XenMobile Server

보안 및 사용자 환경

보안은 모든 조직에서 중요하지만 보안과 사용자 환경 사이의 균형을 맞춰야 합니다. 예를 들어 매우 안전하지만 사용하기가 어려운 환경을 구축할 수 있는가 하면, 액세스 제어가 엄격하지 않은 사용자 친화적인 환경을 구축할 수도 있습니다. 보안 기능은 이 가상 안내서의 다른 섹션에서 자세히 다룹니다. 이 문서의 목적은 일반적인 보안 우려 사항과 XenMobile에서 제공되는 보안 옵션을 대략적으로 설명하는 것입니다.

다음은 각 사용 사례에서 주로 고려해야 할 사항입니다.

  • 특정 앱, 전체 장치 또는 둘 다를 보호해야 합니까?
  • 사용자 ID를 인증할 때 어떤 방법을 사용하고 싶습니까? LDAP 인증, 인증서 기반 인증 또는 두 인증의 조합을 사용할 계획입니까?
  • 사용자 세션 시간 초과는 어떻게 처리하려고 합니까? 백그라운드 서비스, Citrix ADC 및 오프라인 중 앱 액세스에 대한 시간 초과 값이 서로 다르다는 점에 유의하십시오.
  • 사용자가 장치 수준 암호, 앱 수준 암호 또는 모두를 설정해야 합니까? 사용자가 시도할 수 있는 로그온 횟수는 몇 번입니까? MAM으로 구현되는 추가적인 앱별 인증 요구 사항이 사용자 환경에 미치는 영향을 염두에 두십시오.
  • 사용자에게 적용하려는 다른 제한 사항은 무엇입니까? 사용자가 Siri와 같은 클라우드 서비스에 액세스하길 원합니까? 사용자는 제공된 각 앱을 사용하여 무엇을 할 수 있고 무엇을 할 수 없습니까? 사무실 공간 안에 있는 동안 셀룰러 데이터 요금이 소비되지 않도록 회사 Wi-Fi 정책을 배포해야 합니까?

앱 대 장치

일단 모바일 앱 관리(MAM)를 사용하여 특정한 앱의 보안만 확보할지 여부를 먼저 고려해야 합니다. 아니면 모바일 장치 관리(MDM)를 사용하여 전체 장치를 관리할 수도 있습니다. 일반적으로, 장치 수준 제어가 필요하지 않은 경우, 특히 조직에서 BYOD(Bring Your Own Device)를 지원하는 경우에는 모바일 앱만 관리하면 됩니다.

XenMobile을 통해 관리되지 않는 장치의 사용자는 앱 스토어를 통해 앱을 설치할 수 있습니다. 선택적 초기화 또는 전체 초기화 같은 장치 수준 제어 대신 앱 정책을 사용하여 앱 액세스를 제어할 수 있습니다. 설정한 값에 따라 정책은 장치에서 주기적으로 XenMobile에 연결하여 앱 실행이 허용되는지 여부를 확인해야 합니다.

MDM을 사용하면 하나의 장치에 모든 소프트웨어의 인벤토리를 가져오는 기능 등 전체 장치의 보안을 확보할 수 있습니다. 장치가 탈옥 또는 루팅되거나 장치에 안전하지 않은 소프트웨어가 설치되면 등록할 수 없게 만들 수 있습니다. 그러나 이 수준의 제어를 사용하면 사용자가 개인 장치에 이렇게 많은 권한을 허용하는 것을 주저하고 등록 비율이 감소할 수 있습니다.

인증

인증은 사용자 환경과 많은 관련이 있는 영역입니다. 이미 Active Directory를 실행 중인 조직에서는 Active Directory를 사용하여 시스템에 대한 사용자 액세스를 제공하는 것이 가장 간단한 방법입니다.

인증 사용자 환경에서 중요한 또 다른 요소는 시간 초과입니다. 보안 수준이 높은 환경에서는 사용자가 시스템에 액세스할 때마다 로그온해야 하지만 일부 조직에서는 이 옵션이 적합하지 않습니다. 예를 들어 전자 메일에 액세스할 때마다 자격 증명을 입력하도록 하면 사용자 환경에 크게 영향을 미칠 수 있습니다.

사용자 엔트로피

보안을 추가하려면 사용자 엔트로피라고 하는 기능을 사용할 수 있습니다. Citrix Secure Hub와 일부 다른 앱은 암호, PIN 및 인증서 같은 공통 데이터를 공유하여 모든 기능이 올바르게 작동되도록 합니다. 이 정보는 Secure Hub의 일반 저장소에 저장됩니다. Encrypt Secrets(암호 암호화) 옵션을 통해 사용자 엔트로피를 사용하면 XenMobile이 UserEntropy라는 이름의 새 저장소를 만듭니다. XenMobile은 이 정보를 일반 저장소에서 새 저장소로 옮깁니다. Secure Hub 또는 다른 앱에서 데이터에 액세스하려면 사용자가 암호 또는 PIN을 입력해야 합니다.

사용자 엔트로피를 사용하면 여러 위치에서 인증 계층이 추가됩니다. 그 결과, 사용자는 앱이 UserEntropy 저장소에서 인증서 등의 공유 데이터에 대한 액세스를 요구할 때마다 암호 또는 PIN을 입력해야 합니다.

사용자 엔트로피에 대한 자세한 내용은 XenMobile 설명서에서 About the MDX Toolkit(MDX Toolkit 정보)를 참조하십시오. 사용자 엔트로피를 켜려면 클라이언트 속성에서 관련 설정을 찾을 수 있습니다.

정책

MDX 정책과 MDM 정책은 조직에 많은 유연성을 제공하지만 사용자를 제한할 수도 있습니다. 예를 들면 Siri 또는 iCloud와 같이 민감한 데이터를 여러 위치로 전송할 가능성이 있는 클라우드 응용 프로그램에 대한 액세스를 차단하는 것이 좋습니다. 이러한 서비스에 대한 액세스를 차단하는 정책을 설정할 수 있지만 이러한 정책으로 인해 의도치 않은 결과가 발생할 수 있다는 점을 고려해야 합니다. iOS 키보드 마이크에도 클라우드 액세스가 사용되며 이 기능에 대한 액세스도 차단할 수 있습니다.

EMM(엔터프라이즈 모빌리티 관리)은 MDM(모바일 기기 관리)과 MAM(모바일 응용 프로그램 관리)으로 나뉩니다. MDM은 모바일 장치의 보안 및 제어에 사용되고 MAM은 응용 프로그램의 제공 및 관리를 용이하게 합니다. BYOD 채택이 증가하면 MAM 솔루션을 구현하여 응용 프로그램 제공, 소프트웨어 라이센스, 구성 및 응용 프로그램 수명 주기 관리를 지원할 수 있습니다.

XenMobile을 사용하면 특정 MAM 정책 및 VPN 설정을 구성하여 데이터 유출 및 기타 보안 위협을 방지함으로써 이러한 앱을 추가로 보호할 수 있습니다. XenMobile을 사용하면 조직에서는 다음 솔루션 중 하나를 유연하게 배포할 수 있습니다.

  • MAM 전용 환경
  • MDM 전용 환경
  • 동일한 플랫폼에서 MDM 및 MAM 기능을 모두 제공하는 통합 XenMobile 엔터프라이즈 환경

모바일 장치에 앱을 제공하는 것에 더해 XenMobile은 MDX 기술을 통해 앱을 컨테이너화할 수 있는 기능을 제공합니다. MDX은 플랫폼에서 제공하는 장치 수준 암호화와는 다른 암호화를 통해 앱의 보안을 확보합니다. 앱을 삭제하거나 잠글 수 있으며 앱은 점진적인 정책 기반 제어의 대상이 됩니다. ISV(독립 소프트웨어 공급업체)는 Mobile Apps SDK를 사용하여 이러한 제어를 적용할 수 있습니다.

기업 환경에서 사용자는 다양한 모바일 앱을 사용하여 업무를 지원합니다. 공용 앱 스토어의 앱, 사내에서 개발한 앱 및 기본 앱이 여기에 포함될 수 있습니다. XenMobile은 이러한 앱을 다음과 같이 범주화합니다.

공용 앱: Apple App Store 또는 Google Play와 같은 공용 앱 스토어에서 무료 또는 유료로 제공되는 앱이 포함됩니다. 조직 외부의 공급업체는 주로 공용 앱 스토어를 통해 앱을 제공합니다. 이 옵션을 사용하는 경우 공급업체의 고객이 인터넷에서 직접 앱을 다운로드할 수 있습니다. 조직의 사용자는 사용자 요구 사항에 따라 수많은 공용 앱을 사용할 수 있습니다. 예를 들어 GoToMeeting, Salesforce 및 EpicCare 앱이 이러한 앱에 포함됩니다.

Citrix는 공용 앱 스토어에서 직접 앱 이진을 다운로드한 다음 MDX Toolkit을 사용하여 엔터프라이즈 배포용으로 래핑하는 것을 지원하지 않습니다. 타사 응용 프로그램에 MDX를 사용하려면 앱 공급업체에 문의하여 앱 바이너리를 받아야 합니다. MDX Toolkit으로 바이너리를 래핑하거나 바이너리와 MAM SDK를 통합할 수 있습니다.

사내 앱: 많은 조직이 사내 개발자를 통해 특정 기능을 제공하는 앱을 만듭니다. 사내 개발자는 조직 내에서 이러한 앱을 독립적으로 개발하고 배포합니다. 경우에 따라 일부 조직에서는 ISV가 제공하는 앱을 사용하기도 합니다. 이러한 앱을 기본 앱으로 배포하거나 XenMobile 같은 MAM 솔루션을 사용하여 앱을 컨테이너화할 수 있습니다. 예를 들어 의료 조직에서는 의사가 모바일 장치에서 환자 정보를 볼 수 있도록 하는 사내 앱을 만들 수 있습니다. 그런 다음 조직에서는 앱에 MAM SDK를 사용하거나 MDM를 래핑하여 환자 정보를 보호하고 백엔드 환자 데이터베이스 서버에 대한 VPN 액세스를 지원할 수 있습니다.

웹 및 SaaS 앱: 내부 네트워크에서 액세스되는 앱(웹 앱) 또는 공용 네트워크를 통해 액세스되는 앱(SaaS)이 포함됩니다. XenMobile에서는 앱 커넥터 목록을 사용하여 사용자 지정 웹 및 SaaS 앱을 만들 수도 있습니다. 이러한 앱 커넥터를 사용하면 기존 웹 앱에 대한 SSO(Single Sign-on)를 쉽게 구현할 수 있습니다. 자세한 내용은 앱 커넥터 유형을 참조하십시오. 예를 들어 Google Apps에 대한 SAML(Security Assertion Markup Language) 기반 SSO에는 Google Apps SAML을 사용할 수 있습니다.

