Exchange Server werden aus Sicherheitsgründen üblicherweise hinter der Firewall betrieben. Das ist solange praktikabel, wie keine Roaming-User Zugriff von unterwegs auf die Dienste von Exchange begehren. Anwendern mit Smartphones von außen den Zugang zu erlauben stellt dann ein Sicherheitsrisiko dar und wird manchmal gar nicht zugelassen. Für dieses Szenario stellt AppTec, der schweizerische Anbieter von EMM-Software, eine Sicherheitslösung bereit. Das "AppTec Universal Gateway" sorgt dafür, dass Exchange-Anwender von außen einen sicheren Zugang zum Mailsystem erhalten.
Reverse Proxy Architektur
Das Universal Gateway klinkt sich dabei als Reverse Proxy in das Netzwerk ein und fungiert als einziger Zugriffspunkt für Mobilgeräte. Es wird von AppTec als virtuelle Appliance geliefert und typischerweise in der DMZ ("demilitarized zone") installiert. Im Zusammenspiel mit der EMM-Lösung "AppTec Enterprise Mobility Management" erhalten dann nur gemanagte Smartphones externen Zugriff auf den Exchange-Server. Die EMM-Software sorgt dabei für eine vollautomatische Konfiguration der Mobilgeräte.
Setup als Virtuelle Appliance
Das Gateway-System ist schnell installiert. Es kann in einer Virtual Machine (VM) mit jeder gängigen Virtualisierungssoftware betrieben werden. Die Konfiguration erfolgt über ein einfaches Textmenü auf Konsolenebene. Darüber sind im Wesentlichen nur Passwörter für die Administration zu vergeben und die Netzwerkkonfiguration vorzunehmen. Optional kann die Verbindung zum AppTec-EMM-Server per Ping getestet werden.
Das Gesamtsystem ist modular gehalten. So kann das Universal Gateway unabhängig davon aufgesetzt werden, ob AppTec EMM in der Cloud oder On-Premises betrieben wird. Lediglich diverse Firewall-Ports müssen für die Kommunikation zwischen Gateway und Exchange sowie zwischen Gateway und dem EMM-Server freigegeben werden.
Konfiguration via EMM-Webconsole
Nachdem die Serversoftware eingerichtet ist, erfolgt die Gateway-Konfiguration über die AppTec EMM Webconsole. Im Menüpunkt "Add Gateway" wird das Universal Gateway aktiviert. Dazu gibt man die Netzwerkadresse der Appliance ein und hinterlegt ein SSL-Zertifikat. Im nächsten Schritt wird über "Add Gateway Configuration" die Verbindung zum Exchange-Server definiert. Hier ist zu entscheiden, ob gemanagte Geräte automatisch für den Zugriff auf Exchange freigegeben werden oder diese zunächst in einer Quarantäneliste landen und manuell vom Exchange-Administrator freigeschaltet werden sollen.
Kerberos sorgt für Sicherheit und Anwenderkomfort
Administratoren können Kerberos für die Kommunikation zwischen Smartphone und Gateway aktivieren. Es erhöht die Systemsicherheit und enthebt Anwender der Notwendigkeit, Passwörter eingeben oder periodisch ändern zu müssen, da es ihre Mobilgeräte zum Hardwaret-Token macht. Um Kerberos einsetzen zu können, muss bei der Konfiguration entweder eine Kerberos-Keytab-Datei bereitgestellt oder alternativ ein Delegationsbenutzer im Active Directory angelegt werden.
In der Konfiguration für ActiveSync kann der Administrator zudem Einstellungen für das Kommunikationsprotokoll zwischen Exchange und den Mobilgeräten vornehmen. Anschließend wird die Konfiguration für Kerberos und ActiveSync automatisch auf den Endgeräten ausgerollt. Diese verbinden sich ab diesem Zeitpunkt für Mailkommunikation nur noch mit dem Universal Gateway. Eine direkte Verbindung zum Exchange-Server besteht nicht.
VPN für Android-Smartphones
Android-User können über das Universal Gateway außerdem mit einer VPN-Anbindung an das Unternehmensnetzwerk ausgestattet werden. Diese wird über ein weiteres Gateway-Konfigurationsprofil definiert und sorgt für eine automatische Installation des AppTec VPN-Clients auf dem Endgerät.
Der Administrator kann in der EMM-Console den Verbindungsstatus aller Geräte einsehen. Über die Option "Always on" kann er vorgeben, dass das Mobilgerät immer per VPN mit der Außenwelt kommuniziert. Die Default-Einstellung sieht vor, dass die App automatisch erkennt, ob eine Verbindung zum Internet aufgebaut werden soll - weil beispielsweise der Anwender einen Browser öffnet - und dann die VPN-Verbindung on demand selbsttätig startet.
Fazit
AppTecs Universal Gateway liefert neben dem Sicherheitsaspekt auch den Anwendern zusätzlichen Nutzen. Smartphone-User müssen keine Konfiguration vornehmen. Sie können wie gewohnt die Exchange-Dienste verwenden und müssen dank Kerberos kein Passwort eingeben oder lästige Passwortänderungen vornehmen.
Preise und Verfügbarkeit
Das Universal Gateway kann nur in Verbindung mit dem AppTec EMM-System verwendet werden. Pro Gerät pro Monat werden dafür 0,79 € fällig, zusätzlich zur Nutzungsgebühr für das EMM. Auf Wunsch übernimmt der Schweizer Hersteller die Installation und Konfiguration des Systems beim Kunden (kostenpflichtig).