XenMobile Server

Seguridad y experiencia del usuario

La seguridad es importante para cualquier organización, pero hay que encontrar el equilibrio entre la seguridad y la experiencia del usuario. Por ejemplo, es posible que tenga un entorno muy seguro que resulte difícil de usar para los usuarios. O, al contrario, es posible que su entorno resulte tan fácil de usar que el control del acceso no sea tan estricto como debiera. En las demás secciones de este manual virtual se tratan detalladamente las funciones de seguridad. El propósito de este artículo es ofrecer una descripción general de los aspectos más comunes sobre seguridad y las opciones de seguridad disponibles en XenMobile.

Estas son algunas consideraciones clave que debe tener en cuenta para cada caso de uso:

  • ¿Quiere proteger determinadas aplicaciones, todo el dispositivo o ambos?
  • ¿Cómo quiere que los usuarios se autentiquen? ¿Piensa utilizar LDAP, la autenticación por certificado o una combinación de ambos?
  • ¿Cómo quiere gestionar los tiempos de espera de sesión de usuario? Tenga en cuenta que existen valores de tiempo de espera diferentes para los servicios en segundo plano, Citrix ADC y para el acceso a aplicaciones sin conexión.
  • ¿Quiere que los usuarios configuren una clave de acceso a nivel de dispositivo, a nivel de aplicación o ambos? ¿Cuántos intentos de inicio de sesión quiere permitir a los usuarios? Tenga en cuenta de qué manera los requisitos adicionales de autenticación por aplicación implementados con MAM podrían afectar a la experiencia del usuario.
  • ¿Qué otras restricciones quiere imponer a los usuarios? ¿Quiere que los usuarios tengan acceso a servicios en la nube, como Siri? ¿Qué pueden hacer con cada aplicación que se ponga a su disposición y qué no pueden hacer? ¿Quiere implementar directivas de red Wi-Fi en la empresa para impedir que se consuman planes de datos móviles en las oficinas?

Aplicación y dispositivo

Uno de los primeros aspectos que hay que considerar es si proteger solo ciertas aplicaciones con administración de aplicaciones móviles (MAM). O si también quiere administrar todo el dispositivo con administración de dispositivos móviles (MDM). Lo más frecuente es que, si no requiere control a nivel de dispositivo, solo administrará las aplicaciones móviles, sobre todo si la organización admite los dispositivos Bring Your Own Device (BYOD).

Los usuarios cuyos dispositivos no administra XenMobile pueden instalar aplicaciones a través de la tienda de aplicaciones. En lugar de controles a nivel de dispositivo (como el borrado completo o selectivo de datos), se puede controlar el acceso a las aplicaciones a través de directivas de aplicaciones. Las directivas, según los valores que se establezcan, requieren que el dispositivo consulte frecuentemente XenMobile para confirmar que las aplicaciones aún se pueden ejecutar.

MDM permite proteger un dispositivo completo, incluida la capacidad de realizar un inventario de todo el software presente en un dispositivo. Puede impedir la inscripción si el dispositivo está liberado por jailbreak, rooting o tiene instalado software no seguro. Sin embargo, asumir este nivel de control hace que los usuarios sean reacios a permitir tanto poder sobre sus dispositivos personales y puede reducir las tasas de inscripción.

Autenticación

La autenticación es donde se lleva a cabo una gran parte de la experiencia del usuario. Si la organización ya ejecuta Active Directory, usar Active Directory es la forma más sencilla de que los usuarios accedan al sistema.

Otra parte importante de la experiencia de autenticación de los usuarios son los tiempos de espera. En un entorno de alta seguridad, los usuarios inician sesión cada vez que acceden al sistema, pero esa opción no es idónea para todas las organizaciones. Por ejemplo, obligar a introducir las credenciales cada vez que se quiere acceder al correo electrónico puede afectar negativamente a la experiencia de usuario.

Entropía de usuario

Para obtener una mayor seguridad, puede habilitar una función llamada entropía de usuario. Citrix Secure Hub y otras aplicaciones a menudo comparten datos comunes (como contraseñas, números PIN y certificados) para garantizar que todo funciona correctamente. Esta información se almacena en una caja fuerte genérica dentro de Secure Hub. Si habilita la entropía del usuario a través de la opción Cifrar secretos, XenMobile crea una nueva caja fuerte llamada UserEntropy. XenMobile traslada la información desde la caja fuerte genérica a esta nueva caja. Para que Secure Hub u otra aplicación accedan a los datos, los usuarios deben escribir una contraseña o PIN.

Habilitar la entropía de usuario agrega otra capa de autenticación en varios lugares. Como resultado, los usuarios deben introducir una contraseña o un PIN cada vez que una aplicación requiere acceso a datos compartidos, incluidos certificados, en la caja fuerte UserEntropy.

Puede obtener más información sobre la entropía de usuario en Acerca de MDX Toolkit en la documentación de XenMobile. Para activar la entropía de usuario, dispone de la configuración relacionada en las Propiedades del cliente.

Directivas

Las directivas MDX y MDM ofrecen una gran flexibilidad a las organizaciones, pero también pueden imponer restricciones a los usuarios. Por ejemplo, puede que le interese bloquear el acceso a aplicaciones en la nube (como Siri o iCloud), con las que se pueden enviar datos confidenciales a diferentes destinos. Puede configurar una directiva para bloquear el acceso a estos servicios, pero tenga en cuenta que dicha directiva puede tener consecuencias no deseadas. El micrófono de teclado iOS también depende del acceso a la nube, con lo que puede que esa directiva bloquee el acceso a esa función.

Aplicaciones

La administración de movilidad empresarial (EMM) se divide en la administración de dispositivos móviles (MDM) y la administración de aplicaciones móviles (MAM). Si bien MDM permite a las organizaciones proteger y controlar dispositivos móviles, MAM facilita la administración y la entrega de aplicaciones. Con el aumento creciente de dispositivos BYOD, puede implementar una solución MAM que le ayude en la entrega de aplicaciones, la gestión de licencias de software, la configuración y la administración del ciclo de vida de las aplicaciones.

Con XenMobile, puede ir más allá y proteger estas aplicaciones mediante directivas MAM y configuraciones de VPN específicas para evitar filtraciones de datos y otras amenazas a la seguridad. XenMobile proporciona a las organizaciones la flexibilidad necesaria para implementar cualquiera de las siguientes soluciones:

  • Entorno de solo MAM
  • Entorno de solo MDM
  • Entorno unificado de XenMobile Enterprise con funcionalidad MDM y MAM en la misma plataforma

Además de la capacidad de entregar aplicaciones a los dispositivos móviles, XenMobile ofrece la contenedorización de aplicaciones a través de la tecnología MDX. MDX protege las aplicaciones mediante un cifrado independiente del cifrado al nivel del dispositivo proporcionado por la plataforma. Puede borrar o bloquear una aplicación determinada. Las aplicaciones están sujetas a controles concisos basados en directivas. Los proveedores de software independientes (ISV) pueden aplicar estos controles mediante el Mobile Apps SDK.

En un entorno corporativo, los usuarios utilizan una variedad de aplicaciones móviles para desempeñar su trabajo. Las aplicaciones pueden ser: aplicaciones procedentes de la tienda pública, aplicaciones propias desarrolladas internamente y aplicaciones nativas. XenMobile clasifica estas aplicaciones de la siguiente manera:

Aplicaciones públicas: Este grupo contiene las aplicaciones, gratuitas o de pago, disponibles en una tienda pública de aplicaciones, como App Store de Apple o Google Play. Los proveedores externos a la organización suelen poner sus aplicaciones disponibles en las tiendas públicas de aplicaciones. Esta opción permite a sus clientes descargar las aplicaciones directamente desde Internet. Puede utilizar varias aplicaciones públicas en su organización, según las necesidades de los usuarios. GoToMeeting, Salesforce y EpicCare son ejemplos de tales aplicaciones.

Citrix no admite la descarga de archivos binarios de aplicación directamente desde tiendas públicas de aplicaciones y, a continuación, su empaquetado con el MDX Toolkit para la distribución empresarial. Para habilitar para MDX aplicaciones de terceros, póngase en contacto con su proveedor de aplicaciones para obtener los binarios de aplicación. Puede empaquetar los binarios con MDX Toolkit o integrar el SDK de MAM con los binarios.

Aplicaciones internas: Muchas organizaciones tienen desarrolladores internos que crean aplicaciones con una funcionalidad específica y que se desarrollan y distribuyen de manera independiente dentro de la organización. En ciertos casos, algunas organizaciones también pueden tener aplicaciones proporcionadas por los ISV. Puede implementar esas aplicaciones como nativas, o puede colocarlas en un contenedor con una solución MAM, como XenMobile. Por ejemplo, una organización de asistencia sanitaria puede crear una aplicación interna que permita a los médicos ver la información del paciente en dispositivos móviles. En ese caso, la organización puede habilitar el SDK de MAM o empaquetar con MDM la aplicación a fin de proteger la información del paciente y permitir el acceso por VPN al servidor back-end de la base de datos de pacientes.

Aplicaciones web y SaaS: Este grupo incluye aquellas aplicaciones a las que se puede acceder a través de una red interna (aplicaciones web) o a través de una red pública (aplicaciones SaaS). XenMobile también permite crear aplicaciones web y SaaS personalizadas mediante una lista de conectores de aplicaciones. Esos conectores de aplicaciones pueden facilitar el inicio Single Sign-On (SSO) en las aplicaciones web existentes. Para obtener más información, consulte Tipos de conectores de aplicaciones. Por ejemplo, puede usar Google Apps SAML para Single Sign-On basado en SAML (Security Assertion Markup Language) en aplicaciones de Google Apps.

Aplicaciones móviles de productividad: Aplicaciones desarrolladas por Citrix que se incluyen con la licencia de XenMobile. Para obtener más información, consulte Acerca de las aplicaciones móviles de productividad. Citrix también ofrece otras aplicaciones de negocio que los ISV desarrollan mediante el Mobile Apps SDK.

Aplicaciones HDX: Aplicaciones alojadas en Windows que se publican con StoreFront. Si dispone de un entorno de Citrix Virtual Apps and Desktops, puede integrar las aplicaciones en XenMobile para que estén disponibles a los usuarios inscritos.

La configuración y la arquitectura subyacentes varían en función del tipo de aplicaciones móviles que implementar y administrar a través de XenMobile. Por ejemplo, si varios grupos de usuarios con diferentes niveles de permisos utilizan una sola aplicación, puede crear grupos de entrega independientes para implementar dos versiones separadas de la misma. Además, deberá asegurarse de que la pertenencia a cada grupo de usuarios se excluya mutuamente, para evitar discrepancias entre las directivas que se apliquen a los dispositivos de los usuarios.

También sería conveniente administrar las licencias de las aplicaciones iOS a través de las compras por volumen de Apple. Para poder utilizar esta opción, deberá registrarse en el Programa de compras por volumen de Apple y configurar los parámetros de compras por volumen de XenMobile desde la consola de XenMobile para distribuir las aplicaciones con las licencias de compras por volumen. Dada la variedad de casos de uso, es importante analizar y planificar la estrategia de MAM que va a seguir antes de implementar el entorno de XenMobile. Para comenzar a planificar su estrategia de MAM, defina lo siguiente:

Tipos de aplicaciones: Indique los diferentes tipos de aplicaciones que quiere admitir y clasifíquelas por categorías. Por ejemplo: aplicaciones públicas, nativas, móviles de productividad, web, internas, ISV, etc. Además, clasifique las aplicaciones según las diferentes plataformas de dispositivo (como iOS y Android). Esta categorización le ayudará a adaptar los parámetros de XenMobile que se requieren para cada tipo de aplicación. Por ejemplo, algunas aplicaciones podrían requerir el uso del Mobile Apps SDK a fin de habilitar unas API especiales para la interacción con otras aplicaciones.

Requisitos de red: Las aplicaciones que tengan requisitos específicos de acceso a la red deben configurarse con los parámetros adecuados. Por ejemplo, ciertas aplicaciones pueden necesitar acceder a la red interna por VPN. En cambio, otras aplicaciones pueden requerir que el acceso a Internet se enrute a través de la zona DMZ. Para permitir que esas aplicaciones se conecten a la red requerida, debe configurar varios parámetros según corresponda. Definir unos requisitos de red por aplicación contribuye a precisar sus decisiones arquitectónicas desde el principio, lo que optimiza el proceso general de implementación.

Requisitos de seguridad: Es esencial definir los requisitos de seguridad que se aplicarán a aplicaciones individuales o a todas las aplicaciones. Esa planificación garantiza que cree las configuraciones correctas al instalar XenMobile Server. Aunque otros parámetros, como las directivas MDX, se aplican a aplicaciones individuales, los parámetros de sesión y autenticación se aplican a todas las aplicaciones. Algunas aplicaciones pueden presentar requisitos específicos de cifrado, contenedorización, empaquetado, cifrado, autenticación, geocercas, código de acceso o uso compartido de datos que puede esbozar de antemano para simplificar la implementación.

Requisitos de implementación: Puede que le interese una implementación basada en directivas si quiere permitir que solo los usuarios conformes descarguen las aplicaciones publicadas. Por ejemplo, puede interesarle que ciertas aplicaciones requieran cualquiera de estos aspectos:

  • El cifrado por plataforma de dispositivos está habilitado
  • El dispositivo está administrado
  • El dispositivo tiene una versión mínima del sistema operativo
  • Ciertas aplicaciones están disponibles solo para usuarios de empresa

También puede interesarle que ciertas aplicaciones estén disponibles solo para usuarios de empresa. Debe esbozar dichos requisitos con antelación para configurar las acciones o las reglas de implementación apropiadas.

Requisitos de licencia: Conserve un registro de los requisitos de licencia relacionados con las aplicaciones. Estas notas le servirán de ayuda para administrar de manera efectiva el uso de las licencias y decidir si configurar funciones específicas en XenMobile para optimizar la gestión de licencias. Por ejemplo, si implementa una aplicación iOS gratuita o de pago, Apple aplica requisitos de licencia a la aplicación porque obliga a los usuarios a iniciar sesión en su cuenta de iTunes. Puede registrarse en el programa de compras por volumen de Apple para distribuir y administrar esas aplicaciones a través de XenMobile. El programa de compras por volumen permite a los usuarios descargar las aplicaciones sin tener que iniciar sesión en la cuenta de iTunes. Además, las herramientas (como Samsung SAFE y Samsung Knox) presentan requisitos especiales de licencia que debe cumplir antes de implementar esas funciones.

Requisitos de lista de bloqueados o lista de permitidos: Es probable que quiera impedir que los usuarios instalen o utilicen algunas aplicaciones. Cree una lista de aplicaciones bloqueadas que cambian el estado de un dispositivo a no conforme. A continuación, configure las directivas para que se activen cuando un dispositivo pase a ser no conforme. Por otro lado, puede que acepte el uso de una aplicación, pero esta se incluya en la lista de aplicaciones bloqueadas por una razón u otra. En ese caso, puede agregar la aplicación a una lista de aplicaciones permitidas e indicar que se puede usar, pero no es obligatoria. Además, tenga en cuenta que las aplicaciones ya instaladas en los dispositivos nuevos pueden incluir algunas aplicaciones de uso común que no forman parte del sistema operativo. Estas aplicaciones pueden entrar en conflicto con su estrategia de listas de aplicaciones bloqueadas.

