ADMIN

2021

10

2021-10-01T12:00:00

Endpoint Security

PRAXIS

052

Virtualisierung

VMware

VMware Workspace ONE

Selbstermächtigung

von Dr. Jens-Henrik Söldner

Veröffentlicht in Ausgabe 10/2021 - PRAXIS

VMware bietet mit Workspace ONE ein Werkzeug zur Bereitstellung eines sicheren und anwenderfreundlichen digitalen Arbeitsplatzes an. Unser Beitrag stellt Features, Komponenten und Architektur von Workspace ONE dar und wirft einen Blick auf die Applikationsverwaltung. Außerdem gehen wir darauf ein, wie Sie mittels Self-Enrollment durch den Anwender die Integration von Endgeräten vereinfachen.

Der Trend geht weg vom stationären und hin zum mobilen Arbeitsplatz. Trotzdem gilt es für die IT-Abteilung weiterhin, alle Endgeräte effizient zu verwalten. Bedingt durch unterschiedliche Betriebssysteme ist dafür ein übersichtliches Tool zum Endpoint-Management notwendig. VMwares Workspace ONE will sämtliche Geräte eines Unternehmens, auch die privaten aller Mitarbeiter, einheitlich und zentral über eine sichere Plattform in die Infrastruktur integrieren. Übergeordnetes Ziel ist dabei, das Lifecycle-Management der Applikationen zu organisieren. Das Gesamtkonzept nennt sich Unified Endpoint Management (UEM) und ist eine der beiden Kernkomponenten von Workspace ONE.
Neben UEM fasst die zweite Kernkomponente, Workspace ONE Access, die Verwaltung von Nutzern und Nutzergruppen, die Vergabe von Zugangsberechtigungen zu den Applikationen und das Aufsetzen und Bereitstellen von virtuellen Desktops mit den jeweiligen Anwendungen in einem Katalog zusammen. Die Access-Komponente bietet einen Konnektor, um andere ID-Provider wie Ping, Okta und Microsoft Azure anzubinden und somit eine gemeinsame Katalogschnittstelle für alle Anwendungen. Der AirWatch-Cloud-Connector wiederum überträgt Anfragen von Workspace ONE UEM sicher an die Backend-Infrastruktur. Einen Überblick über sämtliche Bestandteile von Workspace ONE bietet die gleichnamige Tabelle.
Bestandteile von Workspace ONE
Komponente
Funktion
VMware Workspace ONE UEM
Enterprise Mobility Management (EMM)
VMware Workspace ONE Access
Plattform für Identitäten
VMware Workspace ONE Intelligence
App-Analysen und Automatisierung
Workspace ONE App
Endbenutzerzugriff auf Apps
VMware Horizon
Virtuelle Desktops und RDS-Services
VMware Workspace ONE Boxer
Sicherer E-Mail-Client
VMware Workspace ONE Browser
Sicherer Webbrowser
VMware Workspace ONE Content
Mobiles Repository für Inhalte
VMware Workspace ONE Tunnel
App-VPN-Zugriff auf Unternehmensressourcen
VMware AirWatch Cloud Connector und VMware Identity Manager Connector
Synchronisation mit Unternehmensverzeichnissen
VMware Unified Access Gateway
Gateway, das sichere Edge-Dienste bereitstellt
VMware Workspace ONE Secure Email Gateway
E-Mail-Proxyserver
Certificate Authority Integration
Lebenszyklusmanagement von bereitgestellten Zertifikaten
VMware E-Mail Notification Service
E-Mail-Benachrichtigungen für Workspace ONE Boxer auf iOS
Architektur und Dienste
Administratoren definieren mit Workspace ONE Benutzergruppen, Richtlinieneinstellungen und Gerätekonfigurationen. Benutzer greifen dann über Workspace ONE auf ihre Anwendungen, basierend auf den definierten Einstellungen und Konfigurationen, zu. Bild 1 veranschaulicht das Zusammenspiel der diversen Komponenten und Schnittstellen in Workspace ONE.
