Estrategia de correo electrónico

El acceso seguro al correo electrónico desde dispositivos móviles es uno de los motivos principales detrás de una iniciativa de administración de la movilidad en todas las organizaciones. Decidir la estrategia de correo electrónico adecuada suele ser un componente clave a la hora de diseñar elementos en Endpoint Management. Endpoint Management ofrece varias opciones para adaptarse a diferentes casos de uso, en función de la seguridad, la experiencia de usuario y los requisitos de integración. En este artículo se documenta el proceso de toma de decisiones sobre un diseño típico y se indican criterios para elegir la solución adecuada, desde la selección del cliente hasta el flujo del tráfico de correo.

Elección de los clientes de correo electrónico

Generalmente, la elección de un cliente encabeza la lista a la hora de diseñar la estrategia a seguir para el correo electrónico. Puede elegir entre varios clientes: Citrix Secure Mail, el correo nativo que se incluye con el sistema operativo de la plataforma móvil en cuestión, o bien, otros clientes de terceros, disponibles a través de las tiendas públicas de aplicaciones. En función de sus necesidades, puede respaldar comunidades de usuarios con un solo cliente (estándar) o puede que necesite usar una combinación de clientes.

En la siguiente tabla se describen los criterios de diseño para las diferentes opciones de cliente disponibles:

       
Temática Secure Mail Nativo (por ejemplo, iOS Mail) Correo de terceros (por ejemplo, TouchDown)
Edición mínima de Endpoint Management Avanzado MDM MDM
Configurar Perfiles de cuentas de Exchange configurados a través de una directiva MDX. Perfiles de cuenta de Exchange configurados a través de una directiva MDM. La compatibilidad con Android está limitada a: SAFE o KNOX, HTC y Android Enterprise. Todos los demás clientes se consideran clientes de terceros. Generalmente requiere una configuración manual por parte del usuario. Configuración de los perfiles de cuentas de Exchange a través de una directiva MDM solo para TouchDown.
Seguridad Seguro gracias a su diseño, con lo que proporciona la seguridad más alta. Utiliza directivas MDX con niveles agregados de cifrado de datos. Secure Mail es una aplicación administrada totalmente a través de una directiva MDX. Capa agregada de autenticación con el PIN de Citrix. Según el conjunto de características del proveedor o la aplicación. Proporciona más seguridad. Utiliza la configuración de cifrado del dispositivo (sin seguridad desde las directivas MDX). Se basa en la autenticación a nivel de dispositivo para acceder a la aplicación. Según el conjunto de características del proveedor o la aplicación. Proporciona alta seguridad.
Integración Permite la interacción con aplicaciones administradas (MDX) de forma predeterminada. Permite abrir direcciones URL Web con Citrix Secure Web. Guardar archivos y adjuntarlos desde Citrix Files. Unirse directamente o acceder por teléfono a reuniones en GoToMeeting. Solo puede interactuar con otras aplicaciones no administradas (que no sean MDX) de manera predeterminada. Solo puede interactuar con otras aplicaciones no administradas (que no sean MDX) de manera predeterminada.
Implementación o Licencias Puede enviar Secure Mail a través de MDM, directamente desde las tiendas públicas de aplicaciones. Incluido con las licencias Endpoint Management Advanced y Enterprise. La aplicación del cliente, incluida con el sistema operativo de la plataforma. Sin requisitos de licencia adicionales. Puede enviarse a través de MDM, como una aplicación de empresa o directamente desde las tiendas públicas de aplicaciones. Costes o modelos de licencia asociados según el proveedor de la aplicación.
Respaldo Respaldo del proveedor único para el cliente y la solución de EMM (Citrix). Información de contacto de asistencia integrada en las capacidades del registro de depuración en Secure Hub o la aplicación. Un cliente al que respaldar. Respaldo definido por el proveedor (Apple o Google). Puede que necesite respaldar diferentes clientes, según la plataforma del dispositivo. Respaldo definido por el proveedor. Un cliente a respaldar, suponiendo que el cliente de terceros es compatible con todas las plataformas de los dispositivos administrados.

Consideraciones sobre el filtrado y el flujo del tráfico de correo

En esta sección se tratan los tres casos principales y las consideraciones sobre el diseño con respecto al flujo del tráfico de correo (ActiveSync) en el contexto de Endpoint Management.

Caso 1: Exchange expuesto

Los entornos que admiten clientes externos suelen tener los servicios de Exchange ActiveSync expuestos a Internet. Los clientes móviles de ActiveSync se conectan por esta ruta externa a través de un proxy inverso (por ejemplo, Citrix Gateway) o a través de un servidor perimetral. Esta opción es necesaria para usar clientes de correo nativos o de terceros, con lo que estos clientes se convierten en la elección típica en este caso. Aunque sea poco frecuente, también puede usar el cliente de Secure Mail en este caso. Al hacerlo, aprovecha las características de seguridad que ofrecen el uso de las directivas MDX y la administración de la aplicación.

Caso 2: Túnel a través de Citrix Gateway (micro VPN y STA)

Este es el caso predeterminado cuando se utiliza el cliente de Secure Mail, debido a sus capacidades de micro VPN. En este caso, el cliente de Secure Mail establece una conexión segura con ActiveSync a través de Citrix Gateway. Básicamente, puede considerar Secure Mail como el cliente que se conecta directamente a ActiveSync desde la red interna. Los clientes de Citrix suelen usar Secure Mail como el cliente móvil preferido para ActiveSync. Esa decisión forma parte de una iniciativa para evitar exponer los servicios de ActiveSync a Internet en un servidor Exchange ya expuesto (primer caso descrito).

Solo las aplicaciones administradas (empaquetadas con MDX) pueden usar la función de micro VPN. Por lo tanto, este caso no se aplica a clientes nativos. Aunque es posible empaquetar clientes de terceros con el MDX Toolkit, no es frecuente. El uso de clientes VPN a nivel de dispositivo para permitir el acceso por túnel a clientes nativos o de terceros ha resultado ser engorroso y no es una solución viable.

Caso 3: Servicios de Exchange alojados en la nube

El uso de los servicios de Exchange alojados en la nube, como Microsoft Office 365, está cada vez más extendido. En el contexto de Endpoint Management, este caso se puede tratar de la misma manera que el primero, porque aquí el servicio ActiveSync también está expuesto a Internet. En este caso, los requisitos del proveedor de servicios en la nube dictan las opciones del cliente. Las opciones generalmente incluyen respaldo para la mayoría de los clientes ActiveSync, como Secure Mail y otros clientes nativos o de terceros.

Endpoint Management puede agregar valor en tres áreas de este caso:

  • Empaquetado de clientes con directivas MDX y administración de aplicaciones con Secure Mail
  • Configuración de clientes con una directiva MDM en clientes respaldados (nativos, como TouchDown)
  • Opciones de filtrado de ActiveSync mediante el conector de Endpoint Management para Exchange ActiveSync

Consideraciones sobre el filtrado del tráfico de correo

Al igual que con la mayoría de los servicios expuestos a Internet, debe proteger la ruta y proporcionar filtros para el acceso autorizado. La solución Endpoint Management incluye dos componentes diseñados específicamente para proporcionar las capacidades de filtrado de ActiveSync a clientes nativos y de terceros: el conector de Citrix Gateway para Exchange ActiveSync y el conector de Endpoint Management para Exchange ActiveSync.

Conector de Citrix Gateway para Exchange ActiveSync

El conector para Exchange ActiveSync ofrece el filtrado de ActiveSync en el perímetro, utilizando Citrix Gateway como proxy para el tráfico de ActiveSync. Así, el componente de filtrado se encuentra en la ruta de tráfico del correo: lo intercepta a medida que entra o sale del entorno. El conector para Exchange ActiveSync actúa como intermediario entre Citrix Gateway y Endpoint Management. Cuando un dispositivo se comunica con Exchange a través del servidor virtual de ActiveSync presente en Citrix Gateway, Citrix Gateway realiza una llamada HTTP al servicio del conector para Exchange ActiveSync. Ese servicio verifica el estado del dispositivo a través de Endpoint Management. El conector para Exchange ActiveSync responde a Citrix Gateway en función del estado del dispositivo, para permitir o denegar la conexión. También se pueden configurar reglas estáticas para filtrar el acceso en función del usuario, el agente, el ID o el tipo de dispositivo.

Esta configuración permite que los servicios Exchange ActiveSync se expongan a Internet con una capa adicional de seguridad para evitar el acceso no autorizado. En las consideraciones sobre el diseño se incluye:

  • Servidor Windows: El conector para Exchange ActiveSync requiere un servidor Windows.
  • Conjunto de reglas de filtrado: El conector para Exchange ActiveSync está diseñado para filtrar según el estado y la información del dispositivo, en lugar de la información del usuario. Aunque puede configurar reglas estáticas para filtrar por ID de usuario, no existen opciones para filtrar según la pertenencia a un grupo de Active Directory, por ejemplo. Si hay un requisito para el filtrado por grupos de Active Directory, puede usar el conector de Endpoint Management para Exchange ActiveSync en su lugar.
  • Escalabilidad de Citrix Gateway: Dado el requisito de proxy para el tráfico de ActiveSync a través de Citrix Gateway, un tamaño adecuado de la instancia de Citrix Gateway es fundamental para admitir la carga de trabajo adicional de todas las conexiones SSL de ActiveSync.
  • Almacenamiento en caché integrado de Citrix Gateway: La configuración del conector para Exchange ActiveSync en el Citrix Gateway utiliza la función “Almacenamiento en caché integrado” para almacenar en caché las respuestas del conector. Como resultado de esa configuración, Citrix Gateway no necesita emitir una solicitud al conector para cada transacción de ActiveSync en una sesión determinada. Esa configuración también es vital para un rendimiento y una escala adecuados. El almacenamiento en caché integrado está disponible con la edición Citrix Gateway Platinum.
  • Directivas de filtrado personalizadas: Puede que necesite crear directivas personalizadas de Citrix Gateway para restringir algunos clientes de ActiveSync que no sean los clientes móviles nativos estándar. Esta configuración requiere conocimiento sobre las solicitudes HTTP de ActiveSync y la creación de directivas del respondedor de Citrix Gateway.
  • Clientes de Secure Mail: Secure Mail ofrece capacidades de micro VPN que eliminan la necesidad de filtrar en el perímetro. Por regla general, el cliente de Secure Mail se trataría como un cliente de ActiveSync interno (de confianza) cuando se conecta a través de Citrix Gateway. Si se requiere compatibilidad con clientes nativos y de terceros (con el conector para Exchange ActiveSync) y Secure Mail, Citrix recomienda que el tráfico de Secure Mail no fluya a través del servidor virtual Citrix Gateway utilizado para el conector. Puede lograr este flujo de tráfico a través de DNS y evitar que la directiva del conector afecte a los clientes de Secure Mail.

