《思杰安全电子邮件部署指南 白皮书》由会员分享,可在线阅读,更多相关《思杰安全电子邮件部署指南 白皮书(12页珍藏版)》请在金锄头文库上搜索。
1、思杰安全电子邮件部署指南 白皮书思杰安全电子邮件部署指南推动电子邮件协作 思杰安全电子邮件部署指南 白皮书2引言 智能移动设备在日常商业活动中扮演着越来越重要的角色。 实际上, 每月售出的平板电脑和智能手机数量远远超过了 PC 机和笔记本电脑。 普通的业务信息工作者每天要使用 3 种设备, 其中有一种通常是他们的个人设备。 BYOD 趋势定将继续; 根据预测1, 企业内使用的便携式设备数量到 2015 年将达到笔记本电脑和台式机的3 倍之多。 然而, 它们的成本、 便携性和独有的 WiFi 连接功能使它们很容易被盗, 造成数据泄露和 WiFi 侦听。 应用尤其是企业担心的焦点。 Nielsen
2、2 最近进行的一项调查表明,智能手机用户安装的应用数量平均超过 40 种。 其中的大部分应用都有权向互联网发送数据。然而, 智能手机和平板电脑有着不可否认的商业价值。 企业需要在这些价值和它们带来的风险之间达成平衡。 如果不对移动应用包括内置 iOS 和 Android 电子邮件客户端的使用进行任何控制, 用户会在本地保存电子邮件及相关的附件,这样就会导致保密信息丢失或泄露。 如果设备不受密码保护或被盗的时机恰当, 窃贼会冒充机主进行违法活动。 由于这些原因, 许多企业对移动设备和应用的使用进行种种限制, 有些偏执的公司甚至全面禁止使用移动设备。目前, IT 部门可使用几种替代方法来保护对电子
3、邮件和相关信息的接入, 这些方法都可提供一定的安全性和便利性。 本指南讨论了使用思杰产品的几种常见部署以及各自的优缺点。其中最安全的方法是使用 Citrix WorxMail 客户端和 Citrix NetScaler Gateway, 本文将对此进行详细介绍。 本指南主要面向 IT 架构师和网络工程师, 但其他人也可通过了解思杰解决方案从中受益。 WorxMail 可轻松集成现有的 Microsoft Exchange 2007 和 2010 基础架构。不需要扩展 Exchange Server, 只需要进行一些细小的配置修改。电子邮件接入替代方案基本电子邮件接入图 1显示了最简单直接的电子
4、邮件接入方法。 对 Microsoft Exchange 环境的基本保护通过基本的保护机制进行, 如通过微软的 Forefront Threat Management Gateway 或 Citrix NetScaler Gateway 提供的保护机制。 这些网关可提供基本的安全服务, 如防火墙、 防病毒和拒绝服务攻击防护。 下面的表1显示了这种电子邮件接入方法的优缺点。1 Business Insider, The Future of Mobile , 2012 年。2 http:/ 白皮书3数据中心原生电子邮件客户端3G/4G/Wi-FiMicrosoft TMGCitrix NetSca
5、ler GatewayMicrosoft Exchange图 1: 基本电子邮件接入优点缺点 无需客户端配置 使用原生电子邮件 客户端 Exchange Server 受到有效保护, 可免 受互联网攻击影响 最少的数据中心配置 ActiveSync 流量不加密 可能会被 截获 客户端上下载的数据不受任何保护 无法控制哪些客户端可以连接到 Exchange 无法控制客户端应用 应用可能会 被 用于转发保密信息 表 1: 基本电子邮件接入 优缺点 控制客户端设备 使用 Citrix XenMobile MDM 版, 可以实现额外的控制, 如图 2 所示。 安全平台上安装的 XenMobile Ne
6、twork Controller (XNC, XenMobile 网络控制器) 组件可支持移动设备管理: 这个例子中为 Microsoft TMG 或 Citrix NetScaler Gateway。XenMobile MDM 可以对企业设备和员工个人设备进行基于角色的管理和配置并确保安全性。 完成用户设备注册后, IT 部门可以自动为设备置备策略和应用, 将客户端应用列入黑名单或白名单, 检测并防止使用越狱设备, 并有选择性地擦除丢失、 被盗或不符合规定的设备中的数据。 用户可以使用自己喜爱的任何设备, 而 IT 部门可以确保企业资产的合规性, 并有效保护设备中保存的企业内容。 这样就可以
7、有效地限制并保护客户端设备。 图 2 显示了这种解决方案的优缺点。思杰安全电子邮件部署指南 白皮书4数据中心原生电子邮件客户端Citrix XenMobile Device Manager3G/4G/Wi-Fi带有 Citrix XenMobile Network Controller 的 Microsoft TMG带有 XenMobile Network Controller 的 Citrix NetScaler GatewayMicrosoft Exchange图 2: 控制客户端设备优点缺点 只有经过授权的客户端可以接入 Exchange Server 危险应用可列入黑名单 Exchan
8、ge Server 受到有效保护, 可免 受互联网攻击影响 客户端上下载的数据可从远程擦出 ActiveSync 流量不加密 可能会 被截获 未列入黑名单的应用可接入客户端上 下载的数据表 2: 控制客户端设备 优缺点 可扩展的安全接入 同时使用 Citrix XenMobile、 NetScaler Gateway 和 WorxMail 客户端可以确保出色的安全性, 如图 3 所示。 XenMobile 负责准备 WorxMail 客户端的应用。 该客户端使用 Citrix Secure Ticketing Authority (STA)或 microVPN 加密隧道来接入 NetScale
