보안 및 사용자 경험
보안은 모든 조직에 중요하지만, 보안과 사용자 경험 사이의 균형을 이루어야 합니다. 예를 들어, 사용자가 사용하기 어려운 고도로 보안된 환경을 가질 수 있습니다. 또는 사용자 친화적인 환경이어서 액세스 제어가 엄격하지 않을 수도 있습니다. 이 가상 핸드북의 다른 섹션에서는 보안 기능을 자세히 다룹니다. 이 문서의 목적은 일반적인 보안 문제와 XenMobile에서 사용할 수 있는 보안 옵션에 대한 일반적인 개요를 제공하는 것입니다.
각 사용 사례에 대해 염두에 두어야 할 몇 가지 주요 고려 사항은 다음과 같습니다.
- 특정 앱만 보호하시겠습니까, 전체 장치를 보호하시겠습니까, 아니면 둘 다 보호하시겠습니까?
- 사용자가 자신의 신원을 어떻게 인증하도록 하시겠습니까? LDAP, 인증서 기반 인증 또는 이 둘의 조합을 사용할 계획이십니까?
- 사용자 세션 시간 초과를 어떻게 처리하시겠습니까? 백그라운드 서비스, Citrix ADC 및 오프라인 상태에서 앱에 액세스할 수 있는 경우에 대한 시간 초과 값이 다르다는 점을 명심하십시오.
- 사용자가 장치 수준 암호, 앱 수준 암호 또는 둘 다 설정하도록 하시겠습니까? 사용자에게 몇 번의 로그온 시도를 허용하시겠습니까? MAM으로 구현된 추가 앱별 인증 요구 사항이 사용자 경험에 어떤 영향을 미칠 수 있는지 염두에 두십시오.
- 사용자에게 어떤 다른 제한을 적용하시겠습니까? Siri와 같은 클라우드 서비스에 사용자가 액세스하도록 허용하시겠습니까? 사용자에게 제공하는 각 앱으로 무엇을 할 수 있고 무엇을 할 수 없습니까? 사무실 공간 내에서 셀룰러 데이터 요금제가 소모되는 것을 방지하기 위해 기업 Wi-Fi 정책을 배포하시겠습니까?
앱 대 장치
고려해야 할 첫 번째 사항 중 하나는 모바일 앱 관리(MAM)를 사용하여 특정 앱만 보호할지 여부입니다. 또는 모바일 장치 관리(MDM)를 사용하여 전체 장치를 관리할지 여부입니다. 일반적으로 장치 수준 제어가 필요하지 않은 경우, 특히 조직이 BYOD(Bring Your Own Device)를 지원하는 경우 모바일 앱만 관리합니다.
XenMobile이 관리하지 않는 장치를 가진 사용자는 앱 스토어를 통해 앱을 설치할 수 있습니다. 선택적 또는 전체 초기화와 같은 장치 수준 제어 대신 앱 정책을 통해 앱에 대한 액세스를 제어합니다. 설정한 값에 따라 정책은 장치가 XenMobile을 정기적으로 확인하여 앱이 여전히 실행될 수 있는지 확인하도록 요구합니다.
MDM을 사용하면 장치의 모든 소프트웨어 인벤토리를 포함하여 전체 장치를 보호할 수 있습니다. 장치가 탈옥되었거나, 루팅되었거나, 안전하지 않은 소프트웨어가 설치된 경우 등록을 방지할 수 있습니다. 그러나 이러한 수준의 제어를 적용하면 사용자가 개인 장치에 대한 많은 권한을 허용하는 것을 꺼려 등록률이 감소할 수 있습니다.
인증
인증은 사용자 경험의 많은 부분이 발생하는 곳입니다. 조직이 이미 Active Directory를 실행 중인 경우 Active Directory를 사용하는 것이 사용자가 시스템에 액세스하는 가장 간단한 방법입니다.
인증 사용자 경험의 또 다른 중요한 부분은 시간 초과입니다. 고보안 환경에서는 사용자가 시스템에 액세스할 때마다 로그온하도록 할 수 있지만, 이 옵션은 모든 조직에 이상적이지 않습니다. 예를 들어, 사용자가 이메일에 액세스할 때마다 자격 증명을 입력하도록 하면 사용자 경험에 상당한 영향을 미칠 수 있습니다.
사용자 엔트로피
보안 강화를 위해 사용자 엔트로피라는 기능을 활성화할 수 있습니다. Citrix Secure Hub™ 및 일부 다른 앱은 모든 기능이 제대로 작동하도록 암호, PIN 및 인증서와 같은 공통 데이터를 자주 공유합니다. 이 정보는 Secure Hub 내의 일반 볼트에 저장됩니다. 비밀 암호화(Encrypt Secrets) 옵션을 통해 사용자 엔트로피를 활성화하면 XenMobile은 UserEntropy라는 새 볼트를 생성합니다. XenMobile은 일반 볼트에서 새 볼트로 정보를 이동합니다. Secure Hub 또는 다른 앱이 데이터에 액세스하려면 사용자가 암호 또는 PIN을 입력해야 합니다.
사용자 엔트로피를 활성화하면 여러 곳에 추가 인증 계층이 추가됩니다. 결과적으로, 앱이 UserEntropy 볼트의 인증서를 포함한 공유 데이터에 액세스해야 할 때마다 사용자는 암호 또는 PIN을 입력해야 합니다.
XenMobile 설명서의 MDX Toolkit 정보를 읽어 사용자 엔트로피에 대해 자세히 알아볼 수 있습니다. 사용자 엔트로피를 켜려면 클라이언트 속성에서 관련 설정을 찾을 수 있습니다.
