NetScaler: load balancing and maximum security for Microsoft workloads

It should be noted that NetScaler is at the same time the best solution to load balance Microsoft Exchange and securely publish Active Sync for mobile devices. Access to Active Sync and other external uses of Microsoft Exchange can be secured by authentication (specifically designed authentication mechanisms for Active Sync mobile device access, Outlook Anywhere and interactive access to OWA on the same VIP), authorization and auditing, while enabling deep visibility into traffic and usage through Web Insight. The same is valid for Microsoft SharePoint, Lync and many other workloads.

In conjunction with Citrix XenMobile MDM, customers can even control Active Sync access and denial in real-time depending on the device status (compliant or not compliant with granular policies) through use of the XenMobile NetScaler Connector.

Citrix XenMobile MDM v8.5 – Terms & Conditions

Gibt es im Bereich MDM die Anforderung vor dem eigentlichen Enrollment-Prozess, also der Aufnahme eines mobilen Endgerätes in den Mobile Device Manger, dem User die Nutzungsbedingungen anzuzeigen, so gab es bis zur Version 8.5 nur eine Möglichkeit. Der Administrator des MDM musste ein pdf-Dokument erstellen, welches auf dem Server unter ..\Program Files (x86)\citrix\XenMobile Device Manager\tomcat\webapps\zdm\documents abgelegt wurde. Dieses Dokument musste zwingend den Namen „enduserterms.pdf“ erhalten. Nachteil dieses Vorgehen: Der Administrator konnte pro Instanz nur ein Terms & Conditions Dokument einbinden. Was aber, wenn unterschiedliche Gruppen innerhalb des MDM verschiedene Nutzungsbedingungen hätte bekommen sollen?

Integration pur: Netzlaufwerke im Datei-Manager

Diese Anforderung wurde in der Version 8.5 komplett neu umgesetzt. Nun werden die Terms & Conditions über das Admin-GUI hinzugefügt. Über den „Files-Tab“ wird einfach ein neues Dokument hochgeladen und die Radio-Buttons „Terms & Conditions PDF“ und „Default Terms & Conditions PDF“ aktiviert. Als letzten Schritt muss dieses Dokument in ein Basis-Deployment Package aufgenommen werden. Hierdurch können nun auch ohne Probleme verschiedene Nutzungsbedingungen für verschiedene Gruppen in einer Unternehmung bereitgestellt werden

Citrix XenMobile Device Manager – Terms & Conditions im Basis Deployment Package

 

 

 

Was Prismgate zeigt und wie Sie sich trotzdem sicher fühlen können

Die Medien waren schlagartig voll von vermeintlichen Schreckensmeldungen, die zwar weder für IT-Security Profis noch Verschwörungstheoretiker irgendetwas Neues enthalten, die aber in einer neuen Qualität beweisen, was uns allen eigentlich längst klar war: Der US-Geheimdienst NSA kann jedwede Kommunikation abfangen, tut das auch und wertet vieles automatisch aus (Projekt PRISM). Außerdem stehen Ihnen organisatorisch, wenn nicht sogar transparent technisch, die Türen zu den wolkigen Datenspeichern US-amerikanischer Anbieter (und sicher nicht nur der plakativen Giganten wie Apple, Facebook, Google und Microsoft) offen, wo auch hierzulande nahezu jeder zumindest irgendetwas abgelegt hat.

„Mitarbeiter des Niedersächsischen Wirtschafts- und Geheimschutzes schockierten schon 2008 Besucher einer unserer Informationsveranstaltungen in Hannover mit der Tatsache, dass zum Beispiel der russische Inlandsgeheimdienst FSB mit seinen rund 110.000 Mitarbeitern den expliziten Auftrag zur Unterstützung der heimischen Wirtschaft hat und diesem durch entsprechende IT-gestützte Spionage auch nachkommt.“ – Michael Wessel

Da tut es schon fast nichts mehr zur Sache, dass auch hierzulande an vielen Stellen Vorratsdatenspeicherung angestrebt wird und gewisse Kreise bei jedwedem medial präsenten Ereignis als omnipotente Lösung reflexartig „mehr Überwachung!“ schreien. Unsere Daten – und mit einer gewissen Wahrscheinlichkeit auch manche Ihrer Firmendaten – liegen längst in unsicheren Gefilden.

