Citrix 憑藉其業界領先的虛擬化、安全私有存取和應用程式交付產品,已成為實現安全混合工作環境的領導者。幾十年來,我們一直致力於幫助各組織實現營運彈性,同時維持強大的安全標準。我們最近對網路安全和基礎設施安全局 (CISA) 安全設計承諾的承諾不僅加強了我們長期以來的安全使命,而且還提供了一個機會來展示我們致力於將安全性作為我們產品生命週期基礎要素的承諾。
透過與 200 多家業內同行一起實施這項計劃,Citrix 承諾提供可衡量的安全增強功能,進一步增強客戶對我們產品的信任。在這篇文章中,我們將分享我們如何實現承諾的目標,並概述我們實現安全設計的綜合策略,專門針對虛擬桌面、應用程式交付和端點管理帶來的獨特挑戰和機會。
所有七個安全設計目標都是增強企業整體產品安全態勢和實踐的重要安全要素。對 Citrix 而言,這項承諾建立在我們既定的實踐之上,並與我們提供安全、可擴展和以使用者為中心的企業產品的願景完美契合。該承諾包含切實可行的承諾,包括取消預設密碼、預設實施多因素身份驗證 (MFA)、減少漏洞類別、增強安全性修補程式以及培養問責文化。鑑於我們產品的技術和操作的複雜性,這一點引起了深深的共鳴,我們的產品是全球混合勞動力的支柱。
在虛擬桌面環境下,Citrix 優先強化其虛擬應用程式和桌面平台,以預先應對新出現的威脅。這包括嵌入安全控制,以減輕遠端存取固有的風險,例如未經授權的會話存取或資料洩露,同時確保最終使用者的無縫可用性。對於應用程式交付,我們正在增強我們的 Citrix Gateway 和安全私有存取解決方案,以實施最小權限存取並整合進階威脅偵測功能,重點是減少可利用的攻擊面。
我們履行「安全設計承諾」的策略是深思熟慮且具前瞻性的。透過安全地滿足虛擬化環境和混合工作模式的特定需求,Citrix 不僅滿足了 CISA 的行動號召,而且還為業界的安全卓越樹立了標竿。
在混合工作環境中,使用者從各種端點連接到應用程式和桌面,基於憑證的攻擊(例如網路釣魚)仍然是一個重大且持續的風險。為了履行“安全設計承諾”,特別是預設啟用 MFA 的目標,Citrix 正在推動在主要平台(包括 Citrix Virtual Apps 和 Desktops)上採用 MFA。我們的方法著重於簡化管理控制台和最終使用者會話的 MFA 實施,策略意圖是在可行的情況下將 MFA 確立為預設身份驗證。此外,Citrix 也優先考慮防網釣的 MFA 選項,例如FIDO2 金鑰,以進一步增強安全性,同時保持順暢的使用者體驗。我們透過SAML 2.0和OpenID Connect等協定與基於標準的身分識別提供者 (IdP) 無縫整合來實現這一目標。這些增強功能直接支持了「安全設計」目標,即透過確保強大的多層身份驗證成為我們產品生態系統的基本組成部分,降低與身份驗證相關的風險。
對於安全設計框架來說同樣重要的是消除預設密碼,因為預設密碼是技術部署中的一個持續存在的漏洞。
在入職過程中,我們強制更改密碼,確保每次部署都從安全的基礎開始。我們的工作流程將提示管理員在安裝後立即重新配置憑證,將安全性嵌入到產品使用的最早階段。這些措施符合消除預設密碼、減少攻擊面和在客戶群中培養安全第一思維的目標。
虛擬化和網路解決方案(例如 Citrix 提供的解決方案)本質上存在系統性風險,包括權限提升(CWE-269)和記憶體損壞(CWE-119)。為了履行“安全設計承諾”,特別是消除各類漏洞的目標,Citrix 將強大的安全實踐嵌入到我們的開發生命週期中,以主動應對這些威脅。在我們的安全開發生命週期 (SDLC)中,我們利用先進的商用現成工具和客製化開發的腳本來偵測和修復這些類別的漏洞。為了解決緩衝區溢位等記憶體損壞問題,Citrix 採用了記憶體安全程式設計範例,實施了編譯時保護,並在可能的情況下透過執行時間保護措施進行強化。這些努力的目標是從根本上消除各種漏洞,減少我們產品組合的攻擊面。 Citrix 在其 SDLC 中採用全面且完善的實踐來確保其二進位檔案的完整性。透過結合使用多種靜態和動態測試技術,Citrix 為其軟體元件創建了堅實的基礎。這種嚴格的方法專門針對消除各種類型的漏洞,包括權限提升,這是一種嚴重的安全漏洞,否則可能允許未經授權的使用者在系統內獲得更高的存取權限和控制權。