모바일 생산성 앱: Citrix에서 개발한 앱으로, XenMobile 라이센스에 포함됩니다. 자세한 내용은 모바일 생산성 앱 정보를 참조하십시오. 또한 Citrix는 다른 ISV에서 Worx App SDK를 사용하여 개발하는 다른 비즈니스용 앱을 제공합니다.

HDX 앱: Windows에서 호스트되는 앱으로, StoreFront를 사용하여 게시합니다. Citrix Virtual Apps and Desktops 환경이 있는 경우 이러한 앱을 XenMobile과 통합하여 등록된 사용자에게 앱을 제공할 수 있습니다.

XenMobile을 사용하여 배포하고 관리하려는 모바일 앱의 유형에 따라 기본 구성과 아키텍처가 달라집니다. 예를 들어 권한 수준이 서로 다른 여러 사용자 그룹이 단일 앱을 사용하려는 경우 개별 배달 그룹을 만들어 앱의 두 가지 버전을 배포할 수 있습니다. 또한 사용자 장치에서 정책 불일치가 발생하지 않도록 사용자 그룹 구성원 자격이 상호 배타적인지 확인해야 합니다.

Apple 볼륨 구매를 사용하여 iOS 응용 프로그램 라이센스를 관리하는 것이 좋을 수도 있습니다. 이 옵션을 사용하려면 Apple 볼륨 구매에 등록하고 XenMobile 콘솔에서 XenMobile 볼륨 구매 설정을 구성해서 볼륨 구매 라이센스로 앱을 배포해야 합니다. 이와 같은 다양한 활용 사례에서는 XenMobile 환경을 구현하기 전에 MAM 전략을 평가하고 계획하는 것이 중요합니다. MAM 전략을 계획하려면 먼저 다음을 정의합니다.

앱 유형 - 지원하려는 서로 다른 유형의 앱을 나열하고 범주화합니다. 예를 들면, 공용, 기본, 모바일 생산성 앱, 웹, 사내, ISV, 앱 등이 있습니다. 또한 서로 다른 장치 플랫폼(예: iOS 및 Android)에 대한 앱을 범주화합니다. 이러한 범주화는 각 앱 유형에 필요한 XenMobile 설정을 조정하는 데 유용합니다. 예를 들어, 특정 앱은 래핑할 수 없거나 다른 앱과의 인터랙션을 위해 특수한 API를 지원하는 Mobile Apps SDK가 필요할 수 있습니다.

네트워크 요구 사항: 특정 네트워크 액세스 요구 사항 및 적절한 설정으로 앱을 구성합니다. 예를 들어, 특정 앱은 VPN을 통해 내부 네트워크에 액세스해야 할 수 있습니다. 일부 앱은 DMZ를 통해 인터넷 액세스를 라우팅해야 할 수 있습니다. 이러한 앱에서 필요한 네트워크에 연결할 수 있으려면 다양한 설정을 적절히 구성해야 합니다. 앱별 네트워크 요구 사항을 정의하면 아키텍처 의사 결정이 조기에 확정되므로 전체 구현 프로세스가 간소화됩니다.

보안 요구 사항: 개별 앱 또는 모든 앱에 적용할 보안 요구 사항을 정의하는 것은 중요합니다. 이러한 계획을 통해 XenMobile Server 설치 시 올바른 구성을 만들 수 있습니다. MDX 정책과 같은 설정은 개별 앱에 적용하더라도 세션 및 인증 설정은 모든 앱에 적용됩니다. 일부 앱에는 배포의 간소화를 위해 사전에 개괄적으로 살펴볼 수 있는 구체적인 암호화, 컨테이너화, 래핑, 암호화, 인증, 지오펜싱, 암호 또는 데이터 공유 요구 사항이 있을 수 있습니다.

배포 요구 사항: 정책 기반 배포를 사용하면 규정을 준수하는 사용자만 게시된 앱을 다운로드하도록 허용할 수 있습니다. 예를 들어, 특정 앱에서 다음 중 하나를 요구하길 원할 수 있습니다.

  • 플랫폼 기반 장치 암호화 사용 설정됨
  • 장치가 관리됨
  • 장치가 최소 운영 체제 버전을 충족함
  • 특정 앱이 기업 사용자에게만 제공됨

또한 특정 앱을 회사 사용자에게만 제공할 수도 있습니다. 이러한 요구 사항을 사전에 간략히 정의해야 적절한 배포 규칙 또는 동작을 구성할 수 있습니다.

라이센스 요구 사항: 앱 관련 라이센스 요구 사항을 기록합니다. 이러한 메모는 라이센스 사용 현황을 효과적으로 관리하고, XenMobile에서 라이센스를 용이하게 하는 특정 기능을 구성할지 여부를 결정하는 데 도움이 됩니다. 예를 들어 무료 또는 유료 iOS 앱을 배포할 경우 Apple에서는 사용자가 반드시 iTunes 계정에 로그인하도록 하여 해당 앱에 라이센스 요구 사항을 실행합니다. Apple 볼륨 구매에 등록하면 이러한 앱을 XenMobile을 통해 배포하고 관리할 수 있습니다. 볼륨 구매를 사용하면 사용자가 iTunes 계정에 로그인하지 않고 앱을 다운로드할 수 있습니다. 또한 Samsung SAFE 및 Samsung Knox 같은 도구에는 기능을 배포하기 전에 완료해야 하는 특수한 라이센스 요구 사항이 있습니다.

허용 목록 및 차단 목록 요구 사항: 사용자가 일부 앱을 설치하거나 사용하지 못하도록 할 수 있습니다. 장치를 규정 위반으로 만드는 앱의 허용 목록을 만듭니다. 그런 다음 장치가 규정을 준수하지 않을 때 트리거할 정책을 설정합니다. 또한 사용은 허용되지만 어떤 이유로 차단 목록에 포함되는 앱이 존재할 수 있습니다. 이 경우 허용 목록에 앱을 추가하고, 앱을 사용할 수 있지만 필수는 아님을 나타낼 수 있습니다. 또한 새 장치에 미리 설치된 앱에는 운영 체제의 일부는 아니지만 자주 사용되는 앱이 포함될 수 있습니다. 이러한 앱은 차단 목록 전략과 충돌할 수 있습니다.

앱 사용 사례

한 의료 조직에서 XenMobile을 배포하여 모바일 앱의 MAM 솔루션으로 사용하려고 합니다. 모바일 앱은 회사 및 BYOD 사용자에게 제공됩니다. IT 부서에서는 다음 앱을 제공하고 관리하기로 결정합니다.

  • 모바일 생산성 앱: Citrix가 제공하는 iOS 및 Android 앱입니다.
  • Secure Mail: 전자 메일, 일정 및 연락처 앱입니다.
  • Secure Web: 인터넷 및 인트라넷 사이트에 대한 액세스를 제공하는 보안 웹 브라우저입니다.
  • Citrix Files: 공유 데이터에 액세스하고 파일 공유, 동기화 및 편집을 수행하는 앱입니다.

공용 앱 스토어

  • Secure Hub: XenMobile과 통신하는 모든 모바일 장치에 사용되는 클라이언트입니다. IT 부서에서는 Secure Hub 클라이언트를 통해 보안 설정, 구성 및 모바일 앱을 모바일 장치에 푸시합니다. Android 및 iOS 장치는 Secure Hub를 통해 XenMobile에 등록됩니다.
  • Citrix Receiver: 사용자가 모바일 장치에서 Citrix Virtual Apps and Desktops로 호스트된 응용 프로그램을 열 때 사용하는 모바일 앱입니다.
  • GoToMeeting: 사용자가 다른 컴퓨터 사용자, 고객, 클라이언트 또는 동료와 인터넷을 통해 실시간으로 만날 수 있도록 하는 온라인 모임, 데스크톱 공유 및 비디오 컨퍼런스 클라이언트입니다.
  • Salesforce1: Salesforce1을 사용하면 사용자가 모바일 장치에서 Salesforce에 액세스하고 모든 Salesforce 사용자에 대한 통합 환경에서 모든 Chatter, CRM, 사용자 지정 앱 및 비즈니스 프로세스를 확인할 수 있습니다.
  • RSA SecurID: 2단계 인증을 위한 소프트웨어 기반 토큰입니다.
  • EpicCare 앱: 환자 차트, 환자 목록, 일정 및 메시징에 대한 액세스를 보호하고 이동 중에 액세스할 수 있도록 하는 의료 기관 종사자용 앱입니다.
    • Haiku: iPhone 및 Android 폰용 모바일 앱입니다.
    • Canto: iPad용 모바일 앱입니다.
    • Rover: iPhone 및 iPad용 모바일 앱입니다.

HDX: Citrix Virtual Apps and Desktops를 통해 제공되는 앱입니다.

  • Epic Hyperspace: 전자 의료 기록 관리를 위한 Epic 클라이언트 응용 프로그램입니다.

ISV

  • Vocera: HIPAA 준수 VoIP(Voice-over IP) 및 메시징 모바일 앱으로, iPhone 및 Android 스마트폰을 통해 시간과 장소에 관계없이 Vocera 음성 기술의 이점을 활용할 수 있도록 합니다.

사내 앱

  • HCMail: 암호화된 메시지를 작성하고, 내부 메일 서버의 주소록을 검색하고, 암호화된 메시지를 전자 메일 클라이언트를 사용하여 연락처로 보내는 데 유용한 앱입니다.

사내 웹 앱

  • PatientRounding: 여러 부서에서 환자 건강 정보를 기록하는 데 사용되는 웹 응용 프로그램입니다.
  • Outlook Web Access: 웹 브라우저를 통해 전자 메일에 액세스할 수 있습니다.
  • SharePoint: 조직 전체의 파일 및 데이터 공유에 사용됩니다.

다음 표에는 MAM 구성에 필요한 기본 정보가 나와 있습니다.

         
앱 이름 앱 유형 MDX 래핑 iOS Android
Secure Mail XenMobile App 아니요(버전 10.4.1 이상의 경우)
Secure Web XenMobile App 아니요(버전 10.4.1 이상의 경우)
Citrix Files XenMobile App 아니요(버전 10.4.1 이상의 경우)
Secure Hub 공용 앱 해당 없음
Citrix Receiver 공용 앱 해당 없음
GoToMeeting 공용 앱 해당 없음
Salesforce1 공용 앱 해당 없음
RSA SecurID 공용 앱 해당 없음
Epic Haiku 공용 앱 해당 없음
Epic Canto 공용 앱 해당 없음 아니요
Epic Rover 공용 앱 해당 없음 아니요
Epic Hyperspace HDX 앱 해당 없음
Vocera ISV 앱
HCMail 사내 앱
PatientRounding 웹 앱 해당 없음
Outlook Web Access 웹 앱 해당 없음
SharePoint 웹 앱 해당 없음

다음 표에는 XenMobile에서 MAM 정책을 구성할 때 참조할 수 있는 특정 요구 사항이 나와 있습니다.