Manche Ihrer Firmendaten? Ja. Anwender wollen effizient arbeiten. Dazu nutzen sie aktuelle Werkzeuge und Dienste, die sie kennen und die einfach funktionieren – besser als das meiste, was das Unternehmen ihnen zur Verfügung stellt. Dazu gehören heute sehr oft auch Facebook für effiziente Kommunikation, DropBox für einfaches Übermitteln von (großen oder per Mail blockierten) Dateien oder den flexiblen Zugriff auf Daten jederzeit von jedem Gerät. Unternehmen wie Microsoft, die mit ihren Produkten in nahezu jeder Firma zum Inventar gehören, schlagen unter anderem mit Skype und SkyDrive in die selbe Kerbe – und haben das selbe Problem (zusätzlich zu der wie auch bei Google per AGB definierten Un-Vertraulichkeit der dort abgelegten Daten gegenüber dem Betreiber selbst).

Was also können wir tun? Den Anwendern geben, was sie wollen – was sie für ihre Arbeit sogar brauchen – ohne selbst die Kontrolle zu verlieren – geht das?

Zunächst müssen wir uns der Situation bewusst werden und uns eingestehen, dass es in der Regel gar nicht mehr darum geht, die Kontrolle nicht zu verlieren, sondern darum sie wieder zu gewinnen. Consumerization ist Fakt. Anwender benutzen Skype, sie benutzen Facebook, sie benutzen DropBox. Nicht nur während der Arbeitszeit, sondern auch explizit für geschäftliche Belange. Falls Sie das nicht glauben, lassen Sie uns es Ihnen zeigen.

Gefragt ist also eine IT-Strategie, die effiziente Arbeitsstile und dynamische Zusammenarbeit mit der notwendigen Sicherheit vereint, und die Mitarbeiter damit positiv abholt. Diese Strategie muss mehrere Komponenten beinhalten, von den eigentlichen Lösungen zur Zusammenarbeit bis hin zur Web Content Security, mit der die Nutzung der unsicheren Dienste dann verlässlich unterbunden werden kann, nachdem das Unternehmen eigene Wege bereitgestellt hat.

Neben der strategischen Beratung stellen wir Ihnen dazu auch gerne konkrete Lösungen für die wichtigsten Bereiche der modernen und effizienten Zusammenarbeit vor:

Follow-Me-Data: Das DropBox-Problem lösen. Die äußerst praktische und effiziente Funktionalität Enterprise-tauglich und sicher bereitstellen. Das geht mit Citrix ShareFile; grundsätzlich auch ein Cloud Service, aber mit der Möglichkeit, den Ablageort ins eigene Rechenzentrum zu verlegen (Own Storage Zone). Somit sind die Daten nicht nur während der Übertragung und am Ablageort verschlüsselt (encrypted in transit & at rest), sondern die Erreichbarkeit und der genutzte Speicher selbst sind auch vollständig unter Kontrolle des Kundens. Viele weitere Funktionen neben der Erreichbarkeit von jedem Endgerät, Sync Clients für alle gängigen Plattformen vom PC und Mac bis zum Smartphone bis hin zum Outlook Plug-In, das Anhänge automatisch via ShareFile übermittelt und/oder dem Gegenüber eine Upload Möglichkeit bereitstellt, runden den Leistungsumfang ab.

Collaboration: Skype ist so praktisch. Bei Facebook ist eh jeder. Ja, aber wollen Sie Ihre Daten denn auch mit jedem teilen? Wäre es nicht besser, Ihre Mitarbeiter unternehmensweit mit Microsoft Lync zusammen arbeiten zu lassen? Eine eigene Collaboration Plattform – zum Beispiel auf Basis von SharePoint – Cloud-ready zu machen und sicher bereitzustellen? Für alle drei Aufgaben haben Sie den richtigen Partner gefunden. So sagt Andreas Goretzky, IS Global Director, IT Governance & Compliance, Hellmann Worldwide Logistics GmbH & Co. KG, nach unserem gemeinsamen Projekt:

„Aufgrund der guten Erfahrungen, die wir beim Betrieb unseres Kunden- und  Mitarbeiterportals mit NetScaler gemacht haben, wollen wir die Technologie noch für weitere Web-Anwendungen nutzen. Unter anderem denken wir darüber nach, auch unsere E-Commerce-Angebote und EDI-Systeme über die Plattform bereitzustellen.“

