Jump to content

MDM System in die DMZ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich hoffe ich bin mit dem Thema MDM hier im richtigen Unterforum. 

 

Wir planen ein MDM System einzuführen, um in der Fertigung eine mobile Datenerfassung mit Android Geräten zu ermöglichen. Eingesetzt werden entweder Zebra oder PointMobile Android rugged devices.

Im Moment wird das MDM System nur für diese Geräte genutzt und diese befinden sich ausschließlich im lokalen Fertigungsnetz und haben keine Verbindung ins Internet. Der MDM Server könnte also im internen LAN laufen und benötigt keinen externen Zugriff.

Es ist allerdings nicht auszuschließen, dass wir in Zukunft auch Firmen Smartphones oder BYOD Geräte haben, die über das MDM System verwaltet werden sollen. Hier wäre dann natürlich ein externer Zugriff auf den MDM Server notwendig.

 

Wir haben uns für SureMDM von 42Gears entschieden, da alle notwendigen Funktionen gegeben sind und das System nicht total überfrachtet ist, mit Funktionen die wir bei unserer Firmengröße nicht benötigen werden.

 

Nun stellt sich für mich nur die Frage - stelle ich den MDM Server in unsere DMZ oder ins interne LAN. Im Moment wird wie gesagt kein Zugriff von Extern benötigt. Das wird sich aber mit hoher Wahrscheinlichkeit in den nächsten Monaten oder Jahren ändern. Ein Support Mitarbeiter der Firma meinte nun zu mir, dass wir ihn aus sicherheitstechnischen Gründen (da sonst alle verwalteten Geräte nach außen bekannt gegeben werden können) nicht in die DMZ stellen sollen, sondern den MDM Server im internen LAN betreiben sollen und falls ein externer Zugriff notwendig ist, die URL des Server durch die Firewall von extern zugänglich machen sollen (public facing).

 

Das klang für mich jetzt erstmal merkwürdig, weil nach meinem Verständnis die DMZ ja genau für solch eine Situation geschaffen wird und ich eben nicht einen internen Server direkt ins Internet stellen möchte.

Verstehe ich jetzt hier irgendwas komplett falsch? Wie habt ihr das gelöst? Steht bei euch der MDM Server auch in der DMZ?

 

Danke euch schon mal.

 

Link zu diesem Kommentar

Moin,

 

MDM ist immer lokal - auch wenn die Geräte extern sind.

 

Wir haben die MDM von Blackberry in der aktuellen Version (die haben mal einen anderen Anbieter gekauft und ihre Version mit deren Lösung unter eine Oberfläche gepackt).

Damit managen wir sowohl reine interne als auch externe Geräte (bei uns Smartphones, iPhone und auch iPad, Android geht auch (nicht alle), haben wir aber nicht)

 

DMZ gibt es übrigens nicht mehr, das heißt mittlerweile Perimeter Network. :-)

Link zu diesem Kommentar

Hallo phatair,

 

also das hier ist ein MS Forum, deswegen wird hier so schnell leider niemand etwas zu deinem Produkt sagen können. Typischerweise sollten Rechner, die direkt mit dem WAN/Internet kommunizieren nicht innerhalb des LANs angesiedelt werden. Wenn du also die Anforderung hast, dass MDM für externe Geräte aus dem WWW nötig ist, musst du dir entweder ein VPN bauen oder das System in die DMZ stellen. 

 

Aus meiner Sicht scheint das gewählte Produkt nicht das Richtige für euch zu sein, da mittelfristige Anforderungen nicht abgedeckt werden. Ihr müsst euch darüber im klaren werden, ob ihr zukünftig mobile Devices extern anbinden möchtet oder nicht. Wir nutzen BlackBerry und das seit Jahren. Es gibt bestimmt einfachere Setups dafür läuft der Server später stabil und ohne Ausfälle durch. Du kannst auch einzelne Komponenten in die DMZ auslagern, sofern gewünscht und die Dienste entsprechend aufteilen. 

 

Wie Nobby bereits sagte: MDM ist immer lokal - auch wenn das Gerät extern ist. Die Anbindung dazwischen muss sicher sein. Hierfür solltest du das entsprechende Werkzeug suchen und einsetzen. Um es mit NilsK's Worten zu sagen: immer zuerst Anforderung definieren, dann fällt der Weg zur richtigen Lösung meist einfacher. :-)

 

hth

 

 

 

Link zu diesem Kommentar

Hallo zusammen,

 

vielen Dank erstmal für eure Antworten. Ich habe das Exchange Forum gewählt, da hier vor ein paar Monaten schon mal jemand über ein MDM Projekt geschrieben hatte.

 

Vielleicht verstehe ich bei dem MDM System auch grundsätzlich etwas falsch bzw. drücke mich falsch aus.

Das MDM System ist ja vor allem für BYOD gedacht bzw. um Firmenhandys managen zu können. Normalerweise sind diese Geräte ja außer Haus und mit einem MDM System kann ich es z.b. orten, zurücksetzen, eine Fernwartung durchführen und Richtlinien durchsetzen. Für all diese Vorgänge benötige ich doch eine Kommunikation des Handys zum MDM Server. Somit muss der MDM Server doch von extern erreichbar sein oder verstehe ich das falsch? Ich bin davon ausgegangen das hier nicht immer ein VPN vorgeschaltet wird.

 

Soweit ich das verstanden habe, unterscheiden sich hier die MDM Systeme auch nicht. Wir hatten AirWatch, Mobi, MobilIron usw. im Test. Wir sind bei SureMDM geblieben, da es vor allem für die Fertigung die Beste Lösung ist. Das hat im Moment auch Prio 1.

Link zu diesem Kommentar

Hi phatair,

na klar unterscheiden sich die Systeme auch nicht - sie kochen eben alle nur mit Wasser. ;) Die Frage ist einfach: wer bringt euch den besten Kosten/Nutzen? Langfristig gesehen sehe ich hier deine Lösung ohne VPN (ich habe mich nicht ins Produkt eingelesen - korrigiere mich bitte) klar im Hintertreffen. BlackBerry zB macht das von Haus aus - genauso wie MobileIron. 

 

Ich persönlich halte BlackBerry nach wie vor als 3rd Party MDM immer noch ganz weit vorne. Wenn du einen Deep Dive möchtest PN mir. Ansonsten: wenn du deine primäre Anforderung erfüllt siehst und es läuft alles hindert dich nichts daran in 1-2 Jahren das Thema erneut anzugehen. Das macht eh am meisten Sinn, da deine Infrastruktur sich ja auch laufend verändert. 

Link zu diesem Kommentar

Danke PadawanDeluxe - ich komme darauf vielleicht noch zurück.

 

Für uns ist es im Moment besonders wichtig die rugged devices so einzuschränken, dass nur eine App startet und sonst nichts mit den Geräten gemacht werden kann. Das hat sureMDM am Besten hinbekommen. Alle anderen Systeme konnten das nur bei iOS oder KNOX Geräten oder wenn diese gerooted waren. Auch die Möglichkeit des remote control war bei vielen Herstellern nur bei bestimmten Voraussetzungen möglich.

 

Ich werde den MDM Server jetzt in unserem lokalen LAN installieren. Im Moment wird ja auch nur der lokale Zugriff benötigt. Werde dann mal mit dem Support die Problematik weiter besprechen und schauen wie wir es lösen, wenn in Zukunft Geräte von extern mit dem MDM kommunizieren sollen.

 

Danke euch!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...