citrix服务器虚拟化(Citrix企业级安全部署最佳实践--详细介绍)
citrix服务器虚拟化(Citrix企业级安全部署最佳实践--详细介绍)•最小特权授权•对所有用户进行双因素认证当今企业面临的安全挑战在两个维度上快速增长,风险水平不断升级,以及应用程序不断演变和多样化加剧了这一挑战。与此同时,移动工作者—对每个企业来说都是至关重要的能力—用户无论在哪里、以何种方式工作,都能获得便捷、一致和可靠的体验。这必须扩展到他们通过任何网络,在任何设备上使用任何类型的应用程序。即使移动工作者的需求增长得更加复杂,IT业也必须继续追求简单。在思杰,我们相信良好的用户体验与安全是相伴而生的。我们的解决方案建立在安全最佳实践的基础上,旨在保护重要的东西—数据、应用程序—同时允许用户在每个场景中灵活、自由和无差别的体验。这些措施包括:身份和访问
企业IT和安全领导者面临的挑战是,在确保易用性和生产力的同时,将业务风险降低到可接受的水平。人们需要能够以最适合自己目的的方式工作—任何地点、设备或网络—而不会因为过度受限或复杂的用户体验而感到沮丧。与此同时,保护企业应用程序和数据不受安全威胁,防止丢失和盗窃,并确保完全符合标准和法规是至关重要的。
Citrix支持跨企业安全五大关键支柱的风险管理最佳实践:身份和访问、网络安全、应用安全、数据安全以及监控和响应。
我们通过建立在机密性、完整性和可用性基础上的紧密集成解决方案,使客户能够实施和管理这些关键措施。成熟的应用程序交付模型将应用程序和数据集中在数据中心,并提供跨任何位置、网络和设备的上下文访问控制。因此,员工、承包商和合作伙伴可以灵活地选择他们的工作方式,无论是远程、移动还是在办公室。连接、流量和用户活动的端到端可见性使IT能够在不影响劳动力生产率的情况下解决隐私、合规和风险管理的优先事项。与第三方安全供应商的集成可以实现先进水平的系统管理和身份、端点和网络保护。
本文探讨了解决关键用户生产力和安全挑战的最佳实践,以及Citrix紧密集成的解决方案如何让客户在管理风险的同时充分利用业务移动性的好处。
确保现代企业的生产力当今企业面临的安全挑战在两个维度上快速增长,风险水平不断升级,以及应用程序不断演变和多样化加剧了这一挑战。与此同时,移动工作者—对每个企业来说都是至关重要的能力—用户无论在哪里、以何种方式工作,都能获得便捷、一致和可靠的体验。这必须扩展到他们通过任何网络,在任何设备上使用任何类型的应用程序。即使移动工作者的需求增长得更加复杂,IT业也必须继续追求简单。
在思杰,我们相信良好的用户体验与安全是相伴而生的。我们的解决方案建立在安全最佳实践的基础上,旨在保护重要的东西—数据、应用程序—同时允许用户在每个场景中灵活、自由和无差别的体验。这些措施包括:
身份和访问
•对所有用户进行双因素认证
•最小特权授权
•基于用户上下文的访问控制
网络安全
•为移动和第三方用户提供安全的远程访问
•网络和主机分段,收缩攻击面
•分层方法确保可用性
应用保护
•应用程序的集中化和加密交付
•移动应用的容器化
•检查保护网页应用
数据安全
•数据的集中化和托管交付
•安全的文件共享,减少数据丢失
•用于传输和保存数据的容器化
监测和响应
•应用流量的端到端可见性
•资源访问的审计和核算
•支持符合标准和法规
在以下章节中深入探讨,这些最佳实践定义了我们所有产品的安全方法。客户在解决方案中体验到它们的好处,包括:
•Citrix NetScaler通过端到端系统和用户可见性实现感知和控制连接
•Citrix XenApp和XenDesktop在数据中心内部集中管理应用程序和桌面
通过这种方式,我们帮助组织在不妨碍生产力的情况下满足安全需求和业务目标。
Citrix架构
一、身份和访问
防止对应用程序、数据和网络的未经授权的访问是一项基本的安全要求。所有级别的用户,从业务人员到管理员和高管,都经常成为钓鱼攻击的目标。具有破坏性的漏洞往往只是一封看上去真实的电子邮件或输入错误的URL。随着攻击者专注于窃取证书,即使是强大的、经常更改的密码也不足以阻止数据库加密等安全措施的泄露。一个被窃取的用户名/密码组合就足以解锁多个网站和服务—个人社交媒体账户上的一个不小心行为就可能危及组织的旗舰产品或服务。管理用户访问需要一种平衡的方法,既方便用户,又比简单的用户名和密码组合更安全。
