Seguridad y experiencia de usuario
La seguridad es importante para cualquier organización, pero necesitas lograr un equilibrio entre la seguridad y la experiencia de usuario. Por ejemplo, podrías tener un entorno altamente seguro que sea difícil de usar para los usuarios. O bien, tu entorno podría ser tan fácil de usar que el control de acceso no sea tan estricto. Las otras secciones de este manual virtual cubren las características de seguridad en detalle. El propósito de este artículo es ofrecer una descripción general de las preocupaciones de seguridad comunes y las opciones de seguridad disponibles en XenMobile.
Aquí tienes algunas consideraciones clave a tener en cuenta para cada caso de uso:
- ¿Quieres proteger ciertas aplicaciones, todo el dispositivo o ambos?
- ¿Cómo quieres que tus usuarios autentiquen su identidad? ¿Planeas usar LDAP, autenticación basada en certificados o una combinación de ambos?
- ¿Cómo quieres gestionar los tiempos de espera de las sesiones de usuario? Ten en cuenta que existen diferentes valores de tiempo de espera para los servicios en segundo plano, Citrix ADC y para poder acceder a las aplicaciones sin conexión.
- ¿Quieres que los usuarios configuren un código de acceso a nivel de dispositivo, un código de acceso a nivel de aplicación o ambos? ¿Cuántos intentos de inicio de sesión quieres permitir a los usuarios? Ten en cuenta cómo los requisitos adicionales de autenticación por aplicación implementados con MAM podrían afectar la experiencia del usuario.
- ¿Qué otras restricciones quieres imponer a los usuarios? ¿Quieres que los usuarios accedan a servicios en la nube como Siri? ¿Qué pueden hacer y qué no con cada aplicación que les pones a disposición? ¿Quieres implementar políticas de Wi-Fi corporativas para evitar que se consuman los planes de datos móviles mientras están en las oficinas?
Aplicación frente a dispositivo
Una de las primeras cosas a considerar es si proteger solo ciertas aplicaciones usando la administración de aplicaciones móviles (MAM). O si también quieres administrar todo el dispositivo usando la administración de dispositivos móviles (MDM). Lo más común es que, si no necesitas control a nivel de dispositivo, solo administres aplicaciones móviles, especialmente si tu organización admite Trae Tu Propio Dispositivo (BYOD).
Los usuarios con dispositivos que XenMobile no administra pueden instalar aplicaciones a través de la tienda de aplicaciones. En lugar de controles a nivel de dispositivo, como el borrado selectivo o completo, controlas el acceso a las aplicaciones a través de políticas de aplicación. Las políticas, dependiendo de los valores que configures, requieren que el dispositivo compruebe XenMobile de forma rutinaria para confirmar que las aplicaciones aún tienen permiso para ejecutarse.
MDM te permite proteger un dispositivo completo, incluida la capacidad de hacer un inventario de todo el software en un dispositivo. Puedes evitar la inscripción si el dispositivo tiene jailbreak, está rooteado o tiene software inseguro instalado. Sin embargo, asumir este nivel de control hace que los usuarios desconfíen de permitir tanto poder sobre sus dispositivos personales y podría reducir las tasas de inscripción.
Autenticación
La autenticación es donde gran parte de la experiencia del usuario tiene lugar. Si tu organización ya está ejecutando Active Directory, usar Active Directory es la forma más sencilla de que tus usuarios accedan al sistema.
Otra parte importante de la experiencia de usuario de autenticación son los tiempos de espera. Un entorno de alta seguridad puede hacer que los usuarios inicien sesión cada vez que accedan al sistema, pero esa opción no es ideal para todas las organizaciones. Por ejemplo, hacer que los usuarios introduzcan sus credenciales cada vez que quieran acceder a su correo electrónico puede afectar significativamente la experiencia del usuario.
Entropía de usuario
Para mayor seguridad, puedes habilitar una característica llamada entropía de usuario. Citrix Secure Hub™ y algunas otras aplicaciones suelen compartir datos comunes como contraseñas, PIN y certificados para asegurarse de que todo funcione correctamente. Esta información se almacena en una bóveda genérica dentro de Secure Hub. Si habilitas la entropía de usuario a través de la opción Cifrar secretos, XenMobile crea una nueva bóveda llamada UserEntropy. XenMobile mueve la información de la bóveda genérica a la nueva bóveda. Para que Secure Hub u otra aplicación acceda a los datos, los usuarios deben introducir una contraseña o un PIN.
Habilitar la entropía de usuario añade otra capa de autenticación en varios lugares. Como resultado, los usuarios deben introducir una contraseña o un PIN cada vez que una aplicación requiera acceso a datos compartidos, incluidos los certificados, en la bóveda UserEntropy.
Puedes obtener más información sobre la entropía de usuario leyendo Acerca de MDX Toolkit en la documentación de XenMobile. Para activar la entropía de usuario, puedes encontrar la configuración relacionada en las Propiedades del cliente.