Aplicaciones: caso de uso

Una organización de asistencia sanitaria quiere implementar XenMobile como solución MAM para sus aplicaciones móviles. Las aplicaciones móviles se entregan a usuarios de empresa y usuarios BYOD. El departamento de TI decide entregar y administrar las siguientes aplicaciones:

  • Aplicaciones móviles de productividad: Aplicaciones iOS y Android que proporciona Citrix.
  • Secure Mail: Aplicación de correo electrónico, calendario y contactos.
  • Secure Web: Explorador web seguro que ofrece acceso a los sitios de Internet e intranet.
  • Citrix Files: Aplicación para acceder a datos compartidos y para compartir, sincronizar y modificar archivos.

Tienda pública de aplicaciones

  • Citrix Secure Hub: Cliente que utilizan todos los dispositivos móviles para comunicarse con XenMobile. El departamento de TI envía los parámetros de seguridad, las configuraciones y las aplicaciones móviles a los dispositivos móviles a través del cliente de Secure Hub. Los dispositivos Android y iOS se inscriben en XenMobile a través de Secure Hub.
  • Citrix Receiver: Aplicación móvil que permite a los usuarios abrir las aplicaciones que aloja Virtual Apps and Desktops en dispositivos móviles.
  • GoToMeeting: Un cliente de reuniones en línea, uso compartido de escritorios y videoconferencias que permite a los usuarios reunirse con clientes, colegas u otros usuarios de equipos a través de Internet en tiempo real.
  • Salesforce1: Permite a los usuarios acceder a Salesforce desde dispositivos móviles, y reúne todos los procesos de negocio y las aplicaciones personalizadas, Chatter y CRM, en una experiencia unificada para cualquier usuario de Salesforce.
  • RSA SecurID: Token basado en software para la autenticación de dos factores.
  • Aplicaciones EpicCare: Estas aplicaciones ofrecen a los profesionales de la salud un acceso seguro y portátil a los gráficos de pacientes, las listas de pacientes, los horarios y los mensajes.
    • Haiku: Aplicación móvil para teléfonos Android y iPhone.
    • Canto: Aplicación móvil para el iPad.
    • Rover: Aplicaciones móviles para iPhone y iPad.

HDX: Estas aplicaciones se entregan a través de Citrix Virtual Apps and Desktops.

  • Epic Hyperspace: Aplicación cliente de Epic para la administración electrónica de registros de salud.

ISV

  • Vocera: Aplicación móvil de mensajería y VoIP compatible con HIPAA, que extiende las ventajas de la tecnología de voz de Vocera para poder aprovecharlas en cualquier momento y cualquier lugar desde smartphones iPhone y Android.

Aplicaciones internas

  • HCMail: Aplicación que ayuda a redactar mensajes cifrados, buscar en las libretas de direcciones en servidores de correo interno y enviar los mensajes cifrados a los contactos mediante un cliente de correo electrónico.

Aplicaciones web internas

  • PatientRounding: Aplicación web utilizada para registrar la información sanitaria del paciente por diferentes departamentos.
  • Outlook Web Access: Permite el acceso al correo electrónico a través de un explorador web.
  • SharePoint: Se usa para compartir archivos y datos por toda la organización.

En la tabla siguiente, se muestra la información básica necesaria para la configuración de MAM.

         
Nombre de la aplicación Tipo de aplicación Empaquetado MDX iOS Android
Secure Mail Aplicación XenMobile No a partir de la versión 10.4.1
Secure Web Aplicación XenMobile No a partir de la versión 10.4.1
Citrix Files Aplicación XenMobile No a partir de la versión 10.4.1
Secure Hub Aplicación pública NA
Citrix Receiver Aplicación pública NA
GoToMeeting Aplicación pública NA
Salesforce1 Aplicación pública NA
RSA SecurID Aplicación pública NA
Epic Haiku Aplicación pública NA
Epic Canto Aplicación pública NA No
Epic Rover Aplicación pública NA No
Epic Hyperspace Aplicación HDX NA
Vocera Aplicación de ISV
HCMail Aplicación interna
PatientRounding Aplicación web NA
Outlook Web Access Aplicación web NA
SharePoint Aplicación web NA

En la siguiente tabla, se ofrece una lista de los requisitos específicos que puede consultar para la configuración de directivas MAM en XenMobile.

| **Nombre de la aplicación** | **Se requiere VPN** | **Interacción** | **Interacción** | **Cifrado por plataforma de dispositivos** | | | | (con aplicaciones fuera del contenedor)| (desde aplicaciones fuera del contenedor) | | | —————— | — | ———————————— | ———————————— | ———— | | Secure Mail | S | Se permite de manera selectiva | Se permite | No se requiere | | Secure Web | S | Se permite | Se permite | No se requiere | | Citrix Files | S | Se permite | Se permite | No se requiere | | Secure Hub | S | N/D | N/D | N/D | | Citrix Receiver | S | N/D | N/D | N/D | | GoToMeeting | N | N/D | N/D | N/D | | Salesforce1 | N | N/D | N/D | N/D | | RSA SecurID | N | N/D | N/D | N/D | | Epic Haiku | S | N/D | N/D | N/D | | Epic Canto | S | N/D | N/D | N/D | | Epic Rover | S | N/D | N/D | N/D | | Epic Hyperspace | S | N/D | N/D | N/D | | Vocera | S | Bloqueada | Bloqueada | No se requiere | | HCMail | S | Bloqueada | Bloqueada | Si son necesarias | | PatientRounding | S | N/D | N/D | Si son necesarias | | Outlook Web Access | S | N/D | N/D | No se requiere | | SharePoint | S | N/D | N/D | No se requiere |

Nombre de la aplicación Filtrado de proxy Licencias Geocerca Mobile Apps SDK Versión mínima del sistema operativo
Secure Mail Si son necesarias N/D Se requiere de manera selectiva N/D Se aplica
Secure Web Si son necesarias N/D No se requiere N/D Se aplica
Citrix Files Si son necesarias N/D No se requiere N/D Se aplica
Secure Hub No se requiere Compras por volumen No se requiere N/D No se aplica
Citrix Receiver No se requiere Compras por volumen No se requiere N/D No se aplica
GoToMeeting No se requiere Compras por volumen No se requiere N/D No se aplica
Salesforce1 No se requiere Compras por volumen No se requiere N/D No se aplica
RSA SecurID No se requiere Compras por volumen No se requiere N/D No se aplica
Epic Haiku No se requiere Compras por volumen No se requiere N/D No se aplica
Epic Canto No se requiere Compras por volumen No se requiere N/D No se aplica
Epic Rover No se requiere Compras por volumen No se requiere N/D No se aplica
Epic Hyperspace No se requiere N/D No se requiere N/D No se aplica
Vocera Si son necesarias N/D Si son necesarias Si son necesarias Se aplica
HCMail Si son necesarias N/D Si son necesarias Si son necesarias Se aplica
PatientRounding Si son necesarias N/D No se requiere N/D No se aplica
Outlook Web Access Si son necesarias N/D No se requiere N/D No se aplica
SharePoint Si son necesarias N/D No se requiere N/D No se aplica

Comunidades de usuarios

Cada organización consta de diversas comunidades de usuarios que operan en diferentes roles funcionales. Estas comunidades de usuarios realizan diferentes tareas y funciones de oficina mediante diversos recursos que usted proporciona a través de los dispositivos móviles de esos usuarios. Los usuarios pueden trabajar desde casa o en oficinas remotas mediante dispositivos móviles que usted proporcione. O bien, los usuarios pueden usar sus propios dispositivos móviles, lo que les permite acceder a herramientas que están sujetas a ciertas reglas de seguridad.

Con la cantidad creciente de comunidades de usuarios que usan dispositivos móviles, la administración Enterprise Mobility Management (EMM) se ha convertido en un elemento vital para evitar la filtración de datos y para hacer cumplir las restricciones de seguridad. Para una administración eficiente y más sofisticada de dispositivos móviles, puede categorizar las comunidades de los usuarios. Al hacerlo, se simplifica la asignación de usuarios a los recursos y se garantiza que se apliquen las directivas de seguridad correspondientes a los usuarios indicados.

El siguiente ejemplo ilustra cómo se clasifican para EMM las comunidades de usuarios de una organización de asistencia sanitaria.

Comunidades de usuarios: caso de uso

Esta organización sanitaria de ejemplo ofrece recursos tecnológicos y acceso a varios usuarios, incluidos los voluntarios, los empleados en la red y los empleados asociados. La organización ha decidido aplicar la solución EMM solo para usuarios no ejecutivos.

En esta organización, las funciones y los roles se pueden dividir en estos subgrupos: sanitarios, no sanitarios y contratistas. Un conjunto seleccionado de los usuarios recibe dispositivos móviles de empresa, mientras que otras personas pueden acceder a recursos limitados de la empresa desde sus dispositivos personales. Para hacer cumplir el nivel apropiado de restricciones de seguridad y evitar la filtración de datos, la organización decidió que el departamento de TI corporativo administrara cada dispositivo inscrito, ya fuera este propiedad de la empresa o del usuario. Además, los usuarios pueden inscribir un solo dispositivo.

La siguiente sección ofrece una descripción general de los roles y las funciones de cada subgrupo:

Sanitarios

  • Enfermeros
  • Médicos (doctores, cirujanos, etc.)
  • Especialistas (dietistas, anestesiólogos, radiólogos, cardiólogos, oncólogos, etc.)
  • Médicos externos (médicos que no son empleados y empleados de oficina que trabajan desde oficinas remotas)
  • Servicios de cuidados a domicilio (empleados de oficina y móviles que desempeñan tareas de cuidado sanitario en visitas a domicilio de los pacientes)
  • Especialista en investigación (trabajadores intelectuales y usuarios avanzados en seis institutos de investigación que realizan investigaciones clínicas para buscar respuestas a problemas en Medicina)
  • Educación y formación (enfermeros, médicos y especialistas en educación y formación)

