Alguns dispositivos gerenciados encontram-se sempre localizados fora da rede principal (por exemplo, computadores nas filiais regionais da empresa; quiosques, caixas eletrônicos e terminais instalados em vários pontos de venda; computadores de funcionários em home-office). Alguns dispositivos saem do perímetro de vez em quando (por exemplo, laptops de usuários que visitam filiais regionais ou o escritório de um cliente).
Ainda é necessário monitorar e gerenciar a proteção de dispositivos ausentes — receber informações reais sobre seu status de proteção e manter os aplicativos de segurança neles atualizados. Isso é necessário porque, por exemplo, se tal dispositivo for comprometido enquanto estiver longe da rede principal, ele pode se tornar uma plataforma para a propagação de ameaças assim que se conectar à rede principal. Para conectar dispositivos externos ao Servidor de Administração, você pode usar dois métodos:
Consulte o esquema de tráfego de dados: Servidor de Administração na LAN, dispositivos gerenciados na Internet, gateway de conexão em uso
Veja o esquema de tráfego de dados: Servidor de Administração na DMZ, dispositivos gerenciados na Internet
Um gateway de conexão na DMZ
Um método recomendado para conectar dispositivos externos ao Servidor de Administração é organizar uma DMZ na rede da organização e instalar um gateway de conexão na DMZ. Os dispositivos externos se conectarão ao gateway de conexão e o Servidor de Administração dentro da rede iniciará uma conexão aos dispositivos por meio do gateway de conexão.
Em comparação com o outro método, esse é mais seguro:
Além disso, um gateway de conexão não requer muitos recursos de hardware.
No entanto, esse método tem um processo de configuração mais complicado:
O cenário nesta seção descreve este método.
Servidor de Administração na DMZ
Outro método é instalar um único Servidor de Administração na DMZ.
Essa configuração é menos segura do que o outro método. Para gerenciar laptops externos, neste caso, o Servidor de Administração deve aceitar conexões de qualquer endereço na Internet. Ele ainda irá gerenciar todos os dispositivos na rede interna, mas na DMZ. Portanto, um servidor comprometido pode causar uma enorme quantidade de danos, apesar da baixa probabilidade de tal evento.
O risco é significativamente reduzido se o Servidor de Administração na DMZ não gerenciar os dispositivos na rede interna. Essa configuração pode ser usada, por exemplo, por um provedor de serviços para gerenciar os dispositivos dos clientes.
Você pode querer usar esse método nos seguintes casos:
Esta solução também tem possíveis dificuldades: