Mobility White Paper
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer Gebruik Citrix XenMobile MDM en de Mobile Solutions Bundle voor het maken van een uniforme mobiliteit oplossing citrix.com
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 1 of 28
Citrix’s Referentiearchitectuur voor Mobiele Apparaten en Applicatie Beheer begeleid architecten in het ontwerpen van de volgende generatie beheerdiensten voor mobiele apparaten en applicaties. Deze diensten stellen IT organisaties in staat controle te krijgen over de verspreiding van mobile apparaten in de onderneming. De Mobile Solutions Bundel (bundel voor mobile oplossingen) biedt een oplossing voor het veilig aanbieden van mobiele, web, Windows applicaties en data aan alle apparaten in het bedrijf. Dit document is bedoeld voor IT-architecten die kijken naar het implementeren en beheren van hun mobiliteits infrastructuur. Elk van deze gevalideerde architecturen zijn door Citrix gecertificeerd om te voldoen aan de veeleisende behoeften van het bedrijf voor prestatie en schaalbaarheid.
Mobile Solutions Bundle De Mobile Solutions Bundle combineert XenMobile™, (MDM, beveiliging en beheer van mobiele endpoints) met CloudGateway™ (een zelfbediening applicatiestore voor zakelijke toepassingen en gegevens) voor het bieden van een complete mobiele oplossing. Elk van deze onderdelen bevat infrastructuurcomponenten die nader worden beschreven in de volgende secties. •
XenMobile MDM − XenMobile Device Manager − XenMobile SMG − XenMobile SharePoint DLP
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
•
CloudGateway − AppController − Access Gateway − StoreFront (Windows ® Desktops en Apps
Pagina 2 of 28
XenMobile Device Manager (MDM) XenMobile Device Manager biedt geavanceerde beheermogelijkheden voor mobiele apparatuur zoals provisioning, geautomatiseerde compliance, en functies die mobiele applicaties “Business-ready” maken. Met een “one-click” dashboard, een eenvoudige beheerconsole, en real-time integratie met Microsoft Active Directory vereenvoudigt MDM het apparaat beheer in de hele onderneming. XenMobile MDM biedt mogelijkheden om de levenscyclus van het apparaat te beheren over alle grote platformen waaronder iPhone, iPad, Android, BlackBerry, Symbian en Microsoft Windows 8. Het biedt out-of-the-box ondersteuning voor BYOD programma’s of zakelijke mobiliteit initiatieven. XenMobile SMG XenMobile Secure Mobile Gateway (SMG) biedt de mogelijkheid mobiele email te beveiligen met MDM beleid. Het laat mobiele gebruikers versleutelde bijlagen in een veilige viewer zien en voorkomt dat gevoelige bedrijfsinformatie buiten de controle van het bedrijf lekt op iOS en Android apparaten. XenMobile SharePoint DLP XenMobile SharePoint DLP (Data Leak Prevention) biedt SharePoint toegang voor mobile apparaten via MDM beleid. Deze functie geeft beheerders beheer over de apparaten die toegang hebben tot SharePoint data terwijl de native mobiele app, Citrix® Mobile Connect, de interface en beveiliging levert voor het bekijken van de documenten. CloudGateway Citrix CloudGateway is een beheeroplossing voor bedrijfsmobiliteit die veilige web, software as a Service (SaaS), Windows applicaties, en data levert. Het biedt Werknemers via een zelfbedienings appstore toegang tot bedrijfstoepassingen en data, gebruikmakend van de consistente, rijke gebruikerservaring van Citrix receiver™. AppController AppController biedt toegang tot web, SaaS, mobiele applicaties en ShareFile®. Dit onderdeel maakt het mogelijk om bedrijfstoepassingen en -data te beschermen met beleid gebaseerd beheer zoals beperking van applicatietoegang tot geautoriseerde Werknemers, wissen van gegevens van Werknemers die zijn vertrokken en remote wipe (wissen op afstand) van data en applicaties op apparaten die verloren zijn. StoreFront StoreFront, de volgende generatie van de Web interface, biedt een aantal diensten die door de Receiver worden gebruikt om toegang tot AppController en XenDesktop mogelijk te maken.
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 3 of 28
ShareFile Citrix ShareFile is een Cloud gebaseerde follow-me-data oplossing. ShareFile stelt gebruikers in staat veilig gegevens op te slaan, te synchroniseren en te delen, zowel binnen als buiten het bedrijf. Het gebruik van ShareFile met CloudGateway biedt IT mogelijkheden voor integratie met de bedrijfsdirectory voor een gemakkelijke organisatie brede uitrol en beheer van gebruikersaccounts.
