一部の管理対象デバイスは、常にメインネットワークの外部に配置されています(たとえば、会社の支社にあるコンピューター、売店、ATM、様々な販売拠点に設置されている端末、従業員のホームオフィスにあるコンピューターなど)。また、一部のデバイスは、ネットワークの外部を不定期に移動しています(たとえば、支社や顧客オフィスを訪問するユーザーのノート PC など)。
モバイルユーザーデバイスの保護について、引き続き監視および管理する必要があります。保護ステータスに関する実際の情報を受け取り、デバイスのセキュリティ製品を最新の状態に保ちます。たとえば、そのようなデバイスがメインネットワークから離れている際にセキュリティ侵害を受けた場合、メインネットワークに接続するとすぐに脅威を伝播するプラットフォームになる可能性があるため、これは必要です。モバイルユーザーデバイスを管理サーバーへ接続する方法は、次の 2 つがあります:
データトラフィックのスキーム:LAN 上の管理サーバー、インターネット上の管理対象デバイス、使用中の接続ゲートウェイ
データトラフィックのスキーム:DMZ 内の管理サーバー、インターネット上の管理対象デバイス
DMZ 内の接続ゲートウェイ
モバイルユーザーデバイスから管理サーバーへの接続で推奨される方法は、DMZ を組織内に構築し、接続ゲートウェイを DMZ 内に実装することです。外部デバイスは接続ゲートウェイに接続し、ネットワーク内の管理サーバーは接続ゲートウェイを介してデバイスへの接続を開始します。
その他の方法と比較すると、この方法はより安全です。
また、接続ゲートウェイに必要なハードウェアリソースも少量です。
ただし、この方法には複雑な設定編集の手順が必要です:
このセクションのシナリオで、方法を説明しています。
以前に構成したネットワークに接続ゲートウェイを追加するには、次の手順を実行します:
DMZ 内の管理サーバー
もう 1 つの方法は、単一の管理サーバーの DMZ 内へのインストールです。
前述の方法よりも、設定の安全性が低くなります。この方法で外部のノート PC を管理するには、インターネット上の任意のアドレスからの接続を管理サーバーが許可する必要があります。内部ネットワークのデバイスをすべて管理することも可能ですが、DMZ からの管理となります。したがって、発生の可能性は低いと言えますが、サーバーが攻撃された場合、結果として甚大な被害が発生する可能性があります。
DMZ 内の管理サーバーが内部ネットワークのデバイスを管理しない場合、この危険性は大幅に低減されます。この設定は、たとえば、顧客デバイスを管理するサービスプロバイダーなどが使用する可能性があります。
この方法の使用が検討されるのは、次のような場合があります:
この方法には、次の欠点もあります: