遠端接入方案 OpenText Exceed TurboX（ETX） 安全架構、安全功能

Exceed TurboX 安全功能

将所有重要的知識産權（IP ）相關資料儲存在受良好保護的中央資料中心是保護 IP 的最佳做法。安全的遠端通路是保護知識産權的關鍵。

Exceed TurboX 突出優勢

• 所有資料流量均采用最新标準加密技術進行加密
• ETX 整合多種身份驗證系統
• ETX 集中管理使用者、會話和資料中心基礎設施
• 保護您的 IP 的安全架構

許多企業希望通過資料中心整合減少 IT 支出并提高集中化管理，他們還需要為 Linux®、Unix® 和 Microsoft®Windows® 上軟體圖形要求高的使用者提供高性能的遠端通路。

這類軟體，以及其他圖形要求高的設計和建築軟體，是許多企業用來設計其核心産品的工具，例如半導體、引擎部件或架構。企業正在尋找涵蓋圖形要求高的和标準業務使用者桌面的解決方案，以實作虛拟化的好處。

Exceed TurboX 是一種進階解決方案，用于桌面虛拟化和遠端通路圖形要求苛刻的應用程式，例如 CAD、EDA 和許多其他應用程式，包括托管在 UNIX 和 Linux 伺服器上的 X Window 應用程式以及托管在 Windows 伺服器上的 Windows 應用程式。 Exceed TurboX 在長距離和低帶寬資料連接配接上提供高性能。 它為 IT 提供了一個中心位置，可以将在各種伺服器平台上運作的應用程式安全地部署到受管理的使用者清單中，通過将應用程式整合到一個或幾個全球資料中心來降低成本，同時最大限度地減少對業務的幹擾。

Exceed TurboX 在多個層面提供高安全性，以保護知識産權免受内部和外部攻擊。 将核心産品設計應用程式儲存在中央資料中心可確定沒有未經授權的實體通路。 強加密用于用戶端浏覽器與 Exceed TurboX Web 伺服器之間的資料流量，以及節點與用戶端之間的螢幕内容流。

使用者可以通過多種平台選擇遠端通路其圖形要求高的解決方案。 Exceed TurboX 可在 Windows、Mac、Linux 或 iPad 上使用。這些平台比為每個使用者提供高端圖形 Linux/Unix 工作站更具成本效益。

知識産權保護和安全

一項研究表明，60% 的知識産權洩露是由疏忽或員工惡意所為。這就是為什麼處于工程、制造、石油和天然氣勘探、科學研究、金融交易、醫療成像、建築設計和其他處理敏感資料的行業的衆多企業已經将他們的資料（以及讀取和寫入該資料的應用程式）從使用者工作站轉移到安全的資料中心。

遠端通路軟體 (RAS) 是資訊安全難題的關鍵部分，因為它為使用者檢視和編輯資訊資産提供了進入安全環境的唯一入口。 RAS 解決方案必須非常安全，以確定資料不會離開資料中心。 Exceed TurboX 是為需要最高安全标準來保護其敏感資料的客戶而開發的。

