Moduł Mobile Enterprise Gateway (MEG)

Produkt IBM® MaaS360® Mobile Enterprise Gateway (MEG) zapewnia użytkownikom urządzeń prosty, bezproblemowy i bezpieczny dostęp do zasobów informacyjnych znajdujących się za firewallem, oprócz implementacji nowej technologii podobnej do sieci VPN.

Korzyści z zastosowania modułu Mobile Enterprise Gateway (MEG)

Moduł Mobile Enterprise Gateway (MEG) zapewnia następujące korzyści:
  • Bezproblemowe logowanie
  • Buforowanie danych uwierzytelniających
  • Jednorazowe logowanie w wielu aplikacjach MaaS360
  • Pojedyncze logowanie do ochrony zasobów intranetowych zabezpieczonych z użyciem silnego uwierzytelniania, takiego jak NTLM, Kerberos, SPNEGO i certyfikaty tożsamości

Sposób działania modułu Mobile Enterprise Gateway (MEG)

Moduł Mobile Enterprise Gateway (MEG) zapewnia maksymalne bezpieczeństwo przez uwierzytelnianie użytkowników i urządzeń na podstawie danych uwierzytelniających katalogu korporacyjnego i certyfikatów tożsamości rejestracji w systemie MaaS360 , które spełniają wymagania uwierzytelniania dwuskładnikowego dla zasobów intranetowych. Cała komunikacja między urządzeniami mobilnymi a produktem Mobile Enterprise Gateway (MEG) jest w pełni zaszyfrowana i zabezpieczona na całej trasie, co zapobiega atakom typu man-in-the-middle.

Wszystkie dane na urządzeniu przenośnym są przechowywane w rozwiązaniu kontenerowym MaaS360 , w pełni zaszyfrowane i zabezpieczone przed wyciekiem danych. Kontenery są w pełni kontrolowane przez zasady bezpieczeństwa kontenera MaaS360 zgodnie z wymaganiami dotyczącymi bezpieczeństwa. W przypadku implementacji Mobile Enterprise Gateway (MEG) mają zastosowanie następujące dodatkowe korzyści związane z bezpieczeństwem:
  • Bezproblemowe ponowne uwierzytelnianie użytkowników i urządzeń w tle bez wyświetlania użytkownikom monitu o wprowadzenie danych uwierzytelniających
  • Wymagania dotyczące podania tokenu uwierzytelniania dla każdego zasobu intranetowego
  • Sprawdzanie poprawności listy dostępu proxy na bramie
Produkt Mobile Enterprise Gateway (MEG) jest ściśle zintegrowany z portalem MaaS360 Portal, w którym definiuje się zasady blokowania i kontroli dostępu do bramy na podstawie zautomatyzowanych reguł zgodności. Rozwiązanie Mobile Enterprise Gateway (MEG) pomaga Twojej organizacji zmobilizować zasoby korporacyjne dla stale rosnącej populacji mobilnej, zachowując jednocześnie kontrolę nad przepływem danych i związanymi z tym zabezpieczeniami danych. Produkt Mobile Enterprise Gateway (MEG) zawiera następujące kluczowe funkcje:
  • Bezproblemowa integracja z systemem MaaS360, w tym łatwa i prosta konfiguracja
  • Schematy silnego uwierzytelniania bramy
  • Uwierzytelnianie między lasami / domenami
  • Obsługa pojedynczego logowania dla bramy w wielu aplikacjach w urządzeniu
  • Obsługa protokołów Kerberos, SPNEGO i NTLM v2 służących do uwierzytelniania w serwisach
  • Obsługa wewnętrznego proxy dla serwisów
  • Szczegółowa lista dostępu proxy
  • Bezproblemowa konfiguracja trybu wysokiej dostępności (HA)
  • Zaawansowane skalowanie do 100 000 urządzeń
  • Obsługa klastra bramy regionalnej i automatycznego lokalnego routingu bramy
  • Scenariusze przetwarzania strumieniowego dla dużych plików i filmów wideo
  • Obsługa protokołuWebDAV(Web Distributed Authoring and Versioning) dla współużytkowanych zasobów plikowych Windows (obsługuje SMB2 i SMB3)
  • Obsługa przekazywania odtwarzania po awarii

Informacje o trybach bramy Mobile Enterprise Gateway (MEG)

Produkt Mobile Enterprise Gateway (MEG) działa w jednym z następujących trybów:
Tryb Opis
Dostęp do serwera przekazującego Brama ustanawia dostęp wychodzący do serwera przekazującego MaaS360 . Urządzenia komunikują się wyłącznie z serwerem przekazującym i nie mają bezpośredniego połączenia z bramą.
Bezpośrednie Urządzenia nawiązują bezpośrednie połączenie z produktem Mobile Enterprise Gateway (MEG) w celu uzyskania bezpośredniego dostępu do zasobów i pomijają udostępniane przez system MaaS360 serwery przekazujące. Bramę można także zainstalować jako autonomiczną bramę dla mniejszych wdrożeń lub jako sklastrowaną bramę w celu uzyskania wysokiej dostępności (HA).

Wymagania i skalowanie

Tabela 1. Wymagania dotyczące produktu Mobile Enterprise Gateway (MEG)
Kategoria Wymaganie minimalne
Komponent sprzętu Komputer fizyczny lub wirtualny z systemem Windows Server 2019, 2016, 2012 R2, 2012, 2008 R2lub 2008
Uwaga: Mobile Enterprise Gateway (MEG) nie obsługuje opcji instalacji Server Core w systemach Windows Server 2016, 2012 R2, 2012, 2008 R2lub 2008. Obsługiwane są tylko następujące opcje instalacji: Full Server Installation, Server Graphical Shell i Server with a Desktop Experience.
Klienty urządzeń mobilnych iOS 11.0 i nowszy
Android 4.2 i nowszy (wersje operatorów)
Uprawnienia Konto usługi, które jest uruchamiane przez produkt Mobile Enterprise Gateway (MEG) jako członek grupy użytkowników domeny w usłudze Active Directory oraz jako członek grupy administratorów lokalnych na serwerze.
Porty sieciowe Dostęp do portu 443 z komputera, na którym działa produkt Mobile Enterprise Gateway (MEG): brama używa tego portu danych wychodzących do komunikacji z zapleczem MaaS360 i usługami WWW. Jeśli używany jest Dostęp w trybie przekazywania, grama używa portu 443 do komunikacji z usługami przekazywania. Na potrzeby przekazywania nie jest używany żaden port danych przychodzących.
Tryby pracy bramy sieciowej (dostęp do przekaźnika i bezpośredni)
  • Dostęp w trybie przekazywania
    Dla trybu dostępu przekazywania użyj jednego z następujących przekaźników:
    • Przekazywanie – USA
      • Adres URL serwera przekazującego: https://us01-dv.meg.maas360.com
        Adres IP serwera głównego: 173.193.219.243
        IP serwera odtwarzania po awarii: 169.53.30.247
      • Adres URL serwera przekazującego: https://us01-gw.meg.maas360.com
        Adres IP serwera głównego: 173.193.219.242
        Adres IP serwera odtwarzania po awarii: 169.53.30.246
    • Przekazywanie – Europa
      • Adres URL serwera przekazującego: https://eu01-dv.meg.maas360.com
        Adres IP serwera głównego: 159.8.170.230
        Adres IP serwera odtwarzania po awarii: 119.81.207.130
      • Adres URL serwera przekazującego: https://eu01-gw.meg.maas360.com
        Adres IP serwera głównego: 159.8.170.231
        Adres IP serwera odtwarzania po awarii: 119.81.207.131
    • Przekazywanie – APAC-SGP
      • Adres URL serwera przekazującego: https://ap01-dv.meg.maas360.com
        Adres IP serwera głównego: 119.81.207.130
        Adres IP serwera odtwarzania po awarii: 169.56.36.218
      • Adres URL serwera przekazującego: https://ap01-gw.meg.maas360.com
        Adres IP serwera głównego: 119.81.207.131
        Adres IP serwera odtwarzania po awarii: 169.56.36.219
    • Przekazywanie – Tokio
      • Adres URL serwera przekazującego: https://ap02-dv.meg.maas360.com
        Adres IP serwera głównego: 169.56.36.218
        Adres IP serwera odtwarzania po awarii: 119.81.207.130
      • Adres URL serwera przekazującego: https://ap02-gw.meg.maas360.com
        Adres IP serwera głównego: 169.56.36.219
        Adres IP serwera odtwarzania po awarii: 119.81.207.131
    Ważne: jeśli w ośrodku podstawowym wystąpi zdarzenie katastrofalne, system przełącza się na adresy IP serwera zapasowego.
  • Tryb bezpośredni