E-Mail: Für das immer noch äußerst wichtige Medium E-Mail ist die Hauptsorge, dass die Einführung einer Verschlüsselungslösung komplex und der Betrieb aufwändig sein könnte. Auch diese Angst möchten wir Ihnen nehmen: Wir statten seit vielen Jahren Unternehmen mit Möglichkeiten zu transparenter und sicherer E-Mail-Verschlüsselung und -Signatur aus. Wolfgang Lindner, Verantwortlicher für IT-Network-Management der Hannover Rückversicherung SE, resümiert unser gemeinsames Projekt entsprechend:

„Im Rahmen von globalen Sicherheitsprojekten defi­nierte Anforderungen an den siche­ren Informationsaustausch konnten nun erfüllt werden, ohne dass das Medium E-Mail an Attraktivität für die Anwender verlor – die Handha­bung ist transparent und für interne Benutzer wie gewohnt.“

Content Security, Data Loss Prevention: Das Clearswift SECURE Web Gateway sichert den wichtigsten Ausreisekanal von Daten und Informationen der heutigen Zeit mit granularen Regeln und tiefen Einsichten in die Nutzung des Mediums „Web“. Sowohl zum Schutz als auch zur Erfolgskontrolle der umgesetzten Lösungsstrategie erweist es sich als wichtiger und sehr leistungsfähiger Baustein.

Sie erreichen uns zu allen diesen und mehr Themen auf den üblichen, unsicheren Wegen: 0511 – 260 911 0, nm[at]consulting-lounge.de oder service[at]michael-wessel.de – aber wir kommen dann auch gerne zum Gespräch zu Ihnen und lassen alle Kommunikationsvermittler außen vor.

 

Weitere interessante Quellen zum Thema:

# Autor und Kolumnist Mike Elgan über die Vermutung, die chinesische Regierung könnte den Leak zu verantworten haben

# Der Whisteblower Edward Snowden im Interview nach seiner Flucht nach Hong Kong

BlackBerry Work Drives – Der Zugriff auf Unternehmensdaten über das Z10

Ein suchender Blick wandert über die Einstellungen des Datei-Managers des neuen BlackBerry Z10, auf der Suche nach einer Möglichkeit, die Netzlaufwerke der Firma einbinden zu können. – Nichts. Ohne Ergebnis verläuft diese und eine weitere Suche. Sollte BlackBerry die Möglichkeit auf Unternehmensdaten zugreifen zu können, mit Einführung des neuen OS10, abgeschafft haben?

Die BlackBerry Work Drives App

Nein, natürlich nicht! Die Lösung steckt in einer kleinen, unscheinbaren Applikation – der BlackBerry Work Drives App. Diese lässt sich über die BlackBerry World des geschäftlichen Bereichs ohne Probleme installieren. Nach abgeschlossener Installation genügt ein kurzer Aufruf der App. Über den Punkt „Hinzufügen“ gelangt man in nebenstehenden Konfigurationsdialog. Hier vergibt man einen Namen für das entsprechende Netzlaufwerk. Dieser taucht auch später wieder in der Benutzung mit dem Datei-Manager auf. Dann wird der Ort der Netzwerkfreigabe hinterlegt, für Windows-Fileserver wählt man einen entsprechenden UNC-Pfad aus. Nun nur noch den Benutzername in der Syntax Domäne\Username angeben und das Domänenkennwort eintragen. Mit diesen Angaben wird daraufhin der Zugriff auf die entsprechende Netzwerkressource im Endgerät angelegt.

Integration pur: Netzlaufwerke im Datei-Manager

BlackBerry Work Drives arbeitet nur innerhalb der „Geschäftlichen“-Umgebung und benötigt daher zwingend die Anbindung an den BlackBerry Administration Service. In unseren Tests konnten die konfigurierten Netzwerklaufwerke sehr flüssig und schnell durchsucht werden. Das Öffnen von Dateien verlief ebenso schnell und unproblematisch, hängt aber natürlich von der Dateigröße und der vorherrschenden Mobilfunkabdeckung ab.

Erfahrungsbericht Nokia Lumia 920

Stabil wie ein Nokia – und schwer: das Lumia in der Hand zu halten ist Sport. Wertiges Gefühl, aber echt schwer. Ein Galaxy Nexus wirkt dagegen wie eine filigrane Feder. Auch der BB Z10 ist satte 50g leichter.
Kein Benachrichtigungsleuchte, doof. Dachte ich erst. Aber inzwischen nicht mehr. Wie oft habe ich den BlackBerry auf dem Tisch umgedreht, weil mich das Blinkelicht nervte. So ist es viel entspannter, wenn man sich dran gewöhnt hat.

