معماری Workspace ONE UEM چیست؟ بررسی ویژگی های آن – قسمت اول

در این مقاله در مورد معماری و ویژگی های VMware Workspace ONE و VMware Horizon صحبت می‌شود، چارچوبی که راهنمایی‌هایی را در مورد معماری، ملاحظات طراحی و پیاده‌سازی راهکارهای Workspace ONE و Horizon ارائه می‌نمایند.

VMware Workspace ONE UEM که از AirWatch قدرت می‌گیرد مسئول ثبت دستگاه، کاتالوگ برنامه کاربردی موبایل، اعمال پالیسی در مورد تطبیق‌پذیری دستگاه و یکپارچه‌سازی با سرویس‌های سازمانی کلیدی مثل ایمیل، محتوا و رسانه‌های اجتماعی است.

ویژگی‌های Workspace ONE Unified Endpoint Management یا UEM:

• پلتفرم مدیریت دستگاه: امکان مدیریت چرخه‌ی عمر کامل انواع مختلفی از دستگاه‌ها ازجمله گوشی‌ها، تبلت‌ها، ویندوز 10 و دستگاه‌های ستبر یا دارای هدف خاص را فراهم می‌کنند.
• قابلیت‌های پیاده‌سازی برنامه کاربردی: پیاده‌سازی خودکار یا دسترسی Self-Service را به برنامه کاربردی برای کارمندان فراهم می‌کند.
• خدمات پروفایل کاربر و دستگاه: اطمینان حاصل می‌کند که تنظیمات پیکربندی برای کاربران و دستگاه‌ها:
  • با الزامات امنیتی سازمان تطبیق داشته باشند.
  • دسترسی کاربر نهایی به برنامه‌های کاربردی را تسهیل کنند.
• ابزار بهره‌وری: شامل یک Client ایمیل با عملکرد ایمیل امن، یک ابزار مدیریت محتوا برای ذخیره و مدیریت ایمن محتوا و یک مرورگر وب است که از دسترسی ایمن به اطلاعات و ابزار شرکتی اطمینان حاصل می‌کند.

Workspace ONE UEM چیست؟ Workspace ONE UEM را می‌توان با استفاده از یک مدل On-Premises یا مبتنی بر Cloud یا SaaS پیاده‌سازی نمود. هر دو مدل عملکرد یکسانی را ارائه می‌دهند. برای اجتناب از تکرار، شرح کلی محصول، معماری و اجزای متداول آن در بخش معماری مبتنی بر Cloud توضیح داده شده است. بخش معماری On-Premises نیز اطلاعاتی را برای کسانی که مدل On-Premises را ترجیح می‌دهند، اضافه می‌کند. جدول زیر استراتژی استفاده از هر دو مدل پیاده‌سازی شرح داده شده است.

تصمیم	Workspace ONE UEM هم به‌صورت On-Premises و هم مبتنی بر Cloud به‌طور جداگانه پیاده‌سازی می‌شود.
توجیه	پیاده‌سازی‌ها برای پنجاه هزار دستگاه اندازه‌گیری شده بود که امکان رشد بیشتر را در طول زمان، بدون طراحی مجدد فراهم می‌کند. این استراتژی اجازه می‌دهد که هر دو معماری به‌طور جداگانه تائید و ثبت شوند.

معماری مبتنی بر Cloud

با پیاده‌سازی مبتنی بر Cloud، معمولاً نرم‌افزار Workspace ONE UEM به‌عنوان یک سرویس یا به عبارت دیگر، به‌صورت SaaS ارائه می‌گردد. برای همسان‌سازی Workspace ONE با منابع داخلی مثل Active Directory یا یکCertificate Authority، از یک متصل‌کننده‌ی Cloud جداگانه استفاده می‌شود که با استفاده از AirWatch Cloud Connector پیاده‌سازی می‌گردد. متصل‌کننده‌ی جداگانه می‌تواند در یک حالت اتصال خروجی، درون شبکه‌ی داخلی اجرا شود، یعنی متصل‌کننده هیچ اتصال ورودی را از DMZ دریافت‌ نمی‌کند.

پیاده‌سازی ساده معمولاً شامل موارد زیر است:

• یک Tenant از Workspace ONE UEM
• VMware AirWatch Cloud Connector

شکل بالا در مورد معماری منطقی Workspace ONE UEM مبتنی بر Cloud صحبت شده است.

اجزای اصلی Workspace ONE UEM در جدول زیر شرح داده شدند.

