Informacje o podłączaniu urządzeń mobilnych

Niektóre zarządzane urządzenia zawsze znajdują się poza główną siecią (na przykład, komputery w oddziałach regionalnych firmy; kioski, bankomaty i terminale zainstalowane w różnych punktach sprzedaży; komputery w domowych biurach pracowników). Niektóre urządzenia od czasu do czasu wyjeżdżają poza granicę (na przykład, laptopy użytkowników, którzy odwiedzają oddziały regionalne lub biuro klienta).

Nadal musisz monitorować i zarządzać ochroną urządzeń znajdujących się poza biurem - otrzymywać aktualne informacje o ich stanie ochrony i zapewniać aktualność aplikacji zabezpieczających. Jest to konieczne, ponieważ, na przykład, jeśli do takiego urządzenia ktoś się włamał, gdy znajdowało się poza siecią główną, może stać się platformą do rozprzestrzeniania zagrożeń, gdy tylko połączy się z siecią główną. W celu podłączenia urządzeń mobilnych do Serwera administracyjnego, możesz użyć dwóch metod:

• Brama połączenia w strefie zdemilitaryzowanej (DMZ)

  Zobacz schemat transmisji danych: Serwer administracyjny w sieci LAN, zarządzane urządzenia w internecie, używana brama połączenia

• Serwer administracyjny w strefie DMZ

  Zobacz schemat transmisji danych: Serwer administracyjny w strefie DMZ, zarządzane urządzenia w internecie

Brama połączenia w strefie DMZ

Zalecaną metodą podłączania urządzeń mobilnych do Serwera administracyjnego jest zorganizowanie strefy DMZ w sieci organizacji i zainstalowanie bramy połączenia w strefie DMZ. Urządzenia zewnętrzne nawiążą połączenie z bramą połączenia, a Serwer administracyjny znajdujący się w sieci zainicjuje połączenie z urządzeniami za pośrednictwem bramy połączenia.

W porównaniu z drugą metodą ta jest bezpieczniejsza:

• Nie musisz otwierać dostępu do Serwera administracyjnego spoza sieci.
• Uszkodzona brama połączenia nie stwarza dużego zagrożenia dla bezpieczeństwa urządzeń sieciowych. Brama połączeń w rzeczywistości sama niczym nie zarządza i nie ustanawia żadnych połączeń.

Ponadto brama połączeń nie wymaga wielu zasobów sprzętowych.

Jednakże ta metoda ma bardziej skomplikowany proces konfiguracji:

• Aby urządzenie służyło jako brama połączenia w DMZ, musisz zainstalować Agenta sieciowego i podłączyć go do Serwera administracyjnego w określony sposób.
• Nie będziesz mógł używać tego samego adresu do łączenia się z Serwerem administracyjnym we wszystkich sytuacjach. Poza granicami, będziesz musiał użyć nie tylko innego adresu (adresu bramy połączenia), ale także innego trybu połączenia: przez bramę połączenia.
• Musisz także zdefiniować różne ustawienia połączeń dla laptopów w różnych lokalizacjach.

Aby dodać bramę połączenia do wcześniej skonfigurowanej sieci:

1. Zainstaluj Agenta sieciowego w trybie bramy połączenia.
2. Ponownie zainstaluj Agenta sieciowego na urządzeniach, które chcesz połączyć z nowo dodaną bramą połączenia.

Serwer administracyjny w strefie DMZ

Inną metodą jest zainstalowanie pojedynczego Serwera administracyjnego w strefie DMZ.

Ta konfiguracja jest mniej bezpieczna niż inna metoda. Aby w tym przypadku zarządzać zewnętrznymi laptopami, Serwer administracyjny musi akceptować połączenia z dowolnego adresu w Internecie. Nadal będzie zarządzać wszystkimi urządzeniami w sieci wewnętrznej, ale z DMZ. Dlatego przejęty Serwer może spowodować ogromne szkody, pomimo niskiego prawdopodobieństwa takiego zdarzenia.

Ryzyko jest znacznie niższe, jeśli Serwer administracyjny w DMZ nie zarządza urządzeniami w sieci wewnętrznej. Taka konfiguracja może być wykorzystana, na przykład, przez usługodawcę do zarządzania urządzeniami klientów.

Możesz chcieć użyć tej metody w następujących przypadkach:

• Jeśli jesteś zaznajomiony z instalacją i konfiguracją Serwera administracyjnego i nie chcesz wykonywać innej procedury instalacji i konfiguracji bramy połączenia.
• Jeśli potrzebujesz zarządzać większą liczbą urządzeń. Maksymalna pojemność Serwera administracyjnego to 100 000 urządzeń, podczas gdy brama połączenia może obsługiwać do 10 000 urządzeń.

To rozwiązanie ma również możliwe trudności:

• Serwer administracyjny wymaga większej ilości zasobów sprzętowych i jeszcze jednej bazy danych.
• Informacje o urządzeniach będą przechowywane w dwóch niepowiązanych bazach danych (dla Serwera administracyjnego w sieci i jednej w DMZ), co komplikuje monitorowanie.
• Aby zarządzać wszystkimi urządzeniami, Serwer administracyjny musi być połączony w hierarchię, co komplikuje nie tylko monitorowanie, ale także zarządzanie. Instancja podrzędnego Serwera administracyjnego nakłada ograniczenia na możliwe struktury grup administracyjnych. Musisz zdecydować, w jaki sposób i które zadania i zasady mają być dystrybuowane do instancji podrzędnego Serwera administracyjnego.
• Skonfigurowanie urządzeń zewnętrznych do używania Serwera administracyjnego w DMZ z zewnątrz oraz do używania głównego Serwera administracyjnego od wewnątrz nie jest prostsze niż zwykłe skonfigurowanie ich tak, aby używały warunkowego połączenia przez bramę.
• Wysokie zagrożenia bezpieczeństwa. Zagrożona instancja Serwera administracyjnego ułatwia włamanie się do zarządzanych laptopów. Jeśli tak się stanie, hakerzy muszą tylko poczekać, aż jeden z laptopów wróci do sieci firmowej, aby mogli kontynuować atak na sieć lokalną.