Para ver un diagrama del conector de Citrix Gateway para Exchange ActiveSync en una implementación de Endpoint Management, consulte Arquitectura.

Conector de Endpoint Management para Exchange ActiveSync

El conector de Endpoint Management para Exchange ActiveSync es un componente de Endpoint Management que ofrece el filtrado de ActiveSync en el nivel de servicio de Exchange. Así, el filtrado solo se produce una vez que el correo llega al servicio de intercambio, en lugar de en cuanto entre en el entorno de Endpoint Management. Mail Manager utiliza PowerShell para consultar Exchange ActiveSync cuando busca información de asociación de dispositivos y para controlar el acceso a través de acciones de cuarentena de dispositivos. Estas acciones ponen los dispositivos en cuarentena, y los sacan de ella, en función de los criterios de las reglas del conector de Endpoint Management para Exchange ActiveSync.

De forma similar al conector de Citrix Gateway para Exchange ActiveSync, el conector para Exchange ActiveSync comprueba el estado del dispositivo con Endpoint Management para filtrar el acceso en función de la conformidad del dispositivo. También se pueden configurar reglas estáticas para filtrar el acceso en función del ID o el tipo de dispositivo, la versión del agente y la pertenencia al grupo de Active Directory.

Esta solución no requiere el uso de Citrix Gateway. Puede implementar el conector para Exchange ActiveSync sin cambiar el enrutamiento para el tráfico de ActiveSync existente. En las consideraciones sobre el diseño se incluye:

  • Servidor Windows: El conector para Exchange ActiveSync requiere la implementación de un servidor Windows Server.
  • Conjunto de reglas de filtrado: Al igual que el conector de Citrix Gateway para Exchange ActiveSync, el conector para Exchange ActiveSync incluye reglas de filtrado para evaluar el estado del dispositivo. Además, el conector para Exchange ActiveSync también admite reglas estáticas para filtrar según la pertenencia al grupo de Active Directory.
  • Integración en Exchange: El conector para Exchange ActiveSync requiere acceso directo al servidor de acceso de cliente (CAS) de Exchange que aloja el rol de ActiveSync y controla las acciones de cuarentena del dispositivo. Este requisito puede ser un problema dependiendo de la arquitectura del entorno y las indicaciones de seguridad. Es fundamental que evalúe este requisito técnico por adelantado.
  • Otros clientes de ActiveSync: Como el conector para Exchange ActiveSync filtra en el nivel de servicio de ActiveSync, tenga en cuenta otros clientes de ActiveSync fuera del entorno de Endpoint Management. Puede configurar reglas estáticas del conector para Exchange ActiveSync si quiere evitar un impacto involuntario sobre otros clientes de ActiveSync.
  • Funciones extendidas de Exchange: A través de la integración directa en Exchange ActiveSync, el conector para Exchange ActiveSync ofrece la capacidad de que Endpoint Management borre los datos de Exchange ActiveSync que haya en un dispositivo móvil. El conector para Exchange ActiveSync también permite que Endpoint Management acceda a información sobre dispositivos BlackBerry y realice otras operaciones de control.

Para ver un diagrama del conector de Endpoint Management para Exchange ActiveSync en una implementación de Endpoint Management, consulte Arquitectura.

Árbol de decisiones sobre plataformas de correo electrónico

La siguiente imagen tiene por objetivo facilitar la distinción entre las ventajas y las desventajas que ofrecen las soluciones de correo electrónico nativas o Secure Mail en su implementación de Endpoint Management. Cada opción implica que las opciones y los requisitos de Endpoint Management asociados permitan el acceso al servidor, la red y la base de datos. En los criterios de pros y contras se incluyen detalles sobre seguridad, directivas e interfaz de usuario.

Diagrama del árbol de decisiones sobre la plataforma de correo electrónico