No sanitarios

  • Servicios compartidos (empleados de oficina que realizan varias funciones administrativas, entre ellas: recursos humanos, nóminas, contabilidad, servicio de cadena de suministro, etc.)
  • Servicios médicos (empleados de oficina que realizan diversos servicios de administración de cuidados médicos, servicios administrativos y procesos comerciales para proveedores, incluidos: servicios administrativos, análisis e inteligencia empresarial, sistemas de negocio, servicios al cliente, finanzas, gestión de cuidados realizados, soluciones de acceso a pacientes, soluciones de ciclo de ingresos, etc.)
  • Servicios de asistencia técnica (empleados de oficina que realizan varias funciones no clínicas, por ejemplo: gestión de ganancias y beneficios, integración clínica, comunicaciones, compensación y gestión del rendimiento, servicios de instalaciones y propiedades, sistemas de tecnología de recursos humanos, servicios de información, auditoría interna y mejora de procesos, etc.)
  • Programas filantrópicos (empleados de oficina y móviles que realizan diversas funciones en apoyo a programas filantrópicos)

Contratistas

  • Socios de fabricantes y proveedores (in situ y conectados de forma remota a través de la VPN de sitio a sitio, ofrecen varias funciones de asistencia no sanitaria)

En función de la información anterior, la organización crea las siguientes entidades. Para obtener más información acerca de los grupos de entrega en XenMobile, consulte Implementar recursos.

Grupos y unidades organizativas (OU) de Active Directory

Como OU = Recursos de XenMobile:

  • OU = Sanitarios; Groups =
    • XM-Enfermería
    • XM-Médicos
    • XM-Especialistas
    • XM-Médicos externos
    • XM-Servicios de cuidados a domicilio
    • XM-Especialista en investigación
    • XM-Educación y formación
  • OU = No sanitarios; Groups =
    • XM-Servicios compartidos
    • XM-Servicios médicos
    • XM-Servicios de asistencia técnica
    • XM-Programas filantrópicos

Grupos y usuarios locales de XenMobile

Como Group= Contratistas, Users =

  • Proveedor1
  • Proveedor2
  • Proveedor3
  • … Proveedor10

Grupos de entrega de XenMobile

  • Sanitario-Enfermeros
  • Sanitario-Médicos
  • Sanitario-Especialistas
  • Sanitario-Médicos externos
  • Sanitario-Servicios de cuidados a domicilio
  • Sanitario-Especialista en investigación
  • Sanitario-Educación y formación
  • No-Sanitario-Servicios compartidos
  • No-Sanitario-Servicios médicos
  • No-Sanitario-Servicios de asistencia técnica
  • No-Sanitario-Programas filantrópicos

Asignación de grupos de usuario y grupos de entrega

   
Usar grupos de Active Directory Grupos de entrega de XenMobile
XM-Enfermería Sanitario-Enfermeros
XM-Médicos Sanitario-Médicos
XM-Especialistas Sanitario-Especialistas
XM-Médicos externos Sanitario-Médicos externos
XM-Servicios de cuidados a domicilio Sanitario-Servicios de cuidados a domicilio
XM-Especialista en investigación Sanitario-Especialista en investigación
XM-Educación y formación Sanitario-Educación y formación
XM-Servicios compartidos No-Sanitario-Servicios compartidos
XM-Servicios médicos No-Sanitario-Servicios médicos
XM-Servicios de asistencia técnica No-Sanitario-Servicios de asistencia técnica
XM-Programas filantrópicos No-Sanitario-Programas filantrópicos

Asignación de recursos y grupos de entrega

En las siguientes tablas, se indican los recursos asignados a cada grupo de entrega en este caso de uso. La primera tabla contiene las asignaciones de aplicaciones móviles. La segunda tabla muestra las aplicaciones públicas, las aplicaciones HDX y los recursos de administración de dispositivos.

       
Grupos de entrega de XenMobile Aplicaciones móviles de Citrix Aplicaciones móviles públicas Aplicaciones móviles HDX
Sanitario-Enfermeros X    
Sanitario-Médicos      
Sanitario-Especialistas      
Sanitario-Médicos externos X    
Sanitario-Servicios de cuidados a domicilio X    
Sanitario-Especialista en investigación X    
Sanitario-Educación y formación   X X
No-Sanitario-Servicios compartidos   X X
No-Sanitario-Servicios médicos   X X
No-Sanitario-Servicios de asistencia técnica X X X
No-Sanitario-Programas filantrópicos X X X
Contratistas X X X
               
Grupos de entrega de XenMobile Aplicación pública: RSA SecurID Aplicación pública: EpicCare Haiku Aplicación HDX: Epic Hyperspace Directiva de código de acceso Restricciones de dispositivo Acciones automatizadas Directiva de Wi-Fi
Sanitario-Enfermeros             X
Sanitario-Médicos         X    
Sanitario-Especialistas              
Sanitario-Médicos externos              
Sanitario-Servicios de cuidados a domicilio              
Sanitario-Especialista en investigación              
Sanitario-Educación y formación   X X        
No-Sanitario-Servicios compartidos   X X        
No-Sanitario-Servicios médicos   X X        
No-Sanitario-Servicios de asistencia técnica   X X        

