MobileIron

MobileIron

Вашему вниманию представляется пример решения задачи построения системы управления мобильными устройствами в крупной компании на базе платформы MobileIron.

В ходе проведения обследования инфраструктуры сети заказчика была собрана информация по компонентам, участвующим в инфраструктуре.

Для проекта построения системы управления мобильными устройствами необходимыми являются следующие компоненты существующей инфраструктуры, представленные на рисунке 1.

 1

                                           Рисунок 1 – Существующая инфраструктура компании.                                             

В качестве внешнего шлюза сети заказчика служит МСЭ StoneGate (Далее SG). Данное решение работает в режиме отказоустойчивого кластера.

При поступлении запроса на установление соединения к внутренним ресурсам в первую очередь запрос поступает на StonGate. Далее SG отправляет запрос на внутренний МСЭ для проверки политик доступа во внутреннюю сеть.

В качестве МСЭ внутри сети служит межсетевой экран нового поколения Palo Alto Networks. Решение работает в режиме отказоустойчивого кластера.

В ходе обследования были также уточнены данные следующих компонентов сети:

Почтовый сервер Microsoft Exchange:

Microsoft Exchange работает в режиме отказоустойчивого кластера из 4 систем. Почтовый сервер развернут на ОС Windows Server 2012 R2.

Aruba (Wi-fi) – подключен к МСЭ StoneGate.

Active Directory – находится во внутренней сети. Система развернута на серверах под управлением ОС Windows Server 2012 R2.

Беспроводная сеть Wi-Fi построена на оборудовании Aruba и имеет выделенный диапазон IP-адресов.

В сетевой инфраструктуре имеется выделенный сегмент управления.

Заказчик предъявил следующие требования к использованию системы управления мобильными устройствами:

  • управление корпоративными данными на личных устройствах;
  • управление корпоративными данными на корпоративных устройствах под управлением операционных систем iOS и Android;
  • обеспечение мобильным устройствам пользователей доступ к почтовым ресурсам компании;
  • обеспечение пользователям возможность иметь доступ как из публичной, так и из внутренней сети предприятия, через беспроводную сеть.

Решение MobileIron

По завершению обследования инфраструктуры сети заказчика, было принято решение использовать в качестве системы управления мобильными устройствами решение MobileIron, что позволило обеспечить доступ к корпоративным ресурсам через мобильные устройства. Например, к корпоративной электронной почте.

Решение MobileIron основано на клиент-серверной архитектуре. В качестве клиента служит мобильное приложение MobileIron, устанавливаемое из официальных магазинов на мобильные устройства под управлением Android, iOS, Windows.

Платформа MobileIron является решением для управления мобильными устройствами (MDM), которое позволяет управлять корпоративными мобильными устройствами, а также контролировать расходы на беспроводную связь. При помощи MobileIron организация может предоставлять пользователям безопасный доступ к корпоративным ресурсам и приложениям, защитить конфиденциальные данные и личную информацию, управлять мобильными устройствами и проверять их на соответствие требованиям политики безопасности.

На мобильные устройства устанавливается приложение MobileWork. Вводятся адрес сервера и учетная запись, выданная администратором системы.

Агент с мобильного устройства подключается к компоненте Core для получения конфигураций и политик.

После применения настроек мобильное устройство может устанавливать связь с серверной частью Sentry, которая, в свою очередь, является крипто-шлюзом для доступа к внутренним ресурсам корпоративной сети. При получении запроса на доступ к внутренним ресурсам Sentry обращается к компоненте Core для подтверждения доступа на основе установленных правил и политики.

Общая схема решения представлена на рисунке 2.

2

Рисунок 2 –Общая схема архитектуры решения MobileIron

Внутренняя архитектура MobileIron

Архитектура решения MobileIron представлена на рисунке 3.

3

 Рисунок 3 – Архитектура MobileIron

Реализованное решение на основе программно-аппаратного комплекса от MobileIron позволяет организации предоставлять работникам безопасный доступ к корпоративной почте и приложениям, защитить конфиденциальные данные и личную информацию, управлять мобильными устройствами и проверять их на соответствие требованиям политики безопасности.

Серверная часть.

Основные функциональные возможности отдельных компонент системы, которая состоит из 2 частей: Core и Sentry:

Core

Основные функциональные возможности серверной компоненты Core:

  • Позволяет специалистам отдела информационной безопасности устанавливать политики безопасности для мобильных устройств.
  • Позволяет специалистам отдела информационной безопасности производить аудит подключенных к системе мобильных устройств.
  • Позволяет специалистам IT отдела удаленно применять конфигурации приложений.
  • Интегрируется со службами.

