Niektóre zarządzane urządzenia zawsze znajdują się poza główną siecią (na przykład, komputery w oddziałach regionalnych firmy; kioski, bankomaty i terminale zainstalowane w różnych punktach sprzedaży; komputery w domowych biurach pracowników). Niektóre urządzenia od czasu do czasu wyjeżdżają poza granicę (na przykład, laptopy użytkowników, którzy odwiedzają oddziały regionalne lub biuro klienta).
Nadal musisz monitorować i zarządzać ochroną urządzeń znajdujących się poza biurem - otrzymywać aktualne informacje o ich stanie ochrony i zapewniać aktualność aplikacji zabezpieczających. Jest to konieczne, ponieważ, na przykład, jeśli do takiego urządzenia ktoś się włamał, gdy znajdowało się poza siecią główną, może stać się platformą do rozprzestrzeniania zagrożeń, gdy tylko połączy się z siecią główną. W celu podłączenia urządzeń mobilnych do Serwera administracyjnego, możesz użyć dwóch metod:
Zobacz schemat transmisji danych: Serwer administracyjny w sieci LAN, zarządzane urządzenia w internecie, używana brama połączenia
Zobacz schemat transmisji danych: Serwer administracyjny w strefie DMZ, zarządzane urządzenia w internecie
Brama połączenia w strefie DMZ
Zalecaną metodą podłączania urządzeń mobilnych do Serwera administracyjnego jest zorganizowanie strefy DMZ w sieci organizacji i zainstalowanie bramy połączenia w strefie DMZ. Urządzenia zewnętrzne nawiążą połączenie z bramą połączenia, a Serwer administracyjny znajdujący się w sieci zainicjuje połączenie z urządzeniami za pośrednictwem bramy połączenia.
W porównaniu z drugą metodą ta jest bezpieczniejsza:
Ponadto brama połączeń nie wymaga wielu zasobów sprzętowych.
Jednakże ta metoda ma bardziej skomplikowany proces konfiguracji:
Scenariusz w tej sekcji opisuje tę metodę.
Serwer administracyjny w strefie DMZ
Inną metodą jest zainstalowanie pojedynczego Serwera administracyjnego w strefie DMZ.
Ta konfiguracja jest mniej bezpieczna niż inna metoda. Aby w tym przypadku zarządzać zewnętrznymi laptopami, Serwer administracyjny musi akceptować połączenia z dowolnego adresu w Internecie. Nadal będzie zarządzać wszystkimi urządzeniami w sieci wewnętrznej, ale z DMZ. Dlatego przejęty Serwer może spowodować ogromne szkody, pomimo niskiego prawdopodobieństwa takiego zdarzenia.
Ryzyko jest znacznie niższe, jeśli Serwer administracyjny w DMZ nie zarządza urządzeniami w sieci wewnętrznej. Taka konfiguracja może być wykorzystana, na przykład, przez usługodawcę do zarządzania urządzeniami klientów.
Możesz chcieć użyć tej metody w następujących przypadkach:
To rozwiązanie ma również możliwe trudności: