보안 및 사용자 환경

보안은 모든 조직에서 중요하지만 보안과 사용자 환경 사이의 균형을 맞춰야 합니다. 아주 안전하지만 사용하기가 매우 어려운 환경을 구축할 수 있는가 하면, 액세스 제어가 엄격하지 않은 사용자 친화적인 환경을 구축할 수도 있습니다. 이 가상 안내서의 다른 섹션에서는 보안 기능에 대한 자세한 내용을 다루지만 이 문서의 목적은 사용 가능한 보안 옵션의 일반적인 개요를 제공하고, XenMobile의 일반적인 보안 문제에 대해 고찰하는 시간을 가질 수 있도록 하는 것입니다.

다음은 각 사용 사례에서 주로 고려해야 할 사항입니다.

  • 특정 앱, 전체 장치 또는 둘 다를 보호해야 합니까?
  • 사용자 ID를 인증할 때 어떤 방법을 사용하고 싶습니까? LDAP 인증, 인증서 기반 인증 또는 두 인증의 조합을 사용할 계획입니까?
  • 사용자 세션은 얼마 후에 시간 초과됩니까? 백그라운드 서비스, NetScaler 및 오프라인 중 앱 액세스에 대한 시간 초과 값이 서로 다르다는 점에 유의하십시오.
  • 사용자가 장치 수준 암호 및/또는 앱 수준 암호를 설정해야 합니까? 사용자가 시도할 수 있는 로그온 횟수는 몇 번입니까? MAM을 통해 구현될 수 있는 추가 앱별 인증 요구 사항과 이러한 요구 사항이 사용자 경험에 미치는 영향을 고려하십시오.
  • 사용자에게 적용하려는 다른 제한 사항은 무엇입니까? 사용자가 Siri 같은 클라우드 서비스에 액세스할 수 있어야 합니까? 사용자는 제공된 각 앱을 사용하여 무엇을 할 수 있고 무엇을 할 수 없습니까? 사무실 공간 안에 있는 동안 셀룰러 데이터 요금이 소비되지 않도록 회사 WiFi 정책을 배포해야 합니까?

앱과 장치

가장 먼저 고려해야 할 사항 중 하나는 특정 앱만 보호(모바일 앱 관리 또는 MAM)해야 하는지, 전체 장치를 보호(모바일 기기 관리 또는 MDM)해야 하는지에 대한 것입니다. 일반적으로, 장치 수준 제어가 필요하지 않은 경우, 특히 조직에서 BYOD(Bring Your Own Device)를 지원하는 경우에는 모바일 앱만 관리하면 됩니다.

MAM 전용 환경에서 사용자는 사용자에게 제공되는 리소스에 액세스할 수 있습니다. MAM 정책은 앱 자체를 보호하고 관리합니다.

MDM은 전체 장치를 보호하는 데 사용되며 장치의 모든 소프트웨어에 대한 인벤토리를 만들고 탈옥 또는 루팅된 장치 또는 안전하지 않은 소프트웨어가 설치된 장치의 등록을 차단하는 기능이 포함됩니다. 그러나 이 수준의 제어를 사용하면 사용자가 개인 장치에 이렇게 많은 권한을 허용하는 것을 주저하고 등록 비율이 감소할 수 있습니다.

일부 장치에 MDM을 요구하고 다른 장치에는 요구하지 않을 수 있지만 이렇게 하려면 두 개의 전용 환경을 설정해야 하므로 추가 리소스 및 유지 관리가 필요합니다.

인증

인증은 사용자 환경과 많은 관련이 있는 영역입니다. 이미 Active Directory를 실행 중인 조직에서는 Active Directory를 사용하여 시스템에 대한 사용자 액세스를 제공하는 것이 가장 간단한 방법입니다.

인증 사용자 환경에서 중요한 또 다른 요소는 시간 초과입니다. 보안 수준이 높은 환경에서는 사용자가 시스템에 액세스할 때마다 로그온해야 하지만 일부 조직에서는 이 옵션이 적합하지 않을 수 있습니다. 예를 들어 전자 메일에 액세스할 때마다 자격 증명을 입력하도록 하면 사용자 불만이 증가할 수 있을 뿐 아니라 불필요한 것일 수도 있습니다.

사용자 엔트로피

보안을 추가하려면 사용자 엔트로피라고 하는 기능을 사용할 수 있습니다. Citrix Secure Hub와 일부 다른 앱은 암호, PIN 및 인증서 같은 공통 데이터를 공유하여 모든 기능이 올바르게 작동되도록 합니다. 이 정보는 Secure Hub의 일반 저장소에 저장됩니다. Encrypt Secrets(암호 암호화) 옵션을 통해 사용자 엔트로피를 사용하면 XenMobile이 UserEntropy라는 이름의 새 저장소를 만들고 일반 저장소의 정보를 새 저장소로 이동합니다. Secure Hub 또는 다른 앱에서 데이터에 액세스하려면 사용자가 암호 또는 PIN을 입력해야 합니다.

사용자 엔트로피를 사용하면 여러 위치에서 인증 계층이 추가됩니다. 즉, 앱에서 암호, PIN 및 인증서가 포함된 UserEntropy 저장소의 공유 데이터에 액세스할 때마다 사용자가 암호 또는 PIN을 입력해야 합니다.

사용자 엔트로피에 대한 자세한 내용은 XenMobile 설명서에서 About the MDX Toolkit(MDX Toolkit 정보)를 참조하십시오. 사용자 엔트로피를 켜려면 클라이언트 속성에서 관련 설정을 찾을 수 있습니다.

정책

MDX 정책과 MDM 정책은 조직에 많은 유연성을 제공하지만 사용자를 제한할 수도 있습니다. 일부 상황에서는 이러한 정책이 필요할 수 있지만 정책으로 인해 시스템을 사용하지 못할 수도 있습니다. 예를 들어 Siri 또는 iCloud 같이 원치 않는 중요한 데이터를 보낼 가능성이 있는 클라우드 응용 프로그램에 대한 액세스를 차단하려는 경우 이러한 서비스에 대한 액세스를 차단하는 정책을 설정할 수 있지만 이러한 정책으로 인해 의도치 않은 결과가 발생할 수 있다는 점을 고려해야 합니다. iOS 키보드 마이크에도 클라우드 액세스가 사용되며 이 기능에 대한 액세스도 차단할 수 있습니다.

EMM(엔터프라이즈 모빌리티 관리)은 MDM(모바일 기기 관리)과 MAM(모바일 응용 프로그램 관리)으로 나뉩니다. MDM은 모바일 장치의 보안 및 제어에 사용되고 MAM은 응용 프로그램의 제공 및 관리를 용이하게 합니다. BYOD 채택이 증가하면 XenMobile 같은 MAM 솔루션을 구현하여 응용 프로그램 제공, 소프트웨어 라이센스, 구성 및 응용 프로그램 수명 주기 관리를 지원할 수 있습니다.

XenMobile을 사용하면 특정 MAM 정책 및 VPN 설정을 구성하여 데이터 유출 및 기타 보안 위협을 방지함으로써 이러한 앱을 추가로 보호할 수 있습니다. XenMobile은 MAM 전용 또는 MDM 전용 환경으로 솔루션을 배포하거나 동일한 플랫폼에서 MDM과 MAM 기능을 모두 제공하는 통합 XenMobile 엔터프라이즈 환경으로 구현할 수 있는 유연성을 제공합니다.

모바일 장치에 앱을 제공하는 것에 더해 XenMobile은 MDX 기술을 통해 앱을 컨테이너화할 수 있는 기능을 제공합니다. MDX는 장치 수준 암호화와 구분된 암호화를 통해 앱을 보호합니다. 앱을 초기화하거나 잠글 수 있으며 세분화된 정책 기반 제어가 앱에 적용됩니다. ISV(독립 소프트웨어 공급업체)는 Worx App SDK를 사용하여 이러한 제어를 적용할 수 있습니다.

기업 환경에서 사용자는 다양한 모바일 앱을 사용하여 업무를 지원합니다. 공용 앱 스토어의 앱, 사내에서 개발한 앱 또는 일부 경우 기본 앱이 여기에 포함될 수 있습니다. XenMobile은 이러한 앱을 다음과 같이 범주화합니다.

공용 앱: iTunes 또는 Google Play와 같은 공용 앱 스토어에서 무료 또는 유료로 제공되는 앱이 포함됩니다. 조직 외부의 공급업체는 주로 공용 앱 스토어를 통해 앱을 제공합니다. 이 옵션을 사용하는 경우 공급업체의 고객이 인터넷에서 직접 앱을 다운로드할 수 있습니다. 조직의 사용자는 사용자 요구 사항에 따라 수많은 공용 앱을 사용할 수 있습니다. 예를 들어 GoToMeeting, Salesforce 및 EpicCare 앱이 이러한 앱에 포함됩니다.

Citrix는 공용 앱 스토어에서 직접 앱 이진을 다운로드한 다음 MDX Toolkit을 사용하여 엔터프라이즈 배포용으로 래핑하는 것을 지원하지 않습니다. 타사 응용 프로그램을 래핑해야 하는 경우 앱 공급업체를 통해 MDX Toolkit을 사용하여 래핑할 수 있는 앱 이진을 받아야 합니다.

사내 앱: 많은 조직이 사내 개발자를 통해 특정 기능을 제공하는 앱을 만듭니다. 사내 개발자는 조직 내에서 이러한 앱을 독립적으로 개발하고 배포합니다. 경우에 따라 일부 조직에서는 ISV가 제공하는 앱을 사용하기도 합니다. 이러한 앱을 기본 앱으로 배포하거나 XenMobile 같은 MAM 솔루션을 사용하여 앱을 컨테이너화할 수 있습니다. 예를 들어 의료 조직에서는 의사가 모바일 장치에서 환자 정보를 볼 수 있도록 하는 사내 앱을 만들 수 있습니다. 그런 다음 MDX Toolkit으로 앱을 래핑하여 환자 정보를 보호하고 백엔드 환자 데이터베이스 서버에 대한 VPN 액세스를 지원할 수 있습니다.

웹 및 SaaS 앱: 내부 네트워크에서 액세스되는 앱(웹 앱) 또는 공용 네트워크를 통해 액세스되는 앱(SaaS)이 포함됩니다. XenMobile에서는 앱 커넥터 목록을 사용하여 사용자 지정 웹 및 SaaS 앱을 만들 수도 있습니다. 이러한 앱 커넥터를 사용하면 기존 웹 앱에 대한 SSO(Single Sign-on)를 쉽게 구현할 수 있습니다. 자세한 내용은 앱 커넥터 유형을 참조하십시오. 예를 들어 Google Apps에 대한 SAML(Security Assertion Markup Language) 기반 SSO에는 Google Apps SAML을 사용할 수 있습니다.