Der Trend geht weg vom stationären und hin zum mobilen Arbeitsplatz. Trotzdem gilt es für die IT-Abteilung weiterhin, alle Endgeräte effizient zu verwalten. Bedingt durch unterschiedliche Betriebssysteme ist dafür ein übersichtliches Tool zum Endpoint-Management notwendig. VMwares Workspace ONE will sämtliche Geräte eines Unternehmens, auch die privaten aller Mitarbeiter, einheitlich und zentral über eine sichere Plattform in die Infrastruktur integrieren. Übergeordnetes Ziel ist dabei, das Lifecycle-Management der Applikationen zu organisieren. Das Gesamtkonzept nennt sich Unified Endpoint Management (UEM) und ist eine der beiden Kernkomponenten von Workspace ONE.
Neben UEM fasst die zweite Kernkomponente, Workspace ONE Access, die Verwaltung von Nutzern und Nutzergruppen, die Vergabe von Zugangsberechtigungen zu den Applikationen und das Aufsetzen und Bereitstellen von virtuellen Desktops mit den jeweiligen Anwendungen in einem Katalog zusammen. Die Access-Komponente bietet einen Konnektor, um andere ID-Provider wie Ping, Okta und Microsoft Azure anzubinden und somit eine gemeinsame Katalogschnittstelle für alle Anwendungen. Der AirWatch-Cloud-Connector wiederum überträgt Anfragen von Workspace ONE UEM sicher an die Backend-Infrastruktur. Einen Überblick über sämtliche Bestandteile von Workspace ONE bietet die gleichnamige Tabelle.
Bestandteile von Workspace ONE
Komponente
Funktion
VMware Workspace ONE UEM
Enterprise Mobility Management (EMM)
VMware Workspace ONE Access
Plattform für Identitäten
VMware Workspace ONE Intelligence
App-Analysen und Automatisierung
Workspace ONE App
Endbenutzerzugriff auf Apps
VMware Horizon
Virtuelle Desktops und RDS-Services
VMware Workspace ONE Boxer
Sicherer E-Mail-Client
VMware Workspace ONE Browser
Sicherer Webbrowser
VMware Workspace ONE Content
Mobiles Repository für Inhalte
VMware Workspace ONE Tunnel
App-VPN-Zugriff auf Unternehmensressourcen
VMware AirWatch Cloud Connector und VMware Identity Manager Connector
Synchronisation mit Unternehmensverzeichnissen
VMware Unified Access Gateway
Gateway, das sichere Edge-Dienste bereitstellt
VMware Workspace ONE Secure Email Gateway
E-Mail-Proxyserver
Certificate Authority Integration
Lebenszyklusmanagement von bereitgestellten Zertifikaten
VMware E-Mail Notification Service
E-Mail-Benachrichtigungen für Workspace ONE Boxer auf iOS
Architektur und Dienste
Administratoren definieren mit Workspace ONE Benutzergruppen, Richtlinieneinstellungen und Gerätekonfigurationen. Benutzer greifen dann über Workspace ONE auf ihre Anwendungen, basierend auf den definierten Einstellungen und Konfigurationen, zu. Bild 1 veranschaulicht das Zusammenspiel der diversen Komponenten und Schnittstellen in Workspace ONE.
Bild 1: Im schematischen Überblick von Workspace ONE zeigt sich das Zusammespiel der zahlreichen Komponenten und Schnittstellen.
Die Workspace-ONE-Services basieren auf der Integration von VMware Workspace ONE UEM, Workspace ONE Access und VMware Horizon. Die Bereitstellung lässt sich in diversen Konfigurationen erreichen, darunter
- Vor-Ort-Bereitstellung von Workspace ONE Access und Workspace ONE UEM.
- Cloudbasierte Bereitstellungen von Workspace ONE Access und Workspace ONE UEM.
- Hybride Bereitstellungen mit verschiedenen Komponenten, die entweder vor Ort oder in der Cloud verfügbar sind.
