企業IT和安全上司者面臨的挑戰是,在確定易用性和生産力的同時,将業務風險降低到可接受的水準。人們需要能夠以最适合自己目的的方式工作—任何地點、裝置或網絡—而不會因為過度受限或複雜的使用者體驗而感到沮喪。與此同時,保護企業應用程式和資料不受安全威脅,防止丢失和盜竊,并確定完全符合标準和法規是至關重要的。
Citrix支援跨企業安全五大關鍵支柱的風險管理最佳實踐:身份和通路、網絡安全、應用安全、資料安全以及監控和響應。
我們通過建立在機密性、完整性和可用性基礎上的緊密內建解決方案,使客戶能夠實施和管理這些關鍵措施。成熟的應用程式傳遞模型将應用程式和資料集中在資料中心,并提供跨任何位置、網絡和裝置的上下文通路控制。是以,員工、承包商和合作夥伴可以靈活地選擇他們的工作方式,無論是遠端、移動還是在辦公室。連接配接、流量和使用者活動的端到端可見性使IT能夠在不影響勞動力生産率的情況下解決隐私、合規和風險管理的優先事項。與第三方安全供應商的內建可以實作先進水準的系統管理和身份、端點和網絡保護。
本文探讨了解決關鍵使用者生産力和安全挑戰的最佳實踐,以及Citrix緊密內建的解決方案如何讓客戶在管理風險的同時充分利用業務移動性的好處。
確定現代企業的生産力
當今企業面臨的安全挑戰在兩個次元上快速增長,風險水準不斷更新,以及應用程式不斷演變和多樣化加劇了這一挑戰。與此同時,移動工作者—對每個企業來說都是至關重要的能力—使用者無論在哪裡、以何種方式工作,都能獲得便捷、一緻和可靠的體驗。這必須擴充到他們通過任何網絡,在任何裝置上使用任何類型的應用程式。即使移動工作者的需求增長得更加複雜,IT業也必須繼續追求簡單。
在思傑,我們相信良好的使用者體驗與安全是相伴而生的。我們的解決方案建立在安全最佳實踐的基礎上,旨在保護重要的東西—資料、應用程式—同時允許使用者在每個場景中靈活、自由和無差别的體驗。這些措施包括:
身份和通路
•對所有使用者進行雙因素認證
•最小特權授權
•基于使用者上下文的通路控制
網絡安全
•為移動和第三方使用者提供安全的遠端通路
•網絡和主機分段,收縮攻擊面
•分層方法確定可用性
應用保護
•應用程式的集中化和加密傳遞
•移動應用的容器化
•檢查保護網頁應用
資料安全
•資料的集中化和托管傳遞
•安全的檔案共享,減少資料丢失
•用于傳輸和儲存資料的容器化
監測和響應
•應用流量的端到端可見性
•資源通路的審計和核算
•支援符合标準和法規
在以下章節中深入探讨,這些最佳實踐定義了我們所有産品的安全方法。客戶在解決方案中體驗到它們的好處,包括:
•Citrix NetScaler通過端到端系統和使用者可見性實作感覺和控制連接配接
•Citrix XenApp和XenDesktop在資料中心内部集中管理應用程式和桌面
通過這種方式,我們幫助組織在不妨礙生産力的情況下滿足安全需求和業務目标。
Citrix架構
一、身份和通路
防止對應用程式、資料和網絡的未經授權的通路是一項基本的安全要求。所有級别的使用者,從業務人員到管理者和高管,都經常成為釣魚攻擊的目标。具有破壞性的漏洞往往隻是一封看上去真實的電子郵件或輸入錯誤的URL。随着攻擊者專注于竊驗證書,即使是強大的、經常更改的密碼也不足以阻止資料庫加密等安全措施的洩露。一個被竊取的使用者名/密碼組合就足以解鎖多個網站和服務—個人社交媒體賬戶上的一個不小心行為就可能危及組織的旗艦産品或服務。管理使用者通路需要一種平衡的方法,既友善使用者,又比簡單的使用者名和密碼組合更安全。
1.1 身份驗證:要求對所有使用者進行雙重身份驗證
鑒于密碼容易被洩露,應用程式和桌面的雙因素身份驗證對于有效的安全至關重要。其原理是需要兩種不同形式的認證—一種是使用者知道的認證;第二種是使用者使用的東西,比如實體令牌。這對使用者模拟構成了重大障礙,即使主密碼已被洩露。作為更新的一部分,身份驗證也應該添加到原生不支援它的遺留應用程式中,這是由NetScaler和XenApp提供的功能。
為了鼓勵使用強密碼,同時減少使用者的困惑和沮喪,IT部門可以采取措施,提供更無縫的登入體驗,包括:
•聯合身份—使用第三方雲服務可以要求使用者管理額外的一組信任狀。通過在公共網絡上安全共享認證和授權資料,聯合身份消除了單獨登入的需要。實際上,該組織将對Microsoft Office 365等服務的通路綁定到其使用者目錄。如果一個人離開了組織,IT可以像删除内部資源一樣輕松地集中删除對所有第三方服務的通路。NetScaler和ShareFile都支援SAML,這是通常處理聯合身份的标準。
•單點登入—在聯合身份和非聯合身份環境中,單點登入(SSO)可以通過消除向多個系統多次輸入相同憑據的需要來減少使用者的複雜度。NetScaler支援常見的單點登入機制,包括基于表單的、基于401的和Kerberos限制委托,還可以維護認證會話cookie,以在通過網站、儀表闆或門戶通路的所有web應用程式上提供單點登入。
1.2 最小特權授權:使用上下文通路控制實作最低權限授權
通過身份驗證的使用者應該被授權僅通路完成其工作所需的應用程式、桌面和資料—最小特權原則—一旦不再需要,就減少權限。類似的:
•為了降低與惡意軟體相關的風險,管理者不應以管理者身份登入工作站,除非任務需要特權帳戶,而應使用标準使用者憑證進行日常操作,如檢查電子郵件和浏覽網頁。
•應用程式和服務應該配置為以盡可能少的特權啟動,服務帳戶應該以最低要求的權限建立。
•管理職責應該分離,以限制一個人的權力,并防止單個惡意管理者既能實施攻擊,又能隐藏攻擊。
授權級别通常通過組成員關系與使用者身份綁定,但這種方法可能缺乏針對每個使用者的粒度。面向任務或基于位置的授權可能更有效,特别是對于遠端通路用例,如遠端工作者、離岸外包和第三方通路。與基于角色的通路機制(如Microsoft Active Directory)內建,NetScaler允許在組和使用者級别定制預定義的通路政策。
1.3、通路控制:通過驗證端點來管理通路
組織利用遠端工作和彈性工作制等實踐帶來的生産力和員工滿意度的同時,他們還需要更細粒度的通路控制。安全政策可能需要根據給定使用者是在公司網絡内部工作還是在公司網絡外部工作,并區分公司和第三方員工,以允許不同級别的通路。終端的多樣化和BYOD的興起使基于裝置的通路管理要複雜得多。一些組織允許任何筆記本電腦、電腦、手機或平闆電腦接入網絡,有時不需要任何形式的惡意軟體、防毒軟體或應用程式限制。
Citrix最佳實踐要求根據使用者、裝置、位置、資源和行動的綜合屬性,提供對應用程式和資料的适當通路級别。在授予通路權限之前,NetScaler會詢問端點,以確定其在域成員資格、防病毒和惡意軟體保護方面是健康的和合規的。這種分析使SmartAccess政策引擎能夠基于“通路的五個W”(誰、什麼、何時、何地和為什麼)觸發自适應會話政策。管理者具有完全的靈活性,可以根據組織的安全政策定義不同的通路場景和相應的規則,而使用者可以在任何裝置上自由工作。對于不合規的裝置,使用者可以被隔離,并被授予對特定站點和資源的有限通路權。