정책
MDX 및 MDM 정책 모두 조직에 많은 유연성을 제공하지만, 사용자를 제한할 수도 있습니다. 예를 들어, Siri 또는 iCloud와 같이 민감한 데이터를 다양한 위치로 보낼 수 있는 클라우드 애플리케이션에 대한 액세스를 차단할 수 있습니다. 이러한 서비스에 대한 액세스를 차단하는 정책을 설정할 수 있지만, 이러한 정책이 의도하지 않은 결과를 초래할 수 있다는 점을 명심하십시오. iOS 키보드 마이크도 클라우드 액세스에 의존하며 해당 기능에 대한 액세스도 차단할 수 있습니다.
앱
기업 모빌리티 관리(EMM)는 모바일 장치 관리(MDM)와 모바일 애플리케이션 관리(MAM)로 나뉩니다. MDM은 조직이 모바일 장치를 보호하고 제어할 수 있도록 하는 반면, MAM은 애플리케이션 배포 및 관리를 용이하게 합니다. BYOD 채택이 증가함에 따라 일반적으로 MAM 솔루션을 구현하여 애플리케이션 배포, 소프트웨어 라이선싱, 구성 및 애플리케이션 수명 주기 관리를 지원할 수 있습니다.
XenMobile을 사용하면 특정 MAM 정책 및 VPN 설정을 구성하여 데이터 유출 및 기타 보안 위협을 방지함으로써 이러한 앱을 더욱 안전하게 보호할 수 있습니다. XenMobile은 조직에 다음 솔루션 중 하나를 배포할 수 있는 유연성을 제공합니다.
- MAM 전용 환경
- MDM 전용 환경
- 동일한 플랫폼에서 MDM 및 MAM 기능을 모두 제공하는 통합 XenMobile Enterprise 환경
모바일 장치에 앱을 제공하는 기능 외에도 XenMobile은 MDX 기술을 통해 앱 컨테이너화를 제공합니다. MDX는 플랫폼에서 제공하는 장치 수준 암호화와는 별개인 암호화를 통해 앱을 보호합니다. 앱을 초기화하거나 잠글 수 있으며, 앱은 세분화된 정책 기반 제어를 따릅니다. 독립 소프트웨어 공급업체(ISV)는 모바일 앱 SDK를 사용하여 이러한 제어를 적용할 수 있습니다.
기업 환경에서 사용자는 직무 역할을 돕기 위해 다양한 모바일 앱을 사용합니다. 앱에는 공용 앱 스토어의 앱, 사내 개발 앱 및 기본 앱이 포함될 수 있습니다. XenMobile은 이러한 앱을 다음과 같이 분류합니다.
공용 앱: 이러한 앱에는 Apple App Store 또는 Google Play와 같은 공용 앱 스토어에서 사용할 수 있는 무료 또는 유료 앱이 포함됩니다. 조직 외부의 공급업체는 종종 공용 앱 스토어에서 앱을 제공합니다. 이 옵션을 통해 고객은 인터넷에서 직접 앱을 다운로드할 수 있습니다. 사용자의 필요에 따라 조직에서 수많은 공용 앱을 사용할 수 있습니다. 이러한 앱의 예로는 GoToMeeting, Salesforce 및 EpicCare 앱이 있습니다.
Citrix는 공용 앱 스토어에서 앱 바이너리를 직접 다운로드한 다음 기업 배포를 위해 MDX Toolkit으로 래핑하는 것을 지원하지 않습니다. 타사 애플리케이션을 MDX 지원하려면 앱 공급업체에 문의하여 앱 바이너리를 얻으십시오. MDX Toolkit을 사용하여 바이너리를 래핑하거나 MAM SDK를 바이너리와 통합할 수 있습니다.
사내 앱: 많은 조직에는 특정 기능을 제공하고 조직 내에서 독립적으로 개발 및 배포되는 앱을 만드는 사내 개발자가 있습니다. 특정 경우에 일부 조직에는 ISV가 제공하는 앱도 있을 수 있습니다. 이러한 앱은 기본 앱으로 배포하거나 XenMobile과 같은 MAM 솔루션을 사용하여 앱을 컨테이너화할 수 있습니다. 예를 들어, 의료 기관은 의사가 모바일 장치에서 환자 정보를 볼 수 있도록 하는 사내 앱을 만들 수 있습니다. 그러면 조직은 환자 정보를 보호하고 백엔드 환자 데이터베이스 서버에 대한 VPN 액세스를 활성화하기 위해 MAM SDK를 활성화하거나 앱을 MDM 래핑할 수 있습니다.
웹 및 SaaS 앱: 이러한 앱에는 내부 네트워크(웹 앱) 또는 공용 네트워크(SaaS)를 통해 액세스하는 앱이 포함됩니다. XenMobile을 사용하면 앱 커넥터 목록을 사용하여 사용자 지정 웹 및 SaaS 앱을 만들 수도 있습니다. 이러한 앱 커넥터는 기존 웹 앱에 대한 단일 사인온(SSO)을 용이하게 할 수 있습니다. 자세한 내용은 앱 커넥터 유형을 참조하십시오. 예를 들어, Google Apps에 대한 SAML(Security Assertion Markup Language) 기반 SSO에 Google Apps SAML을 사용할 수 있습니다.
모바일 생산성 앱: XenMobile 라이선스에 포함된 Citrix 개발 앱입니다. 자세한 내용은 모바일 생산성 앱 정보를 참조하십시오. Citrix는 또한 ISV가 모바일 앱 SDK를 사용하여 개발한 다른 비즈니스 준비 앱도 제공합니다.