Grundlegende EMM-Funktionen
Wie bereits erwähnt, können Administratoren mit Workspace ONE Anwendungen bereitstellen, verwalten und sichern. Dabei macht sich die IT-Abteilung Schnittstellen für diverse Betriebssysteme zunutze, um mobile Geräte wie Notebooks, Smartphones und Tablets entsprechend den Unternehmensrichtlinien zu konfigurieren. Das UEM von Workspace ONE greift auf Schnittstellen des Enterprise Mobile Managements (EMM) zur Bereitstellung, Konfiguration und Sicherung von Anwendungen und Geräten zu. Dieses Maß an Kontrolle ermöglicht es der IT, ein flexibles Bring-Your-Own-Device-Programm (BYOD) einzuführen, das den Benutzern die Geräteauswahl überlässt.
EMM ist dabei ein Überbegriff für Systeme zur Verwaltung von mobilen Endgeräten im Unternehmen. Es untergliedert sich in folgende Teilbereiche:
- Mobile Device Management (MDM) ist ein Werkzeug zur Verwaltung von mobilen Endgeräten nach Maßgabe des Unternehmens mit Hilfe von Software und Hardware.
- Das Mobile Application Management (MAM) verwaltet über einen unternehmensinternen App-Store die auf den mobilen Endgeräten installierte Software.
- Mobile Content Management (MCM) steht für die Bereitstellung der eigenen Anwendungen und ermöglicht es, Dateien und Dokumente an Kollegen, Geschäftspartner und Kunden über den mobilen Weg weiterzugeben.
Geräteprofile, Richtlinien und Softwareverteilung
Der Einsatz von Geräteprofilen ändert das Verhalten der angemeldeten Geräte. Geräteprofile, kombiniert mit Compliance-Richtlinien, unterstützen bei der Durchsetzung von Unternehmensregeln und -verfahren. Beispielsweise lassen sich Workspace-ONE-UEM-Geräteprofile auf Grundlage von Kriterien wie Nutzer, Gruppen, Plattformen und Betriebssystemen erstellen. Dabei ist es möglich, Smart Groups anzulegen. Dabei handelt es sich um individuell anpassbare Gruppen, die der Administration eine dynamische Filterung erlauben.
Mithilfe von Nutzergruppen lässt sich auch die Vergabe von Zugangsberechtigungen auf den jeweiligen Geräten regeln. Hierbei ist eine individuelle Einrichtung der Berechtigung möglich. Workspace ONE UEM erlaubt das Anlegen von gerätespezifischen Profilen für die einzelnen Betriebssysteme. Die Funktionen sind dabei h Bedarf einstellbar. Dies macht eine Aktivierung beziehungsweise Deaktivierung einer oder mehrerer Funktionen möglich wie beispielsweise das Abschalten des Sprachassistenten Siri bei Apple-Geräten.
Allerdings sind Profile kategorisch und granular aufzubauen. Dieser Ansatz vereinfacht das Management der einzelnen Profile. Sie sind demzufolge nicht für alle Geräte gültig, sondern speziell für das ausgewählte Betriebssystem mit der entsprechenden Smart-Group. Die Geräteregistrierung stellt die erste Kommunikation mit Workspace ONE UEM her, um EEM zu ermöglichen.
Ein weiterer Bestandteil von UEM ist der Schutz vor Datenverlust. Beispiele für mögliche Datenlecks sind unter anderem das Speichern von Arbeitsdokumenten auf einem öffentlichen Speichermedium wie Dropbox oder der Empfang von Arbeits-E-Mails mit einem nicht verwalteten E-Mail-Client. Weitere Sicherheitsmaßnahmen sind die Verschlüsselung und Einschränkung des E-Mail-Datenverkehrs, etwa durch die Bearbeitung und Freigabe von angehängten Dateien. Das Unternehmen kann außerdem verlangen, dass statt den OS-nativen nur die von der Firma zur Verfügung gestellten Anwendungen zum Einsatz kommen. Für sicheres Surfen lässt sich zudem die Browserauswahl für Nutzer einschränken.
