Product Documentation

Estrategia de correo electrónico

21 de febrero de 2018

El acceso seguro al correo electrónico desde dispositivos móviles es uno de los motivos principales detrás de una iniciativa de administración de la movilidad en todas las organizaciones. Decidir la estrategia de correo electrónico adecuada suele ser un componente clave a la hora de diseñar elementos en XenMobile. XenMobile ofrece varias opciones para adaptarse a diferentes casos de uso, en función de la seguridad, la experiencia del usuario y los requisitos de integración. En este artículo se documenta el proceso de toma de decisiones sobre un diseño típico y se indican criterios para elegir la solución adecuada, desde la selección del cliente hasta el flujo del tráfico de correo.

Elección de los clientes de correo electrónico

Generalmente, la elección de un cliente encabeza la lista a la hora de diseñar la estrategia a seguir para el correo electrónico. Puede elegir entre varios clientes: Citrix Secure Mail, el correo nativo que se incluye con el sistema operativo de la plataforma móvil en cuestión, o bien, otros clientes de terceros, disponibles a través de las tiendas públicas de aplicaciones. En función de sus necesidades, puede respaldar comunidades de usuarios con un solo cliente (estándar) o puede que necesite usar una combinación de clientes.

En la siguiente tabla se describen los criterios de diseño para las diferentes opciones de cliente disponibles:

       
Temática Secure Mail Nativo (por ejemplo, iOS Mail) Correo de terceros (por ejemplo, TouchDown)
Edición mínima de XenMobile Advanced MDM MDM
Configuración Perfiles de cuentas de Exchange configurados a través de una directiva MDX. Perfiles de cuenta de Exchange configurados a través de una directiva MDM. El respaldo a Android está limitado a: SAFE o KNOX, HTC y Android for Work. Todos los demás clientes se consideran clientes de terceros. Generalmente requiere una configuración manual por parte del usuario. Configuración de los perfiles de cuentas de Exchange a través de una directiva MDM solo para TouchDown.
Seguridad Seguro gracias a su diseño, con lo que proporciona la seguridad más alta. Utiliza directivas MDX con niveles agregados de cifrado de datos. Secure Mail es una aplicación administrada totalmente a través de una directiva MDX. Capa agregada de autenticación con el PIN de Citrix. Según el conjunto de características del proveedor o la aplicación. Proporciona más seguridad. Utiliza la configuración de cifrado del dispositivo (sin seguridad desde las directivas MDX). Se basa en la autenticación a nivel de dispositivo para acceder a la aplicación. Según el conjunto de características del proveedor o la aplicación. Proporciona alta seguridad.
Integración Permite la interacción con aplicaciones administradas (MDX) de forma predeterminada. Permite abrir direcciones URL Web con Citrix Secure Web. Guardar archivos y adjuntarlos desde ShareFile. Unirse directamente o acceder por teléfono a reuniones en GoToMeeting. Solo puede interactuar con otras aplicaciones no administradas (que no sean MDX) de manera predeterminada. Solo puede interactuar con otras aplicaciones no administradas (que no sean MDX) de manera predeterminada.
Implementación o Licencias Puede enviar Secure Mail a través de MDM, directamente desde las tiendas públicas de aplicaciones. Incluido con las licencias XenMobile Advanced y Enterprise. La aplicación del cliente, incluida con el sistema operativo de la plataforma. Sin requisitos de licencia adicionales. Puede enviarse a través de MDM, como una aplicación de empresa o directamente desde las tiendas públicas de aplicaciones. Costes o modelos de licencia asociados según el proveedor de la aplicación.
Respaldo Respaldo del proveedor único para el cliente y la solución de EMM (Citrix). Información de contacto de asistencia integrada en las capacidades del registro de depuración en Secure Hub o la aplicación. Un cliente al que respaldar. Respaldo definido por el proveedor (Apple o Google). Puede que necesite respaldar diferentes clientes, según la plataforma del dispositivo. Respaldo definido por el proveedor. Un cliente a respaldar, suponiendo que el cliente de terceros es compatible con todas las plataformas de los dispositivos administrados.

Consideraciones sobre el filtrado y el flujo del tráfico de correo

En esta sección se tratan los tres casos principales y las consideraciones sobre el diseño con respecto al flujo del tráfico de correo (ActiveSync) en el contexto de XenMobile.

Caso 1: Exchange expuesto

Los entornos que admiten clientes externos suelen tener los servicios de Exchange ActiveSync expuestos a Internet. Los clientes móviles de ActiveSync se conectan por esta ruta externa a través de un proxy inverso (por ejemplo, NetScaler) o a través de un servidor perimetral. Esta opción es necesaria para usar clientes de correo nativos o de terceros, con lo que estos clientes se convierten en la elección típica en este caso. Aunque sea poco frecuente, también puede usar el cliente de Secure Mail en este caso. Al hacerlo, aprovecha las características de seguridad que ofrecen el uso de las directivas MDX y la administración de la aplicación.