• 檔案傳輸、列印和複制/粘貼功能可以根據應用程式、使用者、使用者組或使用者位置（子網）打開或關閉。

• 可以記錄本地和遠端系統之間複制/粘貼操作的剪貼闆内容。

• 可以單向或雙向啟用檔案傳輸和複制/粘貼操作。

• IT 保持對使用者權限的完全控制，包括可以通路哪些主機、哪些應用程式或腳本可以在這些主機上運作，以及由哪些使用者或使用者組運作。

• 單個 ETX 伺服器可以跨不同地理位置的多個資料中心實施企業範圍的安全性。

• 借助VPN 或HTTP(S) 代理支援，ETX 給來自外部的客戶和承包商站點提供了安全通路，無需将資料傳輸給第三方或通過機場安檢傳輸敏感資料。

• 會話視窗可以在用戶端螢幕截圖中被清空，進而阻止使用者捕獲敏感應用程式和資料的圖像。

加密和身份驗證

• 所有ETX 連接配接都經過加密并驗證伺服器身份，以防止網絡窺探和中間人攻擊。

• 用戶端浏覽器和 ETX Web 伺服器之間的資料流量使用 TLS 加密并支援 HTTPS 證書。

• 遠端會話使用 TLS 1.3 加密；建立會話時通過證書驗證伺服器身份。

• ETX 節點和應用程式主機之間的後端連接配接可以使用 SSH 加密。

• ETX 伺服器、節點和許可證伺服器之間的後端連接配接采用 TLS 1.3 加密。

集中管理

• Exceed TurboX 使 IT 員工小組能夠管理跨多個區域資料中心的數千個應用程式和桌面主機，進而使 IT 能夠保持對複雜計算環境的控制。

• 電子郵件警報将環境問題通知管理者，包括記憶體或磁盤空間問題、當機或使用者會話的失控，以及可能導緻停機的其他問題。

• 為使用者登入、應用程式和桌面啟動、配置更改和權限更改提供完整的審計軌迹。

• 應用程式伺服器可以分組到區域中，針對這些伺服器組的配置檔案可以釋出到這些區域中的使用者組，進而確定最佳網絡性能并在區域之間建立邏輯分離。

• 安裝到 ETX Server 的軟體更新會推送給所有使用者和主機，進而可以快速修補錯誤并輕松部署新的安全功能。

• 可以為每個使用者或每個組設定詳細的權限，以便快速輕松地管理權限。

驗證

ETX 支援以下認證方式：

• 輕量級目錄通路協定 (LDAP)

• Microsoft® Active Directory® (AD)

• UNIX 可插入身份驗證子產品 (PAM)

• UNIX 本機帳戶

• OpenText 目錄服務 (OTDS) 通過 OAuth2 和其他 2FA 提供商對多種身份驗證系統提供通路

• Kerberos 單點登入 (SSO)

ETX 通過将 ETX 登入憑據安全地轉發到後端桌面和應用程式伺服器，為 Windows 和 UNIX 主機提供單點登入。這包括将 Kerberos 票證從浏覽器轉發到 SSH 主機以獲得端到端 SSO 支援。

ETX 的其他身份驗證功能包括：

• 用于基于 REST 的管理和啟動配置檔案的 API 密鑰。

• 永久或臨時ETX 帳戶鎖定以防止密碼暴力攻擊，而不鎖定域帳戶。

• 從身份驗證目錄中批量導入使用者和配置設定權限。

• 使用者權限的詳細定制

• 能夠在成功登入或阻止新帳戶時建立新的帳戶（需要由 ETX 管理者手動建立）

如果您使用第三方解決方案進行單點登入或聯合身份驗證，OpenText 目錄服務 (OTDS) 是一個免費的身份驗證伺服器，支援第三方 SSO、ADFS、SAML、OAuth2 甚至自定義身份驗證。對于使用混合目錄和安全身份驗證解決方案的公司，OTDS 可以同時針對多個系統進行身份驗證。

安全架構

ETX 用戶端軟體不需要管理者權限即可安裝； 任何 Mac、Linux 或 Windows PC 在首次登入或啟動會話時都會被提示安裝輕量級啟動器。

• ETX Server 使用嵌入式 Eclipse Jetty Web 伺服器，該伺服器占用空間小，潛在攻擊者的表面積最小，

• ETX 伺服器和節點既可以安裝在 VPN 中，也可以安裝在 HTTP(S) 代理或負載平衡器（Load balancer）下供承包商和客戶通路。

• HTTP(S) 代理或負載平衡器（Load balancer）可以通過在這些主機上使用私有位址來阻止與 ETX 伺服器和節點的直接連接配接。

• HTTP(S) 證書和節點證書確定與後端系統的連接配接是安全的。

• ETX 管理門戶可以托管在隻能從 VPN 或專用網絡内通路的專用端口上，進而確定攻擊者無法獲得管理通路權限。

全球生産力與協作

由于員工和外部合作夥伴之間的簡單協作提高了生産力。 Exceed TurboX 提供強大的螢幕共享功能，包括将控制權傳遞給遠端使用者的能力，以實作高效的全球勞動。

內建高可用性

Exceed TurboX 12 伺服器現在可以部署在一個高可用性伺服器“叢集”中，以最大的正常運作時間提供對 Exceed TurboX 伺服器的高可用性通路。 HA 叢集中的每台伺服器都處于活動狀态，是以可以通過前端 Web 負載均衡器将會話分發到叢集中的每台 Exceed TurboX 伺服器。 這種新的 HA 模型遵循高可用性 Web 伺服器的企業最佳實踐，并取代了以前版本中的“故障轉移”模型，該模型需要企業資料庫複制并且僅支援單個“主”伺服器。 在叢集模型中，資料在 Exceed TurboX 伺服器之間自動同步，是以故障的 Exceed TurboX 伺服器可以在以後重新上線，而不會出現資料損壞或資料同步問題。

管理更輕松

Exceed TurboX 伺服器的安裝過程已簡化為兩個步驟：解壓檔案并啟動伺服器。 配置可以從指令行和 REST API 完全自動化，但也可以完全通過 Exceed TurboX 伺服器管理器（Web 控制台）完成。 添加了新消息以通知伺服器管理者出現問題，例如磁盤空間不足或無法通路許可證伺服器或 HA 叢集中的其他伺服器。