Módulo Mobile Enterprise Gateway (MEG)

O IBM® MaaS360® Mobile Enterprise Gateway (MEG) fornece acesso simples, contínuo e seguro a recursos de informações por trás do firewall para usuários de dispositivo, além de implementar uma nova tecnologia semelhante à VPN.

Benefícios do módulo Mobile Enterprise Gateway (MEG)

O módulo Mobile Enterprise Gateway (MEG) oferece os seguintes benefícios.
  • Logon simples
  • Armazenamento em cache de credenciais
  • Logon único em vários aplicativos IBM MaaS360
  • Conexão única para proteger recursos de intranet com esquemas de autenticação fortes, como NTLM, Kerberos, SPNEGO e certificados de identidade

Como funciona o módulo Mobile Enterprise Gateway (MEG)

O módulo Mobile Enterprise Gateway (MEG) fornece segurança máxima por autenticar usuários e dispositivos com base em credenciais de diretório corporativa e Certificados de Identidade de Cadastro do MaaS360 , que satisfaz requisitos de autenticação de dois fatores para recursos de intranet. Toda a comunicação entre dispositivos móveis e o Mobile Enterprise Gateway (MEG) é totalmente criptografada e segura end-to-end, o que impede os ataques man-in-the-middle.

Todos os dados em um dispositivo móvel são armazenados na solução de contêineres MaaS360 totalmente criptografados e protegidos contra vazamento de dados. Os contêineres são totalmente controlados por políticas de segurança de contêineres MaaS360 com base em seus requisitos de segurança. Os seguintes benefícios adicionais de segurança se aplicam às implementações do Mobile Enterprise Gateway (MEG).
  • Reautorização em segundo plano contínua de usuários e dispositivos sem solicitar credenciais aos usuários
  • Requisitos de token de autenticação para cada recurso de intranet
  • Validação de lista de acesso ao proxy no gateway
O Mobile Enterprise Gateway (MEG) é totalmente integrado ao IBM MaaS360 Portal, onde você define políticas de bloqueio e controla o acesso ao gateway com base em regras de conformidade automatizadas. O Mobile Enterprise Gateway (MEG) ajuda a sua organização a mobilizar recursos corporativos para sua população móvel em constante crescimento enquanto ainda mantém o controle sobre o fluxo de dados e a segurança de dados associados. O Mobile Enterprise Gateway (MEG) inclui os seguintes recursos principais.
  • Integração perfeita com IBM MaaS360, incluindo configuração fácil e simples
  • Esquemas de autenticação de gateway fortes
  • Autenticação de Floresta Cruzada/Domínio Cruzado
  • Suporte para conexão única (SSO) para gateway entre vários aplicativos em um dispositivo
  • Suporte para autenticação Kerberos, SPNEGO e NTLM v2 com relação a sites
  • Suporte a proxy interno para sites
  • Lista de acesso de proxy granular
  • Configuração perfeita de alta disponibilidade (HA)
  • Alto aumento de capacidade para até 100.000 dispositivos
  • Suporte a cluster de gateway regional e roteamento de gateway local automático
  • Cenários de fluxo para grandes arquivos e vídeos
  • Suporte Web Distribuída e Versioning (WebDAV) suporte para compartilhamentos de arquivos do Windows (suporta SMB2 e SMB3)
  • Suporte a DR de retransmissão

Sobre os modos de gateway Mobile Enterprise Gateway (MEG)

O Mobile Enterprise Gateway (MEG) opera em um dos seguintes modos.
Modo Descrição
Acesso de revezamento O gateway estabelece o acesso de saída ao servidor de retransmissão IBM MaaS360. Os dispositivos se comunicam apenas com o servidor de retransmissão e não diretamente com o gateway.
direto Os dispositivos se comunicam diretamente com o Mobile Enterprise Gateway (MEG) para acesso direto aos recursos e ignoram os servidores de retransmissão hospedados em IBM MaaS360. Também é possível instalar o gateway como um gateway independente para implementações menores ou como um gateway em cluster para Alta disponibilidade (HA).