Políticas
Tanto las políticas MDX como las MDM ofrecen una gran flexibilidad a las organizaciones, pero también pueden restringir a los usuarios. Por ejemplo, podrías querer bloquear el acceso a aplicaciones en la nube, como Siri o iCloud, que tienen el potencial de enviar datos confidenciales a varias ubicaciones. Puedes configurar una política para bloquear el acceso a estos servicios, pero ten en cuenta que una política así puede tener consecuencias no deseadas. El micrófono del teclado de iOS también depende del acceso a la nube y también podrías bloquear el acceso a esa característica.
Aplicaciones
La Administración de Movilidad Empresarial (EMM) se divide en Administración de Dispositivos Móviles (MDM) y Administración de Aplicaciones Móviles (MAM). Mientras que MDM permite a las organizaciones proteger y controlar los dispositivos móviles, MAM facilita la entrega y administración de aplicaciones. Con la creciente adopción de BYOD, normalmente puedes implementar una solución MAM para ayudar con la entrega de aplicaciones, la concesión de licencias de software, la configuración y la administración del ciclo de vida de las aplicaciones.
Con XenMobile, puedes ir un paso más allá para proteger estas aplicaciones configurando políticas MAM específicas y ajustes de VPN para evitar fugas de datos y otras amenazas de seguridad. XenMobile ofrece a las organizaciones la flexibilidad de implementar cualquiera de las siguientes soluciones:
- Entorno solo MAM
- Entorno solo MDM
- Entorno unificado de XenMobile Enterprise que proporciona funcionalidad MDM y MAM en la misma plataforma
Además de la capacidad de entregar aplicaciones a dispositivos móviles, XenMobile ofrece la contenedorización de aplicaciones a través de la tecnología MDX. MDX protege las aplicaciones mediante un cifrado que es independiente del cifrado a nivel de dispositivo proporcionado por la plataforma. Puedes borrar o bloquear la aplicación, y las aplicaciones están sujetas a controles granulares basados en políticas. Los proveedores de software independientes (ISV) pueden aplicar estos controles usando el SDK de aplicaciones móviles.
En un entorno corporativo, los usuarios usan varias aplicaciones móviles para ayudar en su rol de trabajo. Las aplicaciones pueden incluir aplicaciones de la tienda de aplicaciones pública, aplicaciones desarrolladas internamente y aplicaciones nativas. XenMobile clasifica estas aplicaciones de la siguiente manera:
Aplicaciones públicas: Estas aplicaciones incluyen aplicaciones gratuitas o de pago disponibles en una tienda de aplicaciones pública, como Apple App Store o Google Play. Los proveedores externos a la organización suelen poner sus aplicaciones a disposición en las tiendas de aplicaciones públicas. Esta opción permite a sus clientes descargar las aplicaciones directamente de Internet. Es posible que uses numerosas aplicaciones públicas en tu organización, dependiendo de las necesidades de los usuarios. Ejemplos de estas aplicaciones incluyen GoToMeeting, Salesforce y las aplicaciones de EpicCare.
Citrix no admite la descarga de binarios de aplicaciones directamente desde las tiendas de aplicaciones públicas para luego empaquetarlos con MDX Toolkit para su distribución empresarial. Para habilitar aplicaciones de terceros con MDX, contacta con tu proveedor de aplicaciones para obtener los binarios de la aplicación. Puedes empaquetar los binarios usando MDX Toolkit o integrar el SDK de MAM con los binarios.
Aplicaciones internas: Muchas organizaciones tienen desarrolladores internos que crean aplicaciones que proporcionan funcionalidades específicas y se desarrollan y distribuyen de forma independiente dentro de la organización. En ciertos casos, algunas organizaciones también pueden tener aplicaciones proporcionadas por ISV. Puedes implementar estas aplicaciones como aplicaciones nativas o puedes contenerizar las aplicaciones usando una solución MAM, como XenMobile. Por ejemplo, una organización de atención médica puede crear una aplicación interna que permite a los médicos ver información de pacientes en dispositivos móviles. Una organización puede entonces habilitar la aplicación con el SDK de MAM o empaquetarla con MDM para proteger la información del paciente y habilitar el acceso VPN al servidor de la base de datos de pacientes de back-end.
Aplicaciones web y SaaS: Estas aplicaciones incluyen aplicaciones a las que se accede desde una red interna (aplicaciones web) o a través de una red pública (SaaS). XenMobile también te permite crear aplicaciones web y SaaS personalizadas usando una lista de conectores de aplicaciones. Estos conectores de aplicaciones pueden facilitar el inicio de sesión único (SSO) a las aplicaciones web existentes. Para obtener más detalles, consulta Tipos de conectores de aplicaciones. Por ejemplo, puedes usar Google Apps SAML para SSO basado en Security Assertion Markup Language (SAML) para Google Apps.
Aplicaciones de productividad móvil: Aplicaciones desarrolladas por Citrix que se incluyen con la licencia de XenMobile. Para obtener más detalles, consulta Acerca de las aplicaciones de productividad móvil. Citrix también ofrece otras aplicaciones listas para empresas que los ISV desarrollan usando el SDK de aplicaciones móviles.
Aplicaciones HDX: Aplicaciones alojadas en Windows que publicas con StoreFront. Si tienes un entorno de Citrix Virtual Apps and Desktops™, puedes integrar las aplicaciones con XenMobile para que las aplicaciones estén disponibles para los usuarios inscritos.