XenMobile Apps: Citrix에서 개발한 앱으로, XenMobile 라이센스에 포함됩니다. 자세한 내용은 XenMobile Apps 정보를 참조하십시오. 또한 Citrix는 다른 ISV에서 Worx App SDK를 사용하여 개발하는 다른 비즈니스용 앱을 제공합니다.

HDX 앱: Windows에서 호스트되는 앱으로, StoreFront를 사용하여 게시합니다. Citrix XenApp 및 XenDesktop 환경이 있는 경우 이러한 앱을 XenMobile과 통합하여 등록된 사용자에게 앱을 제공할 수 있습니다.

XenMobile을 사용하여 배포하고 관리하려는 모바일 앱의 유형에 따라 기본 구성과 아키텍처가 달라집니다. 예를 들어 권한 수준이 서로 다른 여러 사용자 그룹이 단일 앱을 사용하려는 경우 개별 배달 그룹을 만들어 동일한 앱의 두 가지 개별 버전을 배포할 수 있습니다. 또한 사용자 장치에서 정책 불일치가 발생하지 않도록 사용자 그룹 구성원 자격이 상호 배타적인지 확인해야 합니다.

또한 Apple iOS VPP(Volume Purchase Program)를 사용하여 iOS 응용 프로그램 라이센스를 관리해야 할 수 있습니다. 이 옵션을 사용하려면 VPP 프로그램에 등록하고 XenMobile 콘솔에서 VPP 라이센스를 사용하여 앱을 배포하도록 XenMobile VPP 설정을 구성해야 합니다. 이와 같은 다양한 활용 사례에서는 XenMobile 환경을 구현하기 전에 MAM 전략을 평가하고 계획하는 것이 중요합니다. MAM 전략을 계획하려면 먼저 다음을 정의합니다.

앱 유형 - 지원하려는 서로 다른 유형의 앱을 나열하고 공용, 기본, XenMobile Apps, 웹, 사내, ISV 앱 및 기타 등으로 앱을 범주화합니다. 또한 서로 다른 장치 플랫폼(예: iOS 및 Android)에 대한 앱을 범주화합니다. 범주화는 각 앱 유형에 필요한 서로 다른 XenMobile 설정을 조정하는 데 유용합니다. 예를 들어 특정 앱에는 래핑을 사용할 수 없으며 일부 앱의 경우 Worx App SDK를 사용하여 다른 앱과의 상호 작용을 위한 특수 API를 사용하도록 설정해야 할 수 있습니다.

네트워크 요구 사항: 특정 네트워크 액세스 요구 사항 및 적절한 설정으로 앱을 구성해야 합니다. 예를 들어 특정 앱은 VPN을 통해 내부 네트워크에 액세스해야 하고 다른 앱은 DMZ를 통해 액세스를 라우팅하기 위해 인터넷 액세스가 필요할 수 있습니다. 이러한 앱이 필요한 네트워크에 연결하려면 다양한 설정을 적절히 구성해야 합니다. 앱별 네트워크 요구 사항을 정의하면 아키텍처 의사 결정이 조기에 확정되므로 전체 구현 프로세스가 간소화됩니다.

보안 요구 사항: XenMobile 서버를 설치할 때 올바른 구성을 만들려면 개별 앱 또는 모든 앱에 적용되는 보안 요구 사항을 정의하는 것이 중요합니다. MDX 정책 같은 설정은 개별 앱에 적용되지만 세션 및 인증 설정은 모든 앱에 적용되며 일부 앱에는 특정 암호화, 컨테이너화, 래핑, 암호화, 인증, 지오펜스, 암호 또는 데이터 공유 요구 사항이 포함될 수 있습니다. 이러한 요구 사항을 사전에 간략히 정의하면 배포가 간소화됩니다.

배포 요구 사항: 정책 기반 배포를 사용하면 규정을 준수하는 사용자만 게시된 앱을 다운로드하도록 허용할 수 있습니다. 예를 들어 장치 암호화를 사용하거나, 관리되는 장치이거나, 최소 운영 체제 버전을 충족하는 장치에서만 특정 앱을 다운로드할 수 있도록 설정할 수 있습니다. 또한 특정 앱을 회사 사용자에게만 제공할 수 있습니다. 이러한 요구 사항을 사전에 간략히 정의해야 적절한 배포 규칙 또는 동작을 구성할 수 있습니다.

라이센스 요구 사항: 앱 관련 라이센스 요구 사항을 기록해야 합니다. 이러한 메모는 라이센스 사용 현황을 효과적으로 관리하고, XenMobile에서 라이센스를 용이하게 하는 특정 기능을 구성해야 할지 여부를 결정하는 데 도움이 됩니다. 예를 들어 iOS 앱을 배포하는 경우 사용자는 앱이 무료인지, 유료인지에 관계없이 Apple의 앱 라이센스 요구 사항에 따라 iTunes 계정에 로그인해야 합니다. Apple VPP에 등록하면 이러한 앱을 XenMobile을 통해 배포하고 관리할 수 있습니다. VPP를 사용하면 사용자가 iTunes 계정에 로그인하지 않고 앱을 다운로드할 수 있습니다. 또한 Samsung SAFE 및 Samsung KNOX 같은 도구에는 기능을 배포하기 전에 완료해야 하는 특수한 라이센스 요구 사항이 있습니다.

블랙리스트/화이트리스트 요구 사항: 특정 앱의 경우 사용자의 설치 또는 사용을 전혀 허용하지 않을 수 있습니다. 블랙리스트를 만들면 규정 위반 이벤트가 정의됩니다. 관리자는 이러한 규정 위반이 발생할 경우 트리거할 정책을 설정할 수 있습니다. 또한 사용은 허용되지만 하나 이상의 이유로 블랙리스트에 포함되는 앱이 존재할 수 있습니다. 이 경우 관리자는 화이트리스트에 앱을 추가하고, 앱을 사용할 수 있지만 필수 앱은 아님을 표시할 수 있습니다. 또한 새 장치에 미리 설치된 앱에는 운영 체제의 일부는 아니지만 자주 사용되는 앱이 포함될 수 있습니다. 이러한 앱은 블랙리스트 전략과 상충할 수 있습니다.

앱 사용 사례

한 의료 조직에서 XenMobile을 배포하여 모바일 앱의 MAM 솔루션으로 사용하려고 합니다. 모바일 앱은 회사 및 BYOD 사용자에게 제공됩니다. IT 부서에서는 다음 앱을 제공하고 관리하기로 결정합니다.

  • XenMobile Apps: Citrix가 제공하는 iOS 및 Android 앱입니다.
  • Secure Mail: 전자 메일, 일정 및 연락처 앱입니다.
  • Secure Web: 인터넷 및 인트라넷 사이트에 대한 액세스를 제공하는 보안 웹 브라우저입니다.
  • Secure Notes: 전자 메일 및 일정 통합 기능이 포함된 보안 메모 앱입니다.
  • ShareFile: 공유 데이터에 액세스하고 파일 공유, 동기화 및 편집을 수행하는 앱입니다.

공용 앱 스토어

  • Secure Hub: XenMobile과 통신하는 모든 모바일 장치에 사용되는 클라이언트입니다. IT 부서에서는 Secure Hub 클라이언트를 통해 보안 설정, 구성 및 모바일 앱을 모바일 장치에 푸시합니다. Android 및 iOS 장치는 Secure Hub를 통해 XenMobile에 등록됩니다.
  • Citrix Receiver: 사용자가 모바일 장치에서 XenApp 호스트 응용 프로그램을 열 때 사용하는 모바일 앱입니다.
  • GoToMeeting: 사용자가 다른 컴퓨터 사용자, 고객, 클라이언트 또는 동료와 인터넷을 통해 실시간으로 만날 수 있도록 하는 온라인 모임, 데스크톱 공유 및 비디오 컨퍼런스 클라이언트입니다.
  • SalesForce1: Salesforce1을 사용하면 사용자가 모바일 장치에서 Salesforce에 액세스하고 모든 Salesforce 사용자에 대한 통합 환경에서 모든 Chatter, CRM, 사용자 지정 앱 및 비즈니스 프로세스를 확인할 수 있습니다.
  • RSA SecurID: 2단계 인증을 위한 소프트웨어 기반 토큰입니다.
  • EpicCare 앱: 환자 차트, 환자 목록, 일정 및 메시징에 대한 액세스를 보호하고 이동 중에 액세스할 수 있도록 하는 의료 기관 종사자용 앱입니다.
    • Haiku: iPhone 및 Android 폰용 모바일 앱입니다.
    • Canto: iPad용 모바일 앱입니다.
    • Rover: iPhone 및 iPad용 모바일 앱입니다.

HDX: Citrix XenApp을 통해 제공되는 앱입니다.

  • Epic Hyperspace: 전자 의료 기록 관리를 위한 Epic 클라이언트 응용 프로그램입니다.

ISV

  • Vocera: HIPAA 준수 VoIP(Voice-over IP) 및 메시징 모바일 앱으로, iPhone 및 Android 스마트폰을 통해 시간과 장소에 관계없이 Vocera 음성 기술의 이점을 활용할 수 있도록 합니다.

사내 앱

  • HCMail: 암호화된 메시지를 작성하고, 내부 메일 서버의 주소록을 검색하고, 암호화된 메시지를 전자 메일 클라이언트를 사용하여 연락처로 보내는 데 유용한 앱입니다.

사내 웹 앱

  • PatientRounding: 여러 부서에서 환자 건강 정보를 기록하는 데 사용되는 웹 응용 프로그램입니다.
  • Outlook Web Access: 웹 브라우저를 통해 전자 메일에 액세스할 수 있습니다.
  • SharePoint: 조직 전체의 파일 및 데이터 공유에 사용됩니다.

다음 표에는 MAM 구성에 필요한 기본 정보가 나와 있습니다.

         
앱 이름 앱 유형 MDX 래핑 iOS Android
Secure Mail XenMobile App 아니요(버전 10.4.1 이상의 경우)
Secure Web XenMobile App 아니요(버전 10.4.1 이상의 경우)
Secure Notes XenMobile App 아니요(버전 10.4.1 이상의 경우)
ShareFile XenMobile App 아니요(버전 10.4.1 이상의 경우)
Secure Hub 공용 앱 해당 없음
Citrix Receiver 공용 앱 해당 없음
GoToMeeting 공용 앱 해당 없음
SalesForce1 공용 앱 해당 없음
RSA SecurID 공용 앱 해당 없음
Epic Haiku 공용 앱 해당 없음
Epic Canto 공용 앱 해당 없음 아니요
Epic Rover 공용 앱 해당 없음 아니요
Epic Hyperspace HDX 앱 해당 없음
Vocera ISV 앱
HCMail 사내 앱
PatientRounding 웹 앱 해당 없음
Outlook Web Access 웹 앱 해당 없음
SharePoint 웹 앱 해당 없음

다음 표에는 XenMobile에서 MAM 정책을 구성할 때 참조할 수 있는 특정 요구 사항이 나와 있습니다.