Requisitos e ajuste de escala

Tabela 1. Requisitos para o Mobile Enterprise Gateway (MEG)
Item Requisito mínimo
Componente de hardware Máquina física ou virtual com Windows Server 2019, 2016, 2012 R2, 2012, 2008 R2, ou 2008
Nota: O Mobile Enterprise Gateway (MEG) não suporta a opção de instalação do Server Core para Windows Server 2016, 2012 R2, 2012, 2008 R2, ou 2008. Somente a instalação completa do servidor, o Shell gráfico do servidor ou a instalação do servidor com uma experiência de área de trabalho são compatíveis.
Clientes do dispositivo móvel

iOS 11.0 e posterior

Android 4.2 e mais recente (versões de operadora)
Permissões Uma conta de serviço que o Mobile Enterprise Gateway (MEG) executa como um membro do grupo de Usuários de Domínio no seu Active Directory e como membro do grupo Administrador Local no servidor.
Rede-portas Acesso à porta 443 da máquina que está rodando Mobile Enterprise Gateway (MEG): O gateway usa esta porta de saída para se comunicar com o backend MaaS360 e web services. Se você estiver usando o modo de acesso por retransmissão, o gateway usa a Porta 443 para se comunicar com serviços de retransmissão. Nenhuma porta de entrada é usada para retransmissão.
Modos de operação de gateway de rede (acesso de relé e direto)
  • Modo Acesso de retransmissão
    Para o modo de acesso de relé, use um dos seguintes relés.
    • Retransmissão EUA
      • Relé URL : https://us01-dv.meg.maas360.com

        IP do servidor primário: 169.55.90.26

        IP do servidor DR: 169.53.30.247

      • Relé URL : https://us01-gw.meg.maas360.com

        IP do servidor primário: 169.55.90.27

        IP do servidor DR: 169.53.30.246

    • Retransmissão UE
      • Relé URL : https://eu01-dv.meg.maas360.com

        IP do Servidor Primário: 159.8.170.230

        IP do servidor DR: 119.81.207.130

      • Relé URL : https://eu01-gw.meg.maas360.com

        IP do Servidor Principal: 159.8.170.231

        IP do servidor DR: 119.81.207.131

    • Retransmissão APAC-SGP
      • Relé URL : https://ap01-dv.meg.maas360.com

        IP do Servidor Principal: 119.81.207.130

        IP do servidor DR: 169.56.36.218

      • Relé URL : https://ap01-gw.meg.maas360.com

        IP do Servidor Principal: 119.81.207.131

        IP do servidor DR: 169.56.36.219

    • Retransmissão de Tóquio
      • Relé URL : https://ap02-dv.meg.maas360.com

        IP do Servidor Principal: 169.56.36.218

        IP do servidor DR: 119.81.207.130

      • Relé URL : https://ap02-gw.meg.maas360.com

        IP do Servidor Principal: 169.56.36.219

        IP do servidor DR: 119.81.207.131

    Importante: se ocorrer um evento catastrófico no site Primário, ocorrerá failover do sistema nos endereços IP do Servidor DR secundário listados para as várias retransmissões.
  • Modo Direto

    Para o modo direto, uma conexão de entrada é necessária a partir da internet para o gateway. Configure esta porta durante o processo de instalação e configuração do Mobile Enterprise Gateway (Mobile Enterprise Gateway (MEG) .
Rede- MaaS360 serviços de backend Para saber os requisitos dos serviços de backend do site MaaS360, consulte os requisitos listados para os requisitos de sistema do módulo Cloud Extender e Mobile Enterprise Gateway (MEG).
Ajuste de escala Less than 10,000 devices

CPU: 2 núcleos (2,8 GHz)

Memória: 4 GB

Armazenamento: 2 GB
Mais de 10.000 dispositivos: CPU (use mais gateways em modo de HA (alta disponibilidade))
Ajuste de escala para alta disponibilidade Gateway não HA com menos de 10.000 dispositivos: um gateway é suficiente. HA não está disponível.
Gateway de HA (alta disponibilidade) para mais de 10.000 dispositivos: dois gateways em execução no modo em cluster.
Nota: Mesmo que um gateway possa manipular a carga, você deve usar outra instância de gateway a partir de uma perspectiva HA.

Possíveis mensagens de erro do driver SQL para Mobile Enterprise Gateway (MEG) 2.96

O Mobile Enterprise Gateway (MEG) 2.96.000 não suporta TLS 1.0 e TLS 1.2 para MSSQL. Se você receber a seguinte mensagem de erro no arquivo MobileGateway.log .

The driver could not establish a secure connection to SQL Server by using Secure Sockets Layer (SSL) encryption.

Faça upgrade para o Mobile Enterprise Gateway (MEG) 2.96.300 e posterior e acrescente sslProtocol=TLSv1.2 à cadeia JDBC para resolver o problema.

jdbc:sqlserver://Wdsql2012.fiberlinkqa.local;databaseName=megdb;sslProtocol=TLSv1.2

arquitetura Mobile Enterprise Gateway (MEG) (Modo de acesso Relay)

O diagrama a seguir ilustra a arquitetura do Mobile Enterprise Gateway (MEG) no modo de acesso Relay.