| **앱 이름** | **VPN 필요** | **상호 작용** | **상호 작용** | **플랫폼 기반 장치 암호화** | | | | (컨테이너 외부의 앱과 상호 작용)| (컨테이너 외부의 앱에서 상호 작용)| | | —————— | — | ———————————— | ———————————— | ———— | | Secure Mail | 예 | 선택적으로 허용 | 허용 | 필요 없음 | | Secure Web | 예 | 허용 | 허용 | 필요 없음 | | Citrix Files | 예 | 허용 | 허용 | 필요 없음 | | Secure Hub | 예 | 해당 없음 | 해당 없음 | 해당 없음 | | Citrix Receiver | 예 | 해당 없음 | 해당 없음 | 해당 없음 | | GoToMeeting | 아니요 | 해당 없음 | 해당 없음 | 해당 없음 | | Salesforce1 | 아니요 | 해당 없음 | 해당 없음 | 해당 없음 | | RSA SecurID | 아니요 | 해당 없음 | 해당 없음 | 해당 없음 | | Epic Haiku | 예 | 해당 없음 | 해당 없음 | 해당 없음 | | Epic Canto | 예 | 해당 없음 | 해당 없음 | 해당 없음 | | Epic Rover | 예 | 해당 없음 | 해당 없음 | 해당 없음 | | Epic Hyperspace | 예 | 해당 없음 | 해당 없음 | 해당 없음 | | Vocera | 예 | 차단됨 | 차단됨 | 필요 없음 | | HCMail | 예 | 차단됨 | 차단됨 | 필수 | | PatientRounding | 예 | 해당 없음 | 해당 없음 | 필수 | | Outlook Web Access | 예 | 해당 없음 | 해당 없음 | 필요 없음 | | SharePoint | 예 | 해당 없음 | 해당 없음 | 필요 없음 |

앱 이름 프록시 필터링 라이센싱 지오펜스 Mobile Apps SDK 최소 운영 체제 버전
Secure Mail 필수 해당 없음 선택적으로 필요 해당 없음 적용
Secure Web 필수 해당 없음 필요 없음 해당 없음 적용
Citrix Files 필수 해당 없음 필요 없음 해당 없음 적용
Secure Hub 필요 없음 볼륨 구매 필요 없음 해당 없음 적용되지 않음
Citrix Receiver 필요 없음 볼륨 구매 필요 없음 해당 없음 적용되지 않음
GoToMeeting 필요 없음 볼륨 구매 필요 없음 해당 없음 적용되지 않음
Salesforce1 필요 없음 볼륨 구매 필요 없음 해당 없음 적용되지 않음
RSA SecurID 필요 없음 볼륨 구매 필요 없음 해당 없음 적용되지 않음
Epic Haiku 필요 없음 볼륨 구매 필요 없음 해당 없음 적용되지 않음
Epic Canto 필요 없음 볼륨 구매 필요 없음 해당 없음 적용되지 않음
Epic Rover 필요 없음 볼륨 구매 필요 없음 해당 없음 적용되지 않음
Epic Hyperspace 필요 없음 해당 없음 필요 없음 해당 없음 적용되지 않음
Vocera 필수 해당 없음 필수 필수 적용
HCMail 필수 해당 없음 필수 필수 적용
PatientRound-ing 필수 해당 없음 필요 없음 해당 없음 적용되지 않음
Outlook Web Access 필수 해당 없음 필요 없음 해당 없음 적용되지 않음
SharePoint 필수 해당 없음 필요 없음 해당 없음 적용되지 않음

사용자 커뮤니티

모든 조직은 서로 다른 기능적 역할로 운영되는 다양한 사용자 커뮤니티로 구성됩니다. 이러한 사용자 커뮤니티는 사용자의 모바일 장치를 통해 제공되는 다양한 리소스를 사용하여 서로 다른 작업 및 사무 기능을 수행합니다. 사용자는 관리자가 제공한 모바일 장치를 사용하여 재택 근무를 하거나 원격 사무실에서 근무할 수 있습니다. 또는 개인 모바일 장치를 사용하여 특정 보안 규정 준수 규칙이 적용되는 도구에 액세스할 수 있습니다.

모바일 장치를 사용하는 사용자 커뮤니티가 많아지면 EMM(엔터프라이즈 모빌리티 관리)을 통해 데이터 유출을 방지하고 보안 제한을 시행해야 합니다. 관리자는 효율적이고 정교한 모바일 기기 관리를 위해 사용자 커뮤니티를 범주화할 수 있습니다. 이렇게 하면 사용자를 리소스에 매핑하는 작업이 간소화되고 올바른 보안 정책을 해당하는 사용자에게 적용할 수 있습니다.

다음 예는 의료 조직의 사용자 커뮤니티를 EMM용으로 분류하는 방법을 설명합니다.

사용자 커뮤니티 사용 사례

이 예의 의료 조직은 기술 리소스 및 액세스 권한을 다수의 사용자(예: 네트워크 및 계열사 직원 및 자원 봉사자)에게 제공합니다. 조직은 EMM 솔루션을 일반 사용자에게만 롤아웃하기로 선택했습니다.

이 조직의 사용자 역할 및 기능은 임상, 비임상 및 계약업체를 포함하는 하위 그룹으로 분류될 수 있습니다. 선택한 사용자 집합에는 회사 모바일 장치가 제공되고 다른 사용자 집합은 개인 장치에서 제한된 회사 리소스에 액세스할 수 있습니다. 적절한 수준의 보안 제한을 적용하고 데이터 유출을 방지하기 위해 조직은 회사 IT 부서를 통해 회사에서 제공하거나 BYOD인 각 등록 장치를 관리하기로 결정했습니다. 또한 사용자는 단일 장치만 등록할 수 있습니다.