WP8: ist kein Android. Weniger verspielt, aber auch weniger Flow, weniger Interconnects zwischen Apps. Als Neueinsteiger fühle ich mich noch etwas behindert, entgegen der Marketingversprechungen sind die Wege oft weiter als bei Android – oder ich habe die Gimmicks und Gesten einfach noch nicht gefunden. Dafür stilvoll schlicht (optisch) und pfiffiger Startbildschirm (Tiles). Aufgeräumt, sachlich, gut.

Kamera: ganz großes Kino und das wahrscheinlich beste Argument, dieses Smartphone nicht mehr aus der Hand zu geben. Kurzer Vergleich zum selben Zeitpunkt am selben Ort, erst Nexus 4, dann Lumia 920:

 

Tastatur: sehr gut, Korrekturen und Vervollständigung teilweise besser als mit SwiftKey Pro, aber auf Dauer doch nicht ganz so smart (lernfähig). Layout nicht so flexibel, aber das ist Gewohnheitssache.
Mail: gut, elegante Optik, gute Bedienung, aber Mails bleiben ungelesen, wenn ich sie lösche. Hm. Wenig Einstellmöglichkeiten.

Kalender: gut, bin verwöhnt von Business Cal, aber mit dem alten BlackBerry hält er alle mal mit – abgesehen von der Verfügbarkeitsanzeige (Free/Busy) einzuladender Personen. Das fehlt. Und eine Wochenanzeige.

Apps: die Besten und Wichtigsten gibt es exklusiv von Nokia, die Nächst-wichtigen, die man so kennt, hat, braucht gibt es auch Großteils, aber insgesamt noch wenig Auswahl und überwiegend kostenpflichtig.

Stabilität: miserabel. In den ersten drei Tagen viermal nur per Soft Reset wieder zum Leben zu bekommen gewesen; im Screen Lock abgelegt, nach einiger Zeit keine Reaktion mehr, egal welche Taste – Schirm bleibt dunkel. Auch nicht anrufbar, richtig weg. Nach Reset muss Datum und Uhrzeit wieder eingestellt werden.

Dann fiel mir ein, dass beim ersten Einrichten des Exchange Mailkontos eine falsche ActiveSync Policy gesetzt war, die nicht umgesetzt werden konnte (auch so eine lächerliche Sache – Microsoft selbst bringt ein Smartphone OS, das nur Bruchteile der AS Policies umsetzen kann!), so dass der Prozess auf halben Weg stehen blieb und es erst weiter ging, nachdem eine geänderte Policy für mein Postfach gesetzt worden war. Dieser möglicherweise unsaubere Zustand konnte als Ausrede betrachtet werden, also zurück auf Werkseinstellungen und noch mal sauber neu. In der Tat gab es danach zwei Tage lang keinen Absturz mehr, dann wurde das Gerät getauscht, da das Display inzwischen ein zeitweises Flimmern angefangen hatte.

Mit dem Tauschgerät war dann erst mal weiter alles gut. Für drei Tage. Inzwischen gab es wieder zwei Abstürze in zwei Tagen, einmal während ich das Gerät in der Hand hielt und benutzte; Display friert ein, reagiert nicht mehr. Screen Lock Taste funktioniert, d.h. Bild aus, Bild an, reagiert wieder, aber bootet plötzlich neu. Das andere Mal wie in den ersten Tagen inkl. zurückgesetztem Datum und Uhrzeit.

Windows wird seinem (alten) Ruf mehr als gerecht. Mit Pauken und Trompeten durchgefallen – den Mist kann Vodafone wieder haben. Vielleicht ist gerade das Branding / Customizing durch den Carrier ein Problem, mit so einem Dreck kann doch niemand arbeiten?! Ansonsten finde ich Gerät und OS eigentlich ganz anheimelnd.