Помимо указанного перечня может быть так же настроено подключение к удостоверяющим центрам, для централизованной раздачи сертификатов на мобильные устройства. В отдельных случаях возможна настройка конфигурации беспроводных сетей, глобального proxy сервера, создание черного списка приложений и т.д.

Sentry

Основные функциональные возможности серверной компоненты Sentry:

  • Выступает в качестве шлюза при доступе к корпоративной электронной почте.
  • Работает только в связке с сервером Core.
  • Обладает функционалом proxy сервера.
  • Отслеживает попытки подключения всех, даже незарегистрированных на сервере MobileIron Core, мобильных устройств.
  • Разрешает доступ к почтовому серверу в зависимости от текущего статуса аудита мобильного устройства.
  • При необходимости может использоваться в качестве шлюза для других корпоративных ресурсов.

Помимо указанного перечня выделенные сервера Sentry могут быть использованы для создания дополнительного туннеля от конкретного приложения внутри контейнера на мобильном устройстве к серверу во внутренней сети заказчика.

Предлагаемая схема соединений и подключений.

Заказчику была предложена общая схема подключения системы управления мобильными устройствами на основе решения MobileIron, она представлена на рисунках 4 и 5.

4

Рисунок 4 – Схема коммуникации элементов MobileIron с внешними ресурсами

5

Рисунок 5 – Схема коммуникации элементов MobileIron с внутренними ресурсами сети Заказчика

Схема включения

MobileIron подключен к службам DNS, NTP, LDAP, SMTP, ActiveSync. Есть возможность в будущем настроить подключение к файловым серверам и удостоверяющим центрам.

Схема включения MobileIron в инфраструктуру заказчика представлена на рисунке 6.

6

Рисунок 6 –Схема включения

В демилитаризованном сегменте сети заказчика были установлены серверные компоненты системы MobileIron. С целью упрощения последующей эксплуатации предложено использовать виртуальное решение на базе гипервизора Vmware ESXi.

На основе составленной схемы коммутации и коммуникации в правила межсетевых экранов внесены изменения, разрешающе взаимодействие отдельных элементов MobileIron с различными службами, как в сети Интернет, так и во внутренней сети Заказчика.

Система подключается к таким внутренним системам как DNS, NTP, LDAP, MS Esxchange.

Для подключения к службе каталога необходимо выделение технической учетной записи с правами на чтение.

Для обеспечения безопасности каналов передачи данных необходимо получить и импортировать сертификаты, подписанные публичными удостоверяющими центрами.

При подключении к MobileIron на пользовательское устройство устанавливается агентское программное обеспечение.

Для подключения приложения к серверной части требуется адрес сервера и учетная запись. Учетная запись может быть, как локальная, так и из Active Directory.

Администратор MobileIron настраивает политики, применяемые к пользовательским устройствам. Политики могут в себя включать:

  • настройки синхронизации;
  • запрет или разрешение на использование того или иного функционала мобильного устройства (к примеру, камера или Bluetooth), составляет списки разрешенных и запрещенных приложений;
  • публикует во внутреннем «магазине» рекомендованные приложения, формирует шаблоны настроек системы и приложений.

Для использования корпоративной почты мобильное приложение устанавливает соединение с сервером системы MobileIron, проверяет наличие необходимых политик для работы электронной почты. Если учетной записи разрешен доступ к внутренним ресурсам, то пользователь получает доступ к корпоративной почте.

Кроме корпоративной почты пользователь может пользоваться различными приложениями, разрешенными администратором системы, согласно корпоративным политикам безопасности.

Вся конфигурация системы нуждается в резервном копировании. Резервное копирование делается во избежание потери конфигурационных данных и политик, примененных к устройствам. Система допускает использование следующих протоколов для организации удаленного хранения файлов основных настроек NFS, SCP, FTP, CIFS. Резервное копирование настраивается по расписанию.

Результаты внедрения MobileIron:

  1. Возможность безопасного доступа пользователей к почте организации с корпоративных и личных мобильных устройств.
  2. ИТ персонал заказчика получил инструмент инвентаризации состояния мобильных устройств.
  3. Возможность публикации корпоративных мобильных приложений и контроль их использования.
  4. Использование защищенного виртуального контейнера на устройствах для хранения конфиденциальных данных.