1.1 身份验证:要求对所有用户进行双重身份验证
鉴于密码容易被泄露,应用程序和桌面的双因素身份验证对于有效的安全至关重要。其原理是需要两种不同形式的认证—一种是用户知道的认证;第二种是用户使用的东西,比如物理令牌。这对用户模拟构成了重大障碍,即使主密码已被泄露。作为升级的一部分,身份验证也应该添加到原生不支持它的遗留应用程序中,这是由NetScaler和XenApp提供的功能。
为了鼓励使用强密码,同时减少用户的困惑和沮丧,IT部门可以采取措施,提供更无缝的登录体验,包括:
•联合身份—使用第三方云服务可以要求用户管理额外的一组信任状。通过在公共网络上安全共享认证和授权数据,联合身份消除了单独登录的需要。实际上,该组织将对Microsoft Office 365等服务的访问绑定到其用户目录。如果一个人离开了组织,IT可以像删除内部资源一样轻松地集中删除对所有第三方服务的访问。NetScaler和ShareFile都支持SAML,这是通常处理联合身份的标准。
•单点登录—在联合身份和非联合身份环境中,单点登录(SSO)可以通过消除向多个系统多次输入相同凭据的需要来减少用户的复杂度。NetScaler支持常见的单点登录机制,包括基于表单的、基于401的和Kerberos约束委托,还可以维护认证会话cookie,以在通过网站、仪表板或门户访问的所有web应用程序上提供单点登录。
1.2 最小特权授权:使用上下文访问控制实现最低权限授权
通过身份验证的用户应该被授权仅访问完成其工作所需的应用程序、桌面和数据—最小特权原则—一旦不再需要,就减少权限。类似的:
•为了降低与恶意软件相关的风险,管理员不应以管理员身份登录工作站,除非任务需要特权帐户,而应使用标准用户凭证进行日常操作,如检查电子邮件和浏览网页。
•应用程序和服务应该配置为以尽可能少的特权启动,服务帐户应该以最低要求的权限创建。
•管理职责应该分离,以限制一个人的权力,并防止单个恶意管理员既能实施攻击,又能隐藏攻击。
授权级别通常通过组成员关系与用户身份绑定,但这种方法可能缺乏针对每个用户的粒度。面向任务或基于位置的授权可能更有效,特别是对于远程访问用例,如远程工作者、离岸外包和第三方访问。与基于角色的访问机制(如Microsoft Active Directory)集成,NetScaler允许在组和用户级别定制预定义的访问策略。
1.3、访问控制:通过验证端点来管理访问
组织利用远程工作和弹性工作制等实践带来的生产力和员工满意度的同时,他们还需要更细粒度的访问控制。安全策略可能需要根据给定用户是在公司网络内部工作还是在公司网络外部工作,并区分公司和第三方员工,以允许不同级别的访问。终端的多样化和BYOD的兴起使基于设备的访问管理要复杂得多。一些组织允许任何笔记本电脑、电脑、手机或平板电脑接入网络,有时不需要任何形式的恶意软件、杀毒软件或应用程序限制。
Citrix最佳实践要求根据用户、设备、位置、资源和行动的综合属性,提供对应用程序和数据的适当访问级别。在授予访问权限之前,NetScaler会询问端点,以确保其在域成员资格、防病毒和恶意软件保护方面是健康的和合规的。这种分析使SmartAccess策略引擎能够基于“访问的五个W”(谁、什么、何时、何地和为什么)触发自适应会话策略。管理员具有完全的灵活性,可以根据组织的安全策略定义不同的访问场景和相应的规则,而用户可以在任何设备上自由工作。对于不合规的设备,用户可以被隔离,并被授予对特定站点和资源的有限访问权。
二、网络安全
在现代企业中,移动性的作用越来越大,使得远程访问成为IT的核心功能,也成为攻击者进入企业网络的主要途径。入侵的后果可能是毁灭性的。商业合作伙伴网络的破坏可以直接导致对组织本身的攻击,为攻击者提供一个薄弱的链接来利用作为网络入口。一旦进入,攻击者就会寻求特权升级,然后横向转移到域控制器等核心组件。在一次高度曝光的入侵中,攻击者能够从销售终端等联网存储设备直接与核心网络通信。此时,后门程序或远程访问木马(RAT)通过对外部系统的出站呼叫,连接到命令与控制(C2)服务器通常没有什么困难。
2.1、远程访问:员工和第三方的安全访问要求
远程访问能力允许企业网络以外的用户访问应用程序、桌面和数据。允许、控制和保护这种访问是NetScaler统一网关的角色,能够实现:
•将远程访问和SSO扩展到所有企业和云应用
•巩固基础设施,减少访问方法的扩散
•拦截传入的流量,在流量被发送到后端应用程序之前,作为反向代理网关拦截它
•通过整合支持所有类型的访问场景(包括移动)所需的功能,提供一个单一的URL来加固各种现有解决方案
一个典型场景是提供到数据中心的直接网络级连接的完整SSL VPN。对于大多数不需要完整VPN的用户,NetScaler为XenApp提供ICA代理,将托管的应用程序和桌面连接到Citrix Receiver。与SSL VPN一样,客户端和数据中心之间传输的所有数据都是加密的。这是包括PCI DSS在内的高安全性环境的推荐配置。一个URL为终端用户提供了一个简单的入口,可以从任何设备远程访问web、SaaS和Citrix应用程序,并能够进行双因素认证,SSO和联合身份认证。
NetScaler通过提供单一配置点来简化和集中访问控制与可见性。SmartControl充当ICA防火墙,根据客户端设备操作系统和补丁级别等参数,以及杀毒软件是否安装、运行和更新等,集中访问控制逻辑来管理上下文授权。还可以根据客户端和服务器的IP和端口以及用户和组成员关系来阻止某些功能。虚拟通道访问,如剪贴版映射、客户端驱动器映射或打印,可以为每个应用程序启用,以提供正确的访问级别。
2.2、分割:实现网络安全区域
通过定义安全区域,将对敏感应用程序和数据的不受欢迎的访问降至最低,将最小特权规则扩展到网络和主机。防火墙和网关将流量限制在各自的区域内,减少横向移动和攻击面,以遏制漏洞的爆炸半径。
NetScaler支持的分割措施包括:
•DMZ中的客户端连接的认证和代理,在这一点上阻止畸形报文和恶意请求
•对后端服务器连接进行优化、多路复用和速率限制,以保护其资源
•一个软件定义的架构,使用虚拟化使硬件平台被安全地分割成单独的和唯一的实例,每个实例都有单独的sla和分配共享或专用的内存、SSL、CPU和虚拟网卡
NetScaler本身的架构是将分割作为一个关键的设计原则。
•流量域将不同应用程序和租户的流量分段到单个设备上完全隔离的网络环境中。
•管理分区将单个NetScaler设备细分为单独的资源,使用专用的管理和单独的登录UI、视图、配置文件和日志记录-例如,使用Citrix、网络和微软应用程序团队的应用程序特定分区。
2.3、可用性:使用智能负载均衡和多层拒绝服务保护
可用性每天都受到硬件和软件故障以及DDoS攻击的挑战,DDoS攻击通过耗尽带宽、计算和内存资源来中断服务。
负载均衡是NetScaler的核心功能,它将传入的客户端请求分发到承载web应用程序和内容的多个服务器上。这可以防止任何一台服务器成为单点故障,并与利用率优化方法(如最小连接或基于snmp的指标)一起,提高整体应用程序可用性和响应能力。全局负载均衡(GSLB)为拥有多个站点和地理分布服务的组织提供了额外的一层保护、故障转移和优化。作为其多层可用性方法的一部分,NetScaler还提供:
•DDoS保护- NetScaler检查客户端连接和请求参数,以防止SYN、UDP、ICMP、Smurf和Fraggle等flood攻击,等待代理连接,直到提交有效的应用程序请求。
•SSL/TLS卸载-通过代理,验证和,如果需要,限速连接,NetScaler保护web服务免受针对SSL/TLS漏洞的攻击,如HeartBleed Shellshock和Poodle。
•浪涌保护和优先级排队——NetScaler通过缓存和设置连接优先级,然后在服务器负载降低时交付它们,从而不会丢弃任何连接,从而缓解流量峰值和激增可能导致后端服务器过载的情况。
NetScaler还为DNS服务器提供DNS保护,并支持DNSSEC,以防止伪造和损坏的主机记录传播到新的目标。
App 保护
各种类型的应用程序都是被攻击的热门目标。即使安全研究人员比黑客更早发现漏洞,一个组织的系统也需要几个月的时间才能打补丁或更新。即便如此,尽管有成熟的应用程序交付模型,以及及时发现、测试和修复易受攻击软件的既定流程,许多成功的入侵还是利用了多年来已经有补丁可用的漏洞。
在移动设备上,本地安装的应用程序存在数据存储不安全、数据传输不安全、敏感数据泄露等风险。随着智能手机和平板电脑迅速成为商业标准,个人和商业应用之间的界限变得模糊,敏感和机密数据暴露在通过云存储、社交网络、应用之间或点对点共享的风险中。
由于安全配置不完善、底层操作系统补丁管理不完整、编码语言存在漏洞,或第三方依赖程序中的未打补丁和零日漏洞,Web应用程序容易受到攻击。遗留或不受支持的应用程序有可能受到篡改字段、溢出缓冲区或执行命令注入和远程代码执行的攻击。应用层攻击远远高于网络防火墙和IDS/IPS提供的控制,它们不理解逻辑攻击。
集中化:虚拟化应用,要求加密交付
应用虚拟化通过在数据中心集中应用程序来保护敏感数据,只允许应用程序的像素化表示到达端点——没有实际的数据传输发生。虚拟化还允许基于应用程序的分类安全需求,敏感应用可以被竖井式地放置在独立网段内的专用服务器上,具有不同的敏感分类和限制,可以发布多个独立版本的web浏览器,以解决web应用的多样化安全和遗留需求。IT获得了一个单一的可见性和控制点,以定义和执行组或用户级别的访问策略。
对本地安装的应用程序进行分散的安全配置和补丁管理效率低下,而且常常不一致。通过集中化,操作系统补丁、服务包、修复程序以及应用程序和配置更新可以在单个主映像上执行,从而加速测试和上线。基于端点的攻击(如内存或RAM抓取)不再构成风险。
Citrix Receiver客户端和XenApp服务器之间的功能和通信是通过图形、磁盘、COM端口、LPT端口、打印机、音频、视频和智能卡的虚拟通道进行的,XenApp策略控制保存、复制、打印或以其他方式移动数据的能力。对于需要额外保护层的组织,NetScaler上的SmartControl实现了网络级别的过滤。加密被集成到通信流的每个组件中,包括多层ICA和SSL/TLS。
Containerization:管理移动应用,防止数据丢失
Citrix移动应用安全的最佳实践是基于容器化,这是一种在设备层面的细分形式。用户可以在设备上同时使用个人和商业应用程序,商业应用程序和数据由IT管理。硬件、操作系统和个人应用的安全通过基于容器的安全措施进行扩展,包括加密存储和使用、应用到应用的数据控制和数据擦除策略。
在容器化方法的基础上,XenMobile使组织能够对应用程序以及数据和设置进行集中管理、安全和控制。
•Micro-VPN - XenMobile和NetScaler为原生移动应用提供专用的Micro-vpn隧道,应用程序和NetScaler之间的加密SSL/TLS会话受到保护,不受其他设备和Micro-vpn通信的影响,以确保内部网络上的资源不暴露于感染了恶意软件的个人应用的流量。
•设备验证-因为容器化本身不能确保已经越狱或破解的设备的安全性,以允许安装盗版或未经验证的应用程序-这是恶意软件的常见载体,旨在获得超级管理员状态- xenmobile验证设备状态,并在设备注册之前阻止越狱设备。
•管理原生应用- Citrix移动业务生产力应用程序,包括WorxMail和WorxWeb,用于安全管理安装在移动设备上的电子邮件和Web浏览器,沙盒在一个安全的容器中,IT可以远程管理,控制,锁定和有选择地擦除,而不接触设备上的个人数据或应用程序。
检查:保护web应用程序免受攻击