جزء	شرح
کنسول Workspace ONE UEM	کنسول مدیریت برای پیکربندی پالیسی‌ها در چارچوب Workspace ONE UEM، جهت مانیتور کردن و مدریت دستگاه‌ها و محیط. Hostشدن سرویس در Cloud انجام می‌شود و به‌عنوان بخشی از ارائه‌ی SaaS مدیریت‌ می‌گردد.
خدمات دستگاه Workspace ONE UEM	خدماتی که با دستگاه‌های مدیریت‌شده ارتباط برقرار می‌کنند.  Workspace ONE UEM برای موارد زیر، روی این جزء حساب می‌کند: ·  ثبت دستگاه ·  آماده‌سازی برنامه کاربردی ·  ارائه‌ی دستورات دستگاه و دریافت داده‌های دستگاه ·   Host کردن کاتالوگ Workspace ONE UEM به‌صورت Self-Service Host شدن سرویس در Cloud انجام می‌شود و به‌عنوان بخشی از ارائه‌ی SaaS مدیریت‌ می‌گردد.
API Endpoint	مجموعه‌ی RESTful APIهای فراهم‌شده توسط Workspace ONE UEM که به برنامه‌های خارجی امکان استفاده از عملکرد اساسی محصول را از طریق یکپارچه‌سازی APIها با زیرساخت IT موجود و برنامه‌های کاربردی Third-Party می‌دهد. APIهای Workspace ONE همچنین توسط خدمات مختلفی از Workspace ONE UEM مورد استفاده قرار می‌گیرند مثلاً Secure Email Gateway برای تراکنش‌ها و جمع‌آوری داده. Host شدن سرویس در Cloud انجام می‌شود و به‌عنوان بخشی از ارائه‌ی SaaS مدیریت‌ می‌گردد.
AirWatch Cloud Connector	جزئی که همسان‌سازی دایرکتوری و احراز هویت را با استفاده از یک منبع On-Premises مثل Active Directory یا یک Certificate Authority مورد اعتماد انجام می‌دهد. این سرویس در شبکه‌ی داخلی، در حالت محدود به خروجی Host می‌شود و می‌توان آن را برای به‌روزرسانی‌های خودکار پیکربندی کرد.
سرویس AirWatch Cloud Messaging یا AWCM	سرویسی که در کنار AirWatch Cloud Connector مورد استفاده قرار می‌گیرد تا ارتباطات ایمنی را به سیستم‌های Backend فراهم کند. AirWatch Cloud Connector همچنین از AWCM استفاده می‌کند تا با کنسول Workspace ONE UEM ارتباط برقرار کند.  AWCMهمچنین با حذف کردن نیازِ دسترسی کاربران نهایی به اینترنت عمومی یا استفاده از حساب‌های کاربری مصرف‌کنندگان مثل Google IDها، ارائه‌ی پیام‌ها و دستورات را از کنسول Workspace ONE UEM تسهیل می‌نماید. این راهکار به‌عنوان جایگزینی برای Google Cloud Messaging یا GCM برای دستگاه‌های اندروید عمل می‌کند و تنها گزینه برای  فراهم کردن قابلیت‌های مدیریت دستگاه‌های موبایل یا MDM برای دستگاه‌های ستبر ویندوز است. همچنین دستگاه‌های دسکتاپ ویندوز که از VMware Workspace ONE Intelligent Hub استفاده می‌کنند، AWCM را برای Notificationهای Real-Time مورد استفاده قرار می‌دهند. Hostشدن سرویس در Cloud انجام می‌شود و به‌عنوان بخشی از ارائه‌ی SaaS مدیریت‌ می‌گردد.
VMware Tunnel	VMware Tunnel یک روش ایمن و کارآمد را برای برنامه‌های کاربردی مجزا فراهم می‌کند تا به منابع سازمانی که در شبکه‌ی داخلی Host می‌شوند، دسترسی پیدا کنند.  VMware Tunnelاز یک X.509 Certificate منحصربه‌فرد استفاده می‌کند که توسط Workspace ONE به دستگاه‌های ثبت‌شده تحویل داده می‌شود تا ترافیک را از برنامه‌های کاربردی به Tunnel احراز هویت و رمزگذاری کند. VMware Tunnel دارای دو جزء بوده، پراکسی و Per-App VPN  جزء پراکسی مسئول ایمن‌سازی ترافیک از دستگاه‌های Endpoint به منابع داخلی از طریق برنامه‌ی کاربردی VMware Workspace ONE Web و برنامه‌های کاربردی سازمانی می باشد که از Workspace ONE SDK بهره می‌برند. جزء Per-App Tunnel برای برنامه‌های کاربردی مدیریت‌شده روی دستگاه‌های iOS، macOS، اندروید و ویندوز امکان Tunneling را در سطح برنامه‌ی کاربردی فراهم می‌کند، نه Tunneling در سطح دستگاه به طور کامل.