Referentie Omgevingen Dit document begeleidt architecten door zich bewezen architecturen, gebaseerd op de bedrijfs brede eisen voor beheer van mobiele apparaten en applicaties. De volgende omgevingen zijn gevalideerd als referentie architecturen: • • • • • • •
XenMobile MDM XenMobile MDM – Secure proxy Mobile Solutions Bundle Mobile Solutions Bundle – XenDesktop (XD) Integratie Mobile Solutions Bundle – Multi-Store Mobile Solutions Bundle – High Availability Mobile Solutions Bundle – NetScaler® as proxy
Het bepalen van de juiste architectuur wordt gebaseerd op de eisen van het bedrijf voor apparaat- of applicatiebeheer. De onderdelen van de bundel zijn modulair en bouwen op elkaar voort. De volgende tabel toont architecturen gebaseerd op mobiele technologieën. Voordat een beslissing wordt gemaakt is het belangrijk om het volgende vast te stellen: • • •
Welk niveau van beheer is vereist, app of apparaat, of beide? Welke typen applicaties moeten beheer en uitgerold worden? Welke data strategie is vereist, SharePoint of ShareFile?
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 4 of 28
XenMobile MDM
Mobile Solutions Bundle
Mobile Solutions Bundle XD Integration
Device Security Control
X
X
X
Device Provisioning
X
X
X
Native App Delivery
X
X
X
SharePoint Integration
X
X
X
Web/SaaS App Delivery
X
X
Mobile MDX Apps
X
X
ShareFile Integration
X
X
Mobile App Policies
X
X
Mobile App Mgmt.
X
X
Win Apps/Desktops
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
X
Pagina 5 of 28
XenMobile MDM
Figuur 1 – XenMobile MDM Referentiearchitectuur
1. XenMobile Device Manager (MDM) is de centrale server voor MDM die beleid, apparaten en gebruikers combineert voor het creëren van een implementatie voor het beheren van de bedrijfsmobiliteit strategie. •
Apparaten verbinden met MDM over de poorten 80, 443 en 8443 (alleen voor uitrollen van iOS apparaten).
•
MDM draait op een Windows Server 2008 R2. Het wordt aanbevolen om de “Microsoft Security best practices” voor Windows Server in de DMZ te volgen.
•
De MDM server vereist verbindingen met backend infrastructuur componenten zoals Active Directory, DNS, SMTP, SQL Server en een Certificate Authority.
•
MDM vereist ook een PKI service, zoals Microsoft Certificate Authority of het kan de eigen PKI server op de MDM server gebruiken die wordt geïnstalleerd met Device manager (apparaat beheer). Device Manager gebruikt deze dienst voor het pushen van cliëntcertificaten naar apparaten ten behoeve van verificatie van
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 6 of 28
cliëntcertificaten op de MDM. Clientcertificaten worden automatisch ingezet tijdens het uitrollen van een apparaat. •
Het wordt aanbevolen om SQL Server, Express, Standard of Enterprise voor een productieomgeving te gebruiken. Bekijk de volgende link voor ondersteunde Windows en SQL Servers http://kb1.zenprise.com/?title=Special:Userlogin&returntotitle=%2FZenprise_Devi ce_Manager%2FZenprise_Device_Manager%2FInstallation_Guide%2F003_Pro duct_Requirements
2. De SharePoint Connector is een optioneel component van XenMobile MDM dat toegang biedt tot SharePoint sites. Dit vereist externe toegang tot uw SharePoint Server door of het plaatsen van de SharePoint Server in de DMZ of het gebruik van een loadbalancer in de DMZ met toegang tot de SharePoint server. Deze functionaliteit kan worden geconfigureerd in een MDM beleidsregel die de Citrix Mobile Connect App in staat stelt de SharePoint data op te slaan en te tonen in een veilige viewer op het mobiele apparaat. 3. XenMobile Secure Mobile Gateway (SMG) biedt beveiligede mobiele email via MDM beleidsregels. Deze kan op een Exchange Client Access Server (CAS) geïnstalleerd worden, of in de DMZ, of op een Microsoft Forefront of Threat Management Gateway (TMG) server. Basis functionaliteit vereist toegang tot Exchange, MDM en mobiele apparaten over HTTPS (443). SMG zal de MDMserver doorzoeken om het beleid voor de gebruiker en de toegang tot het apparaat te controleren. 4. De Apple Push Notification Service (APNS) wordt door MDM gebruikt om berichten naar iOS-apparaten voor configuratie en beleid updates te pushen). Dit is een door Apple aangeboden dienst en is alleen vereist voor iOS-apparaten. Niet-iOS-apparaten hebben hun eigen “push” implementatie Opmerking: Een speciaal APNS certificaat, dat door Citrix wordt ondertekend en door Apple wordt uitgegeven, is vereist voor het installeren van MDM. Zie installatieinstructies: http://kb1.zenprise.com/Zenprise_Device_Manager/Zenprise_Device_Manager/004_AP NS_Certificate_Request_Guide
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 7 of 28
MDM Firewall poorten De volgende poorten moeten opengezet zijn om MDM te kunnen laten communiceren met interne en externe resources..