Dependiendo del tipo de aplicaciones móviles que planees implementar y administrar con XenMobile, la configuración y la arquitectura subyacentes difieren. Por ejemplo, si varios grupos de usuarios con diferentes niveles de permiso consumen una sola aplicación, es posible que necesites grupos de entrega separados para implementar dos versiones de la aplicación. Además, debes asegurarte de que la pertenencia al grupo de usuarios sea mutuamente excluyente para evitar desajustes de políticas en los dispositivos de los usuarios.
También podrías querer administrar las licencias de aplicaciones iOS usando la compra por volumen de Apple. Esta opción requiere que te registres para la compra por volumen de Apple y configures los ajustes de compra por volumen de XenMobile en la consola de XenMobile para distribuir las aplicaciones con las licencias de compra por volumen. Varios de estos casos de uso hacen que sea importante evaluar y planificar tu estrategia MAM antes de implementar el entorno XenMobile. Puedes empezar a planificar tu estrategia MAM definiendo lo siguiente:
Tipos de aplicaciones: Enumera los diferentes tipos de aplicaciones que planeas admitir y luego clasifícalas. Por ejemplo: aplicaciones públicas, nativas, de productividad móvil, web, internas, de ISV, etc. Además, clasifica las aplicaciones para diferentes plataformas de dispositivos, como iOS y Android. Esta categorización te ayuda a alinear la configuración de XenMobile necesaria para cada tipo de aplicación. Por ejemplo, es posible que ciertas aplicaciones no califiquen para el wrapping o que requieran el SDK de aplicaciones móviles para habilitar API especiales para la interacción con otras aplicaciones.
Requisitos de red: Configura las aplicaciones con requisitos específicos de acceso a la red con la configuración adecuada. Por ejemplo, es posible que ciertas aplicaciones necesiten acceder a tu red interna a través de una VPN. Algunas aplicaciones podrían requerir acceso a Internet para enrutar el acceso a través de la DMZ. Para permitir que dichas aplicaciones se conecten a la red requerida, debes configurar varias opciones en consecuencia. Definir los requisitos de red por aplicación ayuda a finalizar tus decisiones arquitectónicas desde el principio, lo que agiliza el proceso general de implementación.
Requisitos de seguridad: Es fundamental definir los requisitos de seguridad que se aplican a aplicaciones individuales o a todas las aplicaciones. Esa planificación asegura que crees las configuraciones correctas al instalar el servidor XenMobile. Aunque configuraciones como las políticas MDX se aplican a aplicaciones individuales, la configuración de sesión y autenticación se aplica a todas las aplicaciones. Algunas aplicaciones pueden tener requisitos específicos de cifrado, containerization, wrapping, autenticación, geocercado, código de acceso o uso compartido de datos que puedes describir con antelación para simplificar tu implementación.
Requisitos de implementación: Es posible que quieras usar una implementación basada en políticas para permitir que solo los usuarios conformes descarguen las aplicaciones publicadas. Por ejemplo, es posible que quieras que ciertas aplicaciones requieran cualquiera de los siguientes:
- el cifrado basado en la plataforma del dispositivo está habilitado
- el dispositivo está administrado
- el dispositivo cumple una versión mínima del sistema operativo
- ciertas aplicaciones solo están disponibles para usuarios corporativos
También es posible que quieras que ciertas aplicaciones solo estén disponibles para usuarios corporativos. Describe estos requisitos con antelación para que puedas configurar las reglas o acciones de implementación adecuadas.
Requisitos de licencia: Mantén un registro de los requisitos de licencia relacionados con las aplicaciones. Estas notas te ayudan a gestionar el uso de licencias de forma eficaz y a decidir si configurar funciones específicas en XenMobile para facilitar la concesión de licencias. Por ejemplo, si implementas una aplicación iOS gratuita o de pago, Apple impone requisitos de licencia en la aplicación al exigir a los usuarios que inicien sesión en su cuenta de iTunes. Puedes registrarte para la compra por volumen de Apple para distribuir y administrar estas aplicaciones a través de XenMobile. La compra por volumen permite a los usuarios descargar las aplicaciones sin tener que iniciar sesión en su cuenta de iTunes. Además, herramientas como Samsung SAFE y Samsung Knox tienen requisitos de licencia especiales que debes cumplir antes de implementar esas funciones.
Requisitos de lista de permitidos y lista de bloqueados: Es probable que quieras evitar que los usuarios instalen o usen algunas aplicaciones. Crea una lista de permitidos de aplicaciones que hacen que un dispositivo no cumpla con las normas. Luego, configura políticas para que se activen cuando un dispositivo deje de cumplir con las normas. Por otro lado, una aplicación podría ser aceptable para su uso, pero podría estar en la lista de bloqueados por alguna razón. En ese caso, puedes agregar la aplicación a una lista de permitidos e indicar que la aplicación es aceptable para usar, pero no es obligatoria. Además, ten en cuenta que las aplicaciones preinstaladas en dispositivos nuevos pueden incluir algunas aplicaciones de uso común que no forman parte del sistema operativo. Esas aplicaciones podrían entrar en conflicto con tu estrategia de lista de bloqueados.
Caso de uso de aplicaciones
Una organización de atención médica planea implementar XenMobile para que sirva como solución MAM para sus aplicaciones móviles. Las aplicaciones móviles se entregan a usuarios corporativos y BYOD. TI decide entregar y administrar las siguientes aplicaciones:
- Aplicaciones de productividad móvil: Aplicaciones iOS y Android proporcionadas por Citrix.
- Secure Mail: Aplicación de correo electrónico, calendario y contactos.
- Secure Web: Navegador web seguro que proporciona acceso a Internet y a sitios de intranet.
- Citrix Files: Aplicación para acceder a datos compartidos y para compartir, sincronizar y editar archivos.
Tienda de aplicaciones públicas
- Secure Hub: Cliente utilizado por todos los dispositivos móviles para comunicarse con XenMobile. TI envía configuraciones de seguridad, configuraciones y aplicaciones móviles a los dispositivos móviles a través del cliente Secure Hub. Los dispositivos Android e iOS se inscriben en XenMobile a través de Secure Hub.
- Citrix Receiver™: Aplicación móvil que permite a los usuarios abrir aplicaciones alojadas por Virtual Apps and Desktops en dispositivos móviles.
- GoToMeeting: Un cliente de reuniones en línea, uso compartido de escritorio y videoconferencias que permite a los usuarios reunirse con otros usuarios de computadoras, clientes o colegas a través de Internet en tiempo real.
- Salesforce1: Salesforce1 permite a los usuarios acceder a Salesforce desde dispositivos móviles y reúne todos los procesos de Chatter, CRM, aplicaciones personalizadas y procesos de negocio en una experiencia unificada para cualquier usuario de Salesforce.
- RSA SecurID: Token basado en software para autenticación de dos factores.
-
Aplicaciones EpicCare: Estas aplicaciones brindan a los profesionales de la salud acceso seguro y portátil a los historiales de pacientes, listas de pacientes, horarios y mensajería.
- Haiku: Aplicación móvil para iPhone y teléfonos Android.
- Canto: Aplicación móvil para iPad.
- Rover: Aplicaciones móviles para iPhone y iPad.
HDX: Estas aplicaciones se entregan a través de Citrix Virtual Apps™ y Desktops.
- Epic Hyperspace: Aplicación cliente de Epic para la gestión de registros de salud electrónicos.
ISV
- Vocera: Aplicación móvil de voz sobre IP y mensajería compatible con HIPAA que extiende los beneficios de la tecnología de voz de Vocera en cualquier momento y lugar a través de teléfonos inteligentes iPhone y Android.
Aplicaciones internas
- HCMail: Aplicación que ayuda a redactar mensajes cifrados, buscar libretas de direcciones en servidores de correo internos y enviar los mensajes cifrados a los contactos utilizando un cliente de correo electrónico.
Aplicaciones web internas
- PatientRounding: Aplicación web utilizada para registrar información de salud del paciente por diferentes departamentos.
- Outlook Web Access: Permite el acceso al correo electrónico a través de un navegador web.
- SharePoint: Se utiliza para compartir archivos y datos en toda la organización.
La siguiente tabla enumera la información básica necesaria para la configuración de MAM.
| Nombre de la aplicación | Tipo de aplicación | Wrapping MDX | iOS | Android |
| Secure Mail | Aplicación XenMobile | No para la versión 10.4.1 y posteriores | Sí | Sí |
| Secure Web | Aplicación XenMobile | No para la versión 10.4.1 y posteriores | Sí | Sí |
| Citrix Files | Aplicación XenMobile | No para la versión 10.4.1 y posteriores | Sí | Sí |
| Secure Hub | Aplicación pública | N/A | Sí | Sí |
| Citrix Receiver | Aplicación pública | N/A | Sí | Sí |
| GoToMeeting | Aplicación pública | N/A | Sí | Sí |
| Salesforce1 | Aplicación pública | N/A | Sí | Sí |
| RSA SecurID | Aplicación pública | N/A | Sí | Sí |
| Epic Haiku | Aplicación pública | N/A | Sí | Sí |
| Epic Canto | Aplicación pública | N/A | Sí | No |
| Epic Rover | Aplicación pública | N/A | Sí | No |
| Epic Hyperspace | Aplicación HDX™ | N/A | Sí | Sí |
| Vocera | Aplicación ISV | Sí | Sí | Sí |
| HCMail | Aplicación interna | Sí | Sí | Sí |
| PatientRounding | Aplicación web | N/A | Sí | Sí |
| Outlook Web Access | Aplicación web | N/A | Sí | Sí |
| SharePoint | Aplicación web | N/A | Sí | Sí |
Las siguientes tablas enumeran los requisitos específicos que puedes consultar al configurar las políticas de MAM en XenMobile.
| Nombre de la aplicación | VPN requerida | Interacción | Interacción | Cifrado basado en la plataforma del dispositivo |
| (con aplicaciones fuera del contenedor) | (desde aplicaciones fuera del contenedor) | |||
|---|---|---|---|---|
| Secure Mail | Sí | Permitido selectivamente | Permitido | No requerido |
| Secure Web | Sí | Permitido | Permitido | No requerido |
| Citrix Files | Sí | Permitido | Permitido | No requerido |
| Secure Hub | Sí | N/A | N/A | N/A |
| Citrix Receiver | Sí | N/A | N/A | N/A |
| GoToMeeting | No | N/A | N/A | N/A |
| Salesforce1 | No | N/A | N/A | N/A |
| RSA SecurID | No | N/A | N/A | N/A |
| Epic Haiku | Sí | N/A | N/A | N/A |
| Epic Canto | Sí | N/A | N/A | N/A |
| Epic Rover | Sí | N/A | N/A | N/A |
| Epic Hyperspace | Sí | N/A | N/A | N/A |
| Vocera | Sí | Bloqueado | Bloqueado | No requerido |
| HCMail | Sí | Bloqueado | Bloqueado | Requerido |
| PatientRounding | Sí | N/A | N/A | Requerido |
| Outlook Web Access | Sí | N/A | N/A | No requerido |
| SharePoint | Sí | N/A | N/A | No requerido |
| Nombre de la aplicación | Filtrado de proxy | Licencias | Geocercado | SDK de aplicaciones móviles | Versión mínima del sistema operativo |
|---|---|---|---|---|---|
| Secure Mail | Requerido | N/A | Requerido selectivamente | N/A | Aplicado |
| Secure Web | Requerido | N/A | No requerido | N/A | Aplicado |
| Citrix Files | Requerido | N/A | No requerido | N/A | Aplicado |
| Secure Hub | No requerido | Compra por volumen | No requerido | N/A | No aplicado |
| Citrix Receiver | No requerido | Compra por volumen | No requerido | N/A | No aplicado |
| GoToMeeting | No requerido | Compra por volumen | No requerido | N/A | No aplicado |
| Salesforce1 | No requerido | Compra por volumen | No requerido | N/A | No aplicado |
| RSA SecurID | No requerido | Compra por volumen | No requerido | N/A | No aplicado |
| Epic Haiku | No requerido | Compra por volumen | No requerido | N/A | No aplicado |
| Epic Canto | No requerido | Compra por volumen | No requerido | N/A | No aplicado |
| Epic Rover | No requerido | Compra por volumen | No requerido | N/A | No aplicado |
| Epic Hyperspace | No requerido | N/A | No requerido | N/A | No aplicado |
| Vocera | Requerido | N/A | Requerido | Requerido | Aplicado |
| HCMail | Requerido | N/A | Requerido | Requerido | Aplicado |
| PatientRound-ing | Requerido | N/A | No requerido | N/A | No aplicado |
| Outlook Web Access | Requerido | N/A | No requerido | N/A | No aplicado |
| SharePoint | Requerido | N/A | No requerido | N/A | No aplicado |
Comunidades de usuarios
Cada organización consta de diversas comunidades de usuarios que operan en diferentes roles funcionales. Estas comunidades de usuarios realizan diferentes tareas y funciones de oficina utilizando varios recursos que tú proporcionas a través de los dispositivos móviles de los usuarios. Los usuarios pueden trabajar desde casa o en oficinas remotas utilizando los dispositivos móviles que tú proporcionas. O bien, los usuarios pueden usar sus dispositivos móviles personales, lo que les permite acceder a herramientas que están sujetas a ciertas reglas de cumplimiento de seguridad.
A medida que más comunidades de usuarios utilizan dispositivos móviles, la Gestión de la Movilidad Empresarial (EMM) se vuelve fundamental para prevenir fugas de datos y para aplicar restricciones de seguridad. Para una gestión de dispositivos móviles eficiente y más sofisticada, puedes categorizar tus comunidades de usuarios. Hacerlo simplifica la asignación de usuarios a recursos y garantiza que las políticas de seguridad correctas se apliquen a los usuarios adecuados.
El siguiente ejemplo ilustra cómo se clasifican las comunidades de usuarios de una organización de atención médica para EMM.
Caso de uso de comunidades de usuarios
Esta organización sanitaria de ejemplo proporciona recursos tecnológicos y acceso a múltiples usuarios, incluidos empleados de red y afiliados, y voluntarios. La organización ha decidido implementar la solución EMM solo para usuarios no ejecutivos.
Los roles y funciones de los usuarios de esta organización se pueden dividir en subgrupos que incluyen: personal clínico, no clínico y contratistas. Un conjunto seleccionado de usuarios recibe dispositivos móviles corporativos, mientras que otros pueden acceder a recursos limitados de la empresa desde sus dispositivos personales. Para aplicar el nivel adecuado de restricciones de seguridad y evitar fugas de datos, la organización decidió que el departamento de TI corporativo gestiona cada dispositivo inscrito, ya sea emitido por la empresa o BYOD. Además, los usuarios solo pueden inscribir un único dispositivo.
La siguiente sección proporciona una descripción general de los roles y funciones de cada subgrupo:
Personal clínico
- Personal de enfermería
- Médicos (doctores, cirujanos, etc.)
- Especialistas (dietistas, anestesiólogos, radiólogos, cardiólogos, oncólogos, etc.)