جدول زیر استراتژی پیاده‌سازی برای Workspace ONE UEM مبتنی بر Cloud را نشان می دهد.

تصمیم	یک پیاده‌سازی مبتنی بر Cloud از Workspace ONE UEM و اجزای مورد نیاز برای پنجاه هزار دستگاه طراحی شد که امکان رشد اضافی، بدون نیاز به طراحی مجدد را در طول زمان فراهم نمود.
توجیه	این استراتژی تأییدیه‌ی طراحی و پیاده‌سازی یک Instance مبتنی بر Cloud از Workspace ONE UEM را فراهم می‌کند.

AirWatch Cloud Connector

حتی در حین استفاده از راهکارهای Cloud، مثل Workspace ONE UEM، ممکن است لازم باشد از اجزا و منابع داخلی استفاده شود، مثل Email Relay، خدمات دایرکتوری (LDAP/AD)، Certificate Authority و یکپارچه‌سازی PowerShell با Exchange. این منابع معمولاً توسط قواعد فایروال سخت‌گیرانه ایمن می‌شوند تا از هر دسترسی ناخواسته یا مخربی اجتناب شود. باوجوداینکه این اجزا در معرض دید شبکه‌های عمومی نیستند، در هنگام یکپارچه‌سازی با راهکارهای Cloud مثل Workspace ONE مزایای زیادی را ارائه می‌دهند.

AirWatch Cloud Connector امکان یکپارچه‌سازی بدون دردسر منابع On-Premises را با پیاده‌سازی Workspace ONE UEM فراهم می‌کند، فارغ از اینکه این منابع مبتنی بر Cloud باشند یا On-Premises. این امر به سازمان‌ها این توانایی را می‌دهد که از مزایای Workspace ONE UEM که در هر پیکربندی اجرا می‌شود، همراه با مزایای موجود LDAP، Certificate Authority، Email Relay، یکپارچه‌سازی PowerShell با Exchange و سیستم‌های داخلی دیگر بهره ببرند.

AirWatch Cloud Connector یا ACC در شبکه‌ی داخلی اجرا شده و به‌عنوان یک پروکسی عمل می‌کند که به طور ایمنی درخواست‌ها را از Workspace ONE UEM به اجزای زیرساختی شرکتی متعلق به سازمان منتقل می‌نماید. ACC همیشه فقط در حالت خروجی کار می‌کند که باعث حفاظت در مقابل حملات ورودی شده و امکان کار کردن با قواعد و پیکربندی‌های موجود فایروال را فراهم می‌کند.

Workspace ONE UEM و ACC از طریق AirWatch Cloud Messaging یا همان AWCM ارتباط برقرار می‌کنند. این ارتباط از طریق احراز هویت مبتنی بر Certificate ایمن‌سازی می‌شود و Certificateها از یک Workspace ONE UEM Certificate Authority مورد اعتماد ایجاد می‌گردند.

ACC با اجزای داخلی زیر یکپارچه‌سازی می‌گردد:

• Email Relay یا SMTP
• خدمات دایرکتوری یا LDAP/AD
• Exchange 2010 یا PowerShell
• Syslog یا داده‌های Log رخداد

ACC همچنین امکان استفاده از افزونه‌های یکپارچه‌سازی PKI زیر را فراهم می‌نماید:

• Microsoft Certificate Services یا PKI
• Simple Certificate Enrollment Protocol یا SCEP PKI
• خدمات Third-Party Certificate (فقط به‌صورت On-Premises)
  • OpenTrust CMS Mobile
  • Entrust PKI
  • Symantec MPKI

برای خدمات Cloud Certificate، هیچ نیازی به استفاده از AirWatch Cloud Connector وجود ندارد. فقط وقتی از ACC استفاده می‌شود که PKI به‌صورت On-Premises باشد، نه در Cloud یا همان SaaS.

جدول زیر استراتژی پیاده‌سازی برای AirWatch Cloud Connectorرا نمایش می دهد.

تصمیم	AirWatch Cloud Connector پیاده‌سازی شد.
توجیه	ACC امکان یکپارچه‌سازی Workspace ONE UEM را با Active Directory فراهم می‌کند.