앱 이름 VPN 필요 상호 작용 상호 작용 장치 암호화
    (컨테이너 외부의 앱과 상호 작용) (컨테이너 외부의 앱에서 상호 작용)  
Secure Mail 선택적으로 허용 허용 필요 없음
Secure Web 허용 허용 필요 없음
Secure Notes 허용 허용 필요 없음
ShareFile 허용 허용 필요 없음
Secure Hub 해당 없음 해당 없음 해당 없음
Citrix Receiver 해당 없음 해당 없음 해당 없음
GoToMeeting 아니요 해당 없음 해당 없음 해당 없음
SalesForce1 아니요 해당 없음 해당 없음 해당 없음
RSA SecurID 아니요 해당 없음 해당 없음 해당 없음
Epic Haiku 해당 없음 해당 없음 해당 없음
Epic Canto 해당 없음 해당 없음 해당 없음
Epic Rover 해당 없음 해당 없음 해당 없음
Epic Hyperspace 해당 없음 해당 없음 해당 없음
Vocera 허용되지 않음 허용되지 않음 필요 없음
HCMail 허용되지 않음 허용되지 않음 필수
PatientRounding 해당 없음 해당 없음 필수
Outlook Web Access 해당 없음 해당 없음 필요 없음
SharePoint 해당 없음 해당 없음 필요 없음
앱 이름 프록시 필터링 라이센스 지오펜스 Worx App SDK 최소 운영 체제 버전
Secure Mail 필수 해당 없음 선택적으로 필요 해당 없음 적용
Secure Web 필수 해당 없음 필요 없음 해당 없음 적용
Secure Notes 필수 해당 없음 필요 없음 해당 없음 적용
ShareFile 필수 해당 없음 필요 없음 해당 없음 적용
Secure Hub 필요 없음 VPP 필요 없음 해당 없음 적용되지 않음
Citrix Receiver 필요 없음 VPP 필요 없음 해당 없음 적용되지 않음
GoToMeeting 필요 없음 VPP 필요 없음 해당 없음 적용되지 않음
SalesForce1 필요 없음 VPP 필요 없음 해당 없음 적용되지 않음
RSA SecurID 필요 없음 VPP 필요 없음 해당 없음 적용되지 않음
Epic Haiku 필요 없음 VPP 필요 없음 해당 없음 적용되지 않음
Epic Canto 필요 없음 VPP 필요 없음 해당 없음 적용되지 않음
Epic Rover 필요 없음 VPP 필요 없음 해당 없음 적용되지 않음
Epic Hyperspace 필요 없음 해당 없음 필요 없음 해당 없음 적용되지 않음
Vocera 필수 해당 없음 필수 필수 적용
HCMail 필수 해당 없음 필수 필수 적용
PatientRound-ing 필수 해당 없음 필요 없음 해당 없음 적용되지 않음
Outlook Web Access 필수 해당 없음 필요 없음 해당 없음 적용되지 않음
SharePoint 필수 해당 없음 필요 없음 해당 없음 적용되지 않음

사용자 커뮤니티

모든 조직은 서로 다른 기능적 역할로 운영되는 다양한 사용자 커뮤니티로 구성됩니다. 이러한 사용자 커뮤니티는 사용자의 모바일 장치를 통해 제공되는 다양한 리소스를 사용하여 서로 다른 작업 및 사무 기능을 수행합니다. 사용자는 관리자가 제공하는 모바일 장치를 사용하거나 개인 모바일 장치를 사용하여 자택 또는 원격 사무실에서 근무할 수 있으며 이러한 장치에서 특정 보안 규정 준수 규칙이 적용되는 도구에 액세스할 수 있습니다.

업무를 간소화하거나 지원할 목적으로 모바일 장치를 사용하는 사용자 커뮤니티가 많아지면 EMM(엔터프라이즈 모빌리티 관리)을 통해 데이터 유출을 방지하고 조직의 보안 제한을 시행하는 것이 중요합니다. 관리자는 효율적이고 정교한 모바일 기기 관리를 위해 사용자 커뮤니티를 범주화할 수 있습니다. 이렇게 하면 사용자를 리소스에 매핑하는 작업이 간소화되고 올바른 보안 정책을 해당하는 사용자에게 적용할 수 있습니다.

다음 예는 의료 조직의 사용자 커뮤니티를 EMM용으로 분류하는 방법을 설명합니다.

사용자 커뮤니티 사용 사례

이 예의 의료 조직은 기술 리소스 및 액세스 권한을 다수의 사용자(예: 네트워크 및 계열사 직원 및 자원 봉사자)에게 제공합니다. 조직은 EMM 솔루션을 일반 사용자에게만 롤아웃하기로 선택했습니다.

이 조직의 사용자 역할 및 기능은 임상, 비임상 및 계약업체를 포함하는 하위 그룹으로 분류될 수 있습니다. 선택한 사용자 집합에는 회사 모바일 장치가 제공되고 다른 사용자 집합은 개인 장치에서 제한된 회사 리소스에 액세스할 수 있습니다. 적절한 수준의 보안 제한을 적용하고 데이터 유출을 방지하기 위해 조직은 회사 IT 부서를 통해 등록된 각 장치, 회사 장치 및 BYOD(Bring Your Own Device)를 관리하기로 결정했습니다. 또한 사용자는 단일 장치만 등록할 수 있습니다.

다음 섹션에는 각 하위 그룹의 역할 및 기능에 대한 개요가 나와 있습니다.

임상

  • 간호사
  • 의사(진료의, 외과의 등)
  • 전문가(영양사, 임상병리사, 마취의, 방사선사, 심장전문의, 종양전문의 등)
  • 외부 의사(직원이 아닌 의사 및 원격 사무실에서 근무하는 근로자)
  • 가정 건강 서비스(환자의 집을 방문하여 의사 서비스를 수행하는 사무실 및 모바일 근로자)
  • 연구 전문가(6개 연구기관에서 약물 문제에 대한 답을 찾는 임상 연구를 수행하는 지식 근로자 및 고급 사용자)
  • 교육 및 훈련(교육 및 훈련 중인 간호사, 의사 및 전문가)

비임상

  • 공유 서비스(HR, 급여, 미지급금, 공급망 서비스 등 다양한 경영 지원 기능을 수행하는 사무실 근로자)
  • 의사 서비스(관리 서비스, 분석 및 비즈니스 인텔리전스, 비즈니스 시스템, 클라이언트 서비스, 재무, 관리되는 치료 관리, 환자 액세스 솔루션, 매출 주기 솔루션 등 다양한 건강 관리, 관리 서비스 및 비즈니스 프로세스 공급자 솔루션을 수행하는 사무실 근로자)
  • 지원 서비스(복리후생 관리, 임상 통합, 커뮤니케이션, 보상 및 실적 관리, 설비 및 부동산 서비스, HR 기술 시스템, 정보 서비스, 내부 감사 및 프로세스 개선 등 다양한 비임상 기능을 수행하는 사무실 근로자)
  • 자선 프로그램(자선 프로그램 지원과 관련된 다양한 기능을 수행하는 사무실 및 모바일 근로자)

계약업체

  • 제조업체 및 공급업체 파트너(내부에서 근무하거나 사이트 간 VPN을 통해 원격으로 연결하여 다양한 비임상 지원 기능을 제공)

이 조직에서는 위의 정보를 바탕으로 다음과 같은 엔터티를 만들었습니다. XenMobile의 배달 그룹에 대한 자세한 내용은 리소스 배포를 참조하십시오.

Active Directory OU(조직 구성 단위) 및 그룹

OU = XenMobile 리소스인 경우:

  • OU = 임상, 그룹 =
    • XM 간호사
    • XM 의사
    • XM 전문가
    • XM 외부 의사
    • XM 가정 건강 서비스
    • XM 연구 전문가
    • XM 교육 및 훈련
  • OU = 비임상, 그룹 =
    • XM 공유 서비스
    • XM 의사 서비스
    • XM 지원 서비스
    • XM 자선 프로그램

XenMobile 로컬 사용자 및 그룹

그룹 = 계약업체인 경우, 사용자 =

  • 공급업체1
  • 공급업체2
  • 공급업체3
  • … 공급업체10

XenMobile 배달 그룹

  • 임상 간호사
  • 임상 의사
  • 임상 전문가
  • 임상 외부 의사
  • 임상 가정 건강 서비스
  • 임상 연구 전문가
  • 임상 교육 및 훈련
  • 비임상 공유 서비스
  • 비임상 의사 서비스
  • 비임상 지원 서비스
  • 비임상 자선 프로그램

배달 그룹과 사용자 그룹 매핑

   
Active Directory 그룹 XenMobile 배달 그룹
XM 간호사 임상 간호사
XM 의사 임상 의사
XM 전문가 임상 전문가
XM 외부 의사 임상 외부 의사
XM 가정 건강 서비스 임상 가정 건강 서비스
XM 연구 전문가 임상 연구 전문가
XM 교육 및 훈련 임상 교육 및 훈련
XM 공유 서비스 비임상 공유 서비스
XM 의사 서비스 비임상 의사 서비스
XM 지원 서비스 비임상 지원 서비스
XM 자선 프로그램 비임상 자선 프로그램

배달 그룹과 리소스 매핑

다음 표에는 이 사용 사례의 각 배달 그룹에 할당되는 리소스가 설명되어 있습니다. 첫 번째 표는 모바일 앱 할당을 보여주고 두 번째 표는 공용 앱, HDX 앱 및 장치 관리 리소스를 보여줍니다.

       
XenMobile 배달 그룹 Citrix 모바일 앱 공용 모바일 앱 HDX 모바일 앱
임상 간호사 X    
임상 의사      
임상 전문가      
임상 외부 의사 X    
임상 가정 건강 서비스 X    
임상 연구 전문가 X    
임상 교육 및 훈련   X X
비임상 공유 서비스   X X
비임상 의사 서비스   X X
비임상 지원 서비스 X X X
비임상 자선 프로그램 X X X
계약업체 X X X
               
XenMobile 배달 그룹 공용 앱: RSA SecurID 공용 앱: EpicCare Haiku HDX 앱: Epic Hyperspace 암호 정책 장치 제한 자동화된 동작 WiFi 정책
임상 간호사             X
임상 의사         X    
임상 전문가              
임상 외부 의사              
임상 가정 건강 서비스              
임상 연구 전문가              
임상 교육 및 훈련   X X        
비임상 공유 서비스   X X        
비임상 의사 서비스   X X        
비임상 지원 서비스   X X        