HDX 앱: StoreFront로 게시하는 Windows 호스팅 앱입니다. Citrix Virtual Apps and Desktops™ 환경이 있는 경우 앱을 XenMobile과 통합하여 등록된 사용자에게 앱을 제공할 수 있습니다.
XenMobile로 배포하고 관리할 모바일 앱 유형에 따라 기본 구성 및 아키텍처가 다릅니다. 예를 들어, 서로 다른 권한 수준을 가진 여러 사용자 그룹이 단일 앱을 사용하는 경우 앱의 두 가지 버전을 배포하기 위해 별도의 배달 그룹이 필요할 수 있습니다. 또한 사용자 장치에서 정책 불일치를 방지하려면 사용자 그룹 멤버십이 상호 배타적인지 확인해야 합니다.
Apple 볼륨 구매를 사용하여 iOS 애플리케이션 라이선스를 관리할 수도 있습니다. 이 옵션을 사용하려면 Apple 볼륨 구매에 등록하고 XenMobile 콘솔에서 XenMobile 볼륨 구매 설정을 구성하여 볼륨 구매 라이선스로 앱을 배포해야 합니다. 이러한 다양한 사용 사례는 XenMobile 환경을 구현하기 전에 MAM 전략을 평가하고 계획하는 것이 중요하게 만듭니다. 다음을 정의하여 MAM 전략 계획을 시작할 수 있습니다.
앱 유형: 지원할 다양한 앱 유형을 나열하고 분류합니다. 예를 들어, 공개 앱, 네이티브 앱, 모바일 생산성 앱, 웹 앱, 사내 앱, ISV 앱 등이 있습니다. 또한 iOS 및 Android와 같은 다양한 장치 플랫폼에 따라 앱을 분류합니다. 이러한 분류는 각 앱 유형에 필요한 XenMobile 설정을 조정하는 데 도움이 됩니다. 예를 들어, 특정 앱은 래핑 대상이 아닐 수 있거나 다른 앱과의 상호 작용을 위해 특별한 API를 활성화하려면 Mobile Apps SDK가 필요할 수 있습니다.
네트워크 요구 사항: 특정 네트워크 액세스 요구 사항이 있는 앱을 적절한 설정으로 구성합니다. 예를 들어, 특정 앱은 VPN을 통해 내부 네트워크에 액세스해야 할 수 있습니다. 일부 앱은 DMZ를 통해 액세스를 라우팅하기 위해 인터넷 액세스가 필요할 수 있습니다. 이러한 앱이 필요한 네트워크에 연결할 수 있도록 하려면 다양한 설정을 그에 따라 구성해야 합니다. 앱별 네트워크 요구 사항을 정의하면 아키텍처 결정을 조기에 확정하는 데 도움이 되며, 이는 전체 구현 프로세스를 간소화합니다.
보안 요구 사항: 개별 앱 또는 모든 앱에 적용되는 보안 요구 사항을 정의하는 것이 중요합니다. 이러한 계획을 통해 XenMobile Server를 설치할 때 올바른 구성을 생성할 수 있습니다. MDX 정책과 같은 설정은 개별 앱에 적용되지만, 세션 및 인증 설정은 모든 앱에 적용됩니다. 일부 앱에는 배포를 간소화하기 위해 미리 개요를 작성할 수 있는 특정 암호화, 컨테이너화, 래핑, 인증, 지오펜싱, 암호 또는 데이터 공유 요구 사항이 있을 수 있습니다.
배포 요구 사항: 규정을 준수하는 사용자만 게시된 앱을 다운로드할 수 있도록 정책 기반 배포를 사용하고자 할 수 있습니다. 예를 들어, 특정 앱에 다음 중 하나가 필요하도록 할 수 있습니다.
- 장치 플랫폼 기반 암호화가 활성화됨
- 장치가 관리됨
- 장치가 최소 운영 체제 버전을 충족함
- 특정 앱은 기업 사용자에게만 제공됨
특정 앱을 기업 사용자에게만 제공하도록 할 수도 있습니다. 적절한 배포 규칙 또는 작업을 구성할 수 있도록 이러한 요구 사항을 미리 개요를 작성합니다.
라이선스 요구 사항: 앱 관련 라이선스 요구 사항을 기록해 둡니다. 이 기록은 라이선스 사용을 효과적으로 관리하고 라이선싱을 용이하게 하기 위해 XenMobile에서 특정 기능을 구성할지 여부를 결정하는 데 도움이 됩니다. 예를 들어, 무료 또는 유료 iOS 앱을 배포하는 경우 Apple은 사용자가 iTunes 계정에 로그인하도록 요구하여 앱에 대한 라이선스 요구 사항을 적용합니다. XenMobile을 통해 이러한 앱을 배포하고 관리하려면 Apple 볼륨 구매에 등록할 수 있습니다. 볼륨 구매를 통해 사용자는 iTunes 계정에 로그인하지 않고도 앱을 다운로드할 수 있습니다. 또한 Samsung SAFE 및 Samsung Knox와 같은 도구에는 특별한 라이선스 요구 사항이 있으며, 이러한 기능을 배포하기 전에 이를 완료해야 합니다.
