empfiehlt generell, die Registrierung auf Benutzer in vordefinierten Active Directory-Gruppen zu beschränken. Dazu muss die integrierte Bereitstellungsgruppe “Alle Benutzer” deaktiviert werden.
  • Mit Registrierungseinladungen können Sie die Registrierung auf Benutzer beschränken, die eine Einladung erhalten haben.
  • Sie können Registrierungseinladungen mit als Zweistufenlösung nutzen und vorgeben, wie viele Geräte jeder Benutzer registrieren kann.
  • Für Umgebungen mit höchsten Sicherheitsanforderungen können Sie Registrierungseinladungen per SN/UDID/EMEI mit einem Gerät verknüpfen. Eine zweistufige Option mit erforderlichem Active Directory-Kennwort und Einmal-PIN ist ebenfalls verfügbar. (Einmal-PIN derzeit keine Option für Windows-Geräte.)

Geräte-PIN – Sicherheitsüberlegungen

Die folgende Tabelle enthält Empfehlungen für die Geräte-PIN für jede Sicherheitsstufe.

     
Hohe Sicherheit Höhere Sicherheit Höchste Sicherheit
Empfohlen. Für die Verschlüsselung auf Geräteebene ist hohe Sicherheit erforderlich. Kann über MDM erzwungen werden. Kann für Nur-MAM über eine MDX-Richtlinie erzwungen werden. Wird über eine MDM- und/oder MDX-Richtlinie erzwungen. Wird über eine MDM- und MDX-Richtlinie erzwungen. MDM-Richtlinie “Komplexer Passcode”.

Hinweise:

  • Citrix empfiehlt die Verwendung einer Geräte-PIN.
  • Sie können die Verwendung von Geräte-PINs über eine MDM-Richtlinie erzwingen.
  • Sie können über eine MDX-Richtlinie festlegen, dass eine Geräte-PIN Voraussetzung für die Verwendung verwalteter Apps ist, beispielsweise für Anwendungsfälle mit BYOD.
  • Citrix empfiehlt, die Kombination von MDM- und MDX-Richtlinien zur größeren Sicherheit in MDM+MAM-Umgebungen.
  • In Umgebungen mit höchsten Sicherheitsanforderungen können Sie Richtlinien für komplexe Passcodes konfigurieren und über MDM erzwingen. Sie können automatische Aktionen konfigurieren, um Administratoren zu benachrichtigen oder selektive/vollständige Gerätelöschungen zu veranlassen, wenn ein Gerät einer Passcoderichtlinie nicht entspricht.