XenMobile® Server

이메일 전략

모바일 장치에서 이메일에 대한 보안 액세스는 모든 조직의 모빌리티 관리 이니셔티브를 이끄는 주요 동인 중 하나입니다. 적절한 이메일 전략을 결정하는 것은 종종 XenMobile® 설계의 핵심 구성 요소입니다. XenMobile은 보안, 사용자 경험 및 통합 요구 사항을 기반으로 다양한 사용 사례를 수용할 수 있는 여러 옵션을 제공합니다. 이 문서에서는 클라이언트 선택부터 메일 트래픽 흐름에 이르기까지 올바른 솔루션을 선택하기 위한 일반적인 설계 결정 프로세스 및 고려 사항을 다룹니다.

이메일 클라이언트 선택

클라이언트 선택은 일반적으로 전체 이메일 전략 설계에서 가장 중요한 요소입니다. Citrix Secure Mail™, 특정 모바일 플랫폼 운영 체제에 포함된 기본 메일 또는 공용 앱 스토어를 통해 제공되는 기타 타사 클라이언트 중에서 선택할 수 있습니다. 필요에 따라 단일 (표준) 클라이언트로 사용자 커뮤니티를 지원하거나 여러 클라이언트를 조합하여 사용해야 할 수도 있습니다.

다음 표는 사용 가능한 다양한 클라이언트 옵션에 대한 몇 가지 설계 고려 사항을 설명합니다.

       
항목 Secure Mail 기본 (예: iOS 메일) 타사 메일
최소 XenMobile 에디션 Advanced MDM MDM
구성 MDX 정책을 통해 구성된 Exchange 계정 프로필. MDM 정책을 통해 구성된 Exchange 계정 프로필. Android 지원은 SAFE/KNOX 및 Android Enterprise로 제한됩니다. 다른 모든 클라이언트는 타사 클라이언트로 간주됩니다. 일반적으로 사용자가 수동으로 구성해야 합니다.
보안 최고 수준의 보안을 제공하도록 설계되었습니다. 추가 데이터 암호화 수준이 있는 MDX 정책을 사용합니다. Secure Mail은 MDX 정책을 통해 완전히 관리되는 앱입니다. Citrix PIN으로 추가 인증 계층을 제공합니다. 공급업체/앱 기능 세트를 기반으로 합니다. 더 높은 보안을 제공합니다. 장치 암호화 설정을 사용합니다 (MDX 정책을 통한 보안 없음). 앱 액세스를 위해 장치 수준 인증에 의존합니다. 공급업체/앱 기능 세트를 기반으로 합니다. 높은 보안을 제공합니다.
통합 기본적으로 관리되는 (MDX) 앱과의 상호 작용을 허용합니다. Citrix Secure Web으로 웹 URL을 엽니다. Citrix Files에 파일을 저장하고 Citrix Files에서 파일을 첨부합니다. GoToMeeting에 직접 참여하고 전화를 겁니다. 기본적으로 다른 관리되지 않는 (비 MDX) 앱과만 상호 작용할 수 있습니다. 기본적으로 다른 관리되지 않는 (비 MDX) 앱과만 상호 작용할 수 있습니다.
배포/라이선싱 MDM을 통해, 공용 앱 스토어에서 직접 Secure Mail을 푸시할 수 있습니다. XenMobile Advanced 및 Enterprise 라이선스에 포함됩니다. 플랫폼 운영 체제에 포함된 클라이언트 앱입니다. 추가 라이선스 요구 사항이 없습니다. MDM을 통해, 엔터프라이즈 앱으로 또는 공용 앱 스토어에서 직접 푸시할 수 있습니다. 앱 공급업체에 따라 관련 라이선스 모델/비용이 발생합니다.
지원 클라이언트 및 EMM 솔루션 (Citrix)에 대한 단일 공급업체 지원. Secure Hub/앱 디버그 로깅 기능에 내장된 지원 연락처 정보. 지원할 클라이언트가 하나입니다. 공급업체 정의 지원 (Apple/Google). 장치 플랫폼에 따라 다른 클라이언트를 지원해야 할 수도 있습니다. 공급업체 정의 지원. 타사 클라이언트가 모든 관리되는 장치 플랫폼에서 지원된다고 가정할 때, 지원할 클라이언트가 하나입니다.

메일 트래픽 흐름 및 필터링 고려 사항

이 섹션에서는 XenMobile 컨텍스트에서 메일 (ActiveSync) 트래픽 흐름에 대한 세 가지 주요 시나리오와 설계 고려 사항을 설명합니다.

시나리오 1: 노출된 Exchange

외부 클라이언트를 지원하는 환경에서는 일반적으로 Exchange ActiveSync 서비스가 인터넷에 노출됩니다. 모바일 ActiveSync 클라이언트는 역방향 프록시 (예: Citrix ADC) 또는 Edge Server를 통해 외부 연결 경로를 통해 연결합니다. 이 옵션은 기본 또는 타사 메일 클라이언트를 사용하는 데 필요하며, 이러한 클라이언트를 이 시나리오에서 인기 있는 선택으로 만듭니다. 일반적인 관행은 아니지만, 이 시나리오에서 Secure Mail 클라이언트를 사용할 수도 있습니다. 그렇게 하면 MDX 정책 사용 및 앱 관리에서 제공하는 보안 기능을 활용할 수 있습니다.

시나리오 2: Citrix ADC를 통한 터널링 (마이크로 VPN 및 STA)

이 시나리오는 마이크로 VPN 기능 때문에 Secure Mail 클라이언트를 사용할 때 기본값입니다. 이 경우 Secure Mail 클라이언트는 Citrix Gateway를 통해 ActiveSync에 대한 보안 연결을 설정합니다. 본질적으로 Secure Mail은 내부 네트워크에서 ActiveSync에 직접 연결하는 클라이언트로 간주할 수 있습니다. Citrix 고객은 종종 Secure Mail을 모바일 ActiveSync 클라이언트로 표준화합니다. 이러한 결정은 첫 번째 시나리오에서 설명한 대로 노출된 Exchange Server에서 ActiveSync 서비스를 인터넷에 노출하는 것을 피하기 위한 이니셔티브의 일부입니다.

MAM SDK가 활성화되었거나 MDX로 래핑된 앱만 마이크로 VPN 기능을 사용할 수 있습니다. 이 시나리오는 MDX 래핑을 사용하는 경우 기본 클라이언트에는 적용되지 않습니다. 타사 클라이언트를 MDX Toolkit으로 래핑하는 것이 가능할 수도 있지만, 이 방법은 일반적이지 않습니다. 기본 또는 타사 클라이언트에 대한 터널링된 액세스를 허용하기 위해 장치 수준 VPN 클라이언트를 사용하는 것은 번거롭고 실행 가능한 솔루션이 아닌 것으로 입증되었습니다.

시나리오 3: 클라우드 호스팅 Exchange 서비스

Microsoft Office 365와 같은 클라우드 호스팅 Exchange 서비스가 점점 더 인기를 얻고 있습니다. XenMobile 컨텍스트에서 이 시나리오는 ActiveSync 서비스도 인터넷에 노출되기 때문에 첫 번째 시나리오와 동일하게 처리할 수 있습니다. 이 경우 클라우드 서비스 공급자 요구 사항에 따라 클라이언트 선택이 결정됩니다. 일반적으로 Secure Mail 및 기타 기본 또는 타사 클라이언트와 같은 대부분의 ActiveSync 클라이언트에 대한 지원이 포함됩니다.

XenMobile은 이 시나리오에서 세 가지 영역에서 가치를 더할 수 있습니다.

  • MDX 정책 및 Secure Mail을 통한 앱 관리가 적용된 클라이언트
  • 지원되는 기본 이메일 클라이언트에서 MDM 정책을 사용한 클라이언트 구성
  • Exchange ActiveSync용 Endpoint Management 커넥터를 사용한 ActiveSync 필터링 옵션

메일 트래픽 필터링 고려 사항

인터넷에 노출되는 대부분의 서비스와 마찬가지로, 경로를 보호하고 승인된 액세스에 대한 필터링을 제공해야 합니다. XenMobile 솔루션에는 기본 및 타사 클라이언트에 대한 ActiveSync 필터링 기능을 제공하도록 특별히 설계된 두 가지 구성 요소가 포함되어 있습니다: Exchange ActiveSync용 Citrix Gateway 커넥터™ 및 Exchange ActiveSync용 Endpoint Management 커넥터.

Exchange ActiveSync용 Citrix Gateway 커넥터

Exchange ActiveSync용 Citrix Gateway 커넥터는 Citrix ADC를 ActiveSync 트래픽의 프록시로 사용하여 경계에서 ActiveSync 필터링을 제공합니다. 결과적으로 필터링 구성 요소는 메일 트래픽 흐름 경로에 위치하여 메일이 환경에 들어오거나 나갈 때 가로챕니다. Exchange ActiveSync용 Citrix Gateway 커넥터는 Citrix ADC와 XenMobile Server 간의 중개자 역할을 합니다. 장치가 Citrix ADC의 ActiveSync 가상 서버를 통해 Exchange와 통신할 때 Citrix ADC는 Exchange ActiveSync 서비스용 커넥터에 HTTP 콜아웃을 수행합니다. 그러면 해당 서비스는 XenMobile을 통해 장치 상태를 확인합니다. 장치 상태에 따라 Exchange ActiveSync용 커넥터는 Citrix ADC에 연결을 허용하거나 거부하도록 응답합니다. 사용자, 에이전트 및 장치 유형 또는 ID를 기반으로 액세스를 필터링하도록 정적 규칙을 구성할 수도 있습니다.

이 설정은 Exchange ActiveSync 서비스가 인터넷에 노출되도록 허용하며, 무단 액세스를 방지하기 위한 추가 보안 계층을 제공합니다. 설계 고려 사항은 다음과 같습니다.

  • Windows Server: Exchange ActiveSync 구성 요소용 커넥터에는 Windows Server가 필요합니다.
  • 필터링 규칙 세트: Exchange ActiveSync용 커넥터는 사용자 정보보다는 장치 상태 및 정보를 기반으로 필터링하도록 설계되었습니다. 사용자 ID로 필터링하도록 정적 규칙을 구성할 수 있지만, 예를 들어 Active Directory 그룹 멤버십을 기반으로 필터링하는 옵션은 없습니다. Active Directory 그룹 필터링이 필요한 경우 Exchange ActiveSync용 Endpoint Management 커넥터를 대신 사용할 수 있습니다.
  • Citrix ADC 확장성: Citrix ADC를 통해 ActiveSync 트래픽을 프록시해야 하는 요구 사항을 고려할 때, 모든 ActiveSync SSL 연결의 추가 워크로드를 지원하려면 Citrix ADC 인스턴스의 적절한 크기 조정이 중요합니다.
  • Citrix ADC 통합 캐싱: Citrix ADC의 Exchange ActiveSync용 커넥터 구성은 Exchange ActiveSync용 커넥터의 응답을 캐시하기 위해 통합 캐싱 기능을 사용합니다. 이 구성의 결과로 Citrix ADC는 주어진 세션에서 모든 ActiveSync 트랜잭션에 대해 Exchange ActiveSync용 Citrix Gateway 커넥터에 요청을 발행할 필요가 없습니다. 이 구성은 적절한 성능과 확장을 위해서도 중요합니다. 통합 캐싱은 Citrix ADC Platinum Edition에서 사용할 수 있으며, Enterprise Edition의 경우 기능을 별도로 라이선스할 수 있습니다.
  • 사용자 지정 필터링 정책: 표준 기본 모바일 클라이언트 외의 특정 ActiveSync 클라이언트를 제한하기 위해 사용자 지정 Citrix ADC 정책을 생성해야 할 수도 있습니다. 이 구성에는 ActiveSync HTTP 요청 및 Citrix ADC 응답기 정책 생성에 대한 지식이 필요합니다.
  • Secure Mail 클라이언트: Secure Mail에는 마이크로 VPN 기능이 있어 경계에서 필터링할 필요가 없습니다. Secure Mail 클라이언트는 Citrix Gateway를 통해 연결될 때 일반적으로 내부 (신뢰할 수 있는) ActiveSync 클라이언트로 처리됩니다. 기본 및 타사 (Exchange ActiveSync용 커넥터 포함) 및 Secure Mail 클라이언트 모두에 대한 지원이 필요한 경우: Citrix는 Secure Mail 트래픽이 Exchange ActiveSync용 커넥터에 사용되는 Citrix ADC 가상 서버를 통해 흐르지 않도록 권장합니다. 이 트래픽 흐름은 DNS를 통해 수행할 수 있으며 Exchange ActiveSync 정책용 커넥터가 Secure Mail 클라이언트에 영향을 미치지 않도록 할 수 있습니다.

XenMobile 배포에서 Exchange ActiveSync용 Citrix Gateway 커넥터 다이어그램은 온프레미스 배포를 위한 참조 아키텍처를 참조하십시오.

Exchange ActiveSync용 Endpoint Management 커넥터

Exchange ActiveSync용 Endpoint Management 커넥터는 Exchange 서비스 수준에서 ActiveSync 필터링을 제공하는 XenMobile 구성 요소입니다. 결과적으로 필터링은 메일이 XenMobile 환경에 들어올 때가 아니라 Exchange 서비스에 도달한 후에만 발생합니다. Mail Manager는 PowerShell을 사용하여 장치 파트너십 정보를 위해 Exchange ActiveSync를 쿼리하고 장치 격리 작업을 통해 액세스를 제어합니다. 이러한 작업은 Exchange ActiveSync 규칙 기준용 Endpoint Management 커넥터를 기반으로 장치를 격리 상태로 만들거나 격리 상태에서 해제합니다. Exchange ActiveSync용 Citrix Gateway 커넥터와 유사하게 Exchange ActiveSync용 Endpoint Management 커넥터는 XenMobile을 통해 장치 상태를 확인하여 장치 규정 준수를 기반으로 액세스를 필터링합니다. 장치 유형 또는 ID, 에이전트 버전 및 Active Directory 그룹 멤버십을 기반으로 액세스를 필터링하도록 정적 규칙을 구성할 수도 있습니다.

이 솔루션은 Citrix ADC를 사용할 필요가 없습니다. 기존 ActiveSync 트래픽에 대한 라우팅 변경 없이 Exchange ActiveSync용 Endpoint Management 커넥터를 배포할 수 있습니다. 설계 고려 사항은 다음과 같습니다.

  • Windows Server: Exchange ActiveSync 구성 요소용 Endpoint Management 커넥터를 배포하려면 Windows Server가 필요합니다.
  • 필터링 규칙 세트: Exchange ActiveSync용 Citrix Gateway 커넥터와 마찬가지로 Exchange ActiveSync용 Endpoint Management 커넥터에는 장치 상태를 평가하는 필터링 규칙이 포함되어 있습니다. 또한 Exchange ActiveSync용 Endpoint Management 커넥터는 Active Directory 그룹 멤버십을 기반으로 필터링하는 정적 규칙도 지원합니다.
  • Exchange 통합: Exchange ActiveSync용 Endpoint Management 커넥터는 ActiveSync 역할을 호스팅하는 Exchange 클라이언트 액세스 서버 (CAS)에 대한 직접 액세스 및 장치 격리 작업에 대한 제어가 필요합니다. 이 요구 사항은 환경 아키텍처 및 보안 상태에 따라 문제가 될 수 있습니다. 이 기술적 요구 사항을 사전에 평가하는 것이 중요합니다.
  • 기타 ActiveSync 클라이언트: Exchange ActiveSync용 Endpoint Management 커넥터는 ActiveSync 서비스 수준에서 필터링하므로 XenMobile 환경 외부의 다른 ActiveSync 클라이언트를 고려하십시오. Exchange ActiveSync용 Endpoint Management 커넥터 정적 규칙을 구성하여 다른 ActiveSync 클라이언트에 대한 의도하지 않은 영향을 방지할 수 있습니다.
  • 확장된 Exchange 기능: Exchange ActiveSync와의 직접 통합을 통해 Exchange ActiveSync용 Endpoint Management 커넥터는 XenMobile이 모바일 장치에서 Exchange ActiveSync 초기화를 수행할 수 있는 기능을 제공합니다. Exchange ActiveSync용 Endpoint Management 커넥터는 또한 XenMobile이 Blackberry 장치에 대한 정보에 액세스하고 다른 제어 작업을 수행할 수 있도록 합니다.

XenMobile 배포에서 Exchange ActiveSync용 Endpoint Management 커넥터 다이어그램은 온프레미스 배포를 위한 참조 아키텍처를 참조하십시오.

이메일 플랫폼 의사 결정 트리

다음 그림은 XenMobile 배포에서 기본 이메일 또는 Secure Mail 솔루션을 사용하는 것의 장단점을 구별하는 데 도움이 됩니다. 각 선택은 서버, 네트워크 및 데이터베이스 액세스를 활성화하기 위한 관련 XenMobile 옵션 및 요구 사항을 허용합니다. 장단점에는 보안, 정책 및 사용자 인터페이스 고려 사항에 대한 세부 정보가 포함됩니다.

이메일 플랫폼 의사 결정 트리의 다이어그램

이메일 전략