허용 목록 및 차단 목록 요구 사항: 사용자가 일부 앱을 설치하거나 사용하는 것을 방지하고자 할 것입니다. 장치를 규정 미준수 상태로 만드는 앱의 허용 목록을 만듭니다. 그런 다음 장치가 규정 미준수 상태가 될 때 트리거되는 정책을 설정합니다. 반면에, 앱은 사용하기에 허용될 수 있지만 어떤 이유로든 차단 목록에 포함될 수 있습니다. 이 경우 앱을 허용 목록에 추가하고 앱을 사용하는 것이 허용되지만 필수는 아님을 나타낼 수 있습니다. 또한 새 장치에 사전 설치된 앱에는 운영 체제의 일부가 아닌 일부 일반적으로 사용되는 앱이 포함될 수 있음을 명심하십시오. 이러한 앱은 차단 목록 전략과 충돌할 수 있습니다.
앱 사용 사례
한 의료 기관이 모바일 앱을 위한 MAM 솔루션으로 XenMobile을 배포할 계획입니다. 모바일 앱은 기업 및 BYOD 사용자에게 제공됩니다. IT 부서는 다음 앱을 제공하고 관리하기로 결정합니다.
- 모바일 생산성 앱: Citrix에서 제공하는 iOS 및 Android 앱.
- Secure Mail: 이메일, 캘린더 및 연락처 앱.
- Secure Web: 인터넷 및 인트라넷 사이트에 대한 액세스를 제공하는 보안 웹 브라우저.
- Citrix Files: 공유 데이터에 액세스하고 파일을 공유, 동기화 및 편집하는 앱.
공개 앱 스토어
- Secure Hub: 모든 모바일 장치가 XenMobile과 통신하는 데 사용하는 클라이언트입니다. IT 부서는 Secure Hub 클라이언트를 통해 보안 설정, 구성 및 모바일 앱을 모바일 장치로 푸시합니다. Android 및 iOS 장치는 Secure Hub를 통해 XenMobile에 등록됩니다.
- Citrix Receiver™: 사용자가 모바일 장치에서 Virtual Apps and Desktops에서 호스팅되는 애플리케이션을 열 수 있도록 하는 모바일 앱입니다.
- GoToMeeting: 사용자가 인터넷을 통해 다른 컴퓨터 사용자, 고객, 클라이언트 또는 동료와 실시간으로 만날 수 있도록 하는 온라인 회의, 데스크톱 공유 및 화상 회의 클라이언트입니다.
- Salesforce1: Salesforce1은 사용자가 모바일 장치에서 Salesforce에 액세스할 수 있도록 하며, 모든 Salesforce 사용자에게 통합된 경험으로 Chatter, CRM, 사용자 지정 앱 및 비즈니스 프로세스를 함께 제공합니다.
- RSA SecurID: 2단계 인증을 위한 소프트웨어 기반 토큰입니다.
-
EpicCare 앱: 이 앱은 의료 전문가에게 환자 차트, 환자 목록, 일정 및 메시징에 대한 안전하고 휴대 가능한 액세스를 제공합니다.
- Haiku: iPhone 및 Android 휴대폰용 모바일 앱.
- Canto: iPad용 모바일 앱.
- Rover: iPhone 및 iPad용 모바일 앱.
HDX: 이 앱은 Citrix Virtual Apps™ and Desktops를 통해 제공됩니다.
- Epic Hyperspace: 전자 건강 기록 관리를 위한 Epic 클라이언트 애플리케이션입니다.
ISV
- Vocera: HIPAA를 준수하는 VoIP 및 메시징 모바일 앱으로, iPhone 및 Android 스마트폰을 통해 언제 어디서든 Vocera 음성 기술의 이점을 확장합니다.
사내 앱
- HCMail: 암호화된 메시지를 작성하고, 내부 메일 서버에서 주소록을 검색하며, 이메일 클라이언트를 사용하여 암호화된 메시지를 연락처로 보내는 데 도움이 되는 앱입니다.
사내 웹 앱
- PatientRounding: 다양한 부서에서 환자 건강 정보를 기록하는 데 사용되는 웹 애플리케이션입니다.
- Outlook Web Access: 웹 브라우저를 통해 이메일에 액세스할 수 있도록 합니다.
- SharePoint: 조직 전체의 파일 및 데이터 공유에 사용됩니다.
다음 표는 MAM 구성에 필요한 기본 정보를 나열합니다.
| 앱 이름 | 앱 유형 | MDX 래핑 | iOS | Android |
| Secure Mail | XenMobile 앱 | 버전 10.4.1 이상에서는 해당 없음 | 예 | 예 |
| Secure Web | XenMobile 앱 | 버전 10.4.1 이상에서는 해당 없음 | 예 | 예 |
| Citrix Files | XenMobile 앱 | 버전 10.4.1 이상에서는 해당 없음 | 예 | 예 |
| Secure Hub | 공개 앱 | NA | 예 | 예 |
| Citrix Receiver | 공개 앱 | NA | 예 | 예 |
| GoToMeeting | 공개 앱 | NA | 예 | 예 |
| Salesforce1 | 공개 앱 | NA | 예 | 예 |
| RSA SecurID | 공개 앱 | NA | 예 | 예 |
| Epic Haiku | 공개 앱 | NA | 예 | 예 |
| Epic Canto | 공개 앱 | NA | 예 | 아니요 |
| Epic Rover | 공개 앱 | NA | 예 | 아니요 |
| Epic Hyperspace | HDX™ 앱 | NA | 예 | 예 |
| Vocera | ISV 앱 | 예 | 예 | 예 |
| HCMail | 사내 앱 | 예 | 예 | 예 |
| PatientRounding | 웹 앱 | NA | 예 | 예 |
| Outlook Web Access | 웹 앱 | NA | 예 | 예 |
| SharePoint | 웹 앱 | NA | 예 | 예 |
다음 표는 XenMobile에서 MAM 정책을 구성할 때 참조할 수 있는 특정 요구 사항을 나열합니다.
| 앱 이름 | VPN 필요 | 상호 작용 | 상호 작용 | 장치 플랫폼 기반 암호화 |
|---|---|---|---|---|
| Secure Mail | 예 | 선택적으로 허용됨 | 허용됨 | 필요 없음 |
| Secure Web | 예 | 허용됨 | 허용됨 | 필요 없음 |
| Citrix Files | 예 | 허용됨 | 허용됨 | 필요 없음 |
| Secure Hub | 예 | N/A | N/A | N/A |
| Citrix Receiver | 예 | N/A | N/A | N/A |
| GoToMeeting | 아니요 | N/A | N/A | N/A |
| Salesforce1 | 아니요 | N/A | N/A | N/A |
| RSA SecurID | 아니요 | N/A | N/A | N/A |
| Epic Haiku | 예 | N/A | N/A | N/A |
| Epic Canto | 예 | N/A | N/A | N/A |
| Epic Rover | 예 | N/A | N/A | N/A |
| Epic Hyperspace | 예 | N/A | N/A | N/A |
| Vocera | 예 | 차단됨 | 차단됨 | 필요 없음 |
| HCMail | 예 | 차단됨 | 차단됨 | 필요함 |
| PatientRounding | 예 | N/A | N/A | 필요함 |
| Outlook Web Access | 예 | N/A | N/A | 필요 없음 |
| SharePoint | 예 | N/A | N/A | 필요 없음 |
| 앱 이름 | 프록시 필터링 | 라이선싱 | 지오펜싱 | Mobile Apps SDK | 최소 운영 체제 버전 |
|---|---|---|---|---|---|
| Secure Mail | 필요함 | N/A | 선택적으로 필요함 | N/A | 적용됨 |
| Secure Web | 필요함 | N/A | 필요 없음 | N/A | 적용됨 |
| Citrix Files | 필요함 | N/A | 필요 없음 | N/A | 적용됨 |
| Secure Hub | 필요 없음 | 볼륨 구매 | 필요 없음 | N/A | 적용되지 않음 |
| Citrix Receiver | 필요 없음 | 볼륨 구매 | 필요 없음 | N/A | 적용되지 않음 |
| GoToMeeting | 필요 없음 | 볼륨 구매 | 필요 없음 | N/A | 적용되지 않음 |
| Salesforce1 | 필요 없음 | 볼륨 구매 | 필요 없음 | N/A | 적용되지 않음 |
| RSA SecurID | 필요 없음 | 볼륨 구매 | 필요 없음 | N/A | 적용되지 않음 |
| Epic Haiku | 필요 없음 | 볼륨 구매 | 필요 없음 | N/A | 적용되지 않음 |
| Epic Canto | 필요 없음 | 볼륨 구매 | 필요 없음 | N/A | 적용되지 않음 |
| Epic Rover | 필요 없음 | 볼륨 구매 | 필요 없음 | N/A | 적용되지 않음 |
| Epic Hyperspace | 필요 없음 | N/A | 필요 없음 | N/A | 적용되지 않음 |
| Vocera | 필요함 | N/A | 필요함 | 필요함 | 적용됨 |
| HCMail | 필요함 | N/A | 필요함 | 필요함 | 적용됨 |
| PatientRounding | 필요함 | N/A | 필요 없음 | N/A | 적용되지 않음 |
| Outlook Web Access | 필요함 | N/A | 필요 없음 | N/A | 적용되지 않음 |
| SharePoint | 필요함 | N/A | 필요 없음 | N/A | 적용되지 않음 |
사용자 커뮤니티
모든 조직은 다양한 기능적 역할을 수행하는 다양한 사용자 커뮤니티로 구성됩니다. 이러한 사용자 커뮤니티는 사용자의 모바일 장치를 통해 제공하는 다양한 리소스를 사용하여 여러 작업과 사무 기능을 수행합니다. 사용자는 제공된 모바일 장치를 사용하여 집이나 원격 사무실에서 작업할 수 있습니다. 또는 사용자는 개인 모바일 장치를 사용하여 특정 보안 규정 준수 규칙이 적용되는 도구에 액세스할 수 있습니다.
더 많은 사용자 커뮤니티가 모바일 장치를 사용함에 따라, 데이터 유출을 방지하고 보안 제한을 적용하기 위해 EMM(Enterprise Mobility Management)이 중요해집니다. 효율적이고 정교한 모바일 장치 관리를 위해 사용자 커뮤니티를 분류할 수 있습니다. 이렇게 하면 사용자를 리소스에 매핑하는 것이 간소화되고 올바른 보안 정책이 올바른 사용자에게 적용되도록 보장합니다.
다음 예시는 의료 기관의 사용자 커뮤니티가 EMM을 위해 어떻게 분류되는지 보여줍니다.
사용자 커뮤니티 사용 사례
이 예시 의료 기관은 네트워크 및 계열사 직원, 자원봉사자를 포함한 여러 사용자에게 기술 리소스 및 액세스를 제공합니다. 이 기관은 EMM 솔루션을 비경영진 사용자에게만 배포하기로 결정했습니다.
이 기관의 사용자 역할 및 기능은 임상, 비임상, 계약직의 하위 그룹으로 나눌 수 있습니다. 일부 선택된 사용자는 회사 모바일 장치를 지급받는 반면, 다른 사용자는 개인 장치에서 제한된 회사 리소스에 액세스할 수 있습니다. 적절한 수준의 보안 제한을 적용하고 데이터 유출을 방지하기 위해, 이 기관은 회사에서 지급한 장치든 BYOD(개인 소유 장치)든 등록된 모든 장치를 기업 IT가 관리하도록 결정했습니다. 또한, 사용자는 단일 장치만 등록할 수 있습니다.