다음 섹션에는 각 하위 그룹의 역할 및 기능에 대한 개요가 나와 있습니다.

임상

  • 간호사
  • 의사(진료의, 외과의 등)
  • 전문가(영양사, 마취의, 방사선사, 심장전문의, 종양전문의 등)
  • 외부 의사(직원이 아닌 의사 및 원격 사무실에서 근무하는 근로자)
  • 가정 건강 서비스(환자의 집을 방문하여 의사 서비스를 수행하는 사무실 및 모바일 근로자)
  • 연구 전문가(6개 연구기관에서 약물 문제에 대한 답을 찾는 임상 연구를 수행하는 지식 근로자 및 고급 사용자)
  • 교육 및 훈련(교육 및 훈련 중인 간호사, 의사 및 전문가)

비임상

  • 공유 서비스(HR, 급여, 미지급금, 공급망 서비스 등 다양한 경영 지원 기능을 수행하는 사무실 근로자)
  • 의사 서비스(관리 서비스, 분석 및 비즈니스 인텔리전스, 비즈니스 시스템, 클라이언트 서비스, 재무, 관리되는 치료 관리, 환자 액세스 솔루션, 매출 주기 솔루션 등 다양한 건강 관리, 관리 서비스 및 비즈니스 프로세스 공급자 솔루션을 수행하는 사무실 근로자)
  • 지원 서비스(복리후생 관리, 임상 통합, 커뮤니케이션, 보상 및 실적 관리, 설비 및 부동산 서비스, HR 기술 시스템, 정보 서비스, 내부 감사 및 프로세스 개선 등 다양한 비임상 기능을 수행하는 사무실 근로자)
  • 자선 프로그램(자선 프로그램 지원과 관련된 다양한 기능을 수행하는 사무실 및 모바일 근로자)

계약업체

  • 제조업체 및 공급업체 파트너(내부에서 근무하거나 사이트 간 VPN을 통해 원격으로 연결하여 다양한 비임상 지원 기능을 제공)

이 조직에서는 위의 정보를 바탕으로 다음과 같은 엔터티를 만들었습니다. XenMobile의 배달 그룹에 대한 자세한 내용은 리소스 배포를 참조하십시오.

Active Directory OU(조직 구성 단위) 및 그룹

OU = XenMobile 리소스인 경우:

  • OU = 임상, 그룹 =
    • XM 간호사
    • XM 의사
    • XM 전문가
    • XM 외부 의사
    • XM 가정 건강 서비스
    • XM 연구 전문가
    • XM 교육 및 훈련
  • OU = 비임상, 그룹 =
    • XM 공유 서비스
    • XM 의사 서비스
    • XM 지원 서비스
    • XM 자선 프로그램

XenMobile 로컬 사용자 및 그룹

그룹 = 계약업체인 경우, 사용자 =

  • 공급업체1
  • 공급업체2
  • 공급업체3
  • … 공급업체10

XenMobile 배달 그룹

  • 임상 간호사
  • 임상 의사
  • 임상 전문가
  • 임상 외부 의사
  • 임상 가정 건강 서비스
  • 임상 연구 전문가
  • 임상 교육 및 훈련
  • 비임상 공유 서비스
  • 비임상 의사 서비스
  • 비임상 지원 서비스
  • 비임상 자선 프로그램

배달 그룹과 사용자 그룹 매핑

   
Active Directory 그룹 XenMobile 배달 그룹
XM 간호사 임상 간호사
XM 의사 임상 의사
XM 전문가 임상 전문가
XM 외부 의사 임상 외부 의사
XM 가정 건강 서비스 임상 가정 건강 서비스
XM 연구 전문가 임상 연구 전문가
XM 교육 및 훈련 임상 교육 및 훈련
XM 공유 서비스 비임상 공유 서비스
XM 의사 서비스 비임상 의사 서비스
XM 지원 서비스 비임상 지원 서비스
XM 자선 프로그램 비임상 자선 프로그램

배달 그룹과 리소스 매핑

다음 표에는 이 사용 사례의 각 배달 그룹에 할당되는 리소스가 설명되어 있습니다. 첫 번째 표는 모바일 앱 할당을 보여줍니다. 두 번째 표는 공용 앱, HDX 앱 및 장치 관리 리소스를 보여줍니다.

       
XenMobile 배달 그룹 Citrix 모바일 앱 공용 모바일 앱 HDX 모바일 앱
임상 간호사 X    
임상 의사      
임상 전문가      
임상 외부 의사 X    
임상 가정 건강 서비스 X    
임상 연구 전문가 X    
임상 교육 및 훈련   X X
비임상 공유 서비스   X X
비임상 의사 서비스   X X
비임상 지원 서비스 X X X
비임상 자선 프로그램 X X X
계약업체 X X X
               
XenMobile 배달 그룹 공용 앱: RSA SecurID 공용 앱: EpicCare Haiku HDX 앱: Epic Hyperspace 암호 정책 장치 제한 자동화된 동작 WiFi 정책
임상 간호사             X
임상 의사         X    
임상 전문가              
임상 외부 의사              
임상 가정 건강 서비스              
임상 연구 전문가              
임상 교육 및 훈련   X X        
비임상 공유 서비스   X X        
비임상 의사 서비스   X X        
비임상 지원 서비스   X X        