Web应用程序是黑客的主要目标,提供了一个高度脆弱的攻击面,可以直接连接到包含敏感客户和公司信息的数据库。这样的威胁通常是专门为目标而设计的,使得网络层安全设备(如入侵保护系统和网络防火墙)无法识别。这使得web应用程序暴露于使用已知的和零日漏洞的应用层攻击。NetScaler AppFirewall通过为web应用程序和服务提供集中的应用层安全来弥补这一差距。
基于注入漏洞的逻辑攻击利用了应用程序无法过滤用户输入的漏洞,例如,当SQL注入被用来通过应用程序传递任意命令,由数据库执行时。跨站脚本(XSS)使用web应用程序作为攻击其他用户的武器,同样是通过无法验证输入。成为应用程序的一部分后,有效负载被返回到受害者的浏览器,在那里它被视为代码并执行会话劫持或通过网络钓鱼试图窃取凭据。
AppFirewall存储自定义注入模式,以防止所有类型的注入攻击。
•管理员可以使用字段格式保护来用正则表达式限制用户参数,检查表单字段的一致性,以确认它们没有被修改。
•为了防止SQL注入,AppFirewall检查请求的SQL关键字和字符的组合。
•对于针对XSS攻击的动态和上下文敏感的保护,AppFirewall寻找类似于HTML标签的输入,并检查允许的HTML属性和标签来检测XSS脚本和攻击。
因为web应用程序经常是DDoS攻击的目标,保护必须扩展到网络和会话层之外。NetScaler使用应用级DDoS保护来阻断或节流在网络层看来正常的攻击流量。
•HTTP DDoS保护对客户端请求进行挑战,以确保它们来自有效的浏览器。来自脚本和机器人的请求通常不能正确地回答挑战,因此被拒绝。
•当一个POST请求被接收时,它首先被检查是否有一个有效的cookie。如果它没有,NetScaler发送一个JavaScript给客户端,要求它用一个新的cookie重新发送信息,这将在四分钟后失效。对客户端的每一个响应都会发送一个新的cookie。在攻击过程中,之前发送的所有cookie都失效,并发送一个带有cookie的错误页面。新连接以及不能提供有效cookie数据的连接被放入低优先级队列。
AppFirewall强制正面和负面安全模型以确保正确的应用行为。正面安全模型理解良好的应用程序行为,并将所有其他流量视为恶意流量—这是唯一被证明有效的方法,提供针对未发布漏洞的零日保护。当应用程序的预期和合法行为可能会导致违反默认安全策略时,管理员可以创建受管理的例外和宽限。
使用负面安全模型,AppFirewall还使用数千个自动更新的签名对已知攻击进行扫描。高级web应用程序保护配置文件增加了会话感知保护,以保护动态元素,如cookie、表单字段和会话特定的url。针对客户端和服务器之间的信任的攻击将停止。这种保护对于任何处理用户特定内容的应用程序(如电子商务网站)来说都是必要的。
数据安全
各类数据,包括法律文件、合同、研发数据、营销和销售信息、娱乐媒体或任何其他形式的知识产权,都是重要的组织资产,必须加以保护。近年来,已知的数千起泄露事件导致数以百万计的客户和患者记录被泄露,其中许多涉及个人身份信息(PII),包括信用卡号码、社会安全号码、出生日期、驾照、地址、健康记录、学生记录、政府和退伍军人记录,这些记录带有指纹和安全许可数据。
并非每一次入侵都是由黑客攻击、恶意软件和其他攻击造成的。其他原因包括意外泄露、黑客和恶意软件、支付卡欺诈、内幕欺诈、文件丢失、媒体丢失,以及移动和固定设备的丢失。消费者级云存储在用户中的流行尤其成问题,它将数据从可信的网络转移到不受组织控制的服务器上。
中心化:对数据出口进行集中化、监控和控制
虚拟化环境下,数据位于数据中心。应用程序在服务器上执行时,只需点击鼠标和击键发送给用户设备—而不是数据—以减轻由于丢失、被盗或销毁端点造成的损失和泄漏。组织机构可以通过防止将文件和数据库传输到工作站来进一步防止大量数据丢失。
为了防止数据被保存在可移动媒体上,如USB驱动器,用户之间的电子邮件,打印出来或以其他方式暴露在丢失或盗窃,IT部门可以集中管理控制用户保存、复制、打印或以其他方式移动数据的能力的政策。进一步增强数据安全性的设备策略包括:
•通过禁用虚拟通道(如客户端驱动器映射、打印和复制/粘贴)将客户端数据从应用程序中分割出来。