- Médicos externos (médicos no empleados y personal de oficina que trabaja desde oficinas remotas)
- Servicios de atención domiciliaria (personal de oficina y móvil que presta servicios médicos para visitas a domicilio de pacientes)
- Especialista en investigación (trabajadores del conocimiento y usuarios avanzados en seis institutos de investigación que realizan investigación clínica para encontrar respuestas a problemas en medicina)
- Educación y formación (personal de enfermería, médicos y especialistas en educación y formación)
Personal no clínico
- Servicios compartidos (personal de oficina que realiza diversas funciones administrativas, como: RR. HH., nóminas, cuentas por pagar, servicio de cadena de suministro, etc.)
- Servicios médicos (personal de oficina que realiza diversas funciones de gestión sanitaria, servicios administrativos y soluciones de procesos de negocio para proveedores, incluidos: servicios administrativos, análisis e inteligencia empresarial, sistemas empresariales, servicios al cliente, finanzas, administración de atención gestionada, soluciones de acceso de pacientes, soluciones de ciclo de ingresos, etc.)
- Servicios de asistencia (personal de oficina que realiza diversas funciones no clínicas, como: administración de beneficios, integración clínica, comunicaciones, gestión de compensaciones y rendimiento, servicios de instalaciones y propiedades, sistemas de tecnología de RR. HH., servicios de información, auditoría interna y mejora de procesos, etc.)
- Programas filantrópicos (personal de oficina y móvil que realiza diversas funciones en apoyo de programas filantrópicos)
Contratistas
- Socios fabricantes y proveedores (en el sitio y conectados de forma remota a través de VPN de sitio a sitio, que proporcionan diversas funciones de asistencia no clínicas)
Basándose en la información anterior, la organización creó las siguientes entidades. Para obtener más información sobre los grupos de entrega en XenMobile, consulta Implementar recursos.
Unidades organizativas (OU) y grupos de Active Directory
Para la OU = Recursos de XenMobile:
- OU = Personal clínico; Grupos =
- XM-Personal de enfermería
- XM-Médicos
- XM-Especialistas
- XM-Médicos externos
- XM-Servicios de atención domiciliaria
- XM-Especialista en investigación
- XM-Educación y formación
- OU = Personal no clínico; Grupos =
- XM-Servicios compartidos
- XM-Servicios médicos
- XM-Servicios de asistencia
- XM-Programas filantrópicos
Usuarios y grupos locales de XenMobile
Para el grupo = Contratistas, Usuarios =
- Proveedor1
- Proveedor2
- Proveedor 3
- … Proveedor 10
Grupos de entrega de XenMobile
- Personal clínico-Personal de enfermería
- Personal clínico-Médicos
- Personal clínico-Especialistas
- Personal clínico-Médicos externos
- Personal clínico-Servicios de atención domiciliaria
- Personal clínico-Especialista en investigación
- Personal clínico-Educación y formación
- Personal no clínico-Servicios compartidos
- Personal no clínico-Servicios médicos
- Personal no clínico-Servicios de asistencia
- Personal no clínico-Programas filantrópicos
Asignación de grupos de entrega y grupos de usuarios
| Grupos de Active Directory | Grupos de entrega de XenMobile |
| XM-Personal de enfermería | Personal clínico-Personal de enfermería |
| XM-Médicos | Personal clínico-Médicos |
| XM-Especialistas | Personal clínico-Especialistas |
| XM-Médicos externos | Personal clínico-Médicos externos |
| XM-Servicios de atención domiciliaria | Personal clínico-Servicios de atención domiciliaria |
| XM-Especialista en investigación | Personal clínico-Especialista en investigación |
| XM-Educación y formación | Personal clínico-Educación y formación |
| XM-Servicios compartidos | Personal no clínico-Servicios compartidos |
| XM-Servicios médicos | Personal no clínico-Servicios médicos |
| XM-Servicios de asistencia | Personal no clínico-Servicios de asistencia |
| XM-Programas filantrópicos | Personal no clínico-Programas filantrópicos |
Asignación de grupos de entrega y recursos
Las siguientes tablas ilustran los recursos asignados a cada grupo de entrega en este caso de uso. La primera tabla muestra las asignaciones de aplicaciones móviles. La segunda tabla muestra las aplicaciones públicas, las aplicaciones HDX y los recursos de administración de dispositivos.
| Grupos de entrega de XenMobile | Aplicaciones móviles de Citrix | Aplicaciones móviles públicas | Aplicaciones móviles HDX |
| Personal clínico-Personal de enfermería | X | ||
| Personal clínico-Médicos | |||
| Personal clínico-Especialistas | |||
| Personal clínico-Médicos externos | X | ||
| Personal clínico-Servicios de atención domiciliaria | X | ||
| Personal clínico-Especialista en investigación | X | ||
| Personal clínico-Educación y formación | X | X | |
| Personal no clínico-Servicios compartidos | X | X | |
| Personal no clínico-Servicios médicos | X | X | |
| Personal no clínico-Servicios de asistencia | X | X | X |
| Personal no clínico-Programas filantrópicos | X | X | X |
| Contratistas | X | X | X |
| Grupos de entrega de XenMobile | Aplicación pública: RSA SecurID | Aplicación pública: EpicCare Haiku | Aplicación HDX: Epic Hyperspace | Directiva de código de acceso | Restricciones de dispositivo | Acciones automatizadas | Directiva de Wi-Fi |
| Personal clínico-Personal de enfermería | X | ||||||
| Personal clínico-Médicos | X | ||||||
| Personal clínico-Especialistas | |||||||
| Personal clínico-Médicos externos | |||||||
| Personal clínico-Servicios de atención domiciliaria | |||||||
| Personal clínico-Especialista en investigación | |||||||
| Personal clínico-Educación y formación | X | X | |||||
| Personal no clínico-Servicios compartidos | X | X | |||||
| Personal no clínico-Servicios médicos | X | X | |||||
| Personal no clínico-Servicios de asistencia | X | X |
Notas y consideraciones
- XenMobile crea un grupo de entrega predeterminado llamado Todos los usuarios durante la configuración inicial. Si no inhabilitas este grupo de entrega, todos los usuarios de Active Directory tienen derecho a inscribirse en XenMobile.