9、r 设备该设备加密并控制下载的内容。 STA 可通过 Secure Ticket (安全通行证) 在更长时间内对用户进行身份验证提供更出色的用户体验。 在这种拓扑结构中, WorxMail 在 NetScaler Gateway 中使用 STA 模式的身份验证。 XenMobile 服务器作为 Ticketing Authority (通行证管理局)运行。有 microVPN 连接提示用户进行显式身份验证时, 可以通过“通行证更新 (ticket renewal) ” 从后台重新对 STA 连接进行身份验证3。 NetScaler Gateway4 是一种功能强大的应用交付平台, 可加速并控制
10、对企业Exchange Server及其它互联网服务的接入。 NetScaler可以安装在虚拟服务器上,也可用作独立设备来实现更高的容量。 图 3 显示了这种替代解决方案的优缺点。3 这种基于 STA 的方法目前可用于 Android 设备上的 WorxMail。 面向 iOS 设备的版本即将上市。 在近期, 可使用基 于 microVPN 的设置。 4 http:/ 白皮书5数据中心Citrix WorxMail 客户端3G/4G/Wi-FiCitrix NetScaler GatewaySTA 或 MicroVPNMicrosoft ExchangeCitrix XenMobile图 3:
11、 可扩展的安全接入优点缺点 只有经过授权的客户端可以接入 Exchange Server Exchange Server 受到有效保护, 可免 受互联网攻击影响 客户端上下载的数据经过加密, 接入受 到控制而且可擦除 可以安全地控制大量用户 需要 NetScaler 设备或运行 NetScaler 的虚拟机 (VM) 需要额外的细微配置修改 表 3: 可扩展的安全接入 优缺点 人们有时将这种方法与通过第三方运营的中间网络运营中心 (NOC) 连接用户的其它解决方案相比。 基于 NOC 的解决方案与数据中心内解决方案相比没有明显优势,存在长期重复成本、 无法控制及不能快速进行修改等弊端。Worx
12、Mail 概述 Citrix WorxMail 是一种功能强大的移动解决方案, 使 IT 部门可以管理通过企业设备及个人移动设备进行的安全电子邮件接入。 如果安装和配置正确, WorxMail 是移动设备接入电子邮件的唯一途径。 WorxMail 是 Citrix Worx Mobile Apps 5解决方案的一个组件。 该解决方案可以建立一个封闭的安全环境, 移动设备中的数据只能由 IT 部门批准并提供的应用使用。 移动设备和企业服务器之间的所有通信都经过加密, 只有经过授权和身份验证的用户可以与 Exchange Server 进行通信。Citrix XenMobile 是该解决方案的一个
13、关键组件。 它利用 Citrix Worx App SDK 和Citrix MDX 技术来为运行移动设备应用建立一个受到有效管理的安全环境。 使用MDX 技术时, 企业应用和数据保存在一个容器中, 与用户移动设备中的个人应用和数据隔离开来。 这样, IT 部门就可以通过基于策略的全面管控有效保护任何定制的、第三方或 BYO 移动应用。 有 3 大关键技术在发挥作用:5 http:/ 白皮书6 MDX Access: 对所有原生和 HTML5 移动应用进行基于策略的细粒度管理和接入控制。 MDX Vault: 在一个安全的企业容器中将企业移动应用和数据与移动设备上的个人应用隔离开来。 MDX I
14、nterapp: 控制移动企业应用之间的通信, 确保数据只在 MDX 打包应用之间传输。移动用户可通过 WorxMail 直观的界面接入电子邮件、 日历和联系人应用。 附件经过加密后保存在移动设备上的 MDX Vault 中, 只有经过授权的应用可以接入。 Citrix ShareFile 服务器中保存的保密数据也可以安全地附加到电子邮件中。 企业可以向所有员工部署 WorxMail, 因为设备所有人负责管理自己的设备。 IT 部门的工作包括选择应用、 对这些应用进行策略控制, 然后通过 Worx Home 应用中的App Store6将它们交付给用户。 WorxMail 是面向 iOS 和
15、Android 平台提供的一种应用。 员工离开公司或设备被盗时, IT 部门可以从远程擦除本地保存的与每种应用相关的数据。NetScaler GatewayCitrix NetScaler Gateway 是该系统的核心, 负责移动客户端和内部服务器之间的流量定向。 在电子邮件接入方面, 它提供以下几大功能: 控制客户端对 Exchange Client Access Server (CAS) 的接入 建立与每台移动设备的 STA 和 microVPN 连接 在多个 CAS 间实现负载均衡 压缩数据, 优化通信 NetScaler 在设备中运行或作为虚拟服务器运行, 可对多种互联网应用 (包括 Web和 ftp) 提供类似的额外功能。 它可以进行负载均衡、 应用加速、 4-7 层流量管理、SSL 终接并确保应用安全性。 负载均衡可提供容错功能并缩短响应时间。 CAS 作为虚拟服务实施时, NetScaler 可在负载增加时启动新的 CAS。应用 XenMobile StoreFront 中保存着 IT 部门批准的应用, IT 管理员利用它来选择应用并制定策略, 控制这些应用