Arquitetura do Mobile Enterprise Gateway (MEG) (modo de acesso por retransmissão)
For the client
  • O aplicativo MaaS360 para iOS e Android, o MaaS360 Mobile Browser e qualquer aplicativo corporativo que esteja incluído no MaaS360 ou integrado ao SDK do MaaS360 se comunicam com o Mobile Enterprise Gateway (MEG).
  • Os apps MaaS360 estão disponíveis a partir do iTunes ou do Google Play ou empurrados para dispositivos através do App Catalog.
  • Os aplicativos se conectam a serviços de retransmissão usando HTTPS, postam solicitações e coletam respostas.
  • Além das conexões SSL com as retransmissões, as cargas úteis são criptografados com criptografia de bit AES-256 de ponta a ponta entre o aplicativo e o gateway.
  • Os dados corporativos são garantidos no contêiner de app MaaS360 e com aplicação de políticas.
  • Para preservar a segurança da rede e o isolamento, um dispositivo móvel nunca está na rede da organização e os apps MaaS360 não possuem acesso direto à rede.
For the gateway
  • Software de servidor baseado no Windows que é executado em uma máquina host física ou em uma máquina virtual (VM) na rede interna ou na DMZ de sua organização.
  • Empacotado junto com o Cloud Extender ® como um módulo.
  • O gateway estabelece conexões de saída com os serviços de retransmissão do MaaS360 na nuvem usando a porta 443.
  • Faz download de solicitações de acesso à intranet das retransmissões, busca o recurso e posta as cargas úteis resultantes nos serviços de retransmissão. Essas cargas úteis são criptografadas de ponta a ponta com a criptografia AES de 256 bits. A chave é compartilhada somente com o dispositivo.
  • O gateway autentica os usuários em servidores Active Directory ou LDAP.
  • Suporta a conexão única (SSO) para sites de envio de dados que requerem NTLM, Kerberos, SPNEGO e autenticação baseada em Certificado de identidade.
For gateway provision services
  1. A ativação do gateway ocorre neste serviço.
  2. O MaaS360 emite um certificado de identidade para o gateway para identificar e autenticar exclusivamente gateways.
  3. Os dispositivos ou aplicativos fazem contato com o servidor de fornecimento para receber o endereço do servidor de retransmissão para usar para o respectivo gateway.
For the relay server
  1. Serviços da web na nuvem que facilitam comunicações entre os clientes e seu gateway.
  2. O serviço Link não pode ler a comunicação criptografada entre os clientes e o gateway.

arquitetura Mobile Enterprise Gateway (MEG) (Modo direto)

O diagrama a seguir ilustra a arquitetura do Mobile Enterprise Gateway (MEG) no modo Direct.

Arquitetura Mobile Enterprise Gateway (MEG) (Direto)
For the client
  • O aplicativo IBM MaaS360 para iOS e Android, MaaS360 Mobile Browser e qualquer aplicativo corporativo que esteja incluído no MaaS360 ou integrado ao SDK do MaaS360 podem se comunicar com o Mobile Enterprise Gateway (MEG).
  • IBM MaaS360 os aplicativos estão disponíveis em iTunes ou Google Play ou são enviados aos dispositivos por meio do App Catalog.
  • Os aplicativos se conectam diretamente com o gateway para acesso a recursos da intranet.
  • Acesso com HTTPS se um certificado SSL for usado.
  • Além das conexões SSL com o gateway, as cargas úteis são criptografados com criptografia de bit AES-256 de ponta a ponta entre o aplicativo e o gateway.
  • Os dados corporativos são protegidos no contêiner do aplicativo IBM MaaS360 e com a aplicação de políticas.
For the gateway
  • Software de servidor baseado no Windows que é executado em uma máquina host física ou em uma máquina virtual (VM) na rede interna ou na DMZ de sua organização.
  • Empacotado junto com Cloud Extender como um módulo.
  • Sua rede deve permitir o tráfego de entrada para o servidor gateway com uma porta configurável.
  • Recebe solicitações de acesso à intranet a partir de dispositivos móveis, busca recursos e posta as cargas úteis resultantes de volta nos dispositivos móveis.
  • Essas cargas úteis são criptografadas de ponta a ponta com a criptografia AES de 256 bits. A chave é compartilhada somente com o dispositivo.
  • O gateway autentica os usuários nos servidores Active Directory / LDAP.
  • Suporta a conexão única (SSO) para sites de envio de dados que requerem NTLM, Kerberos, SPNEGO e autenticação baseada em Certificado de identidade.