NL
Service Hotline
Veilige smartphone-toegang tot Exchange-servers
De security gateway uit Zwitserland vult de AppTec EMM-oplossing aan met veilige toegang tot Exchange-servers voor alle beheerde mobiele apparaten.
Om veiligheidsredenen worden Exchange-servers meestal achter de firewall gebruikt. Dit is haalbaar zolang geen roamende gebruikers onderweg toegang vragen tot Exchange-diensten. Gebruikers met smartphones toegang geven van buitenaf vormt dan een beveiligingsrisico en wordt soms helemaal niet toegestaan. AppTec, de Zwitserse leverancier van EMM-software, biedt een beveiligingsoplossing voor dit scenario. De “AppTec Universal Gateway” zorgt ervoor dat Exchange-gebruikers veilige toegang hebben tot het mailsysteem van buitenaf.
Omgekeerde proxy-architectuur
De Universal Gateway maakt verbinding met het netwerk als een reverse proxy en fungeert als een enkel toegangspunt voor mobiele apparaten. Het wordt door AppTec geleverd als een virtuele appliance en wordt meestal geïnstalleerd in de DMZ (“demilitarized zone”). In combinatie met de EMM-oplossing “AppTec Enterprise Mobility Management” krijgen alleen beheerde smartphones externe toegang tot de Exchange-server. De EMM-software zorgt voor een volledig automatische configuratie van de mobiele apparaten.
Instellen als virtueel apparaat
Het gatewaysysteem is snel geïnstalleerd. Het kan worden gebruikt in een virtuele machine (VM) met elke standaard virtualisatiesoftware. Configuratie wordt uitgevoerd via een eenvoudig tekstmenu op consoleniveau. In wezen hoeven alleen wachtwoorden te worden toegewezen voor beheer en moet de netwerkconfiguratie worden uitgevoerd. Optioneel kan de verbinding met de AppTec EMM server getest worden via ping.
Het hele systeem is modulair. Dit betekent dat de Universal Gateway kan worden opgezet ongeacht of AppTec EMM in de cloud of op locatie wordt gebruikt. Alleen verschillende firewallpoorten moeten ingeschakeld zijn voor de communicatie tussen de gateway en Exchange en tussen de gateway en de EMM-server.
Configuratie via EMM-webconsole
Nadat de serversoftware is ingesteld, wordt de gatewayconfiguratie uitgevoerd via de AppTec EMM webconsole. De Universal Gateway wordt geactiveerd in het menu-item “Gateway toevoegen”. Voer hiervoor het netwerkadres van het apparaat in en sla een SSL-certificaat op. In de volgende stap wordt de verbinding met de Exchange-server gedefinieerd via “Add Gateway Configuration”. Hier moet je beslissen of beheerde apparaten automatisch moeten worden ingeschakeld voor toegang tot Exchange of dat ze in eerste instantie in een quarantainelijst terecht moeten komen en handmatig moeten worden ingeschakeld door de Exchange-beheerder.
Kerberos zorgt voor veiligheid en gebruikersgemak
Beheerders kunnen Kerberos activeren voor de communicatie tussen de smartphone en de gateway. Het verhoogt de veiligheid van het systeem en zorgt ervoor dat gebruikers geen wachtwoorden meer hoeven in te voeren of regelmatig te wijzigen, omdat het hun mobiele apparaten verandert in hardwaretokens. Om Kerberos te kunnen gebruiken, moet er tijdens de configuratie een Kerberos keytab-bestand worden aangeleverd of moet er een delegatiegebruiker worden aangemaakt in de Active Directory.
In de configuratie voor ActiveSync kan de beheerder ook instellingen maken voor het communicatieprotocol tussen Exchange en de mobiele apparaten. De configuratie voor Kerberos en ActiveSync wordt vervolgens automatisch uitgerold naar de eindapparaten. Vanaf dit punt maken ze alleen verbinding met de Universal Gateway voor mailcommunicatie. Er is geen directe verbinding met de Exchange-server.
VPN voor Android-smartphones
Android-gebruikers kunnen ook worden uitgerust met een VPN-verbinding met het bedrijfsnetwerk via de Universal Gateway. Dit wordt gedefinieerd via een extra gatewayconfiguratieprofiel en zorgt ervoor dat de AppTec VPN-client automatisch op het eindapparaat wordt geïnstalleerd.
De beheerder kan de verbindingsstatus van alle apparaten bekijken in de EMM-console. Met de optie “Altijd aan” kan hij aangeven dat het mobiele apparaat altijd via VPN met de buitenwereld communiceert. De standaardinstelling is dat de app automatisch detecteert of er een verbinding met het internet tot stand moet worden gebracht – bijvoorbeeld omdat de gebruiker een browser opent – en dan op verzoek automatisch de VPN-verbinding start.
Conclusie
Naast het beveiligingsaspect biedt AppTec’s Universal Gateway gebruikers ook extra voordelen. Gebruikers van smartphones hoeven geen configuratie uit te voeren. Ze kunnen de Exchange-services gewoon gebruiken en hoeven dankzij Kerberos geen wachtwoord in te voeren of vervelende wachtwoordwijzigingen door te voeren.
Prijzen en beschikbaarheid
De Universal Gateway kan alleen worden gebruikt in combinatie met het AppTec EMM-systeem. Dit kost €0,79 per apparaat per maand, bovenop de gebruikskosten voor de EMM. Op verzoek installeert en configureert de Zwitserse fabrikant het systeem voor de klant (tegen betaling).
Bron: https://www.computerwoche.de/a/smartphone-zugriff-auf-exchange-server-absichern,3544683