- XenMobile sincroniza los usuarios y grupos de Active Directory bajo demanda mediante una conexión dinámica al servidor LDAP.
- Si un usuario forma parte de un grupo que no está asignado en XenMobile, ese usuario no puede inscribirse. Del mismo modo, si un usuario es miembro de varios grupos, XenMobile lo categoriza como perteneciente únicamente a los grupos asignados a XenMobile.
- Para que la inscripción de MDM sea obligatoria, debes establecer la opción Inscripción obligatoria en True en las Propiedades del servidor de la consola de XenMobile. Para obtener más información, consulta Propiedades del servidor.
- Puedes eliminar un grupo de usuarios de un grupo de entrega de XenMobile eliminando la entrada en la base de datos de SQL Server, en dbo.userlistgrps. Precaución: Antes de realizar esta acción, crea una copia de seguridad de XenMobile y de la base de datos.
Acerca de la propiedad de los dispositivos en XenMobile
Puedes agrupar a los usuarios según el propietario del dispositivo de un usuario. La propiedad del dispositivo incluye dispositivos propiedad de la empresa y dispositivos propiedad del usuario, también conocidos como trae tu propio dispositivo (BYOD). Puedes controlar cómo los dispositivos BYOD se conectan a tu red en dos lugares de la consola de XenMobile: en las reglas de implementación para cada tipo de recurso y a través de las propiedades del servidor en la página Configuración. Para obtener más información sobre las reglas de implementación, consulta Configurar reglas de implementación en la documentación de XenMobile. Para obtener más información sobre las propiedades del servidor, consulta Propiedades del servidor.
Puedes exigir a todos los usuarios de BYOD que acepten la administración corporativa de sus dispositivos antes de que puedan acceder a las aplicaciones. O bien, puedes dar acceso a los usuarios a las aplicaciones corporativas sin administrar también sus dispositivos.
Cuando estableces la configuración del servidor wsapi.mdm.required.flag en true, XenMobile gestiona todos los dispositivos BYOD, y a cualquier usuario que rechace la inscripción se le deniega el acceso a las aplicaciones. Considera establecer wsapi.mdm.required.flag en true en entornos donde los equipos de TI empresariales necesitan alta seguridad junto con una experiencia de usuario positiva al inscribir dispositivos de usuario en XenMobile.
Si dejas wsapi.mdm.required.flag en false, que es la configuración predeterminada, los usuarios pueden rechazar la inscripción, pero aún así podrían acceder a las aplicaciones en sus dispositivos a través de XenMobile Store. Considera establecer wsapi.mdm.required.flag en false en entornos donde las restricciones de privacidad, legales o regulatorias no requieren administración de dispositivos, solo administración de aplicaciones empresariales.
Los usuarios con dispositivos que XenMobile no gestiona pueden instalar aplicaciones a través de la tienda de XenMobile. En lugar de controles a nivel de dispositivo, como el borrado selectivo o completo, tú controlas el acceso a las aplicaciones mediante políticas de aplicación. Las políticas, dependiendo de los valores que configures, requieren que el dispositivo compruebe el servidor de XenMobile de forma rutinaria para confirmar que las aplicaciones aún tienen permiso para ejecutarse.
Requisitos de seguridad
La cantidad de consideraciones de seguridad al implementar un entorno XenMobile puede volverse abrumadora rápidamente. Hay muchas piezas y configuraciones interconectadas. Para ayudarte a empezar y elegir un nivel de protección aceptable, Citrix te ofrece recomendaciones para seguridad Alta, Superior y Máxima, descritas en la siguiente tabla.
Tu elección del modo de implementación implica más que solo preocupaciones de seguridad. Es importante que también revises los requisitos del caso de uso y decidas si puedes mitigar las preocupaciones de seguridad antes de elegir tu modo de implementación.
Alta: El uso de estas configuraciones proporciona una experiencia de usuario óptima mientras se mantiene un nivel básico de seguridad aceptable para la mayoría de las organizaciones.
Superior: Estas configuraciones crean un equilibrio más sólido entre seguridad y usabilidad.
Máxima: Seguir estas recomendaciones proporciona un alto nivel de seguridad a costa de la usabilidad y la adopción por parte del usuario.
Consideraciones de seguridad del modo de implementación
La siguiente tabla especifica los modos de implementación para cada nivel de seguridad.
| Seguridad Alta | Seguridad Superior | Seguridad Máxima |
| MAM o MDM | MDM+MAM | MDM+MAM; más FIPS |
Notas:
- Dependiendo del caso de uso, una implementación solo de MDM o solo de MAM puede cumplir los requisitos de seguridad y proporcionar una buena experiencia de usuario.