Mobility – Top-Thema 2013

Keine ganz neue Erkenntnis, aber das Thema nimmt noch mal an Fahrt zu und steht 2013 ganz oben auf der Agenda vieler, vieler Unternehmen. Es ist ja längst keine Frage mehr, ob man sich mit Mobilitätslösungen und vor allem der Tatsache beschäftigen möchte, dass Benutzer unterschiedlichste Geräte einsetzen, um ihre Arbeit zu erledigen. Meist sind die privaten Gerätschaften auch effizienter und gleichzeitig unterhaltsamer als die vom Unternehmen gestellten – und genau deshalb MUSS sich jede Unternehmens-IT damit beschäftigen, wie Geräte angebunden und Datensicherheit gewährleistet wird.

Für die Frage der Vereinigung von Kontrolle, Sicherheit einerseits und Offenheit, Lifestyle andererseits gibt es ein paar wichtige Player im Moment:

Blackberry hat mit den neuen Geräten, allen voran dem Z10, endlich das geschafft, worauf wir alle seit Jahren gewartet haben, nämlich den Anschluss geschafft an aktuelle Smartphones und zugleich Alleinstellungsmerkmale gebracht, die ein Blackberry Device wieder richtig interessant machen (Stichwort: Balance und Blackberry Hub). Dennoch kann ich ganz locker die These aufstellen, dass Monokulturen der Vergangenheit angehören. Das weiß auch Blackberry und hat daher seit einer Weile Fusion im Angebot, das neben bzw. gemeinsam mit dem BES ein zentrales Management von heterogenen Endgeräte-Zoos ermöglicht.

Ebenfalls groß eingestiegen ist Citrix mit den jetzt unter XenMobile zusammengefassten Lösungen. Die Eigenentwicklung aus dem Cloud Gateway Enterprise (MDX, @Work-Apps) stellt dabei als Container-Lösung ala Good Technologies die Herangehensweise für BYOD dar. Hier kann das Unternehmen keine Verwaltungshoheit über das Gerät beanspruchen, aber dafür sorgen, dass zumindest die Daten und Datenflüsse kontrolliert und limitiert werden. Die mit Zenprise zugekaufte führende MDM Lösung wiederum richtet sich an das vollständige Management von unternehmenseigenen Geräten jedweder Plattform (außer Blackberry natürlich).

Somit stehen für alle Geschmäcker die Lösungen bereit, sollte man meinen, die Unternehmen wie Anwendern die Freiheit lassen, die Endgeräte und Bereitstellungsverfahren ihrer Wahl zu nutzen. So finden sich nach einiger Zeit der Blackberry-Monokultur und langsamem Einsickern von iOS und Android in unserem Team inzwischen eben auch BB OS10 und Windows Phone 8 – und das ohne Reue. 🙂

CAD Workstation VDI mit Citrix HDX3D Pro und die Client Performance

Zur dynamischen und sicheren zentralen Bereitstellung von CAD Arbeitsplätzen setzen wir folgende Komponenten und Produkte ein:

  • Citrix XenDesktop mit HDX3D Pro
  • Citrix XenServer mit GPU Passthrough
  • HP ProLiant ML350p G8 mit jeweils mehreren NVidia Quadro 4000 Grafikkarten

Neben wirklich guten HP Displays hätten wir bei einem Kunden gerne auch noch HP ThinClients eingesetzt, also griffen wir zu den leistungsstärksten ThinClients am Markt bzw. im HP Portfolio: HP t610 PLUS mit ATI Fire 2270 (zusammen mit der onboard GPU bis zu 4 digitale Displays anschließbar).

Doch trotz mehrfacher Tests mit angepassten Parametern und Optimierungen sowie Rückfrage bei HP ThinClient Consultants konnten wir damit kein befriedigendes Ergebnis erzielen – die Dekodierung des Videostreams belastet offensichtlich zu sehr die CPU, unabhängig von der GPU im Client. So kommen nun PCs als Clients zum Einsatz, die mit einer Intel Core i3 CPU mit 3,3GHz den Job ganz prima machen.

Merke: HDX3D Pro braucht CPU Power am Client. ThinClients mit DualCore 1,65GHz reichen nicht aus.

 

Google bläst zur Nexus-Offensive

Nach den Nexus Smartphones kommt jetzt endlich das erwartete Tablet „Nexus 7“, von Asus gebaut und mit HighTech bewaffnet. Mal sehen, was es erreichen kann und vor allem, wann es nach Europa kommt: http://www.google.com/nexus/#/7/features

Für die Unternehmens-IT weniger interessant, aber auch einen neugierigen Blick wert ist die ebenfalls erwartete Streaming-Lösung Nexus Q – mit sozialen Ideen, die so noch keiner bietet.