Sobre a conexão de dispositivos externos

Alguns dispositivos gerenciados encontram-se sempre localizados fora da rede principal (por exemplo, computadores nas filiais regionais da empresa; quiosques, caixas eletrônicos e terminais instalados em vários pontos de venda; computadores de funcionários em home-office). Alguns dispositivos saem do perímetro de vez em quando (por exemplo, laptops de usuários que visitam filiais regionais ou o escritório de um cliente).

Ainda é necessário monitorar e gerenciar a proteção de dispositivos ausentes – receber informações reais sobre seu status de proteção e manter os aplicativos de segurança neles atualizados. Isso é necessário porque, por exemplo, se tal dispositivo for comprometido enquanto estiver longe da rede principal, ele pode se tornar uma plataforma para a propagação de ameaças assim que se conectar à rede principal. Para conectar dispositivos externos ao Servidor de Administração, você pode usar dois métodos:

• Gateway de conexão na zona desmilitarizada (DMZ)

  Consulte o esquema de tráfego de dados: Servidor de Administração na LAN, dispositivos gerenciados na Internet, gateway de conexão em uso

• Servidor de Administração na DMZ

  Veja o esquema de tráfego de dados: Servidor de Administração na DMZ, dispositivos gerenciados na Internet

Um gateway de conexão na DMZ

Um método recomendado para conectar dispositivos externos ao Servidor de Administração é organizar uma DMZ na rede da organização e instalar um gateway de conexão na DMZ. Os dispositivos externos se conectarão ao gateway de conexão e o Servidor de Administração dentro da rede iniciará uma conexão aos dispositivos por meio do gateway de conexão.

Em comparação com o outro método, esse é mais seguro:

• Você não precisa abrir o acesso ao Servidor de Administração de fora da rede.
• Um gateway de conexão comprometido não representa um alto risco para a segurança dos dispositivos de rede. Na verdade, um gateway de conexão não realiza nenhum gerenciamento e não estabelece nenhuma conexão.

Além disso, um gateway de conexão não requer muitos recursos de hardware.

No entanto, esse método tem um processo de configuração mais complicado:

• Para fazer um dispositivo atuar como um gateway de conexão na DMZ, você precisa instalar o Agente de Rede e conectá-lo ao Servidor de Administração de uma maneira muito específica.
• Você não poderá usar o mesmo endereço para se conectar ao Servidor de Administração em todas as situações. Fora do perímetro, você precisará usar não apenas um endereço diferente (endereço do gateway de conexão), mas também um modo de conexão diferente: por meio de um gateway de conexão.
• Você também precisa definir configurações de conexão diferentes para laptops em locais diferentes.

Para adicionar um gateway de conexão a uma rede configurada anteriormente:

1. Instale o Agente de Rede na função de gateway de conexão.
2. Reinstale o Agente de Rede em dispositivos que deseja conectar ao gateway de conexão recém-adicionado.

Servidor de Administração na DMZ

Outro método é instalar um único Servidor de Administração na DMZ.

Essa configuração é menos segura do que o outro método. Para gerenciar laptops externos, neste caso, o Servidor de Administração deve aceitar conexões de qualquer endereço na Internet. Ele ainda irá gerenciar todos os dispositivos na rede interna, mas na DMZ. Portanto, um servidor comprometido pode causar uma enorme quantidade de danos, apesar da baixa probabilidade de tal evento.

O risco é significativamente reduzido se o Servidor de Administração na DMZ não gerenciar os dispositivos na rede interna. Essa configuração pode ser usada, por exemplo, por um provedor de serviços para gerenciar os dispositivos dos clientes.

Você pode querer usar esse método nos seguintes casos:

• Se tiver familiaridade com a instalação e configuração do Servidor de Administração e não deseja executar outro procedimento para instalar e configurar um gateway de conexão.
• Se precisar gerenciar mais dispositivos. A capacidade máxima do Servidor de Administração é de 100.000 dispositivos, enquanto um gateway de conexão pode suportar até 10.000 dispositivos.

Esta solução também tem possíveis dificuldades:

• O Servidor de Administração requer mais recursos de hardware e mais um banco de dados.
• As informações sobre os dispositivos serão armazenadas em dois bancos de dados não relacionados (para o Servidor de Administração dentro da rede e outro na DMZ), o que complica o monitoramento.
• Para gerenciar todos os dispositivos, o Servidor de Administração precisa ser unido em uma hierarquia, o que complica não apenas o monitoramento, mas também o gerenciamento. Uma instância do Servidor de Administração secundário impõe limitações às estruturas possíveis de grupos de administração. Você deve decidir como e quais tarefas e políticas distribuir para uma instância secundária do Servidor de Administração.
• Configurar dispositivos externos para usar o Servidor de Administração na DMZ externamente e para usar o Servidor de Administração principal internamente não é mais simples do que apenas configurá-los para usar uma conexão condicional por meio de um gateway.
• Riscos de segurança elevados. Uma instância do Servidor de Administração comprometida torna mais fácil comprometer seus laptops gerenciados. Se isso acontecer, os hackers precisam apenas esperar que um dos laptops retorne à rede corporativa para que possam continuar seu ataque à rede local.