Mit Workspace ONE können Sie bestehende ID-Provider, wie zum Beispiel Microsofts Active Directory oder ein anderes LDAP-basiertes Verzeichnis, integrieren, um die Benutzersynchronisierung, die Authentifizierung und den Anwendungszugriff umzusetzen. Nicht zuletzt ist mit dem Werkzeug eine vereinfachte Softwareverteilung möglich. Bereitstellen, Aktualisieren und Löschen der Softwarepakete lassen sich dabei automatisch durchführen. Zudem können Sie die Pakete in vordefinierten Zeitfenstern und abhängig von der Auslastung der Netzwerkinfrastruktur verteilen. Eine Benachrichtigung über anstehende Software-Updates gibt den Anwendern die Möglichkeit, sich dementsprechend darauf einzustellen.
Anwendungskatalog bereitstellen
Für die ersten Schritte steht ein Assistent zur Verfügung. Dieser dient als Checkliste, um Schritt für Schritt durch die einzelnen Settings in der UEM-Konsole zu führen. Der Assistent unterteilt sich in die vier Module "Workspace ONE", "Geräte", "Inhalt" und "Anwendung". Jedes Modul enthält Anleitungen zum Erreichen bestimmter Ziele. Da sich manche Schritte in einigen Modulen überschneiden, verfolgt der Assistent den Fortschritt über alle vier Module hinweg und stellt so sicher, dass derselbe Schritt nie zweimal zur Ausführung kommt.
Workspace ONE bietet Benutzern über den einheitlichen Anwendungskatalog "Intelligent Hub" Zugriff auf Cloud-, Mobil-, Mac- und Windows-Anwendungen. Er enthält Applikationen zur Bereitstellung in den Hauptkomponenten Workspace ONE Access und Workspace ONE UEM. Bei der Konfiguration des Intelligent Hub müssen Sie deshalb eine Verbindung von Workspace ONE UEM und Workspace ONE Access herstellen. Die Tabelle "Bereitstellungsarten nach Betriebssystem" zeigt, welche Art von Bereitstellung Workspace ONE für die einzelnen Betriebssysteme zur Auswahl stellt.
Bereitstellungsarten nach Betriebssystem
Plattform/Applikationstyp laut VMware
Internal
Public
Web
Purchased
iOS
macOS
Android
Google Chromebook
Windows Phone
Windows Desktop
Zu den unterstützten Anwendungstypen gehören neben den in der eben genannten Tabelle außerdem die Folgenden: VMware ThinApp, VMware Horizon 7, VMware Horizon Cloud Service und von Citrix veröffentlichte Anwendungen. Weiterhin unterstützt der Katalog auch virtualisierte Desktops.
SSO und 2FA
Benutzer installieren die Workspace-ONE-Anwendung auf einem mobilen Gerät und erhalten mit den Anmeldedaten des Unternehmens via Single Sign-on (SSO) Zugriff auf Unternehmens-, Cloud- und mobile Anwendungen. Die Workspace-ONE-Anwendung nutzt native Betriebssystemfunktionen, um den Anwendungszugriff zu schützen, zum Beispiel biometrische Fingerabdruckleser unter Android, Touch ID unter iOS und Windows Hello unter Windows 10.
Mobile-SSO stellt das Vertrauen zwischen Benutzer, Gerät, Anwendung und Unternehmen her und ermöglicht die Anmeldung bei mobilen Anwendungen mit einem Tastendruck. Um sensiblere Anwendungen zu schützen, können Sie biometrische oder andere Multifaktor-Authentifizierungsmethoden aktivieren. Mobile-SSO ist für Android-, iOS- und Windows-10-Geräte verfügbar.