•定义文件夹重定向,将用户的My Documents文件夹映射到数据中心的中央文件存储。
•限制文件保存的位置,以防止丢失,盗窃或破坏终端。
容器化(Containerization):对传输中的和静止的数据进行加密
当移动应用在本地运行时,数据存储在本地,增加了数据泄露和丢失的风险。XenMobile通过容器化和加密来解决不安全的移动数据存储。
•通过容器化,或应用级分割,每个应用的数据驻留在容器中执行,不能被驻留在其他地方的应用访问。
•IT可以在端点上安全隔离的容器内加密数据,减轻数据丢失的风险。
BYOD的实现使得分离个人和商业应用程序及其相关数据变得至关重要,特别是考虑到移动应用程序之间的数据广泛共享,例如通过内置的系统应用程序,如联系人。XenMobile使用开放管理来保护iOS数据,这允许IT控制受管和非受管应用之间的数据流和访问。例如,管理员可以阻止用户使用非托管应用程序来打开托管应用程序中创建的数据,反之亦然。电子邮件附件只能在公司批准的应用程序中打开,网站链接也必须在安全浏览器中打开。
XenMobile在编译时或通过封装技术对应用程序数据采用行业标准加密。所有应用程序数据都存储在一个安全的容器中,该容器对设备上的文件和嵌入式SQL技术进行加密。存储在本地数据库文件中的数据使用AES-256加密。
安全共享:启用安全文件共享,减少数据丢失
在用户寻求高效协作的过程中,他们会找到自己之间以及与第三方共享数据阻力最小的路径,包括那些不在IT可见性、审批或控制范围内的影子IT解决方案。这导致了数据蔓延和通过USB驱动器、互联网和个人云服务进行的不安全的文件共享,这些服务往往缺乏对数据泄露的基本或先进控制。员工可能会转向FTP,它缺乏安全的身份验证——凭据是通过明文或未加密的电子邮件传输的,甚至会意外地将文件发送给组织内外未经授权的个人。
Citrix通过在ShareFile的每个级别内置安全机制来解决安全文件共享的挑战:
•认证—多种双因素和两步认证方法包括表单和基于令牌的认证以及短信、语音和备份代码。ShareFile还支持包括SAML在内的单点登录认证机制,要求用户首先对企业身份提供者进行认证。
•授权—IT通过授予、监控和撤销访问权的能力,获得对文件共享的可见性和控制。对于添加的数据保护,用户自己可以在消息发送后使文件链接过期,并设置删除文件夹及其内容的日期。用户和IT部门都可以对存储在移动设备上的ShareFile数据和密码进行远程擦除,以防丢失或被盗。
•审计—ShareFile跟踪和记录所有用户活动,包括数据访问和数据共享,以支持合规要求,并提供数据使用的可见性。为了帮助合规和解决本地数据存储的需求,ShareFile允许组织使用ShareFile控制平面在数据中心进行文件管理和存储。
•加密—每个文件在复制到永久位置之前使用唯一的密钥加密,并在下载到用户浏览器之前解密;加密密钥不与文件本身存储在同一服务器上,以确保对存储服务器的物理访问不允许访问驻留在那里的文件。ShareFile还提供使用Microsoft Outlook加密的电子邮件,以保护包含在正文和附件中的敏感信息,并支持符合HIPAA、HITECH和CFPB。
监测和响应
即使在最安全的环境中,阻止先进和持久的威胁行为的入侵几乎是不可能的,这使得安全监控和检测绝对至关重要。组织必须通过日志收集、分析和升级获得对网络和应用程序的更高的可见性,从显著信息中过滤噪声,检测异常连接尝试,并识别可用于辅助事件响应的攻击和妥协指标。
XenApp提供支持其基础设施端到端监控的工具,包括全面的基础设施监控、性能监控、事件监控、服务监控和可用性监控。IT可以快速识别用户体验退化,加速根源分析。智能的政策、严格的执行以及深度的监控和报告能够在不妨碍用户访问的情况下实现有效的安全。
可见性:实现监控以解决可用性和性能下降的问题