참고 및 사전 요구 사항

  • XenMobile을 초기 구성하는 동안 모든 사용자라는 이름의 기본 배달 그룹이 만들어집니다. 이 배달 그룹을 사용하는 경우 모든 Active Directory 사용자가 XenMobile에 등록할 수 있습니다.
  • XenMobile은 요청이 있을 경우 LDAP 서버에 대한 동적 연결을 사용하여 Active Directory 사용자 및 그룹을 동기화합니다.
  • 사용자가 XenMobile에서 매핑되지 않은 그룹에 포함되는 경우 해당 사용자는 등록할 수 없습니다. 마찬가지로 사용자가 여러 그룹의 구성원인 경우 XenMobile은 해당 사용자를 XenMobile에 매핑된 그룹의 구성원으로만 범주화합니다.
  • MDM 등록을 필수로 규정하려면 XenMobile 콘솔의 서버 속성에서 등록 필요 옵션을 True로 설정해야 합니다. 자세한 내용은 서버 속성을 참조하십시오.
  • SQL Server 데이터베이스의 dbo.userlistgrps 아래에서 항목을 삭제하여 XenMobile 배달 그룹에서 사용자 그룹을 삭제할 수 있습니다. 주의: 이 동작을 수행하기 전에 XenMobile 및 데이터베이스의 백업을 만드십시오.

XenMobile의 장치 소유권 정보

사용자 장치의 소유자에 따라 사용자를 그룹화할 수 있습니다. 장치 소유권에는 회사 소유 장치와 BYOD(Bring Your Own Device)라고 하는 사용자 소유 장치가 포함됩니다. XenMobile 콘솔의 설정 페이지에서 배포 규칙과 XenMobile 서버 속성을 사용하여 BYOD 장치의 네트워크 연결 방법을 제어할 수 있습니다. 배포 규칙에 대한 자세한 내용은 XenMobile 설명서에서 배포 규칙 구성을 참조하십시오. 서버 속성에 대한 자세한 내용은 서버 속성을 참조하십시오.

앱에 액세스하려는 모든 BYOD 사용자에게 회사의 장치 관리에 대한 동의를 요구하도록 서버 속성을 설정하거나 장치 관리 없이 회사 앱에 대한 사용자 액세스를 제공할 수 있습니다.

서버 설정 wsapi.mdm.required.flagtrue로 설정하면 XenMobile이 모든 BYOD 장치를 관리하며 등록을 거부하는 사용자는 앱 액세스가 거부됩니다. 엔터프라이즈 IT 팀이 보안을 강화하는 동시에 사용자에게 개선된 등록 경험을 제공해야 한다면 XenMobile에서 사용자 장치를 등록할 때 wsapi.mdm.required.flagtrue로 설정하는 것이 좋습니다.

wsapi.mdm.required.flag를 기본 설정인 false로 유지하면 사용자가 등록을 거부할 수 있지만 사용자는 장치에서 XenMobile Store를 통해 앱에 액세스할 수 있습니다. 장치 관리 없이 엔터프라이즈 앱 관리 만으로 개인 정보 보호, 법적 또는 규제 제한을 준수할 수 있는 환경에서는 wsapi.mdm.required.flagfalse로 설정하는 것이 좋습니다.

XenMobile을 통해 관리되지 않는 장치의 사용자는 XenMobile Store를 통해 앱을 설치할 수 있습니다. 선택적 초기화 또는 전체 초기화 같은 장치 수준 제어 대신 앱 정책을 사용하여 앱 액세스를 제어할 수 있습니다. 설정한 값에 따라 정책은 장치에서 주기적으로 XenMobile 서버에 연결하여 앱 실행이 허용되는지 여부를 확인해야 합니다.

보안 요구 사항

XenMobile 환경을 배포할 때의 보안 고려 사항은 그 양이 급속도로 많아질 수 있습니다. 서로 맞물린 항목과 설정이 많기 때문에 허용 가능한 수준의 보호를 제공하기 위해 먼저 설정해야 하는 항목 또는 선택해야 하는 항목을 파악하기가 어려울 수 있습니다. 다음 표에 간략히 설명된 높은 수준의 보안, 더 높은 수준의 보안 및 가장 높은 수준의 보안에 대한 권장 사항을 참조하면 이러한 항목 및 설정을 보다 간단하게 선택할 수 있습니다.

참고로 배포 모드 선택은 보안 고려 사항 만으로 설명되지 않는다는 점에 유의하십시오. 또한 배포 모드를 선택하기 전에 사용 사례의 요구 사항을 검토하고 보안 고려 사항을 완화할 수 있는지 여부를 결정해야 합니다.

높음: 이러한 설정을 사용하면 최적의 사용자 환경을 제공하면서 대부분의 조직에 허용되는 기본적인 수준의 보안을 유지할 수 있습니다.

더 높음: 이러한 설정은 보안과 사용 편의성 간에 더 적절한 균형을 유지합니다.

가장 높음: 이러한 권장 사항을 따르면 사용 편의성 및 사용자 채택을 포기하고 매우 높은 수준의 보안을 제공할 수 있습니다.

배포 모드 보안 고려 사항

다음 표에는 각 보안 수준에 대한 배포 모드가 명시되어 있습니다.

     
높은 수준의 보안 더 높은 수준의 보안 가장 높은 수준의 보안
MAM 및/또는 MDM MDM+MAM MDM+MAM 및 FIPS

참고:

  • 사용 사례에 따라 MDM 전용 또는 MAM 전용 배포로 보안 요구 사항을 충족하고 우수한 사용자 환경을 제공할 수 있습니다.
  • 앱 컨테이너화, Micro VPN 또는 앱별 정책이 필요하지 않은 경우 MDM을 사용하여 충분히 장치를 관리하고 보호할 수 있습니다.
  • 앱 컨테이너화를 통해 모든 비즈니스 및 보안 요구 사항을 충족할 수 있는 BYOD 같은 사용 사례의 경우 MAM 전용 모드를 사용하는 것이 좋습니다.
  • 보안 수준이 높은 환경(및 회사에서 발행한 장치)에서는 MDM+MAM 모드를 사용하여 제공되는 모든 보안 기능을 활용하는 것이 좋습니다. MDM 등록은 XenMobile 콘솔의 서버 속성을 통해 적용해야 합니다.
  • FIPS 옵션은 정부 기관처럼 가장 높은 보안 수준이 요구되는 환경을 위한 옵션입니다.

FIPS 모드를 사용하는 경우 SQL 트래픽을 암호화하도록 SQL Server를 구성해야 합니다.

NetScaler 및 NetScaler Gateway 보안 고려 사항

다음 표에는 각 보안 수준에 대한 NetScaler 및 NetScaler Gateway 권장 사항이 명시되어 있습니다.

     
높은 수준의 보안 더 높은 수준의 보안 가장 높은 수준의 보안
NetScaler가 권장됩니다. MAM 및 ENT의 경우 NetScaler Gateway가 필요하며 MDM의 경우 권장됩니다. XenMobile이 DMZ에 있는 경우 XenMobile용 표준 NetScaler 마법사 구성과 SSL 브리지를 사용합니다. 또는 XenMobile 서버가 내부 네트워크에 있는 경우 보안 표준을 충족하는 데 필요하다면 SSL 오프로드를 사용합니다. SSL 오프로드 및 종단 간 암호화

참고:

  • MDM 모드에서는 SSL 트래픽을 XenMobile 서버에서 종료하는 것을 조건으로 NAT 또는 기존 타사 프록시/부하 분산 장치를 통해 XenMobile 서버를 인터넷에 공개할 수 있지만 여기에는 잠재적 보안 위험이 있습니다.
  • 보안 수준이 높은 환경에서는 기본 XenMobile 구성의 NetScaler로 지정된 수준 이상의 보안 요구 사항을 충족할 수 있어야 합니다.
  • 보안 요구 사항이 가장 높은 MDM 환경에서는 SSL을 NetScaler에서 종료하여 경계에서 트래픽을 검사하는 동시에 종단 간 SSL 암호화를 유지할 수 있습니다.
  • 필요한 경우 SSL/TLS 암호화를 정의할 수 있습니다.
  • SSL FIPS NetScaler 하드웨어도 사용할 수 있습니다.
  • 자세한 내용은 NetScaler Gateway 및 NetScaler 통합을 참조하십시오.

등록 보안 고려 사항

다음 표에는 각 보안 수준에 대한 NetScaler 및 NetScaler Gateway 권장 사항이 명시되어 있습니다.

     
높은 수준의 보안 더 높은 수준의 보안 가장 높은 수준의 보안
Active Directory 그룹 구성원 자격만 사용됩니다. 모든 사용자 배달 그룹은 사용되지 않습니다. 초대 전용 등록 모드를 사용합니다. Active Directory 그룹 구성원 자격만 사용됩니다. 모든 사용자 배달 그룹은 사용되지 않습니다. 장치 ID에 연결된 등록 모드를 사용합니다. Active Directory 그룹 구성원 자격만 사용됩니다. 모든 사용자 배달 그룹은 사용되지 않습니다.

참고:

  • 일반적으로, 미리 정의된 Active Directory 그룹의 사용자로만 등록을 제한하는 것이 좋습니다. 그렇게 하려면 기본 제공되는 모든 사용자 배달 그룹을 사용하지 않도록 설정해야 합니다.
  • 등록 초대를 사용하여 초대를 받은 사용자로 등록을 제한할 수 있습니다.
  • OTP(일회용 PIN) 등록 초대를 2단계 솔루션으로 사용하고 사용자가 등록할 수 있는 장치 수를 제어할 수 있습니다.
  • 보안 수준이 가장 높은 환경의 경우 등록 초대를 SN/UDID/EMEI로 장치에 연결할 수 있습니다. 2단계 옵션을 사용하여 Active Directory 암호와 OTP를 요구할 수도 있습니다. OTP는 현재 Windows 장치에서 사용할 수 없습니다.

장치 PIN 보안 고려 사항

다음 표에는 각 보안 수준에 대한 장치 PIN 권장 사항이 명시되어 있습니다.

     
높은 수준의 보안 더 높은 수준의 보안 가장 높은 수준의 보안
권장. 장치 수준 암호화에는 높은 수준의 보안이 필요합니다. MDM을 통해 적용할 수 있습니다. MAM 전용 모드에서 MDX 정책을 사용하여 필수로 설정할 수 있습니다. MDM 및/또는 MDX 정책을 사용하여 적용됩니다. MDM 및 MDX 정책을 사용하여 적용됩니다. MDM 복잡한 암호 정책.

참고:

  • Citrix는 장치 PIN의 사용을 권장합니다.
  • 장치 PIN은 MDM 정책을 통해 적용할 수 있습니다.
  • 예를 들어 BYOD 사용 사례에서 MDX 정책을 사용하여 장치 PIN을 관리되는 앱 사용을 위한 요구 사항 중 하나로 만들 수 있습니다.
  • MDM과 MDX 정책 옵션을 결합하여 MDM+MAM 환경의 보안을 강화하는 것이 좋습니다.
  • 보안 요구 사항이 가장 높은 환경에서는 복잡한 암호 정책을 구성하고 MDM을 통해 적용할 수 있습니다. 장치가 암호 정책을 준수하지 않는 경우 관리자에게 알리거나 선택적/전체 장치 초기화를 실행하는 자동화된 동작을 구성할 수 있습니다.