Gekoppelt mit der mobilen Anwendung VMware Verify ist zudem eine starke, mehrstufige Authentifizierung möglich, die den Zugriff über verschiedene Geräte hinweg vereinfacht. Wenn ein Anwender versucht, auf den Anwendungsspeicher von Workspace ONE oder auf eine andere Anwendung zuzugreifen, die eine starke Authentifizierung erfordert, sendet Verify eine Benachrichtigung an das Mobiltelefon des Anwenders. Dies sorgt bei Applikationen, die von Haus aus keine mehrstufige Authentifizierung anbieten, für zusätzliche Sicherheit.
Für die Authentifizierung bietet Workspace ONE mehrere Optionen, um Netzwerk-, Plattform- und anwendungsspezifische Kriterien zu konfigurieren. Nach vorgenommener Konfiguration und Erstellung der Sicherheitsregeln ist die Einhaltung der Sicherheitsregeln vorgeschrieben. Am Device ist der Zugriff auf die Anwendungen erst zugelassen, wenn die Sicherheitsregeln akzeptiert wurden und ein Nachweis über deren Einhaltung besteht. Konformitätsregeln schützen vor gerooteten Devices oder Geräten mit Jailbreak. Diese Regeln lassen sich auch dazu einsetzen, um Applikationen zuzulassen oder zu verbieten.
Adaptive Verwaltung
Bei der adaptiven Verwaltung müssen Benutzer ihr Gerät nicht bei Workspace ONE UEM anmelden, um auf Anwendungen zuzugreifen, die nur eine grundlegende Sicherheitsstufe erfordern. Stattdessen laden die Benutzer die Workspace-ONE-Mobilanwendung aus dem entsprechenden App Store herunter und melden sich mit ihren Zugangsdaten an. Von hier aus können sie auf ihre autorisierten Anwendungen zugreifen. Für Applikationen, die ein höheres Sicherheitsniveau erfordern, ist der Benutzerzugriff gegebenenfalls erst nach einer Geräteregistrierung möglich.
Basierend auf dem zugewiesenen Geräteprofil zeigt der Katalog alle berechtigten Anwendungen an, einschließlich mobiler, SaaS- und virtueller Anwendungen und Desktops. Applikationen, die eine Re­gistrierung erfordern, sind mit einem Schlosssymbol gekennzeichnet. Wenn der Anwender versucht, eine Software mit diesem Symbol herunterzuladen, läuft ein Registrierungsprozess an. Beispielsweise könnten Benutzer eine Konferenzanwendung wie WebEx ohne Anmeldung beziehen. Jedoch erfordert der Download von Unternehmensanwendungen wie beispielsweise Salesforce eine Anmeldung.
Sichere Einbindung ins Unternehmensnetzwerk
Workspace ONE UEM nutzt die bestehende Netzwerkinfrastruktur des Unternehmens, um eine eigene Hochverfügbarkeit, Redundanz und Skalierbarkeit für die Anwendungen und Desktops zu gewährleisten, die letztendlich den Endbenutzern zur Verfügung stehen. Hierzu ist das lokale Loadbalancing auf dem Backend der SaaS-Umgebung integriert. Die Sicherheitsinfrastruktur des Backbones umfasst redundante Ethernet-Switches, LAN-Trennung, Firewalls, Intrusion Detection und Monitoring. Redundante Firewalls befinden sich zwischen dem Internet und der AirWatch-Umgebung. Ein Intrusion-Detection-System (IDS) überwacht den gesamten internen Netzwerkverkehr, protokolliert ihn und gibt Warnungen aus, wenn verdächtige Netzwerkaktivitäten erkennbar sind.
Weitere Sicherheitsfunktionen umfassen
- die Isolierung aller Workspace-ONE-UEM-Webserver mithilfe einer demilitarisierten Zone (DMZ),
- den Einsatz von Antivirus-Clients zum Schutz aller Server sowie
- die Bereitstellung von Spamfilterung und Spamreporten für E-Mails.
Administratoren steuern Workspace ONE UEM über eine webbasierte HTML5-Verwaltungskonsole. Alle Daten, die zwischen der Webkonsole und den mobilen Geräten übertragen werden, sind verschlüsselt. Damit die Umgebung den neuesten Sicherheitsstandards entspricht, aktualisieren und patchen sich die cloudbasierten Workspace-ONE-Komponenten automatisch.