Figuur 2 – XenMobile MDM Communications Paden
MDM Server Specificaties Alle onderdelen van de MDM architectuur kunnen worden geïnstalleerd op fysieke of virtuele machines. De volgende tabel beschrijft de vereisten voor het ondersteunen van 5000 apparaten voor ieder onderdeel in de MDM architectuur. Virtual Machine XM Device Manager Secure Mobile Gateway XM SQL Server
vCPU 2-4 2 2
Memory (GB) 4 2 6
Disk Space (GB) 24 24 24
Organisaties die een schaalbaarheid nodig hebben van meer dan 5000 apparaten zullen de serverspecificaties moeten aanpassen conform de parameters in onderstaande tabel. Apparaten 5.000 10.000 20.000 40.000
XenMobile MDM Server 2 vCPU, 4 GB RAM 4 vCPU, 8 GB RAM 8 vCPU, 16 GB RAM 16 vCPU, 32 GB RAM
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
SQL Server 2 vCPU, 6 GB RAM 4 vCPU, 16 GB RAM 16 vCPU, 24 GB RAM 32 vCPU, 64 GB RAM
Pagina 8 of 28
De MDM en database servers kunnen worden geclusterd voor hoge beschikbaarheid. Bekijk de High Availability paragraaf voor meer informatie over het clusteren van MDM onderdelen. Database back-up en recovery dienen te worden uitgevoerd conform het data center beleid van het bedrijf. Tomcat TCP verbindingen moeten ook in overweging genomen worden. Apparaten
Poort 443
Poort 8443
Poort 80
Tot 10.000 Boven 10.000
400 750
30 50
20 50
Poort Max Threads 12 20
Als de TCP verbindingen het aantal van 750 benadert, overweeg dan het clusteren van de MDM server.
XenMobile MDM met NetScaler optie Een alternatieve en meer veilige installatie van MDM is om hardware matige load balancer te gebruiken, zoals de NetScaler, vóór alle MDM onderdelen. In de architectuur load-balanced de NetScaler alle HTTP en HTTPS verkeer naar de MDM, SMG en SharePoint.
Figuur 3 – XenMobile MDM met NetScaler
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 9 of 28
Er zijn verschillende redenen om dit te doen. • Beperken van de blootstelling van Windows Servers in de DMZ • Gemakkelijk opschalen door het toevoegen van meer servers achter NetScaler in de toekomst • Additionele NetScaler functies kunnen worden aangezet voor het verder verhogen van de beveiliging. (zoals application firewalls). Configuratie Tip: Zorg er voor de “SSL persistence” op de NetScaler is aangezet en is ingesteld op SSLSESSION voor load balancing van de virtuele servers over HTTPS (443 en 8443)
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 10 of 28
Mobile Solutions Bundle CloudGateway, een onderdeel van de Mobile Solutions Bundle, bevat Access Gateway, AppController, en optioneel StoreFront (t.b.v. XenDesktop en XenApp® integratie). De volgende onderdelen in deze architectuur worden er uitgelicht: • AppController • Access Gateway In deze omgeving zijn MDM en CloudGateway naast elkaar geïnstalleerd, en vullen elkaar aan. MDM biedt het apparaat beheer en controle met beleid, terwijl CloudGateway MDX mogelijkheden biedt en veilige toegang op afstand tot bedrijfsmiddelen. Het volgende diagram wijst op de CloudGateway infrastructuur componenten. Het volgende plaatje licht de CloudGateway infrastructuur onderdelen uit.
Figuur 4 –Mobile Solutions Bundle Referentiearchitectuur
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 11 of 28
1. Access Gateway – NetScaler Acces Gateway wordt gebruikt voor externe toegang en kan worden geïnstalleerd in de vorm van een NetScaler hardware appliance (MPX of SDX) of een VPX (een virtual Appliance die draait op XenServer®, VMWare en Hyper-V). Deze infrastructuur component bevindt zich in de DMZ en vormt het centrale toegangs punt tot het bedrijfsnetwerk. Voor extra veiligheid wordt two-factor authenticatie via RADIUS, als secundaire authenticatiemethode, ondersteunt voor diensten zoals RSA SecureID of Symantec VIP producten. 2. AppController – AppController is een op Linux gebaseerde “hardened” VPX appliance die kan worden geïnstalleerd op XenServer of VMWare. In deze configuratie is externe toegang beschikbaar door Access Gateway te gebruiken, maar interne gebruikers kunnen AppController rechtstreeks benaderen met de Receiver of de Receiver for Web. AppController bevat een versie van Receiver for Web op dezelfde server om mobiele- en desktop receivers toegang te geven tot apps zonder een StoreFront server toe te voegen. AppController vereist verbindingen met LDAP, DNS, NTP en SMTP servers. SMTP is vereist voor goedkeuring van workflow via email melding. AppController integreert met ShareFile (ShareFile account met geactiveerde SSO is vereist) door het uitrollen van Active Directory gebruikers naar de ShareFile Cloud dienst, waarbij Single-Sign-On (SSO) tot de data diensten wordt aangeboden via SAML authenticatie. 3. Citrix Receiver - Citrix Receiver is Client software die u in staat stelt uw data, applicaties en desktops te benaderen vanaf iedere apparaat, inclusief smartphones, tablets en PCs. De Receiver kan worden gedownload van de appstore van het apparaat of naar het apparaat worden gepusht vanaf XenMobile MDM.
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 12 of 28
CloudGateway Firewall poorten In aanvulling op de XenMobile MDM firewall poorten uit de vorige omgeving moeten de volgende poorten worden opengezet voor de CloudGateway Infrastructuur componenten. Poort 1494 en 2598 hoeven alleen te worden opengezet als XenDesktop of XenApp is geïntegreerd (getoond in de volgende omgeving)
Figuur 5 – CloudGateway Firewall poorten
CloudGateway Server Specificaties Alle onderdelen van CloudGateway kunnen worden geconfigureerd en gehost als virtuele machines. De AppController virtuele machine (VM) is een virtuele appliance die draait op XenServer of VMWare ESXi. Access Gateway is een virtuele appliance die dezelfde functionaliteit en eigenschappen biedt als de fysieke MPX apparaten. Access Gateway VPX is een virtuele workload die wordt uitgerold op eigen hardware. De volgende tabel toont de minimale resource eisen in detail:
Access Gateway VPX AppController
vCPU 2 2
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Memory (MB) 4096 4096
Disk Space 20 50
Pagina 13 of 28
CloudGateway Enterprise Schaalbaarheid CloudGateway kan organisaties met duizenden gebruikers ondersteunen door het kiezen van de geschikte NetScaler Access Gateway hardware appliance. Naarmate het aantal gebruikers die authentiseren, mail en web resources gebruiken en de app activiteit via Micro VPN toeneemt (figuur 6), dient de processing power van de NetScaler Access Gateway infrastructuur component te worden verhoogd. Bekijk onderstaande figuur voor het kiezen van de geschikte configuratie voor uw omgeving. Deze resultaten zijn gebaseerd op het AES encryptie algoritme met een 1024-bit sleutelgrootte. Schaalbaarheid resultaten wijken af gebaseerd op encryptie algoritme en sleutelgrootte. Steekproefsgewijs gebruikersprofielen zijn voor onderstaande resultaten gebruikt: • Een enkele verbinding per gebruiker • Alleen gebruik van de @ WorkMail™ app • Het data verkeer is ongeveer 2,5 MB / min per gebruiker CloudGateway gebruikersschaalbaarheid/NetScaler Appliance
Figuur 6 – Gebruikersschaalbaarheid CloudGateway (@WorkMail)
Voor meer informatie over de NetScaler hardware appliance die in deze tests is gebruikt verwijzen we naar het volgende knowledgebase artikel: http://support.citrix.com/proddocs/topic/netscaler-hrdwre-installation-10/ns-hardwaresummary-ref.html
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 14 of 28
CloudGateway – XenDesktop Integratie
Figuur 7 – CloudGateway XenDesktop integratie
1. Access Gateway – Access Gateway biedt toegang tot XenDesktop/XenApp HDX sessies, toegang tot web/SaaS en mobiele applicaties die worden geleverd door de AppController. De extra configuratie die nodig is voor deze opstelling van Access Gateway levert de Secure Ticket Authority (STA) URLs voor XenDesktop/XenApp naar de Access Gateway. Dit maakt pass-through authenticatie naar Windows desktops en apps mogelijk. TCP poorten 1494 en 2598 moeten worden opengezet voor verkeer tussen AG en Desktop./XenApp. 2. StoreFront – Voor toegang tot Windows Desktops en apps moet StoreFront vóór de AppController en XenDesktop onderdelen worden geplaatst. StoreFront biedt integratie van resources. Het maakt een opsomming van applicaties op XenDesktop, XenApp, en AppController en toont ze aan de gebruiker in een samengestelde lijst met resources: Windows apps, desktops, mobiele apps, Web/SaaS apps, en data. In deze configuratie moet StoreFront weten hoe deze apparaat specifieke informatie aan de AppController moet doorgeven zoals informatie voor uitrollen van het apparaat en sleutel beheer. Deze diensten moeten worden geconfigureerd in de web.config file voor een juiste communicatie tussen alle drie servers. Volg deze instructies voor een juiste configuratie: http://support.citrix.com/proddocs/topic/appcontroller-25/clg-appcdevice-mgmt-storefront-tsk.html
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 15 of 28
3. XenDesktop – Link de XenDesktop Broker of XenApp XML service om de integratie met CloudGateway te voltooien.
CloudGateway - Multi Store Optie Er bestaat een alternatieve installatie optie voor organisaties die hun Windows desktops en applicaties nog niet hebben geconsolideerd met behulp van StoreFront. In dit scenario is Access Gateway geüpgrade naar versie 10 en een aparte Access Gateway virtuele server wordt gemaakt voor ondersteuning van de Mobile Solutions Bundle. Als dat nog niet mogelijk is, dan is een andere configuratie om een aparte Access Gateway 10 server op te zetten voor AppController en de oudere AG installatie ongemoeid te laten. Beide configuraties vereisen dat er voor Citrix Receiver twee verschillende stores zijn geconfigureerd, een voor XenDesktop/XenApp die gebruik maakt van de PN Agent server en een voor de AppController. Citrix Receiver is verbeterd om gemakkelijk te schakelen tussen twee stores zonder iedere keer opnieuw te moeten authentiseren. U hoeft slechts een keer te authentiseren voor ieder store.
Figuur 8 – CloudGateway - Multi Store optie
1. Access Gateway moet eerst worden geüpgrade naar versie 10.0.71.6014e of later. Het aanmaken van een tweede AG virtuele server vereist een aparte publieke URL, publiek IP, en certificaat. 2. Web Interface/PN Agent Server – Er zijn geen wijzigingen nodig voor PN Agent Server in deze omgeving. Web Interface Server v5.4 is de enige ondersteunde versie.
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 16 of 28
High Availability – XenMobile MDM + CloudGateway Deze architectuur biedt een volledig redundante XenMobile MDM en CloudGateway omgeving.
Figuur 9 – high Availability – XenMobile MDM + CloudGateway
1. Acces Gateway HA Mode – In deze omgeving zijn de NetScaler apparaten geconfigureerd in High Availability mode. Het inzetten van twee NetScalers in High Availability (hoog beschikbaarheid) mode kan een ononderbroken werking bieden voor iedere transactie. Met één appliance geconfigureerd als primaire node en één als secundaire node, accepteert de primaire node de verbindingen en beheert de servers, terwijl de secundaire node de primaire node bewaakt. Als om wat voor reden dan ook de primaire node niet in staat is verbindingen te accepteren, neemt de secundaire node het over. Kijk voor meer informatie op de volgende link: http://support.citrix.com/proddocs/topic/ns-system-10-map/ns-nw-ha-intro-wrpprcon.html 2. StoreFront HA Mode – StoreFront HA mode komt overeen met de MDM server installatie. Het vereist een aparte SQL server (De SQL server heeft bij voorkeur zijn eigen geclusterde omgeving) en een hardware matige load balancer. De poorten 80 en 443 dienen te worden geconfigureerd op de load balancer met Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 17 of 28
“SSL session persistance” ingeschakeld voor SSL verbindingen. Het is aan te bevelen om meerdere “connection broker URLs” te hebben voor XenDesktop / XenApp verbindingen. Kijk voor meer informatie op de volgend link: http://support.citrix.com/proddocs/topic/dws-storefront-12/dws-deploy-multi.html 3. AppController – Twee AppController VMs kunnen ingezet worden als een hoog beschikbare configuratie. De eerste AppController waarop High Availability is geconfigureerd wordt de primaire genoemd en de andere wordt de secundaire genoemd. In deze opzet luistert de primaire AppController naar verzoeken, bedient gebruikersaanvragen en synchroniseert de gegevens op de secundaire AppController. De twee VMs werken als een actief passief paar waarbij slechts één VM tegelijkertijd actief is. Als de primaire AppController om wat voor reden niet meer reageert neemt de secundaire AppController het over, wordt de actieve VM en begint met het afhandelen van de gebruikers verzoeken. Als actieve VM, synchroniseert de secundaire AppController systeem en database informatie door het client-server mechanisme te gebruiken. Een cliënt op de actieve AppController VM deelt de noodzakelijke informatie naar een virtuele server op de passieve AppController in de vorm van een reeks aanvragen.. De virtuele server analyseert de aanvragen en voert de noodzakelijk acties uit. Een virtueel IP adres is vereist; dit is het FQDN adres van de AppController dat wordt gebruikt voor configuratie van StoreFront en Access Gateway in een CloudGateway omgeving. Kijk voor meer informatie op de volgende link: http://support.citrix.com/proddocs/topic/appcontroller-11/clg-appc-ha-wrappercon.html 4. XenMobile MDM HA Mode – XenMobile MDM kan geconfigureerd worden met meerdere servers geloadbalanced achter een NetScaler appliance of een andere hardware load balancing oplossing. In deze omgeving worden de poorten 80, 443 en 8443 geloadbalanced. Zorg er voor dat voor SSL verbindingen (poorten 443 en 8443) “SSL persistance” aan staat in de load balancing regels. MDM vereist dat er een gedeelde SQL server en NTP is geconfigureerd op iedere server. Opmerking: Deze configuratie is veiliger omdat de MDM servers zijn geplaatst in het interne netwerk achter de Access Gateway
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 18 of 28
Mobile Solutions Bundle met NetScaler Deze omgeving toont een NetScaler ingezet als transparante proxy voor alle MDM componenten waarbij tevens Access Gateway is ingezet voor de CloudGateway componenten. Dit is een alternatief voor het hebben van meerdere servers in de DMZ.
Figuur 10 – Mobile Solutions Bundle met NetScaler
In de NetScaler configuratie wordt load balancing gebruikt als proxy voor ieder component. In dit geval wordt slechts een server gebruikt voor iedere balancer. Hier is een voorbeeld configuratie voor een component server:
Figuur 11 – NetScaler Load balancing Configuratie
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 19 of 28
Referentie Omgeving Infrastructuur De XenMobile en CloudGateway referentiearchitectuur bevat veel ondersteunende servers en diensten die vereist zijn voor functioneren in een bedrijfsomgeving. De volgende paragraaf beschrijft de gemeenschappelijke infrastructuurcomponenten (storage, virtualisatie omgeving, servers, netwerkapparatuur, etc.) en hoe de XenMobile en CloudGateway referentiearchitectuur daarmee integreert. Netwerk Layout
Figuur 12 – Netwerk layout voor referentie omgevingen
Server Hardware XenServer Hosts
XenServer Configuratie
Dell PowerEdge C6100 De Dell C6100 bevat 4 fysieke servers in een 2U form factor waarbij iedere server de hardware specificaties heeft zoals hieronder aangegeven: • 2 stuks Intel Xeon E5620 Processors • 64GB RAM • 500GB HDD • 2 fysieke machines geconfigureerd in HA (High Availability) mode • 2 x 1Gb Ethernet Adapters • 2 servers geconfigureerd in een virtualisatie pool voor HA (High Availability) • XenServer versie 6.1.0-59235p • Drie apart geconfigureerde VLANs: − VLAN 30 – Storage VLAN geconfigureerd voor 9000 MTU voor snelle verbinding naar backend NFS storage. − VLAN 10 – gebruiker / management VLAN verkeer geconfigureerd voor standaard 1500 MTU.
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 20 of 28
Hou er rekening mee dat het gebruikelijk is om bij XenServer gebruiker en management verkeer nog verder te scheiden door het aanmaken van extra VLANs in “high traffic” implementaties − VLAN 50 – DMZ VLAN voor het bieden van toegang tot het bedrijfsnetwerk van buitenaf. Storage
NetApp 2240-1 • 7.2TB totaal geconfigureerde storage • Active/active controller configuratie • 4.5TB NFS storage volume configuratie • 250 GB voor gebruik van de gehele virtualisatie omgeving • 2 x 10GB Ethernet (10GbE) adapters
Netwerk
Cisco C3560X Cisco ASA 5520
Authenticatie Active Directory op Windows Server 2008 R2 is gebruikt voor alle referentiearchitectuur omgevingen. Active Directory, of LDAP, ondersteuning verschilt voor ieder product. Zowel AppController als XenMobile MDM ondersteunen geen gebruikers in geneste groepen. Een andere beperking voor AppController is dat het slechts één enkele forest ondersteunt. Raadpleeg de documentatie van elk product voor de volledige ondersteunings eisen. De referentieomgevingen maken ook gebruik van two-factor authenticatie, geconfigureerd op Access Gateway, voor het bieden van veilige toegang tot de interne bedrijfsmiddelen met RADIUS verificatie van Symantec Validation en ID Protection. Gebruik van twee-factor authenticatie vereist dat een extra poort op de firewall wordt opengezet (meestal UDP/1812) vanuit de DMZ (AG) naar de RADIUS-server (intern). Meer informatie over het configureren van twee-factor authenticatie is hier te vinden: http://support.citrix.com/article/CTX125364
Certificaten Wildcard en SAN certificaten worden ondersteund voor alle Citrix Producten. In de meeste installaties zijn slechts twee wildcard of SAN server certificaten nodig: 1. Extern - *.extcompany.com 2. Intern - *.intdomain.net
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 21 of 28
De volgende tabel toont de certificaten en formaten die nodig zijn voor ieder component. Een eenvoudige programma zoals Open SSL (http://www.openssl.org) kan worden gebruikt voor het omzetten van certificaatformaten. Een apart SAML certificaat is nodig afhankelijk van de in de apps toegepaste SAML authenticatie die zijn gepubliceerd in de AppController. Certificaatformaat
Vereiste Certificaten
Locatie
Access Gateway
PEM
Server*, root CA
Extern
AppController
PEM of PFX (PKCS #12) PFX (PKCS#12) PFX (PKCS#12)
Server, SAML, root CA
Intern
StoreFront XenMobile MDM
Server, root CA Intern APNS. Server, MDM maakt Extern een eigen PKI service aan of gebruik Microsoft CA voor cliënt certificaten. XenMobile SMG PFX (PKCS#12) Server, root CA Extern * Het is aan te bevelen een publiek (3rd party) te maken zodat mobile apparaten niet eerst de privé root CA van de organisatie hoeven te downloaden.