随着跨业务线的应用程序和部署的数量和复杂性的增加,以及用于监控的工具和技术的增加,可见性挑战不断增长。NetScaler通过提供所有应用程序信息传播的中心点来简化监控。虽然这种设计的主要目的是允许负载平衡和SSL卸载的可伸缩性和可用性,它也理想地定位NetScaler解析web和ICA流量的任何类型的应用程序使用任何类型的加密。然后,该流量的性能数据被发送到NetScaler Insight Center,该中心使用AppFlow定义和提取可见性信息。
Security Insight帮助管理员快速高效地关注最相关的监控数据,利用自动化工具将内置的专业知识应用于:
•识别配置模式并突出可能削弱您的安全姿态的不一致性
•解析堆积如山的NetScaler日志,寻找可能危险的问题——超越异常检测,实现真正的上下文敏感报告
•突出PCI合规的任何问题,使审计过程更容易完成
对于用户体验监控,HDX Insight提供了通过NetScaler代理的端到端的ICA连接可见性,以帮助IT解决性能问题,如慢速应用程序或桌面。作为一种分类工具,NetScaler帮助IT确定问题是否存在于客户端、服务器端、应用程序端或网络端,并提供ICA通道、SmartControl和Geo Maps信息内的带宽消耗细分。
Web Insight通过收集这些流量的AppFlow记录并提供分析报告,为运行在Web或HTTP/S层的服务提供可见性。一个中央仪表板提供了跨所有维度的应用可见性信息,从终端客户端到后端应用服务器。将可见性事实与用户痛点相关联的能力有助于故障排除练习。
审计:集成日志和警报,以更快地检测攻击和违规
定期对用户访问、配置更改和帐户管理日志进行审计和记帐,通过捕获攻击和泄露的早期指标,帮助进行威胁检测。这些可能包括不寻常和大量的出站流量、不寻常的帐户活动(尤其是特权帐户)以及从不寻常的位置成功或失败的登录。这些数据还可以帮助IT部门按照最佳实践的建议清理不活跃的账户。由于成功的入侵者经常清理日志,以延迟对其入侵的检测,日志文件应该存储在系统外部。
NetScaler审计提供了许多实时和历史行为的日志,包括:
•认证失败和成功
•授权失败与成功
•当前,超时和所有AAA会话的所有应用流量通过NetScaler
集中访问控制允许管理员在同一域和设备内整合所有应用程序的管理,而不是对每个应用程序使用单独的控制。
除了简化和加速故障排除之外,跟踪和报告对XenApp服务器群的配置所做的更改(由谁、在什么时间做出的更改)的能力可以确保责任性并有助于安全性—特别是在多个管理员进行修改的环境中。配置日志还捕获变更管理、配置跟踪和管理活动报告的审计跟踪。管理员可以根据用户、应用程序或服务器记录活跃的XenApp虚拟应用程序和服务器托管的桌面会话,然后将录音存档,以便在需要时进行取证分析或参考。
合规性:通过设计有重点的架构,减少审计的范围
长期以来,严格遵守高加密标准一直是政府机构的一项要求,FIPS合规性正迅速成为商业领域以及银行、信用卡处理机构和医疗保健组织关注的一个话题,以确保其数据中心内的通信安全。
XenApp和XenDesktop提供本地符合FIPS 140-2 HDX协议的协议,在虚拟环境中提供最高级别的数据访问安全。所有用户连接到虚拟应用程序和桌面都使用nist强制的FIPS 140-2验证模块进行加密。NetScaler集成提供FIPS 140-2 2级合规,通过加固设备实现更高级别的信息保障。数据集中、托管交付和远程显示将PCI数据限制在一个小的、受保护的空间内,可以比整个内部网络更完整、更有效地审计。XenApp、XenDesktop和NetScaler也构成了唯一满足Common Criteria认证的端到端应用和桌面交付解决方案,Common Criteria认证是软件安全功能的ISO标准,评估认证、访问控制、管理和安全通信。
结论现代企业员工需要深入、全面的安全保障来保证数据的安全,无论人们如何工作——任何地点、任何设备、任何访问方式。Citrix的安全最佳实践建立在机密性、完整性和可用性的基础上,包括身份和访问、网络安全、应用安全、数据安全以及监控和响应,以确保每个用户场景中的保护和生产力。欲了解更多关于通过紧密集成的Citrix解决方案来确保安全的信息,请访问URL。