다음 섹션에서는 각 하위 그룹의 역할과 기능에 대한 개요를 제공합니다.
임상
- 간호사
- 의사 (내과 의사, 외과 의사 등)
- 전문가 (영양사, 마취과 의사, 방사선과 의사, 심장 전문의, 종양 전문의 등)
- 외부 의사 (원격 사무실에서 근무하는 비직원 의사 및 사무직 직원)
- 재택 건강 서비스 (환자 방문 진료를 수행하는 사무직 및 모바일 직원)
- 연구 전문가 (의학 문제에 대한 해답을 찾기 위해 임상 연구를 수행하는 6개 연구 기관의 지식 근로자 및 파워 사용자)
- 교육 및 훈련 (교육 및 훈련 분야의 간호사, 의사 및 전문가)
비임상
- 공유 서비스 (HR, 급여, 미지급금, 공급망 서비스 등 다양한 백오피스 기능을 수행하는 사무직 직원)
- 의료 서비스 (행정 서비스, 분석 및 비즈니스 인텔리전스, 비즈니스 시스템, 고객 서비스, 재무, 관리형 의료 관리, 환자 액세스 솔루션, 수익 주기 솔루션 등 공급자에게 다양한 의료 관리, 행정 서비스 및 비즈니스 프로세스 솔루션을 제공하는 사무직 직원)
- 지원 서비스 (복리후생 관리, 임상 통합, 커뮤니케이션, 보상 및 성과 관리, 시설 및 자산 서비스, HR 기술 시스템, 정보 서비스, 내부 감사 및 프로세스 개선 등 다양한 비임상 기능을 수행하는 사무직 직원)
- 자선 프로그램 (자선 프로그램 지원을 위해 다양한 기능을 수행하는 사무직 및 모바일 직원)
계약직
- 제조업체 및 공급업체 파트너 (현장 및 사이트 간 VPN을 통해 원격으로 연결되어 다양한 비임상 지원 기능을 제공)
앞선 정보를 바탕으로, 이 기관은 다음 엔터티를 생성했습니다. XenMobile의 전달 그룹에 대한 자세한 내용은 리소스 배포를 참조하십시오.
Active Directory 조직 구성 단위(OU) 및 그룹
OU = XenMobile 리소스의 경우:
- OU = 임상; 그룹 =
- XM-Nurses
- XM-Physicians
- XM-Specialists
- XM-Outside Physicians
- XM-Home Health Services
- XM-Research Specialist
- XM-Education and Training
- OU = 비임상; 그룹 =
- XM-Shared Services
- XM-Physician Services
- XM-Support Services
- XM-Philanthropic Programs
XenMobile 로컬 사용자 및 그룹
그룹 = 계약직, 사용자 =
- Vendor1
- Vendor2
- Vendor 3
- … Vendor 10
XenMobile 전달 그룹
- Clinical-Nurses
- Clinical-Physicians
- Clinical-Specialists
- Clinical-Outside Physicians
- Clinical-Home Health Services
- Clinical-Research Specialist
- Clinical-Education and Training
- Non-Clinical-Shared Services
- Non-Clinical-Physician Services
- Non-Clinical-Support Services
- Non-Clinical-Philanthropic Programs
전달 그룹 및 사용자 그룹 매핑
| Active Directory 그룹 | XenMobile 전달 그룹 |
| XM-Nurses | Clinical-Nurses |
| XM-Physicians | Clinical-Physicians |
| XM-Specialists | Clinical-Specialists |
| XM-Outside Physicians | Clinical-Outside Physicians |
| XM-Home Health Services | Clinical-Home Health Services |
| XM-Research Specialist | Clinical-Research Specialist |
| XM-Education and Training | Clinical-Education and Training |
| XM-Shared Services | Non-Clinical-Shared Services |
| XM-Physician Services | Non-Clinical-Physician Services |
| XM-Support Services | Non-Clinical-Support Services |
| XM-Philanthropic Programs | Non-Clinical-Philanthropic Programs |
전달 그룹 및 리소스 매핑
다음 표는 이 사용 사례에서 각 전달 그룹에 할당된 리소스를 보여줍니다. 첫 번째 표는 모바일 앱 할당을 보여줍니다. 두 번째 표는 공개 앱, HDX 앱 및 장치 관리 리소스를 보여줍니다.
| XenMobile 전달 그룹 | Citrix 모바일 앱 | 공개 모바일 앱 | HDX 모바일 앱 |
| Clinical-Nurses | X | ||
| Clinical-Physicians | |||
| Clinical-Specialists | |||
| Clinical-Outside Physicians | X | ||
| Clinical-Home Health Services | X | ||
| Clinical-Research Specialist | X | ||
| Clinical-Education and Training | X | X | |
| Non-Clinical-Shared Services | X | X | |
| Non-Clinical-Physician Services | X | X | |
| Non-Clinical-Support Services | X | X | X |
| Non-Clinical-Philanthropic Programs | X | X | X |
| Contractors | X | X | X |
| XenMobile 전달 그룹 | 공개 앱: RSA SecurID | 공개 앱: EpicCare Haiku | HDX 앱: Epic Hyperspace | 암호 정책 | 장치 제한 | 자동화된 작업 | WiFi 정책 |
| Clinical-Nurses | X | ||||||
| Clinical-Physicians | X | ||||||
| Clinical-Specialists | |||||||
| Clinical-Outside Physicians | |||||||
| Clinical-Home Health Services | |||||||
| Clinical-Research Specialist | |||||||
| Clinical-Education and Training | X | X | |||||
| Non-Clinical-Shared Services | X | X | |||||
| Non-Clinical-Physician Services | X | X | |||||
| Non-Clinical-Support Services | X | X |
참고 사항 및 고려 사항
- XenMobile은 초기 구성 중에 All Users라는 기본 전달 그룹을 생성합니다. 이 전달 그룹을 비활성화하지 않으면 모든 Active Directory 사용자가 XenMobile에 등록할 권한을 갖습니다.