DNS Het verdient aanbeveling om statische IP adressen voor alle servers in de omgeving te gebruiken. De volgende records zijn toegevoegd aan de DNS server conform de configuratie van de referentieomgeving. Server
DNS Locatie
Record
XenMobile MDM
Intern en Extern
Host (A)
Access Gateway * (AG Vserver IP adres)
Intern en Extern
Host (A)
AppController
Intern
Host (A)
StoreFront
Intern
Host (A)
XenMobile SMG
Intern en Extern
Host (A) en Mail (MX)
SharePoint DLP
Intern en Extern
Host (A)
Configuratie Tip: Zorg er voor dat de FQDN van iedere server vanaf iedere andere server, en specifiek de Access Gateway kan worden gevonden en gepingd.
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 22 of 28
SQL Server SQL Server (Express, Standard en Enterprise) wordt ondersteund voor alle producten in de Mobile Solutions Bundle. Het is belangrijk om dienovereenkomstig te plannen en de omvang van SQL-server te bepalen op basis van het aantal apparaten, applicaties en gebruikers die van deze omgeving gebruik zullen maken. Dezelfde SQL Server kan worden gebruikt voor de verschillende producten. Het wordt aanbevolen om de grootte van de SQL server te baseren op de eisen van MDM. De impact van StoreFront op SQL is minimaal. Raadpleeg de individuele architecturen voor de aanbevolen dimensionering.
Exchange Server en XenMobile Secure Mobile Gateway In de referentieomgeving is een Microsoft Exchange 2010 server gebruikt om toegang te bieden tot beveiligde mail van XenMobile Secure Mobile Gateway. Een volledige Exchange Server 2010 implementatie omvat 5 rollen, er zijn 3 hoofdrollen die moeten worden geconfigureerd: • De Mailbox Server die de backend server is die de mailboxen host • De Hub Transport server die mail routeert en de mail stroom afhandelt • De Client Access Server (CAS) die een Edge Server is die de verbindingen naar de Exchange server accepteert van een diversiteit aan cliënts. Hoewel alle 3 hierboven genoemde rollen zijn vereist volgens het referentie ontwerp, zijn meer details over de CAS rol hier opgenomen omdat de fysieke plaatsing van deze rol op een server in deze topologie, en de integratie met XenMobile SMG belangrijk is. XenMobile SMG wordt geïnstalleerd op de CAS en zorgt voor beleid gebaseerd beheer van apparaat toegang tot e-mail door ActiveSync verkeer te onderscheppen met behulp van de ingebouwde ISAPI filters die de CAS server aanbiedt. De CAS rol is een “tussenlaag” server die verbindingen naar Exchange server accepteert van een diversiteit aan cliënts. Deze server host de protocollen die door alle cliënts worden gebruikt bij het controleren van berichten. Op het lokale netwerk, worden Outlook MAPIcliënts direct aangesloten op de Client Access server om mail te checken. Externe gebruikers kunnen hun e-mail via het internet controleren via Outlook Anywhere, Outlook Web App, Exchange ActiveSync, POP3 of IMAP4. Hoewel plaatsing van de CAS rol meestal wordt bepaald door de plaatsing van de Exchange Server mailboxserver, wordt het volgens de referentiearchitectuur aanbevolen dat de CAS rol op een standalone server wordt geïnstalleerd die is gescheiden van de Exchange-mailbox-server en die zich in de DMZ bevindt. Het hebben van de CAS server in de DMZ voegt een extra beveiligings laag toe aan de implementatie door het vermijden van de noodzaak om de mailbox server in de DMZ te plaatsen. In plaats daarvan kan de CAS server communiceren met de Exchange server die zich op het interne netwerk bevind via beveiligde communicatie.
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 23 of 28
Conclusie De Citrix Mobile Solutions Bundle is een bedrijfsmobiliteit beheer oplossing die volledig en veilig mobiele apparaat, -app en -data vrijheid mogelijk maakt. Werknemers krijgen een snelle, via één-klik, toegang tot al hun mobiele, web-, data center en Windows apps vanaf een “unified app store”, waaronder prachtige productiviteit apps die naadloos integreren om een uitstekende gebruikerservaring te bieden. De oplossing biedt op identiteit gebaseerde uitrol en controle voor alle applicaties, data en apparaten, op beleid gebaseerd beheer, zoals de beperking van toegang van applicaties tot geautoriseerde gebruikers, automatische opruimen van accounts van vertrokken werknemers en selectief wissen van apps en data op verloren, gestolen of niet conform de regels gebruikte apparaten. Met de Mobile Solutions Bundle, kan IT aan de wens van gebruikers tegemoet komen voor apparaat keuze, terwijl het van lekken van gegevens wordt voorkomen en het interne netwerk wordt beschermt tegen mobiele bedreigingen.
Figuur 13 – Citrix Mobile Solutions Bundle referentiearchitectuur.
