IGEL Cloud Gateway vs. Reverse Proxy für die Kommunikation zwischen UMS 12 und IGEL OS Geräten

Mit der Einführung von IGEL Universal Management Suite (UMS) 12 wurde das einheitliche Protokoll eingeführt, das für die gesamte Kommunikation zwischen UMS und IGEL OS 12-Geräten verwendet wird, siehe https://igel-jira.atlassian.net/wiki/pages/createpage.action?spaceKey=ENLITE__HARDCODED_3__P&title=%2812.07.110-en%29%20Overview%20of%20the%20IGEL%20UMS&linkCreation=true&fromPageId=401442802 . Das Unified Protocol ist ein sicheres Protokoll, das TCP 8443 verwendet, siehe IGEL UMS Kommunikationsanschlüsse Abhängig von der Struktur Ihrer UMS-Umgebung, den Sicherheitsrichtlinien Ihres Unternehmens, etc, kann dies jedoch unzureichend sein, und die Verwendung des IGEL Cloud Gateway (ICG) oder Reverse Proxy kann erforderlich sein. Im folgenden Artikel finden Sie die Vor- und Nachteile der einzelnen Lösungen.

Option 1: ICG 12

Im Falle des ICG verbinden sich Endgeräte mit dem ICG sowie das UMS mit dem ICG, siehe https://igel-jira.atlassian.net/wiki/pages/createpage.action?spaceKey=ENLITE__HARDCODED_3__P&title=%2812.07.110-en%29%20Devices%20and%20UMS%20Server%20Contacting%20Each%20Other%20via%20ICG&linkCreation=true&fromPageId=401442802 . Die WebSocket-Kommunikation zwischen dem ICG und dem UMS sowie zwischen dem ICG und dem Gerät wird erst nach gegenseitiger Authentifizierung aufgebaut, und die Kommunikation wird mit TLS verschlüsselt. Alle Daten werden über diesen WebSocket geroutet.

Legende zum Bild:

: Zeigt, dass der Verkehr im WebSocket in beide Richtungen läuft.
(mehrfarbig): Zeigt an, von welcher Seite aus Firewalls etc. geöffnet werden müssen.

Vorteile

• Eignet sich für gemischte Umgebungen, wenn Sie sowohl IGEL OS 12 als auch IGEL OS 11 Geräte verwalten.

• Keine eingehende Verbindung vom Gerät zum UMS.

• Nur das ICG ist dem Internet ausgesetzt. Wenn sie also kompromittiert wird, wird die UMS NICHT gleichzeitig kompromittiert.

• Einfach und leichtgewichtig, was die Angriffsfläche minimiert.

Benachteiligungen

• UMS als Update-Proxy-Funktion kann derzeit nicht verwendet werden, d.h. IGEL OS-Geräte können die Apps nur vom App-Portal herunterladen, nicht vom UMS-Server. Siehe Configuring Global Settings for the Update of IGEL OS Apps.

• Höhere Latenz und längere Befehlsausführung im Vergleich zum Reverse Proxy. Für große Unternehmensumgebungen kann die Verwendung eines Reverse-Proxys in Betracht gezogen werden.

Option 2: Umgekehrter Proxy 

Eine weitere Möglichkeit, den Datenverkehr über Port 8443 zu leiten, ist die Verwendung eines Reverse-Proxys. Der Reverse-Proxy leitet die Anfragen von Geräten an den UMS weiter.

Legende zum Bild:

: Zeigt, dass der Verkehr im WebSocket in beide Richtungen läuft.
(mehrfarbig): Zeigt an, von welcher Seite Firewalls etc. geöffnet werden müssen.

Technische Details

• Reverse Proxy mit SSL-Offloading ist ab UMS 12.02 möglich. Siehe https://kb.igel.com/en/universal-management-suite/current/nginx-example-configuration-for-as-reverse-proxy-i.

• Der FQDN und Port des Reverse-Proxys muss als Cluster-Adresse angegeben werden, siehe https://igel-jira.atlassian.net/wiki/pages/createpage.action?spaceKey=ENLITE__HARDCODED_3__P&title=%2812.07.110-en%29%20Server%20Network%20Settings%20in%20the%20IGEL%20UMS&linkCreation=true&fromPageId=401442802 .

• Es wird empfohlen, TLS 1.3 für die Reverse-Proxy-Konfiguration zu verwenden.

Vorteile

• Load balancing

• UMS kann als Update Proxy Funktion genutzt werden, d.h. IGEL OS Geräte können die Apps vom UMS Server herunterladen. Siehe https://igel-jira.atlassian.net/wiki/pages/createpage.action?spaceKey=ENLITE__HARDCODED_3__P&title=%2812.07.110-en%29%20Configuring%20Global%20Settings%20for%20the%20Update%20of%20IGEL%20OS%20Apps&linkCreation=true&fromPageId=401442802 .

• Fügt eine zusätzliche Sicherheitsebene hinzu (je nach Konfiguration)

Benachteiligungen

• Kann nur verwendet werden, wenn Sie IGEL OS 12 Geräte verwalten.

• Die ordnungsgemäße Konfiguration und Wartung des Reverse-Proxys ist erforderlich. Aus Sicherheitsgründen können Sie den Zugriff auf nicht benötigte Komponenten einschränken. Beachten Sie jedoch, dass die folgenden Pfade aktiviert sein müssen:

  • Für das Onboarding und die Kommunikation von IGEL OS 12-Geräten: TCP 8443 /device-connector/*

  • Für IGEL OS 12 und UMS als Update-Proxy-Funktion: TCP 8443 /ums-appproxy/*

  • Für die UMS Web App: TCP 8443 /wums-app/* und /webapp/*

• Wenn man Geräte von außerhalb des Firmennetzes verbindet, haben die Geräte eine eingehende Verbindung zum UMS. Im Vergleich dazu gibt es bei der ICG keine eingehende Verbindung von den Geräten zur UMS.

• Wenn der Reverse-Proxy kompromittiert wird, kann er Zugriff auf die UMS gewähren. Wenn dagegen ICG kompromittiert wird, wird UMS NICHT zur gleichen Zeit kompromittiert.

Option 3: Direkte Verbindung der Geräte mit dem UMS über das Unified Protocol (kein ICG, kein Reverse Proxy)

In diesem Fall kommunizieren IGEL OS 12-Geräte direkt mit dem UMS, siehe https://igel-jira.atlassian.net/wiki/pages/createpage.action?spaceKey=ENLITE__HARDCODED_3__P&title=%2812.07.110-de%29%20Geräte%20Kontaktaufnahme%20UMS&linkCreation=true&fromPageId=401442802 .

Legende zum Bild:

: Zeigt, dass der Verkehr im WebSocket in beide Richtungen läuft.
(mehrfarbig): Zeigt an, von welcher Seite Firewalls etc. geöffnet werden müssen.

Vorteile

• Port 8443 (kann unter UMS Administrator > Settings > Webserver-Port) muss in einer Firewall geöffnet werden, aber es ist keine weitere Konfiguration erforderlich

• geeignet für die Kommunikation mit Geräten innerhalb des Firmennetzes

Benachteiligungen

• Eingehende Verbindung vom Gerät zum UMS

• Für die Kommunikation mit Geräten außerhalb des Unternehmensnetzes wird empfohlen, die Verwendung eines Reverse Proxy oder des ICG