Der Ansatz für die Datensicherheit des Rechenzentrums ist mehrschichtig. Bei primären Rechenzentren erfolgen Onsite-Backups für eine schnelle Wiederherstellung und replizierte Offsite-Backups für die Notfallwiederherstellung. Produktionssysteme werden in zwei primären Rechenzentren gehostet, mit Kreuzreplikation der nächtlichen Backups, um Performance-, Wachstums- und Sicherheitsanforderungen zu unterstützen.
Bild 2: Die Verwaltung des Nutzerzugriffs mit Workspace ONE Access läuft über verschiedene Bausteine ab.
Self-Enrollment von privaten Endgeräten
Zum Schluss wollen wir noch das Self-Enrollment als eine von vielen Möglichkeiten für die Registrierung eines Endgeräts in Workspace ONE näher beschrei- ben. Bei einem iPhone ist es etwa erforderlich, die Intelligent-Hub-Applikation aus dem App Store für das Zielgerät zu installieren. Um eine Verbindung vom Zielgerät zum UEM herzustellen, ist die Serveradresse sowie die jeweilige Group-ID einzugeben. Nach Eingabe und Verbindungsherstellung meldet sich der Nutzer mit vom Unternehmen gestellten Zugangsdaten an. Der erfolgreichen Anmeldung folgt eine manuelle Installationsroutine, mit der eine MDM-Registrierung am Gerät durchgeführt wird.
Die bisherigen Schritte sind fast genauso auf Android-Geräte anwendbar, mit dem Unterschied, dass sie nach erfolgreicher Verbindung bereits zum Einsatz kommen können. Das heißt, der Administrator kann die Ressourcen für den User zur Verfügung stellen und der Anwender kann auf die bereitgestellten Applikationen innerhalb des Intelligent-Hub-Katalogs zugreifen.
Im Gegensatz zu den Android-Geräten erfordern Apple-Geräte aber einen zusätzlichen Schritt vor der Inbetriebnahme respektive eine Installation von einem oder mehreren Profilen. Die Installation gestaltet sich folgendermaßen: Nach der Installation und Verbindung zum Workspace ONE Server öffnet sich in der Applikation ein Fenster mit der Aufforderung, ein Profil zu erstellen. Dies findet abseits von Workspace ONE statt, in den Einstellungen des Apple-Geräts. Nach erfolgreicher Profilerstellung ist das Gerät schlussendlich registriert und der Anwender kann auf die bereitgestellte Applikation auf dem Katalog des Intelligent Hubs zugreifen. Ebenfalls kann der Administrator über die UEM-Plattform das registrierte Gerät einsehen und nach Bedarf administrieren.
Schlussendlich besteht immer die Möglichkeit, die registrierten Geräte mit einem sogenannten "Enterprise Wipe" zu de-registrieren. Dieser löscht die durch Workspace ONE vorgenommenen Änderungen am Gerät. Zusätzlich gibt es auch noch einen "Device Wipe". Er setzt das Gerät auf Werkseinstellungen zurück und löscht dabei alle Daten.
Fazit
Mit Workspace ONE UEM können Unternehmen eine Flotte mobiler Endgeräte integrieren. Außerdem ermöglicht Workspace ONE Access die Umsetzung der Unternehmensrichtlinien und die einheitliche Bereitstellung von Anwendungen. Weitere Access-Komponenten wie etwa das ACC erlauben die Einbindung von lokalen und cloudbasierten LDAP-Verzeichnissen. Workspace ONE stellt somit ein umfangreiches Werkzeug für die zentrale und einheitliche Verwaltung von Endgeräten und damit für das mobile Arbeiten dar.
(ln)
Link-Codes