- XenMobile은 LDAP 서버에 대한 동적 연결을 사용하여 Active Directory 사용자 및 그룹을 온디맨드 방식으로 동기화합니다.
- 사용자가 XenMobile에 매핑되지 않은 그룹에 속해 있으면 해당 사용자는 등록할 수 없습니다. 마찬가지로, 사용자가 여러 그룹의 구성원인 경우 XenMobile은 해당 사용자를 XenMobile에 매핑된 그룹에만 속하는 것으로 분류합니다.
- MDM 등록을 필수로 설정하려면 XenMobile 콘솔의 서버 속성에서 등록 필수 옵션을 True로 설정해야 합니다. 자세한 내용은 서버 속성을 참조하십시오.
- SQL Server 데이터베이스의 dbo.userlistgrps에서 항목을 삭제하여 XenMobile 전달 그룹에서 사용자 그룹을 삭제할 수 있습니다. 주의: 이 작업을 수행하기 전에 XenMobile 및 데이터베이스를 백업하십시오.
XenMobile의 장치 소유권 정보
사용자의 장치 소유자에 따라 사용자를 그룹화할 수 있습니다. 장치 소유권에는 회사 소유 장치와 BYOD(개인 소유 장치)로도 알려진 사용자 소유 장치가 포함됩니다. XenMobile 콘솔의 두 곳에서 BYOD 장치가 네트워크에 연결하는 방식을 제어할 수 있습니다. 각 리소스 유형에 대한 배포 규칙과 설정 페이지의 서버 속성을 통해서입니다. 배포 규칙에 대한 자세한 내용은 XenMobile 설명서의 배포 규칙 구성을 참조하십시오. 서버 속성에 대한 자세한 내용은 서버 속성을 참조하십시오.
모든 BYOD 사용자에게 앱에 액세스하기 전에 장치에 대한 회사 관리를 수락하도록 요구할 수 있습니다. 또는 장치를 관리하지 않고도 사용자에게 회사 앱에 대한 액세스 권한을 부여할 수 있습니다.
서버 설정 wsapi.mdm.required.flag를 true로 설정하면 XenMobile이 모든 BYOD 장치를 관리하며, 등록을 거부하는 모든 사용자는 앱에 대한 액세스가 거부됩니다. 기업 IT 팀이 XenMobile에 사용자 장치를 등록할 때 긍정적인 사용자 경험과 함께 높은 보안이 필요한 환경에서는 wsapi.mdm.required.flag를 true로 설정하는 것을 고려하십시오.
기본 설정인 wsapi.mdm.required.flag를 false로 두면 사용자는 등록을 거부할 수 있지만 XenMobile Store를 통해 장치에서 앱에 계속 액세스할 수 있습니다. 개인 정보 보호, 법적 또는 규제 제약으로 인해 장치 관리가 필요 없고 엔터프라이즈 앱 관리만 필요한 환경에서는 wsapi.mdm.required.flag를 false로 설정하는 것을 고려하십시오.
XenMobile에서 관리하지 않는 장치를 사용하는 사용자는 XenMobile Store를 통해 앱을 설치할 수 있습니다. 선택적 또는 전체 초기화와 같은 장치 수준 제어 대신, 앱 정책을 통해 앱에 대한 액세스를 제어합니다. 설정한 값에 따라 정책은 앱이 여전히 실행될 수 있는지 확인하기 위해 장치가 XenMobile Server를 정기적으로 확인하도록 요구합니다.
보안 요구 사항
XenMobile 환경을 배포할 때 고려해야 할 보안 사항이 너무 많아 빠르게 압도될 수 있습니다. 많은 상호 연결된 구성 요소와 설정이 있습니다. 시작하는 데 도움이 되고 허용 가능한 수준의 보호를 선택할 수 있도록 Citrix는 다음 표에 요약된 높은 보안, 더 높은 보안 및 최고 보안에 대한 권장 사항을 제공합니다.
배포 모드 선택은 보안 문제 이상을 포함합니다. 사용 사례의 요구 사항을 검토하고 배포 모드를 선택하기 전에 보안 문제를 완화할 수 있는지 결정하는 것도 중요합니다.
높음: 이러한 설정을 사용하면 대부분의 조직에서 허용할 수 있는 기본 수준의 보안을 유지하면서 최적의 사용자 환경을 제공합니다.
더 높음: 이러한 설정은 보안과 유용성 간의 더 강력한 균형을 만듭니다.
최고: 이러한 권장 사항을 따르면 유용성과 사용자 채택을 희생하면서 높은 수준의 보안을 제공합니다.
배포 모드 보안 고려 사항
다음 표는 각 보안 수준에 대한 배포 모드를 지정합니다.
| 높은 보안 | 더 높은 보안 | 최고 보안 |
| MAM 또는 MDM | MDM+MAM | MDM+MAM; FIPS 포함 |
참고:
- 사용 사례에 따라 MDM 전용 또는 MAM 전용 배포는 보안 요구 사항을 충족하고 우수한 사용자 환경을 제공할 수 있습니다.
- 앱 컨테이너화, 마이크로 VPN 또는 앱별 정책이 필요하지 않은 경우 MDM만으로도 장치를 관리하고 보호하기에 충분합니다.
- 앱 컨테이너화만으로 모든 비즈니스 및 보안 요구 사항을 충족할 수 있는 BYOD와 같은 사용 사례의 경우 Citrix는 MAM 전용 모드를 권장합니다.
- 높은 보안 환경(및 회사에서 발행한 장치)의 경우 Citrix는 사용 가능한 모든 보안 기능을 활용하기 위해 MDM+MAM을 권장합니다. MDM 등록을 반드시 적용하십시오.
- 연방 정부와 같이 최고 보안 요구 사항이 있는 환경을 위한 FIPS 옵션.
FIPS 모드를 활성화하는 경우 SQL Server가 SQL 트래픽을 암호화하도록 구성해야 합니다.
Citrix ADC 및 Citrix Gateway 보안 고려 사항
다음 표는 각 보안 수준에 대한 Citrix ADC 및 Citrix Gateway 권장 사항을 지정합니다.
| 높은 보안 | 더 높은 보안 | 최고 보안 |
| Citrix ADC가 권장됩니다. Citrix Gateway는 MAM 및 ENT에 필요하며 MDM에 권장됩니다. | XenMobile이 DMZ에 있는 경우 SSL 브리지를 사용하는 XenMobile 마법사 구성용 표준 Citrix ADC. 또는 XenMobile Server가 내부 네트워크에 있을 때 보안 표준을 충족하기 위해 필요한 경우 SSL 오프로드. | 종단 간 암호화가 포함된 SSL 오프로드 |
참고:
- NAT 또는 기존 타사 프록시 및 로드 밸런서를 통해 XenMobile Server를 인터넷에 노출하는 것은 MDM의 옵션이 될 수 있습니다. 그러나 이 설정은 SSL 트래픽이 XenMobile Server에서 종료되어 잠재적인 보안 위험을 초래합니다.
- 높은 보안 환경의 경우 기본 XenMobile 구성이 적용된 Citrix ADC는 일반적으로 보안 요구 사항을 충족하거나 초과합니다.
- 최고 보안 요구 사항이 있는 MDM 환경의 경우 Citrix ADC에서 SSL 종료를 통해 경계에서 트래픽 검사를 활성화하고 종단 간 SSL 암호화를 유지할 수 있습니다.
- SSL/TLS 암호 정의 옵션.
- SSL FIPS Citrix ADC 하드웨어도 사용할 수 있습니다.
- 자세한 내용은 Citrix Gateway 및 Citrix ADC 통합을 참조하십시오.
등록 보안 고려 사항
다음 표는 각 보안 수준에 대한 Citrix ADC 및 Citrix Gateway 권장 사항을 지정합니다.
| 높은 보안 | 더 높은 보안 | 최고 보안 |
| Active Directory 그룹 멤버십만. 모든 사용자 배달 그룹 비활성화. | 초대 전용 등록 보안 모드. Active Directory 그룹 멤버십만. 모든 사용자 배달 그룹 비활성화. | 장치 ID에 연결된 등록 보안 모드. Active Directory 그룹 멤버십만. 모든 사용자 배달 그룹 비활성화. |
참고:
- Citrix는 일반적으로 미리 정의된 Active Directory 그룹의 사용자에게만 등록을 제한할 것을 권장합니다. 이 설정은 기본 제공되는 모든 사용자 배달 그룹을 비활성화해야 합니다.
- 등록 초대를 사용하여 초대받은 사용자에게만 등록을 제한할 수 있습니다. 등록 초대는 Windows 장치에서는 사용할 수 없습니다.
- 일회용 PIN(OTP) 등록 초대를 2단계 인증 솔루션으로 사용하고 사용자가 등록할 수 있는 장치 수를 제어할 수 있습니다. OTP 초대는 Windows 장치에서는 사용할 수 없습니다.
장치 암호 보안 고려 사항
다음 표는 각 보안 수준에 대한 장치 암호 권장 사항을 지정합니다.
| 높은 보안 | 더 높은 보안 | 최고 보안 |
| 권장됩니다. 장치 수준 암호화에는 높은 보안이 필요합니다. MDM을 사용하여 적용됩니다. MDX 정책인 비준수 장치 동작을 사용하여 MAM 전용에 필요한 높은 보안을 설정할 수 있습니다. | MDM, MDX 정책 또는 둘 다를 사용하여 적용됩니다. | MDM 및 MDX 정책을 사용하여 적용됩니다. MDM 복잡한 암호 정책. |
참고:
- Citrix는 장치 암호 사용을 권장합니다.
- MDM 정책을 통해 장치 암호를 적용할 수 있습니다.
- MDX 정책을 사용하여 관리되는 앱을 사용하는 데 장치 암호를 필수로 만들 수 있습니다. 예를 들어 BYOD 사용 사례의 경우.
- Citrix는 MDM+MAM 환경에서 보안 강화를 위해 MDM 및 MDX 정책 옵션을 결합할 것을 권장합니다.
- 최고 보안 요구 사항이 있는 환경의 경우 복잡한 암호 정책을 구성하고 MDM으로 적용할 수 있습니다. 장치가 암호 정책을 준수하지 않을 때 관리자에게 알리거나 선택적/전체 장치 초기화를 발행하는 자동 작업을 구성할 수 있습니다.