Módulo Mobile Enterprise Gateway (MEG)

IBM® MaaS360® Mobile Enterprise Gateway (MEG) proporciona un acceso sencillo, transparente y seguro a los recursos de información detrás del cortafuegos para los usuarios de dispositivos más allá de la implementación de una nueva tecnología de tipo VPN.

Ventajas del módulo Mobile Enterprise Gateway (MEG)

El módulo Mobile Enterprise Gateway (MEG ) ofrece las siguientes ventajas.
  • Inicio de sesión sin interrupciones
  • Almacenamiento en caché de credenciales
  • Inicio de sesión único en varias aplicaciones IBM MaaS360
  • Inicio de sesión único para proteger los recursos de la intranet con esquemas fuertes de autenticación, tales como NTLM, Kerberos, SPNEGO y certificados de identidad

Cómo funciona el módulo Mobile Enterprise Gateway (MEG)

El módulo Mobile Enterprise Gateway (MEG) proporciona la máxima seguridad autenticando usuarios y dispositivos basándose en las credenciales del directorio corporativo y en los certificados de identidad de inscripción de MaaS360 , que satisfacen los requisitos de autenticación de dos factores para los recursos de intranet. Toda la comunicación entre dispositivos móviles y Mobile Enterprise Gateway (MEG) está totalmente cifrada y protegida de extremo a extremo, lo que evita ataques de tipo man-in-the-middle.

Todos los datos de un dispositivo móvil se almacenan en la solución de contenedor MaaS360 totalmente cifrada y protegida de la fuga de datos. Los contenedores están totalmente controlados por las políticas de seguridad de contenedor de MaaS360 en función de sus requisitos de seguridad. Las siguientes ventajas de seguridad adicionales se aplican a las implantaciones de Mobile Enterprise Gateway (MEG).
  • Reautorización en segundo plano de usuarios y dispositivos sin solicitar credenciales a los usuarios
  • Requisitos del token de autenticación para cada recurso de intranet
  • Validación de la lista de acceso al proxy en la pasarela
El Mobile Enterprise Gateway (MEG) está estrechamente integrado con el IBM MaaS360 Portal, donde se definen políticas de bloqueo y se controla el acceso al gateway en función de reglas de cumplimiento automatizadas. Mobile Enterprise Gateway (MEG) ayuda a su organización a movilizar recursos corporativos para su creciente población móvil, manteniendo al mismo tiempo el control sobre el flujo de datos y la seguridad de datos asociada. El Mobile Enterprise Gateway (MEG) incluye las siguientes funciones clave.
  • Integración perfecta con IBM MaaS360, incluida una configuración fácil y sencilla
  • Esquemas fuertes de autenticación de pasarela
  • Autenticación entre bosques y dominios
  • Soporte de SSO (Single Sign-On) para pasarelas entre varias aplicaciones de un dispositivo
  • Soporte de la autenticación Kerberos, SPNEGO y NTLM v2 en sitios
  • Soporte de proxy interno para sitios
  • Lista de acceso a proxy granular
  • Configuración de alta disponibilidad (HA) ininterrumpida
  • Alto nivel de escalado de hasta 100.000 dispositivos
  • Soporte de clúster de pasarela regional y direccionamiento automático de pasarela local
  • Casos de uso sin interrupciones para archivos y vídeos de gran tamaño
  • Soporte Web Distributed Authoring and Versioning (WebDAV) para comparticiones de archivos de Windows (soporta SMB2 y SMB3)
  • Soporte de DR de relé

Acerca de las modalidades de pasarela de Mobile Enterprise Gateway (MEG)

El Mobile Enterprise Gateway (MEG) funciona en uno de los siguientes modos.
Modo Descripción
Acceso de retransmisión La pasarela establece el acceso saliente al servidor de retransmisión IBM MaaS360. Los dispositivos solo se comunican con el servidor de relé y no directamente con la pasarela.
Directo Los dispositivos hablan directamente con el Mobile Enterprise Gateway (MEG ) para acceder directamente a los recursos y eluden los servidores de retransmisión alojados en IBM MaaS360. También puede instalar la pasarela como una pasarela autónoma para despliegues más pequeños o como una pasarela en clúster para alta disponibilidad (HA).