    W przypadku trybu bezpośredniego wymagane jest połączenie przychodzące z Internetu do bramy. Ten port należy skonfigurować podczas procesu instalowania i konfigurowania produktu Mobile Enterprise Gateway (MEG) .
Sieć-usługi zaplecza MaaS360 Wymagania dotyczące usług zaplecza systemu MaaS360 są opisane w wymaganiach systemowych modułów Cloud Extender i Mobile Enterprise Gateway (MEG).
Skalowanie Mniej niż 10 000 urządzeń:
Procesor: 2 rdzenie (2,8 GHz)
Pamięć: 4 GB
Pamięć masowa: 2 GB
Więcej niż 10 000 urządzeń: procesor (należy użyć więcej bram w trybie wysokiej dostępności)
Skalowanie w celu uzyskania wysokiej dostępności Brama niedziałająca w konfiguracji wysokiej dostępności dla mniej niż 10 000 urządzeń: jedna brama jest wystarczająca. Funkcja wysokiej dostępności (HA) jest niedostępna.
Brama w konfiguracji wysokiej dostępności dla więcej niż 10 000 urządzeń: dwie bramy działające w trybie klastrowym.
Uwaga: Nawet jeśli jedna brama może obsłużyć obciążenie, należy użyć innej instancji bramy z perspektywy wysokiej dostępności.

Możliwe komunikaty o błędach sterownika SQL dla produktu Mobile Enterprise Gateway (MEG) 2.96

Produkt Mobile Enterprise Gateway (MEG) 2.96.000 nie obsługuje protokołów TLS 1.0 i TLS 1.2 dla bazy danych MSSQL. Jeśli w pliku MobileGateway.log pojawi się następujący komunikat o błędzie:

The driver could not establish a secure connection to SQL Server by using Secure Sockets Layer (SSL) encryption.

Należy wykonać aktualizację do produktu Mobile Enterprise Gateway (MEG) 2.96.300 lub nowszego i dodać łańcuch sslProtocol=TLSv1.2 do łańcucha JDBC , aby rozwiązać problem: jdbc:sqlserver://Wdsql2012.fiberlinkqa.local;databaseName=megdb;sslProtocol=TLSv1.2

Architektura Mobile Enterprise Gateway (MEG) (tryb dostępu przekazywania)

Na poniższym diagramie przedstawiono architekturę produktu Mobile Enterprise Gateway (MEG) w trybie dostępu przekazywania:

Architektura Mobile Enterprise Gateway (MEG) (tryb dostępu)
Dla klienta:
  • Aplikacja MaaS360 dla systemów iOS i Android, MaaS360 Secure Mobile Browseri dowolna aplikacja korporacyjna opakowana w system MaaS360 lub zintegrowana z pakietem MaaS360 SDK komunikuje się z produktem Mobile Enterprise Gateway (MEG).
  • Aplikacje MaaS360 są dostępne z serwisu iTunes lub Google Play albo przesyłane do urządzeń za pośrednictwem katalogu aplikacji.
  • Aplikacje łączą się z usługami przekazującymi za pomocą protokołu HTTPS, wysyłają żądania i odbierają odpowiedzi.
  • Oprócz możliwości nawiązania połączenia SSL z serwerami przekazującymi, ładunki są także kompleksowo szyfrowane algorytmem AES wykorzystującym 256-bitowy klucz do szyfrowania połączenia między aplikacją i bramą.
  • Dane korporacyjne są zabezpieczone w kontenerze aplikacji MaaS360 i z wymuszaniem zasad.
  • W celu zachowania bezpieczeństwa i izolacji sieci urządzenie mobilne nigdy nie znajduje się w sieci organizacji, a aplikacje MaaS360 nie mają bezpośredniego dostępu do sieci.
Dla bramy:
  • Oprogramowanie serwera oparte na systemie Windows, które działa na fizycznym komputerze hosta lub maszynie wirtualnej (VM) w wewnętrznej sieci organizacji lub w strefie DMZ.
  • Dostarczany razem z programem Cloud Extender ® jako moduł.
  • Brama nawiązuje połączenia wychodzące z usługami przekazującymi MaaS360 w chmurze za pośrednictwem portu 443.
  • Pobiera żądania dostępu do intranetu z serwerów przekazujących, jak również pobiera zasoby i publikuje powstałe ładunki w ramach usług przekazujących. Ładunki te są kompleksowo szyfrowane algorytmem AES wykorzystującym 256-bitowy klucz szyfrujący. Klucz jest udostępniany wyłącznie urządzeniu.
  • Brama uwierzytelnia użytkowników w katalogu Active Directory lub na serwerach LDAP.
  • Obsługuje pojedyncze logowanie (SSO – single sign-on) do serwisów za bramą, które żądają uwierzytelnienia z użyciem systemów NTLM, Kerberos, SPNEGO oraz uwierzytelnienia opartego na certyfikacie tożsamości.
Usługi dotyczące udostępniania bramy:
  1. Aktywacja bramy następuje w ramach tej usługi.
  2. Usługa MaaS360 wydaje dla bramy certyfikat tożsamości w celu umożliwienia jednoznacznej identyfikacji i uwierzytelniania bram.
  3. Urządzenia lub aplikacje komunikują się z serwerem udostępniającym w celu uzyskania adresu serwera przekazującego, który zostanie użyty dla danej bramy.
Funkcje serwera przekazującego:
  1. Usługi WWW w chmurze, które usprawniają komunikację między klientami i bramą.
  2. Usługa Link nie może odczytywać szyfrowanej komunikacji między klientami i bramą.

Architektura Mobile Enterprise Gateway (MEG) (tryb bezpośredni)

Na poniższym diagramie przedstawiono architekturę produktu Mobile Enterprise Gateway (MEG) w trybie bezpośrednim:

Architektura Mobile Enterprise Gateway (MEG) (bezpośrednia)
Dla klienta:
  • Aplikacja MaaS360 dla systemów iOS i Android, MaaS360 Secure Mobile Browseri dowolna aplikacja korporacyjna opakowana w system MaaS360 lub zintegrowana z pakietem MaaS360 SDK może komunikować się z produktem Mobile Enterprise Gateway (MEG).
  • Aplikacje MaaS360 są dostępne z serwisu iTunes lub Google Play albo przesyłane do urządzeń za pośrednictwem katalogu aplikacji.
  • Aplikacje łączą się bezpośrednio z bramą w celu uzyskania dostępu do zasobów intranetowych.
  • Dostęp za pomocą protokołu HTTPS w przypadku użycia certyfikatu SSL.
  • Ładunki nie tylko mają możliwość nawiązania połączenia SSL z bramą, ale też same są kompleksowo szyfrowane metodą AES wykorzystującą 256-bitowy klucz szyfrowania w ramach połączenia między aplikacją i bramą.
  • Dane korporacyjne są zabezpieczone w kontenerze aplikacji MaaS360 i z wymuszaniem zasad.
Dla bramy:
  • Oprogramowanie serwera oparte na systemie Windows, które działa na fizycznym komputerze hosta lub maszynie wirtualnej (VM) w wewnętrznej sieci organizacji lub w strefie DMZ.
  • Dostarczany razem z programem Cloud Extender jako moduł.
  • Sieć musi zezwalać na przychodzący ruch danych skierowany do serwera bramy za pomocą konfigurowalnego portu.
  • Odbiera żądania dostępu do intranetu z urządzeń mobilnych, jak również pobiera zasoby i publikuje powstałe ładunki z powrotem w urządzeniach mobilnych.
  • Ładunki te są kompleksowo szyfrowane algorytmem AES wykorzystującym 256-bitowy klucz szyfrujący. Klucz jest udostępniany wyłącznie urządzeniu.
  • Brama uwierzytelnia użytkowników w katalogu Active Directory / na serwerach LDAP.
  • Obsługuje pojedyncze logowanie (SSO – single sign-on) do serwisów za bramą, które żądają uwierzytelnienia z użyciem systemów NTLM, Kerberos, SPNEGO oraz uwierzytelnienia opartego na certyfikacie tożsamości.