참고 및 사전 요구 사항

  • XenMobile을 초기 구성하는 동안 모든 사용자라는 이름의 기본 배달 그룹이 만들어집니다. 이 배달 그룹을 사용하는 경우 모든 Active Directory 사용자가 XenMobile에 등록할 수 있습니다.
  • XenMobile은 요청이 있을 경우 LDAP 서버에 대한 동적 연결을 사용하여 Active Directory 사용자 및 그룹을 동기화합니다.
  • 사용자가 XenMobile에서 매핑되지 않은 그룹에 포함되는 경우 해당 사용자는 등록할 수 없습니다. 마찬가지로 사용자가 여러 그룹의 구성원인 경우 XenMobile은 해당 사용자를 XenMobile에 매핑된 그룹의 구성원으로만 범주화합니다.
  • MDM 등록을 필수로 규정하려면 XenMobile 콘솔의 서버 속성에서 등록 필요 옵션을 True로 설정해야 합니다. 자세한 내용은 서버 속성을 참조하십시오.
  • SQL Server 데이터베이스의 dbo.userlistgrps 아래에서 항목을 삭제하여 XenMobile 배달 그룹에서 사용자 그룹을 삭제할 수 있습니다. 주의: 이 동작을 수행하기 전에 XenMobile 및 데이터베이스의 백업을 만드십시오.

XenMobile의 장치 소유권 정보

사용자 장치의 소유자에 따라 사용자를 그룹화할 수 있습니다. 장치 소유권에는 회사 소유 장치와 BYOD(Bring Your Own Device)라고 하는 사용자 소유 장치가 포함됩니다. XenMobile 콘솔의 설정 페이지에서 각 리소스 유형의 배포 규칙과 서버 속성을 통해 BYOD 장치의 네트워크 연결 방법을 제어할 수 있습니다. 배포 규칙에 대한 자세한 내용은 XenMobile 설명서에서 배포 규칙 구성을 참조하십시오. 서버 속성에 대한 자세한 내용은 서버 속성을 참조하십시오.

앱에 액세스하려는 모든 BYOD 사용자에게 회사의 장치 관리에 대한 동의를 요구할 수 있습니다. 또는 장치 관리를 요구하지 않고 회사 앱에 대한 액세스 권한을 제공할 수 있습니다.

서버 설정 wsapi.mdm.required.flagtrue로 설정하면 XenMobile이 모든 BYOD 장치를 관리하며 등록을 거부하는 사용자는 앱 액세스가 거부됩니다. 엔터프라이즈 IT 팀이 보안을 강화하는 동시에 사용자에게 긍정적인 사용자 환경을 조성해야 한다면 XenMobile에서 사용자 장치를 등록할 때 wsapi.mdm.required.flagtrue로 설정하는 방안을 고려하십시오.

wsapi.mdm.required.flag를 기본 설정인 false로 유지하면 사용자가 등록을 거부할 수 있지만 사용자는 장치에서 XenMobile Store를 통해 앱에 액세스할 수 있습니다. 장치 관리 없이 엔터프라이즈 앱 관리 만으로 개인 정보 보호, 법적 또는 규제 제한을 준수할 수 있는 환경에서는 wsapi.mdm.required.flagfalse로 설정하는 것이 좋습니다.

XenMobile을 통해 관리되지 않는 장치의 사용자는 XenMobile Store를 통해 앱을 설치할 수 있습니다. 선택적 초기화 또는 전체 초기화 같은 장치 수준 제어 대신 앱 정책을 사용하여 앱 액세스를 제어할 수 있습니다. 설정한 값에 따라 정책은 장치에서 주기적으로 XenMobile Server에 연결하여 앱 실행이 허용되는지 여부를 확인해야 합니다.

보안 요구 사항

XenMobile 환경을 배포할 때의 보안 고려 사항은 그 수가 급속도로 많아질 수 있습니다. 서로 맞물린 항목과 설정이 많습니다. 허용되는 수준의 보호를 시작하고 선택할 수 있도록 지원하기 위해 Citrix에서는 다음 표에 간략히 설명된 바와 같이 높은 수준의 보안, 더 높은 수준의 보안 및 가장 높은 수준의 보안에 대한 권장 사항을 제공합니다.

배포 모드 선택에는 보안 우려 사항 이상의 요소가 개입됩니다. 또한 배포 모드를 선택하기 전에 사용 사례의 요구 사항을 검토하고 보안 고려 사항을 완화할 수 있는지 여부를 결정해야 합니다.

높음: 이러한 설정을 사용하면 최적의 사용자 환경을 제공하면서 대부분의 조직에 허용되는 기본적인 수준의 보안을 유지할 수 있습니다.

더 높음: 이러한 설정은 보안과 사용 편의성 간에 더 적절한 균형을 잡습니다.

가장 높음: 이러한 권장 사항을 따르면 사용 편의성 및 사용자 채택을 포기하고 높은 수준의 보안을 제공할 수 있습니다.

배포 모드 보안 고려 사항

다음 표에는 각 보안 수준에 대한 배포 모드가 명시되어 있습니다.

     
높은 수준의 보안 더 높은 수준의 보안 최고 수준의 보안
MAM 또는 MDM MDM+MAM MDM+MAM 및 FIPS

참고:

  • 사용 사례에 따라 MDM 전용 또는 MAM 전용 배포로 보안 요구 사항을 충족하고 우수한 사용자 환경을 제공할 수 있습니다.
  • 앱 컨테이너화, Micro VPN 또는 앱별 정책이 필요하지 않은 경우 MDM만으로도 충분히 장치를 관리하고 보호할 수 있습니다.
  • 앱 컨테이너화만으로도 모든 비즈니스 및 보안 요구 사항을 충족할 수 있는 BYOD와 같은 사용 사례의 경우 Citrix에서는 MAM 전용 모드를 권장합니다.
  • 보안 수준이 높은 환경(및 회사에서 발행한 장치)에서는 MDM+MAM 모드를 사용하여 제공되는 모든 보안 기능을 활용하는 것이 좋습니다. MDM 등록을 실행해야 합니다.
  • FIPS 옵션은 정부 기관처럼 가장 높은 보안 수준이 요구되는 환경을 위한 옵션입니다.

FIPS 모드를 사용하는 경우 SQL 트래픽을 암호화하도록 SQL Server를 구성해야 합니다.

Citrix ADC 및 Citrix Gateway 보안 고려 사항

다음 표에는 각 보안 수준에 대한 Citrix ADC 및 Citrix Gateway 권장 사항이 명시되어 있습니다.

     
높은 수준의 보안 더 높은 수준의 보안 최고 수준의 보안
Citrix ADC를 사용하는 것이 좋습니다. MAM 및 ENT의 경우 Citrix Gateway가 필요하며 MDM의 경우 권장됩니다. XenMobile이 DMZ에 있는 경우 SSL 브리지가 지원되는 XenMobile용 표준 Citrix ADC 마법사 구성이 권장됩니다. XenMobile Server가 내부 네트워크에 있는 경우 보안 표준을 충족해야 한다면 SSL 오프로드를 사용합니다. SSL 오프로드 및 종단 간 암호화

참고:

  • MDM의 경우 NAT 또는 기존 타사 프록시 및 부하 분산 장치를 통해 XenMobile Server를 인터넷에 노출할 수 있습니다. 그러나 이 설정을 사용하면 SSL 트래픽이 XenMobile Server에서 종료되어야 하며 이로 인해 보안 위험이 제기될 수 있습니다.
  • 보안 수준이 높은 환경에서 기본 XenMobile 구성의 Citrix ADC는 일반적으로 보안 요구 사항을 충족하거나 초과합니다.
  • 보안 요구 사항이 가장 높은 MDM 환경에서는 Citrix ADC에서 SSL을 종료하여 경계에서 트래픽을 검사하고 종단 간 SSL 암호화를 유지할 수 있습니다.
  • 필요한 경우 SSL/TLS 암호화를 정의할 수 있습니다.
  • SSL FIPS Citrix ADC 하드웨어도 사용할 수 있습니다.
  • 자세한 내용은 Citrix Gateway 및 Citrix ADC 통합을 참조하십시오.

등록 보안 고려 사항

다음 표에는 각 보안 수준에 대한 Citrix ADC 및 Citrix Gateway 권장 사항이 명시되어 있습니다.

     
높은 수준의 보안 더 높은 수준의 보안 최고 수준의 보안
Active Directory 그룹 구성원 자격만 사용됩니다. 모든 사용자 배달 그룹은 사용되지 않습니다. 초대 전용 등록 보안 모드를 사용합니다. Active Directory 그룹 구성원 자격만 사용됩니다. 모든 사용자 배달 그룹은 사용되지 않습니다. 장치 ID에 연결된 등록 보안 모드를 사용합니다. Active Directory 그룹 구성원 자격만 사용됩니다. 모든 사용자 배달 그룹은 사용되지 않습니다.

참고:

  • 일반적으로, 미리 정의된 Active Directory 그룹의 사용자로만 등록을 제한하는 것이 좋습니다. 이 설정에서는 기본 제공되는 모든 사용자 배달 그룹을 비활성화해야 합니다.
  • 등록 초대를 사용하여 초대를 받은 사용자로 등록을 제한할 수 있습니다. Windows 장치에서는 등록 초대를 사용할 수 없습니다.
  • OTP(일회용 PIN) 등록 초대를 2단계 인증 솔루션으로 사용하고 사용자가 등록할 수 있는 장치 수를 제어할 수 있습니다. Windows 장치에서는 OTP 초대를 사용할 수 없습니다.

장치 암호 보안 고려 사항

다음 표에는 각 보안 수준에 대한 장치 암호 권장 사항이 명시되어 있습니다.

     
높은 수준의 보안 더 높은 수준의 보안 최고 수준의 보안
권장됩니다. 장치 수준 암호화에는 높은 수준의 보안이 필요합니다. MDM을 사용하여 적용됩니다. MDX 정책, 정책 비준수 장치 동작을 사용하여 MAM 전용에 대한 필수로 높은 보안을 설정할 수 있습니다. MDM, MDX 정책 또는 둘 다를 사용하여 적용됩니다. MDM 및 MDX 정책을 사용하여 적용됩니다. MDM 복잡한 암호 정책.

참고:

  • Citrix는 장치 암호의 사용을 권장합니다.
  • 장치 암호는 MDM 정책을 통해 적용할 수 있습니다.
  • MDX 정책을 사용하여 장치 암호를 관리되는 앱 사용을 위한 요구 사항 중 하나로 만들 수 있습니다. BYOD 사용 사례를 예로 들 수 있습니다.
  • MDM과 MDX 정책 옵션을 결합하여 MDM+MAM 환경의 보안을 강화하는 것이 좋습니다.
  • 보안 요구 사항이 가장 높은 환경에서는 복잡한 암호 정책을 구성하고 MDM을 통해 적용할 수 있습니다. 장치가 암호 정책을 준수하지 않는 경우 관리자에게 알리거나 선택적/전체 장치 초기화를 실행하는 자동화된 동작을 구성할 수 있습니다.
보안 및 사용자 환경