Requisitos y escalado

Tabla 1. Requisitos para Mobile Enterprise Gateway (MEG)
Elemento Requisito mínimo
Componente de hardware Máquina física o virtual con Windows Server 2019, 2016, 2012 R2, 2012, 2008 R2o 2008
Nota: Mobile Enterprise Gateway (MEG) no da soporte a la opción de instalación de Server Core para Windows Server 2016, 2012 R2, 2012, 2008 R2o 2008. Sólo se admite la instalación completa del servidor, la Shell gráfica del servidor o el servidor con experiencia de escritorio.
Clientes de dispositivos móviles

iOS 11.0 y posterior

Android 4.2 y posterior (versiones de portadora)
Permisos Una cuenta de servicio que Mobile Enterprise Gateway (MEG) ejecuta como miembro del grupo de usuarios de dominio en Active Directory y como miembro del grupo de administradores locales en el servidor.
Puertos de red Acceso al puerto 443 desde la máquina que ejecuta Mobile Enterprise Gateway (MEG): la pasarela utiliza este puerto de salida para comunicarse con el programa de fondo y los servicios web de MaaS360 . Si utiliza la modalidad de acceso de relé, la pasarela utiliza el puerto 443 para las comunicaciones con los servicios de relé. No se utiliza ningún puerto de entrada para relé.
Modalidades de operación de pasarela de red (acceso de relé y directo)
  • Modalidad de acceso de relé
    Para el modo de acceso Relé, utilice uno de los siguientes relés.
    • Relé EE.UU.
      • Relé URL : https://us01-dv.meg.maas360.com

        IP del servidor primario: 169.55.90.26

        IP de servidor DR: 169.53.30.247

      • Relé URL : https://us01-gw.meg.maas360.com

        IP del servidor primario: 169.55.90.27

        IP de servidor DR: 169.53.30.246

    • Relé UE
      • Relé URL : https://eu01-dv.meg.maas360.com

        IP de servidor primario: 159.8.170.230

        IP de servidor DR: 119.81.207.130

      • Relé URL : https://eu01-gw.meg.maas360.com

        IP de servidor primario: 159.8.170.231

        IP de servidor DR: 119.81.207.131

    • Relé APAC-SGP
      • Relé URL : https://ap01-dv.meg.maas360.com

        IP de servidor primario: 119.81.207.130

        IP de servidor DR: 169.56.36.218

      • Relé URL : https://ap01-gw.meg.maas360.com

        IP de servidor primario: 119.81.207.131

        IP de servidor DR: 169.56.36.219

    • Relé de Tokio
      • Relé URL : https://ap02-dv.meg.maas360.com

        IP de servidor primario: 169.56.36.218

        IP de servidor DR: 119.81.207.130

      • Relé URL : https://ap02-gw.meg.maas360.com

        IP de servidor primario: 169.56.36.219

        IP de servidor DR: 119.81.207.131

    Importante: Si se produce un suceso catastrófico en el sitio primario, el sistema pasa a las direcciones IP de servidor DR secundario enumeradas para varios relés.
  • Modalidad directa

    Para la modalidad directa, se necesita una conexión de entrada de Internet a la pasarela. Configure este puerto durante el proceso de instalación y configuración de Mobile Enterprise Gateway (MEG) .
Red-Servicios de fondo de MaaS360 Para conocer los requisitos de los servicios backend de MaaS360, consulte los requisitos que aparecen en la lista de requisitos del sistema de los módulos Cloud Extender y Mobile Enterprise Gateway (MEG).
Escalado Less than 10,000 devices

CPU: 2 núcleos (2,8 GHz)

Memoria: 4 GB

Almacenamiento: 2 GB
Más de 10.000 dispositivos: CPU (utilice más pasarelas en la modalidad HA)
Escalado y alta disponibilidad Pasarela sin alta disponibilidad con menos de 10.000 dispositivos: una pasarela es suficiente. La alta disponibilidad no está disponible.
Pasarela HA para más de 10.000 dispositivos: Dos pasarelas que se ejecutan en modalidad de clúster.
Nota: Incluso si una pasarela puede manejar la carga, debe utilizar otra instancia de pasarela desde una perspectiva de alta disponibilidad.

Posibles mensajes de error de controlador SQL para Mobile Enterprise Gateway (MEG) 2.96

Mobile Enterprise Gateway (MEG) 2.96.000 no da soporte a TLS 1.0 y TLS 1.2 para MSSQL. Si recibe el siguiente mensaje de error en el archivo MobileGateway.log .

The driver could not establish a secure connection to SQL Server by using Secure Sockets Layer (SSL) encryption.

Actualice a Mobile Enterprise Gateway (MEG) 2.96.300 y posteriores, y añada sslProtocol=TLSv1.2 a la cadena JDBC para resolver el problema.

jdbc:sqlserver://Wdsql2012.fiberlinkqa.local;databaseName=megdb;sslProtocol=TLSv1.2

Arquitectura de Mobile Enterprise Gateway (MEG) (modalidad de acceso de retransmisión)

El siguiente diagrama ilustra la arquitectura del Mobile Enterprise Gateway (MEG ) en modo de acceso Relay.