Notas y consideraciones

  • XenMobile crea un grupo de entrega predeterminado llamado AllUsers (Todos los usuarios) durante la configuración inicial. Si no inhabilita este grupo de entrega, todos los usuarios de Active Directory tendrán derecho a inscribirse en XenMobile.
  • XenMobile sincroniza los grupos y los usuarios de Active Directory a demanda mediante una conexión dinámica al servidor LDAP.
  • Si un usuario forma parte de un grupo que no está asignado en XenMobile, dicho usuario no podrá inscribirse. Del mismo modo, si un usuario es miembro de múltiples grupos, XenMobile clasificará al usuario como perteneciente solo a los grupos asignados a XenMobile.
  • Para que la inscripción MDM sea obligatoria, debe establecer la opción Inscripción requerida en Verdadero en las Propiedades de servidor de la consola de XenMobile. Para obtener más información, consulte Propiedades de servidor.
  • Para eliminar un grupo de usuarios de un grupo de entrega de XenMobile, elimine la entrada en la base de datos de SQL Server, en dbo.userlistgrps. Precaución: Antes de realizar esta acción, cree una copia de seguridad de XenMobile y la base de datos.

Acerca de la pertenencia de dispositivos en XenMobile

Puede agrupar a los usuarios en función del propietario de un dispositivo de usuario. La propiedad de un dispositivo puede ser de la empresa o del usuario; esta última también se conoce como uso de dispositivos personales en el trabajo (bring your own device, BYOD). Puede gestionar la manera en que los dispositivos de los usuarios se conectan a la red desde dos lugares de la consola de XenMobile: las reglas de implementación para cada tipo de recurso y las propiedades del servidor en la página Parámetros. Para obtener más información acerca de las reglas de implementación, consulte Configurar reglas de implementación en la documentación de XenMobile. Para obtener más información sobre las propiedades de servidor, consulte Propiedades de servidor.

Puede requerir que los usuarios con dispositivos BYOD acepten que la empresa administre sus dispositivos para poder acceder a las aplicaciones. O bien, puede permitir a los usuarios acceder a las aplicaciones de empresa sin administrar sus dispositivos.

Si establece la propiedad de servidor wsapi.mdm.required.flag en verdadero, XenMobile administra todos los dispositivos BYOD y niega el acceso a las aplicaciones a todo usuario que rechace la inscripción. Puede establecer wsapi.mdm.required.flag en true en entornos en que los equipos de TI de la empresa necesitan niveles altos de seguridad y una buena experiencia de usuario al inscribir dispositivos de usuario en XenMobile.

Si deja wsapi.mdm.required.flag en false (la configuración predeterminada), los usuarios pueden rechazar la inscripción sin, por ello, perder el acceso a las aplicaciones en sus dispositivos a través de XenMobile Store. Puede establecer wsapi.mdm.required.flag en false en entornos en que las restricciones de privacidad, legales o normativas no requieren la administración de dispositivos, sino solo la administración de las aplicaciones de empresa.

Los usuarios cuyos dispositivos no administre XenMobile no pueden instalarse aplicaciones a través de XenMobile Store. En lugar de controles a nivel de dispositivo (como el borrado completo o selectivo de datos), se puede controlar el acceso a las aplicaciones a través de directivas de aplicaciones. Las directivas, según los valores que se establezcan, requieren que el dispositivo consulte frecuentemente XenMobile Server para confirmar que las aplicaciones aún se pueden ejecutar.

Requisitos de seguridad

La cantidad de consideraciones de seguridad al implementar un entorno de XenMobile puede convertirse rápidamente en abrumadora. Hay muchas piezas y parámetros interconectados. Para ayudarle a ponerse en marcha y elegir un nivel aceptable de protección, Citrix ofrece recomendaciones para un nivel de seguridad alto, superior y máximo, como se describe en la siguiente tabla

La seguridad por sí sola no debería dictar la elección del modo de implementación. También es importante revisar los requisitos del caso de uso y decidir si puede mitigar los problemas de seguridad antes de elegir el modo de implementación.

Alto: Usar estas configuraciones proporciona una experiencia de usuario óptima, al mismo tiempo que se mantiene un nivel básico de seguridad aceptable para la mayoría de las organizaciones.

Superior: Estas configuraciones logran un mayor equilibrio entre seguridad y usabilidad.

Máximo: Seguir estas recomendaciones proporciona un alto nivel de seguridad a costa de la usabilidad y el aumento de la cantidad de usuarios.

Consideraciones sobre seguridad en el modo de implementación

La siguiente tabla contiene los modos de implementación para cada nivel de seguridad.

     
High Security (Nivel alto de seguridad) Higher Security (Mayor nivel de seguridad) Highest Security (El mayor nivel de seguridad)
MAM o MDM MDM+MAM MDM+MAM; más FIPS

Notas:

  • Dependiendo del caso de uso, una implementación de solo MDM o solo MAM puede satisfacer los requisitos de seguridad y proporcionar una buena experiencia de usuario.
  • Si no necesita contenedores de aplicaciones, redes micro VPN ni directivas específicas de aplicación, MDM es suficiente para administrar y proteger los dispositivos.
  • Para casos de uso como BYOD, donde los contenedores de aplicaciones por sí solos pueden satisfacer todos los requisitos de empresa y de seguridad, Citrix recomienda el modo solo MAM.
  • Para entornos de alta seguridad (y dispositivos que distribuyan las empresas), Citrix recomienda MDM+MAM para utilizar todas las capacidades de seguridad disponibles. Asegúrese de aplicar la inscripción MDM.
  • Opciones de FIPS para entornos con las necesidades de seguridad máxima, como el gobierno.