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 24 of 28
Appendix A – Reference Documents StoreFront 1.2 http://support.citrix.com/proddocs/topic/dws-storefront-12/dws-version-wrapper.html NetScaler 10.0 http://support.citrix.com/proddocs/topic/netscaler/ns-gen-netscaler10-wrapper-con.html Access Gateway: http://support.citrix.com/proddocs/topic/access-gateway/ag-edocs-landing.html AppController 2.5 http://support.citrix.com/proddocs/topic/appcontroller-25/clg-appc-landing-pagedcon.html XenMobile Device Manager http://kb1.zenprise.com/Zenprise_Device_Manager Secure Mobile Gateway (Ook bekend als Active-Synch Controller) http://kb1.zenprise.com/Zenprise_Device_Manager/Zenprise_Device_Manager/Secure_ Mobile_Gateway Installation guide – Microsoft Client Access Server http://technet.microsoft.com/en-us/library/ff622319(v=exchg.141).aspx Microsoft Client Access Reference for Exchange 2010 http://technet.microsoft.com/en-us/library/ff622319(v=exchg.141).aspx Microsoft Exchange 2010 Installation Guide Download (Bevat instructies voor alle vereiste rollen) http://www.microsoft.com/en-us/download/details.aspx?id=17206
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 25 of 28
Appendix B - Firewall poort vereisten XenMobile MDM TCP Poort
Omschrijving
Bron
Doel
25
Standaard maakt de MDM SMTP configuratie van de Notification Service gebruik van poort 25. Echter, als uw collectieve SMTP server van een andere poort gebruik maakt zorg er dan voor dat uw firewall die poort niet blokkeert.
XenMobile MDM
SMTP server van het bedrijf
80
Over-the-Air (OTA) uitrol en Agent Setup (Android en Windows Mobile) Over-the-Air (OTA) uitrol en Agent Setup (Android en Windows Mobile), MDM Web Console, MDM Remote Support Client
Internet
XenMobile Device Manager Server
80 of 443 389 of 636
443
MDM Server Enterprise App Store verbinding met Apple iTunes App Store (ax.itunes.apple.com). Gebruikt voor publiceren van aanbevolen iTunes App Store apps van de beschikbare iOS applicaties binnen de Web Console en iOS mobile Connect App XenMobile Device Manager Nexmo SMS Notification Relay uitgaande verbinding LDAP/LDAPS verbinding van MDM server naar de Directory Server Host (Active Directory Global Catalog server of gelijkwaardige LDAP directory service host)
Bedrijfs LAN en WiFi
XenMobile MDM
App Store (ax.itunes.apple. com)
XenMobile MDM
Nexmo SMS Relay server
XenMobile MDM
LDAP / Active Directory Services
SSL OTA Enrollment / Agent Setup Internet (Android en Windows Mobile), Alle apparaat gerelateerde verkeer en data verbindingen (iOS, Android en Windows Mobile)
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Apple iTunes
XenMobile MDM
Pagina 26 of 28
1433
SSL OTA Enrollment / Agent Setup Bedrijfs LAN en (Android en Windows Mobile), Alle WiFi apparaat gerelateerde verkeer en data verbindingen (iOS, Android en Windows Mobile). MDM Web Console Remote Database Server verbinding XenMobile MDM naar aparte SQL server (Optioneel)
2195
Apple APNS (Push Notification Service) uitgaande verbinding naar gateway.push.apple.com, gebruikt voor iOS apparaat notificatie en device policy push
XenMobile MDM
2196
Apple APNS (Push Notification Service) uitgaande verbinding naar feedback.push.apple.com, gebruikt voor iOS apparaat notificatie en device policy push
5223
Apple APNS (Push Notification iOS device op WiFi Service) uitgaande verbinding van iOS netwerk service apparaten verbonden via WiFi netwerk naar *.push.apple.com
8443
Over-the-Air (OTA) uitrol van alleen iOS apparaten
Internet
SQL Server Internet (Apple APNS Service Hosts op publiek IP netwerk 17.0.0.0/8)
XenMobile MDM
Bedrijfs LAN en WiFi
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 27 of 28
XenMobile MDM TCP Poort
Omschrijving
Bron
Doel
80
Mobile Application Download
Access Gateway
AppController
443
Verbindingen naar StoreFront Services voor Enterprise editie toegang tot Web, Mobiele, SaaS en desktop applicaties Verbindingen naar AppController voor Web, Mobiele en SaaS applicatie levering Secure Ticket Authority (STA)
Access Gateway
StoreFront
Access Gateway
AppController
Access Gateway
Citrix XD / XA Servers
Access Gateway
LDAP / Active Directroy Services
53
LDAP/LDAPS verbinding van NetScaler AG naar Directory Services Host (Active Directory Global Catalog server of gelijkwaardige LDAP directory services host) DNS
Access Gateway
DNS Server
123
NTP Services
Access Gateway
NTP Server
1494
Citrix ICA Protocol
Access gateway
Citrix XD / XA Servers
2598
Citrix ICA/CGP Protocol Als “Session Reliability” is geactiveerd vervangt poort 2598 poort 1494
XenMobile MDM
SQL Server
389, 636 of 3268
Referentiearchitectuur voor Mobiele Apparaten en Applicatie beheer
Pagina 28 of 28