Arquitectura de Mobile Enterprise Gateway (MEG) (modalidad de acceso de retransmisor)
For the client
  • La aplicación MaaS360 para iOS y Android, la aplicación MaaS360 Mobile Browser y cualquier aplicación empresarial incluida en MaaS360 o integrada en el SDK de MaaS360 se comunica con el Mobile Enterprise Gateway (MEG).
  • Las aplicaciones MaaS360 están disponibles en iTunes o Google Play o se envían a los dispositivos a través del Catálogo de aplicaciones.
  • Las aplicaciones se conectan con los servicios de relé utilizando HTTPS, solicitudes de envío y respuestas de captura.
  • Además de las conexiones SSL con los relés, las cargas de trabajo se cifran con el cifrado AES de 256 bits, de extremo a extremo, entre la aplicación y la pasarela.
  • Los datos corporativos se protegen en el contenedor de aplicaciones de MaaS360 y con la aplicación de políticas.
  • Para conservar la seguridad y el aislamiento de la red, un dispositivo móvil nunca está en la red de la organización y las aplicaciones de MaaS360 no tienen acceso directo a la red.
For the gateway
  • Software de servidor basado en Windows que se ejecuta en una máquina host física o virtual (VM) en la red interna o DMZ de su organización.
  • Empaquetado junto con Cloud Extender ® como módulo.
  • La pasarela establece conexiones salientes con los servicios de relé de MaaS360 en la nube a través del puerto 443.
  • Descarga las solicitudes de acceso a la intranet desde los relés, captura el recurso y transfiere las cargas resultantes a los servicios de relé. Estas cargas se cifran, de extremo a extremo, mediante el cifrado AES de 256 bits. La clave solo se comparte con el dispositivo.
  • La pasarela autentica a los usuarios contra servidores Active Directory o LDAP.
  • Soporte de SSO (Single Sign-On) para sitios en sentido ascendente que desafían a la autenticación basada en NTLM, Kerberos, SPNEGO y certificados de identidad.
For gateway provision services
  1. La activación de la pasarela se lleva acabo con este servicio.
  2. MaaS360 emite un certificado de identidad a la pasarela para identificar y autenticar de forma exclusiva las pasarelas.
  3. Los dispositivos o aplicaciones contactan con el servidor de suministro para recibir la dirección del servidor de relé que se ha de utilizar para la pasarela respectiva.
For the relay server
  1. Los servicios web en la nube que facilitan las comunicaciones entre los clientes y la pasarela.
  2. El servicio Link no puede leer la comunicación cifrada entre los clientes y la pasarela.

Arquitectura de Mobile Enterprise Gateway (MEG) (modalidad directa)

El siguiente diagrama ilustra la arquitectura del Mobile Enterprise Gateway (MEG ) en modo Directo.

Arquitectura de Mobile Enterprise Gateway (MEG) (Direct)
For the client
  • La aplicación IBM MaaS360 para iOS y Android, MaaS360 Mobile Browser y cualquier aplicación empresarial incluida en MaaS360 o integrada en el SDK de MaaS360 pueden comunicarse con el Mobile Enterprise Gateway (MEG).
  • IBM MaaS360 las aplicaciones están disponibles en iTunes o Google Play o se envían a los dispositivos a través del catálogo de aplicaciones.
  • Las aplicaciones se conectan directamente con la pasarela para el acceso a los recursos internos.
  • El acceso con HTTPS si se utiliza un certificado SSL.
  • Además de las conexiones SSL con las pasarelas, las cargas de trabajo se cifran con el cifrado AES de 256 bits, de extremo a extremo, entre la aplicación y la pasarela.
  • Los datos corporativos están protegidos en el contenedor de aplicaciones IBM MaaS360 y con la aplicación de políticas.
For the gateway
  • Software de servidor basado en Windows que se ejecuta en una máquina host física o virtual (VM) en la red interna o DMZ de su organización.
  • Empaquetado junto con Cloud Extender como módulo.
  • La red debe permitir el tráfico de entrada para el servidor de pasarela con un puerto configurable.
  • Recibe las solicitudes de acceso de la intranet desde los dispositivos móviles, captura los recursos y transfiere de nuevo las cargas útiles a los dispositivos móviles.
  • Estas cargas se cifran, de extremo a extremo, mediante el cifrado AES de 256 bits. La clave solo se comparte con el dispositivo.
  • La pasarela autentica a los usuarios contra servidores Active Directory / LDAP.
  • Soporte de SSO (Single Sign-On) para sitios en sentido ascendente que desafían a la autenticación basada en NTLM, Kerberos, SPNEGO y certificados de identidad.