二、網絡安全
在現代企業中,移動性的作用越來越大,使得遠端通路成為IT的核心功能,也成為攻擊者進入企業網絡的主要途徑。入侵的後果可能是毀滅性的。商業合作夥伴網絡的破壞可以直接導緻對組織本身的攻擊,為攻擊者提供一個薄弱的連結來利用作為網絡入口。一旦進入,攻擊者就會尋求特權更新,然後橫向轉移到域控制器等核心元件。在一次高度曝光的入侵中,攻擊者能夠從銷售終端等聯網儲存設備直接與核心網絡通信。此時,後門程式或遠端通路木馬(RAT)通過對外部系統的出站呼叫,連接配接到指令與控制(C2)伺服器通常沒有什麼困難。
2.1、遠端通路:員工和第三方的安全通路要求
遠端通路能力允許企業網絡以外的使用者通路應用程式、桌面和資料。允許、控制和保護這種通路是NetScaler統一網關的角色,能夠實作:
•将遠端通路和SSO擴充到所有企業和雲應用
•鞏固基礎設施,減少通路方法的擴散
•攔截傳入的流量,在流量被發送到後端應用程式之前,作為反向代理網關攔截它
•通過整合支援所有類型的通路場景(包括移動)所需的功能,提供一個單一的URL來加強各種現有解決方案
一個典型場景是提供到資料中心的直接網絡級連接配接的完整SSL VPN。對于大多數不需要完整VPN的使用者,NetScaler為XenApp提供ICA代理,将托管的應用程式和桌面連接配接到Citrix Receiver。與SSL VPN一樣,用戶端和資料中心之間傳輸的所有資料都是加密的。這是包括PCI DSS在内的高安全性環境的推薦配置。一個URL為終端使用者提供了一個簡單的入口,可以從任何裝置遠端通路web、SaaS和Citrix應用程式,并能夠進行雙因素認證,SSO和聯合身份認證。
NetScaler通過提供單一配置點來簡化和集中通路控制與可見性。SmartControl充當ICA防火牆,根據用戶端裝置作業系統和更新檔級别等參數,以及防毒軟體是否安裝、運作和更新等,集中通路控制邏輯來管理上下文授權。還可以根據用戶端和伺服器的IP和端口以及使用者群組成員關系來阻止某些功能。虛拟通道通路,如剪貼版映射、用戶端驅動器映射或列印,可以為每個應用程式啟用,以提供正确的通路級别。
2.2、分割:實作網絡安全區域
通過定義安全區域,将對敏感應用程式和資料的不受歡迎的通路降至最低,将最小特權規則擴充到網絡和主機。防火牆和網關将流量限制在各自的區域内,減少橫向移動和攻擊面,以遏制漏洞的爆炸半徑。
NetScaler支援的分割措施包括:
•DMZ中的用戶端連接配接的認證和代理,在這一點上阻止畸形封包和惡意請求
•對後端伺服器連接配接進行優化、多路複用和速率限制,以保護其資源
•一個軟體定義的架構,使用虛拟化使硬體平台被安全地分割成單獨的和唯一的執行個體,每個執行個體都有單獨的sla和配置設定共享或專用的記憶體、SSL、CPU和虛拟網卡
NetScaler本身的架構是将分割作為一個關鍵的設計原則。
•流量域将不同應用程式和租戶的流量分段到單個裝置上完全隔離的網絡環境中。
•管理分區将單個NetScaler裝置細分為單獨的資源,使用專用的管理和單獨的登入UI、視圖、配置檔案和日志記錄-例如,使用Citrix、網絡和微軟應用程式團隊的應用程式特定分區。
2.3、可用性:使用智能負載均衡和多層拒絕服務保護
可用性每天都受到硬體和軟體故障以及DDoS攻擊的挑戰,DDoS攻擊通過耗盡帶寬、計算和記憶體資源來中斷服務。
負載均衡是NetScaler的核心功能,它将傳入的用戶端請求分發到承載web應用程式和内容的多個伺服器上。這可以防止任何一台伺服器成為單點故障,并與使用率優化方法(如最小連接配接或基于snmp的名額)一起,提高整體應用程式可用性和響應能力。全局負載均衡(GSLB)為擁有多個站點和地理分布服務的組織提供了額外的一層保護、故障轉移和優化。作為其多層可用性方法的一部分,NetScaler還提供:
•DDoS保護- NetScaler檢查用戶端連接配接和請求參數,以防止SYN、UDP、ICMP、Smurf和Fraggle等flood攻擊,等待代理連接配接,直到送出有效的應用程式請求。
•SSL/TLS解除安裝-通過代理,驗證和,如果需要,限速連接配接,NetScaler保護web服務免受針對SSL/TLS漏洞的攻擊,如HeartBleed, Shellshock和Poodle。
•浪湧保護和優先級排隊——NetScaler通過緩存和設定連接配接優先級,然後在伺服器負載降低時傳遞它們,進而不會丢棄任何連接配接,進而緩解流量峰值和激增可能導緻後端伺服器過載的情況。
NetScaler還為DNS伺服器提供DNS保護,并支援DNSSEC,以防止僞造和損壞的主機記錄傳播到新的目标。
App 保護
各種類型的應用程式都是被攻擊的熱門目标。即使安全研究人員比黑客更早發現漏洞,一個組織的系統也需要幾個月的時間才能打更新檔或更新。即便如此,盡管有成熟的應用程式傳遞模型,以及及時發現、測試和修複易受攻擊軟體的既定流程,許多成功的入侵還是利用了多年來已經有更新檔可用的漏洞。
在移動裝置上,本地安裝的應用程式存在資料存儲不安全、資料傳輸不安全、敏感資料洩露等風險。随着智能手機和平闆電腦迅速成為商業标準,個人和商業應用之間的界限變得模糊,敏感和機密資料暴露在通過雲存儲、社交網絡、應用之間或點對點共享的風險中。
由于安全配置不完善、底層作業系統更新檔管理不完整、編碼語言存在漏洞,或第三方依賴程式中的未打更新檔和零日漏洞,Web應用程式容易受到攻擊。遺留或不受支援的應用程式有可能受到篡改字段、溢出緩沖區或執行指令注入和遠端代碼執行的攻擊。應用層攻擊遠遠高于網絡防火牆和IDS/IPS提供的控制,它們不了解邏輯攻擊。
集中化:虛拟化應用,要求加密傳遞
應用虛拟化通過在資料中心集中應用程式來保護敏感資料,隻允許應用程式的像素化表示到達端點——沒有實際的資料傳輸發生。虛拟化還允許基于應用程式的分類安全需求,敏感應用可以被豎井式地放置在獨立網段内的專用伺服器上,具有不同的敏感分類和限制,可以釋出多個獨立版本的web浏覽器,以解決web應用的多樣化安全和遺留需求。IT獲得了一個單一的可見性和控制點,以定義和執行組或使用者級别的通路政策。
對本地安裝的應用程式進行分散的安全配置和更新檔管理效率低下,而且常常不一緻。通過集中化,作業系統更新檔、服務包、修複程式以及應用程式和配置更新可以在單個主映像上執行,進而加速測試和上線。基于端點的攻擊(如記憶體或RAM抓取)不再構成風險。
Citrix Receiver用戶端和XenApp伺服器之間的功能和通信是通過圖形、磁盤、COM端口、LPT端口、列印機、音頻、視訊和智能卡的虛拟通道進行的,XenApp政策控制儲存、複制、列印或以其他方式移動資料的能力。對于需要額外保護層的組織,NetScaler上的SmartControl實作了網絡級别的過濾。加密被內建到通信流的每個元件中,包括多層ICA和SSL/TLS。
Containerization:管理移動應用,防止資料丢失
Citrix移動應用安全的最佳實踐是基于容器化,這是一種在裝置層面的細分形式。使用者可以在裝置上同時使用個人和商業應用程式,商業應用程式和資料由IT管理。硬體、作業系統和個人應用的安全通過基于容器的安全措施進行擴充,包括加密存儲和使用、應用到應用的資料控制和資料擦除政策。
在容器化方法的基礎上,XenMobile使組織能夠對應用程式以及資料和設定進行集中管理、安全和控制。
•Micro-VPN - XenMobile和NetScaler為原生移動應用提供專用的Micro-vpn隧道,應用程式和NetScaler之間的加密SSL/TLS會話受到保護,不受其他裝置和Micro-vpn通信的影響,以確定内部網絡上的資源不暴露于感染了惡意軟體的個人應用的流量。
•裝置驗證-因為容器化本身不能確定已經越獄或破解的裝置的安全性,以允許安裝盜版或未經驗證的應用程式-這是惡意軟體的常見載體,旨在獲得超級管理者狀态- xenmobile驗證裝置狀态,并在裝置注冊之前阻止越獄裝置。
•管理原生應用- Citrix移動業務生産力應用程式,包括WorxMail和WorxWeb,用于安全管理安裝在移動裝置上的電子郵件和Web浏覽器,沙盒在一個安全的容器中,IT可以遠端管理,控制,鎖定和有選擇地擦除,而不接觸裝置上的個人資料或應用程式。
檢查:保護web應用程式免受攻擊
Web應用程式是黑客的主要目标,提供了一個高度脆弱的攻擊面,可以直接連接配接到包含敏感客戶和公司資訊的資料庫。這樣的威脅通常是專門為目标而設計的,使得網絡層安全裝置(如入侵保護系統和網絡防火牆)無法識别。這使得web應用程式暴露于使用已知的和零日漏洞的應用層攻擊。NetScaler AppFirewall通過為web應用程式和服務提供集中的應用層安全來彌補這一差距。
基于注入漏洞的邏輯攻擊利用了應用程式無法過濾使用者輸入的漏洞,例如,當SQL注入被用來通過應用程式傳遞任意指令,由資料庫執行時。跨站腳本(XSS)使用web應用程式作為攻擊其他使用者的武器,同樣是通過無法驗證輸入。成為應用程式的一部分後,有效負載被傳回到受害者的浏覽器,在那裡它被視為代碼并執行會話劫持或通過網絡釣魚試圖竊取憑據。
AppFirewall存儲自定義注入模式,以防止所有類型的注入攻擊。
•管理者可以使用字段格式保護來用正規表達式限制使用者參數,檢查表單字段的一緻性,以确認它們沒有被修改。
•為了防止SQL注入,AppFirewall檢查請求的SQL關鍵字和字元的組合。
•對于針對XSS攻擊的動态和上下文敏感的保護,AppFirewall尋找類似于HTML标簽的輸入,并檢查允許的HTML屬性和标簽來檢測XSS腳本和攻擊。
因為web應用程式經常是DDoS攻擊的目标,保護必須擴充到網絡和會話層之外。NetScaler使用應用級DDoS保護來阻斷或節流在網絡層看來正常的攻擊流量。
•HTTP DDoS保護對用戶端請求進行挑戰,以確定它們來自有效的浏覽器。來自腳本和機器人的請求通常不能正确地回答挑戰,是以被拒絕。
•當一個POST請求被接收時,它首先被檢查是否有一個有效的cookie。如果它沒有,NetScaler發送一個JavaScript給用戶端,要求它用一個新的cookie重新發送資訊,這将在四分鐘後失效。對用戶端的每一個響應都會發送一個新的cookie。在攻擊過程中,之前發送的所有cookie都失效,并發送一個帶有cookie的錯誤頁面。新連接配接以及不能提供有效cookie資料的連接配接被放入低優先級隊列。
AppFirewall強制正面和負面安全模型以確定正确的應用行為。正面安全模型了解良好的應用程式行為,并将所有其他流量視為惡意流量—這是唯一被證明有效的方法,提供針對未釋出漏洞的零日保護。當應用程式的預期和合法行為可能會導緻違反預設安全政策時,管理者可以建立受管理的例外和寬限。
使用負面安全模型,AppFirewall還使用數千個自動更新的簽名對已知攻擊進行掃描。進階web應用程式保護配置檔案增加了會話感覺保護,以保護動态元素,如cookie、表單字段和會話特定的url。針對用戶端和伺服器之間的信任的攻擊将停止。這種保護對于任何處理使用者特定内容的應用程式(如電子商務網站)來說都是必要的。
資料安全
各類資料,包括法律檔案、合同、研發資料、營銷和銷售資訊、娛樂媒體或任何其他形式的知識産權,都是重要的組織資産,必須加以保護。近年來,已知的數千起洩露事件導緻數以百萬計的客戶和患者記錄被洩露,其中許多涉及個人身份資訊(PII),包括信用卡号碼、社會安全号碼、出生日期、駕照、位址、健康記錄、學生記錄、政府和榮民記錄,這些記錄帶有指紋和安全許可資料。
并非每一次入侵都是由黑客攻擊、惡意軟體和其他攻擊造成的。其他原因包括意外洩露、黑客和惡意軟體、支付卡欺詐、内幕欺詐、檔案丢失、媒體丢失,以及移動和固定裝置的丢失。消費者級雲存儲在使用者中的流行尤其成問題,它将資料從可信的網絡轉移到不受組織控制的伺服器上。
中心化:對資料出口進行集中化、監控和控制
虛拟化環境下,資料位于資料中心。應用程式在伺服器上執行時,隻需點選滑鼠和擊鍵發送給使用者裝置—而不是資料—以減輕由于丢失、被盜或銷毀端點造成的損失和洩漏。組織機構可以通過防止将檔案和資料庫傳輸到工作站來進一步防止大量資料丢失。
為了防止資料被儲存在可移動媒體上,如USB驅動器,使用者之間的電子郵件,列印出來或以其他方式暴露在丢失或盜竊,IT部門可以集中管理控制使用者儲存、複制、列印或以其他方式移動資料的能力的政策。進一步增強資料安全性的裝置政策包括:
•通過禁用虛拟通道(如用戶端驅動器映射、列印和複制/粘貼)将用戶端資料從應用程式中分割出來。
•定義檔案夾重定向,将使用者的My Documents檔案夾映射到資料中心的中央檔案存儲。
•限制檔案儲存的位置,以防止丢失,盜竊或破壞終端。
容器化(Containerization):對傳輸中的和靜止的資料進行加密
當移動應用在本地運作時,資料存儲在本地,增加了資料洩露和丢失的風險。XenMobile通過容器化和加密來解決不安全的移動資料存儲。
•通過容器化,或應用級分割,每個應用的資料駐留在容器中執行,不能被駐留在其他地方的應用通路。
•IT可以在端點上安全隔離的容器内加密資料,減輕資料丢失的風險。
BYOD的實作使得分離個人和商業應用程式及其相關資料變得至關重要,特别是考慮到移動應用程式之間的資料廣泛共享,例如通過内置的系統應用程式,如聯系人。XenMobile使用開放管理來保護iOS資料,這允許IT控制受管和非受管應用之間的資料流和通路。例如,管理者可以阻止使用者使用非托管應用程式來打開托管應用程式中建立的資料,反之亦然。電子郵件附件隻能在公司準許的應用程式中打開,網站連結也必須在安全浏覽器中打開。
XenMobile在編譯時或通過封裝技術對應用程式資料采用行業标準加密。所有應用程式資料都存儲在一個安全的容器中,該容器對裝置上的檔案和嵌入式SQL技術進行加密。存儲在本地資料庫檔案中的資料使用AES-256加密。
安全共享:啟用安全檔案共享,減少資料丢失
在使用者尋求高效協作的過程中,他們會找到自己之間以及與第三方共享資料阻力最小的路徑,包括那些不在IT可見性、審批或控制範圍内的影子IT解決方案。這導緻了資料蔓延和通過USB驅動器、網際網路和個人雲服務進行的不安全的檔案共享,這些服務往往缺乏對資料洩露的基本或先進控制。員工可能會轉向FTP,它缺乏安全的身份驗證——憑據是通過明文或未加密的電子郵件傳輸的,甚至會意外地将檔案發送給組織内外未經授權的個人。
Citrix通過在ShareFile的每個級别内置安全機制來解決安全檔案共享的挑戰:
•認證—多種雙因素和兩步認證方法包括表單和基于令牌的認證以及短信、語音和備份代碼。ShareFile還支援包括SAML在内的單點登入認證機制,要求使用者首先對企業身份提供者進行認證。
•授權—IT通過授予、監控和撤銷通路權的能力,獲得對檔案共享的可見性和控制。對于添加的資料保護,使用者自己可以在消息發送後使檔案連結過期,并設定删除檔案夾及其内容的日期。使用者和IT部門都可以對存儲在移動裝置上的ShareFile資料和密碼進行遠端擦除,以防丢失或被盜。
•審計—ShareFile跟蹤和記錄所有使用者活動,包括資料通路和資料共享,以支援合規要求,并提供資料使用的可見性。為了幫助合規和解決本地資料存儲的需求,ShareFile允許組織使用ShareFile控制平面在資料中心進行檔案管理和存儲。
•加密—每個檔案在複制到永久位置之前使用唯一的密鑰加密,并在下載下傳到使用者浏覽器之前解密;加密密鑰不與檔案本身存儲在同一伺服器上,以確定對存儲伺服器的實體通路不允許通路駐留在那裡的檔案。ShareFile還提供使用Microsoft Outlook加密的電子郵件,以保護包含在正文和附件中的敏感資訊,并支援符合HIPAA、HITECH和CFPB。
監測和響應
即使在最安全的環境中,阻止先進和持久的威脅行為的入侵幾乎是不可能的,這使得安全監控和檢測絕對至關重要。組織必須通過日志收集、分析和更新獲得對網絡和應用程式的更高的可見性,從顯著資訊中過濾噪聲,檢測異常連接配接嘗試,并識别可用于輔助事件響應的攻擊和妥協名額。
XenApp提供支援其基礎設施端到端監控的工具,包括全面的基礎設施監控、性能監控、事件監控、服務監控和可用性監控。IT可以快速識别使用者體驗退化,加速根源分析。智能的政策、嚴格的執行以及深度的監控和報告能夠在不妨礙使用者通路的情況下實作有效的安全。
可見性:實作監控以解決可用性和性能下降的問題
随着跨業務線的應用程式和部署的數量和複雜性的增加,以及用于監控的工具和技術的增加,可見性挑戰不斷增長。NetScaler通過提供所有應用程式資訊傳播的中心點來簡化監控。雖然這種設計的主要目的是允許負載平衡和SSL解除安裝的可伸縮性和可用性,它也理想地定位NetScaler解析web和ICA流量的任何類型的應用程式使用任何類型的加密。然後,該流量的性能資料被發送到NetScaler Insight Center,該中心使用AppFlow定義和提取可見性資訊。
Security Insight幫助管理者快速高效地關注最相關的監控資料,利用自動化工具将内置的專業知識應用于:
•識别配置模式并突出可能削弱您的安全姿态的不一緻性
•解析堆積如山的NetScaler日志,尋找可能危險的問題——超越異常檢測,實作真正的上下文敏感報告
•突出PCI合規的任何問題,使審計過程更容易完成
對于使用者體驗監控,HDX Insight提供了通過NetScaler代理的端到端的ICA連接配接可見性,以幫助IT解決性能問題,如慢速應用程式或桌面。作為一種分類工具,NetScaler幫助IT确定問題是否存在于用戶端、伺服器端、應用程式端或網絡端,并提供ICA通道、SmartControl和Geo Maps資訊内的帶寬消耗細分。
Web Insight通過收集這些流量的AppFlow記錄并提供分析報告,為運作在Web或HTTP/S層的服務提供可見性。一個中央儀表闆提供了跨所有次元的應用可見性資訊,從終端用戶端到後端應用伺服器。将可見性事實與使用者痛點相關聯的能力有助于故障排除練習。
審計:內建日志和警報,以更快地檢測攻擊和違規
定期對使用者通路、配置更改和帳戶管理日志進行審計和記帳,通過捕獲攻擊和洩露的早期名額,幫助進行威脅檢測。這些可能包括不尋常和大量的出站流量、不尋常的帳戶活動(尤其是特權帳戶)以及從不尋常的位置成功或失敗的登入。這些資料還可以幫助IT部門按照最佳實踐的建議清理不活躍的賬戶。由于成功的入侵者經常清理日志,以延遲對其入侵的檢測,日志檔案應該存儲在系統外部。
NetScaler審計提供了許多實時和曆史行為的日志,包括:
•認證失敗和成功
•授權失敗與成功
•目前,逾時和所有AAA會話的所有應用流量通過NetScaler
集中通路控制允許管理者在同一域和裝置内整合所有應用程式的管理,而不是對每個應用程式使用單獨的控制。
除了簡化和加速故障排除之外,跟蹤和報告對XenApp伺服器群的配置所做的更改(由誰、在什麼時間做出的更改)的能力可以確定責任性并有助于安全性—特别是在多個管理者進行修改的環境中。配置日志還捕獲變更管理、配置跟蹤和管理活動報告的審計跟蹤。管理者可以根據使用者、應用程式或伺服器記錄活躍的XenApp虛拟應用程式和伺服器托管的桌面會話,然後将錄音存檔,以便在需要時進行驗證分析或參考。
合規性:通過設計有重點的架構,減少審計的範圍
長期以來,嚴格遵守高加密标準一直是政府機構的一項要求,FIPS合規性正迅速成為商業領域以及銀行、信用卡處理機構和醫療保健組織關注的一個話題,以確定其資料中心内的通信安全。
XenApp和XenDesktop提供本地符合FIPS 140-2 HDX協定的協定,在虛拟環境中提供最進階别的資料通路安全。所有使用者連接配接到虛拟應用程式和桌面都使用nist強制的FIPS 140-2驗證子產品進行加密。NetScaler內建提供FIPS 140-2 2級合規,通過加強裝置實作更進階别的資訊保障。資料集中、托管傳遞和遠端顯示将PCI資料限制在一個小的、受保護的空間内,可以比整個内部網絡更完整、更有效地審計。XenApp、XenDesktop和NetScaler也構成了唯一滿足Common Criteria認證的端到端應用和桌面傳遞解決方案,Common Criteria認證是軟體安全功能的ISO标準,評估認證、通路控制、管理和安全通信。
結論
現代企業員工需要深入、全面的安全保障來保證資料的安全,無論人們如何工作——任何地點、任何裝置、任何通路方式。Citrix的安全最佳實踐建立在機密性、完整性和可用性的基礎上,包括身份和通路、網絡安全、應用安全、資料安全以及監控和響應,以確定每個使用者場景中的保護和生産力。欲了解更多關于通過緊密內建的Citrix解決方案來確定安全的資訊,請通路URL。