- Si no necesitas la contenerización de aplicaciones, micro VPN o políticas específicas de aplicaciones, MDM es suficiente para gestionar y proteger los dispositivos.
- Para casos de uso como BYOD en los que la contenerización de aplicaciones por sí sola puede satisfacer todos los requisitos empresariales y de seguridad, Citrix recomienda el modo solo MAM.
- Para entornos de alta seguridad (y dispositivos corporativos), Citrix recomienda MDM+MAM para aprovechar todas las capacidades de seguridad disponibles. Asegúrate de aplicar la inscripción de MDM.
- Opciones de FIPS para entornos con las necesidades de seguridad más altas, como el gobierno federal.
Si habilitas el modo FIPS, debes configurar SQL Server para cifrar el tráfico SQL.
Consideraciones de seguridad de Citrix ADC y Citrix Gateway
La siguiente tabla especifica las recomendaciones de Citrix ADC y Citrix Gateway para cada nivel de seguridad.
| Seguridad Alta | Seguridad Superior | Seguridad Máxima |
| Se recomienda Citrix ADC. Citrix Gateway es necesario para MAM y ENT; recomendado para MDM | Citrix ADC estándar para la configuración del asistente de XenMobile con puente SSL si XenMobile está en la DMZ. O descarga SSL si es necesario para cumplir los estándares de seguridad cuando el servidor de XenMobile está en la red interna. | Descarga SSL con cifrado de extremo a extremo |
Notas:
- Exponer el servidor de XenMobile a Internet a través de NAT o de proxies y equilibradores de carga de terceros existentes puede ser una opción para MDM. Sin embargo, esa configuración requiere que el tráfico SSL termine en el servidor de XenMobile, lo que plantea un riesgo de seguridad potencial.
- Para entornos de alta seguridad, Citrix ADC con la configuración predeterminada de XenMobile normalmente cumple o supera los requisitos de seguridad.
- Para entornos MDM con las necesidades de seguridad más altas, la terminación SSL en Citrix ADC permite la inspección del tráfico en el perímetro y mantiene el cifrado SSL de extremo a extremo.
- Opciones para definir cifrados SSL/TLS.
- También está disponible el hardware SSL FIPS Citrix ADC.
- Para obtener más información, consulta Integración con Citrix Gateway y Citrix ADC.
Consideraciones de seguridad de la inscripción
La siguiente tabla especifica las recomendaciones de Citrix ADC y Citrix Gateway para cada nivel de seguridad.
| Seguridad Alta | Seguridad Superior | Seguridad Máxima |
| Solo pertenencia a grupos de Active Directory. Grupo de entrega Todos los usuarios deshabilitado. | Modo de seguridad de inscripción solo por invitación. Solo pertenencia a grupos de Active Directory. Grupo de entrega Todos los usuarios deshabilitado. | Modo de seguridad de inscripción vinculado al ID del dispositivo. Solo pertenencia a grupos de Active Directory. Grupo de entrega Todos los usuarios deshabilitado. |
Notas:
- Citrix generalmente recomienda que restrinjas la inscripción solo a los usuarios de grupos de Active Directory predefinidos. Esa configuración requiere deshabilitar el grupo de entrega integrado Todos los usuarios.
- Puedes usar invitaciones de inscripción para restringir la inscripción a usuarios con una invitación. Las invitaciones de inscripción no están disponibles para dispositivos Windows.
- Puedes usar invitaciones de inscripción con PIN de un solo uso (OTP) como solución de autenticación de dos factores y para controlar la cantidad de dispositivos que un usuario puede inscribir. Las invitaciones OTP no están disponibles para dispositivos Windows.
Consideraciones de seguridad del código de acceso del dispositivo
La siguiente tabla especifica las recomendaciones de código de acceso del dispositivo para cada nivel de seguridad.
| Seguridad Alta | Seguridad Superior | Seguridad Máxima |
| Recomendado. Se requiere alta seguridad para el cifrado a nivel de dispositivo. Se aplica mediante MDM. Puedes establecer alta seguridad según sea necesario solo para MAM usando la política MDX, Comportamiento de dispositivo no conforme. | Se aplica mediante MDM, una política MDX o ambos. | Se aplica mediante MDM y la política MDX. Política de código de acceso complejo de MDM. |
Notas:
- Citrix recomienda el uso de un código de acceso para el dispositivo.
- Puedes aplicar un código de acceso para el dispositivo mediante una política MDM.
- Puedes usar una política MDX para que un código de acceso del dispositivo sea un requisito para usar aplicaciones gestionadas. Por ejemplo, para casos de uso BYOD.
- Citrix recomienda combinar las opciones de política MDM y MDX para aumentar la seguridad en entornos MDM+MAM.
- Para entornos con los requisitos de seguridad más altos, puedes configurar políticas de código de acceso complejo y aplicarlas con MDM. Puedes configurar acciones automáticas para notificar a los administradores o emitir borrados selectivos/completos del dispositivo cuando un dispositivo no cumple con una política de código de acceso.