Caso 2: Túnel a través de NetScaler (micro VPN y STA)

Este es el caso predeterminado cuando se utiliza el cliente de Secure Mail, debido a sus capacidades de micro VPN. En este caso, el cliente de Secure Mail establece una conexión segura con ActiveSync a través de NetScaler Gateway. Básicamente, puede considerar Secure Mail como el cliente que se conecta directamente a ActiveSync desde la red interna. Los clientes de Citrix suelen usar Secure Mail como el cliente móvil preferido para ActiveSync. Esa decisión forma parte de una iniciativa para evitar exponer los servicios de ActiveSync a Internet en un servidor Exchange ya expuesto (primer caso descrito).

Solo las aplicaciones administradas (empaquetadas con MDX) pueden usar la función de micro VPN. Por lo tanto, este caso no se aplica a clientes nativos. Aunque es posible empaquetar clientes de terceros con el MDX Toolkit, no es frecuente. El uso de clientes VPN a nivel de dispositivo para permitir el acceso por túnel a clientes nativos o de terceros ha resultado ser engorroso y no es una solución viable.

Caso 3: Servicios de Exchange alojados en la nube

El uso de los servicios de Exchange alojados en la nube, como Microsoft Office 365, está cada vez más extendido. En el contexto de XenMobile, este caso se puede tratar de la misma manera que el primero, porque aquí el servicio ActiveSync también está expuesto a Internet. En este caso, los requisitos del proveedor de servicios en la nube dictan las opciones del cliente. Las opciones generalmente incluyen respaldo para la mayoría de los clientes ActiveSync, como Secure Mail y otros clientes nativos o de terceros.

XenMobile puede agregar valor en tres áreas de este caso:

  • Empaquetado de clientes con directivas MDX y administración de aplicaciones con Secure Mail
  • Configuración de clientes con una directiva MDM en clientes respaldados (nativos, como TouchDown)
  • Opciones de filtrado de ActiveSync con el uso de XenMobile Mail Manager

Consideraciones sobre el filtrado del tráfico de correo

Al igual que con la mayoría de los servicios expuestos a Internet, debe proteger la ruta y proporcionar filtros para el acceso autorizado. La solución XenMobile incluye dos componentes diseñados específicamente para proporcionar las capacidades de filtrado de ActiveSync a clientes nativos y de terceros: XenMobile NetScaler Connector y XenMobile Mail Manager.

XenMobile NetScaler Connector

XenMobile NetScaler Connector ofrece el filtrado de ActiveSync en el perímetro, utilizando NetScaler como proxy para el tráfico de ActiveSync. Así, el componente de filtrado se encuentra en la ruta de tráfico del correo: lo intercepta a medida que entra o sale del entorno. XenMobile NetScaler Connector actúa como intermediario entre NetScaler y XenMobile. Cuando un dispositivo se comunica con Exchange a través del servidor virtual de ActiveSync en NetScaler, NetScaler realiza una llamada HTTP al servicio XenMobile NetScaler Connector. Ese servicio verifica el estado del dispositivo a través de XenMobile. XenMobile NetScaler Connector responde a NetScaler en función del estado del dispositivo, para permitir o denegar la conexión. También se pueden configurar reglas estáticas para filtrar el acceso en función del usuario, el agente, el ID o el tipo de dispositivo.

Esta configuración permite que los servicios Exchange ActiveSync se expongan a Internet con una capa adicional de seguridad para evitar el acceso no autorizado. En las consideraciones sobre el diseño se incluye:

  • Servidor Windows: El componente XenMobile NetScaler Connector requiere un servidor Windows.
  • Conjunto de reglas de filtrado: XenMobile NetScaler Connector está diseñado para filtrar según el estado y la información del dispositivo, en lugar de la información del usuario. Aunque puede configurar reglas estáticas para filtrar por ID de usuario, no existen opciones para filtrar según la pertenencia a un grupo de Active Directory, por ejemplo. Si hay un requisito para el filtrado por grupos de Active Directory, puede usar XenMobile Mail Manager.
  • Escalabilidad de NetScaler: Dado el requisito de proxy para el tráfico de ActiveSync a través de NetScaler, un tamaño adecuado de la instancia de NetScaler es fundamental para admitir la carga de trabajo adicional de todas las conexiones SSL de ActiveSync.
  • Almacenamiento en caché integrado de NetScaler: La configuración de XenMobile NetScaler Connector en el NetScaler utiliza la función “Almacenamiento en caché integrado” para almacenar en caché las respuestas de XenMobile NetScaler Connector. Como resultado de esa configuración, NetScaler no necesita emitir una solicitud a XenMobile NetScaler Connector para cada transacción de ActiveSync en una sesión determinada. Esa configuración también es vital para un rendimiento y una escala adecuados. El “Almacenamiento en caché integrado” está disponible con NetScaler Platinum Edition, o puede licenciar la función por separado para las ediciones Enterprise.
  • Directivas de filtrado personalizadas: Puede que necesite crear directivas personalizadas de NetScaler para restringir algunos clientes de ActiveSync que no sean los clientes móviles nativos estándar. Esta configuración requiere conocimiento sobre las solicitudes HTTP de ActiveSync y la creación de directivas del respondedor de NetScaler.
  • Clientes de Secure Mail: Secure Mail ofrece capacidades de micro VPN que eliminan la necesidad de filtrar en el perímetro. Por regla general, el cliente de Secure Mail se trataría como un cliente de ActiveSync interno (de confianza) cuando se conecta a través de NetScaler Gateway. Si se requiere respaldo para clientes nativos y de terceros (con XenMobile NetScaler Connector) y Secure Mail: Citrix recomienda que el tráfico de Secure Mail no fluya a través del servidor virtual NetScaler utilizado para XenMobile NetScaler Connector. Puede lograr este flujo de tráfico a través de DNS y evitar que la directiva de XenMobile NetScaler Connector afecte a los clientes de Secure Mail.

Para ver un diagrama de XenMobile NetScaler Connector en una implementación de XenMobile, consulte Arquitectura.

XenMobile Mail Manager

XenMobile Mail Manager es un componente de XenMobile que ofrece el filtrado de ActiveSync en el nivel de servicio de Exchange. Así, el filtrado solo se produce una vez que el correo llega al servicio de Exchange, en lugar de en cuanto entre en el entorno de XenMobile. Mail Manager utiliza PowerShell para consultar Exchange ActiveSync cuando busca información de asociación de dispositivos y para controlar el acceso a través de acciones de cuarentena de dispositivos. Esas acciones establecen los dispositivos en cuarentena o fuera de ella, según los criterios de reglas que tenga XenMobile Mail Manager.

Al igual que XenMobile NetScaler Connector, XenMobile Mail Manager también comprueba el estado del dispositivo a través de XenMobile para filtrar el acceso en función del estado de conformidad del dispositivo. También se pueden configurar reglas estáticas para filtrar el acceso en función del ID o el tipo de dispositivo, la versión del agente y la pertenencia al grupo de Active Directory.

Esta solución no requiere el uso de NetScaler. Puede implementar XenMobile Mail Manager sin cambiar el enrutamiento para el tráfico existente de ActiveSync. En las consideraciones sobre el diseño se incluye:

  • Servidor Windows: El componente XenMobile Mail Manager requiere que implemente Windows Server.
  • Conjunto de reglas de filtrado: Al igual que XenMobile NetScaler Connector, XenMobile Mail Manager también incluye reglas de filtrado para evaluar el estado del dispositivo. Además, XenMobile Mail Manager también admite reglas estáticas para filtrar según la pertenencia al grupo de Active Directory.
  • Integración de Exchange: XenMobile Mail Manager requiere acceso directo al servidor de acceso de cliente (CAS) de Exchange que aloja el rol de ActiveSync y controla las acciones de cuarentena del dispositivo. Este requisito puede ser un problema dependiendo de la arquitectura del entorno y las indicaciones de seguridad. Es fundamental que evalúe este requisito técnico por adelantado.
  • Otros clientes de ActiveSync: Como XenMobile Mail Manager filtra en el nivel de servicio de ActiveSync, considere otros clientes de ActiveSync fuera del entorno de XenMobile. Puede configurar reglas estáticas de XenMobile Mail Manager para evitar un impacto involuntario sobre otros clientes de ActiveSync.
  • Funciones extendidas de Exchange: A través de la integración directa con Exchange ActiveSync, XenMobile Mail Manager ofrece la capacidad de que XenMobile borre los datos de Exchange ActiveSync que haya en un dispositivo móvil. XenMobile Mail Manager también permite que XenMobile acceda a información sobre dispositivos BlackBerry y realice otras operaciones de control.

Para ver un diagrama de XenMobile Mail Manager en una implementación de XenMobile, consulte Arquitectura.

Árbol de decisiones sobre plataformas de correo electrónico

La siguiente imagen tiene por objetivo facilitar la distinción entre las ventajas y las desventajas que ofrecen las soluciones de correo electrónico nativas o Secure Mail en su implementación de XenMobile. Cada opción conlleva que las opciones y los requisitos de XenMobile asociados permitan el acceso al servidor, la red y la base de datos. En los criterios de pros y contras se incluyen detalles sobre seguridad, directivas e interfaz de usuario.

Diagrama del árbol de decisiones sobre la plataforma de correo electrónico