Si habilita el modo FIPS, debe configurar SQL Server para cifrar el tráfico SQL.

Consideraciones sobre la seguridad de Citrix ADC y Citrix Gateway

La siguiente tabla contiene recomendaciones de Citrix ADC y Citrix Gateway para cada nivel de seguridad.

     
High Security (Nivel alto de seguridad) Higher Security (Mayor nivel de seguridad) Highest Security (El mayor nivel de seguridad)
Se recomienda Citrix ADC. Se requiere Citrix Gateway para MAM y ENT; se recomienda para MDM. Configuración estándar del asistente de Citrix ADC para XenMobile con puente SSL si XenMobile está en la zona DMZ. O descarga de SSL si es necesario para cumplir con los estándares de seguridad cuando XenMobile Server se encuentra en la red interna. Descarga de SSL con cifrado de extremo a extremo

Notas:

  • Exponer XenMobile Server a Internet a través de NAT o de equilibradores de carga y proxy de terceros puede ser una opción para MDM. Sin embargo, esa configuración requiere que el tráfico SSL termine en XenMobile Server, lo que supone un riesgo potencial para la seguridad.
  • Para entornos de alta seguridad, Citrix ADC con la configuración predeterminada de XenMobile cumple o supera normalmente los requisitos de seguridad.
  • Para entornos MDM con exigencias de seguridad máxima, la finalización de SSL en Citrix ADC permite inspeccionar el tráfico en el perímetro y mantiene el cifrado SSL de extremo a extremo.
  • Opciones para definir cifrados SSL/TLS.
  • El hardware SSL FIPS de Citrix ADC también está disponible.
  • Para obtener más información, consulte Integrar en Citrix Gateway y Citrix ADC.

Consideraciones sobre seguridad para la inscripción

La siguiente tabla contiene recomendaciones de Citrix ADC y Citrix Gateway para cada nivel de seguridad.

     
High Security (Nivel alto de seguridad) Higher Security (Mayor nivel de seguridad) Highest Security (El mayor nivel de seguridad)
Solo miembros del grupo de Active Directory. Inhabilitado el grupo de entrega Todos los usuarios. Modo de seguridad de inscripción solo por invitación. Solo miembros del grupo de Active Directory. Inhabilitado el grupo de entrega Todos los usuarios. Modo de seguridad de inscripción vinculado al ID del dispositivo. Solo miembros del grupo de Active Directory. Inhabilitado el grupo de entrega Todos los usuarios.

Notas:

  • Por regla general, Citrix recomienda que restrinja la inscripción a solamente aquellos usuarios que formen parte de los grupos predefinidos de Active Directory. Esa configuración requiere inhabilitar el grupo de entrega integrado Todos los usuarios.
  • Puede utilizar las invitaciones de inscripción para restringir la inscripción a los usuarios que tengan una invitación. Las invitaciones de inscripción no están disponibles para dispositivos Windows.
  • Puede usar invitaciones de inscripción con PIN de un solo uso (OTP) como una solución de dos factores. Así también puede controlar la cantidad de dispositivos que un usuario puede inscribir Las invitaciones de OTP no están disponibles para dispositivos Windows.

Consideraciones sobre la seguridad de los códigos de acceso de dispositivo

Esta tabla contiene las recomendaciones para el código de acceso de dispositivo en cada nivel de seguridad.

     
High Security (Nivel alto de seguridad) Higher Security (Mayor nivel de seguridad) Highest Security (El mayor nivel de seguridad)
Recomendado. Se requiere un nivel alto de seguridad para el cifrado a nivel de dispositivo. Aplicado mediante el uso de MDM. Puede establecer un nivel alto de seguridad como obligatorio solo para MAM mediante la directiva MDX Comportamiento de dispositivos no conformes. Aplicado mediante directiva MDM, MDX o ambas. Aplicado mediante directiva MDM y MDX. Directiva MDM “Código de acceso complejo”.

Notas:

  • Citrix recomienda usar un código de acceso de dispositivo.
  • Puede aplicar un código de acceso de dispositivo a través de una directiva MDM.
  • Puede usar una directiva MDX para requerir un código de acceso de dispositivo al usar aplicaciones administradas. Por ejemplo, para casos de uso de dispositivos personales en el trabajo (BYOD).
  • Citrix recomienda combinar las opciones de directivas MDM y MDX para una mayor seguridad en los entornos MDM+MAM.
  • Para entornos con los requisitos máximos de seguridad, puede configurar directivas “Código de acceso complejo” y aplicarlas con MDM. Puede configurar acciones automáticas que notifiquen a los administradores, o puede emitir borrados selectivos o completos cuando un dispositivo no cumple una directiva de código de acceso.
Seguridad y experiencia del usuario