當在 Citrix 產品組件、其支援基礎架構或相關服務中發現重大漏洞時,我們的產品安全團隊將採取與系統預防目標一致的嚴格回應。這個過程首先從徹底的根本原因分析開始,以確定導致問題的根本因素。根據這些發現,我們定義並確定了預防措施的優先順序,旨在盡量減少或消除未來出現類似漏洞的可能性。 Citrix 的產品安全團隊與我們的工程團隊密切合作,將這些安全性增強功能整合到我們的開發和部署流程中。為了確保持續進步和問責,這些工作受到定期監督和強有力的治理,安全和產品領導層定期進行審查。這種節奏使我們能夠監控計劃的有效性,識別重複出現的模式,並相應地改進我們的策略。透過有系統地解決所有類別的漏洞,Citrix 不僅履行了「安全設計」的承諾,而且還為客戶增強了虛擬化和網路解決方案的彈性。
安全設計承諾的幾個核心要素與 Citrix 既定的最佳實踐無縫契合。這種一致性的一個清晰範例在我們的Citrix 產品安全漏洞回應頁面上體現得淋漓盡致,該頁面為客戶和安全研究人員提供了資源。這詳細概述了我們的產品安全回應流程,並提供了每個階段的逐步描述。它還強調了 Citrix 與 ISO/IEC 29147:2018 的一致性,這是一項國際標準,為負責任地揭露產品和服務中的漏洞提供了指導方針、要求和建議。
此外,漏洞回應資源提供了有關漏洞揭露的實用資訊和指導,這是安全設計承諾的一個主要目標。它為業界提供了一種直接的方式來聯繫我們的產品安全事件回應團隊(PSIRT)(secure@cloud.com),以進行諮詢、提問或報告產品漏洞,從而確保了透明度。這個流程支撐了我們的產品安全事件回應接收系統,並補充了我們正在進行的漏洞賞金計劃,加強了我們對透明度的奉獻精神以及我們對向客戶提供和維護安全產品的關注。
我們正在積極尋求的改進領域之一是發布機器可讀的漏洞揭露流程描述,正如承諾所建議的那樣。這項增強功能將使安全研究人員更容易找到和理解我們的揭露程序,減少所需的工作量並促進安全社群和我們的產品安全團隊之間的更大參與和協作。我們目前正在實施此更新,預計在部落格發布後不久完成。
安全設計承諾也鼓勵組織透過部落格文章或其他形式的積極參與等管道增加組織與公眾之間的互動。這種溝通透過建立開放的對話使雙方受益,這是有效的漏洞管理的重要基礎。
Citrix 始終堅持在其產品的每個CVE 版本中都包含常見弱點枚舉 (CWE) 字段,這是我們整個產品線中長期遵循的最佳實踐。清晰準確的 CVE 報告支援客戶安全有效地管理我們的產品。作為 CVE 編號機構 (CNA),Citrix 產品安全團隊正在增強其流程,以確保所有 Citrix 產品的 CVE 記錄都具有精確的 CWE 和 CPE 字段,例如將緩衝區溢位連結到 CWE-120 並使用 CPE 標識符指定受影響的版本。這些資訊為客戶提供了每個漏洞的簡明摘要和分類,有助於更好地進行風險管理。
除了內部流程之外,Citrix 產品安全團隊還積極與業界同行和安全組織建立合作夥伴關係,以增強抵禦網路威脅的集體抵禦能力。透過數據共享和回應策略,該組織為更廣泛的威脅情報生態系統做出了貢獻,不僅使其客戶受益,也使更廣泛的技術社群受益。這種協作方法補充了其作為 CNA 的角色,能夠更快地識別和降低不同平台的風險。
隨著 Citrix 的產品安全性不斷進步並適應新興和持續存在的威脅,我們始終致力於遵守全球公認的標準並推動努力在全球範圍內加強安全最佳實踐。安全設計承諾代表著堅實的基礎,Citrix 熱情地擁抱這項承諾以及未來持續改進的機會。
增強客戶收集入侵證據的能力對於企業網路彈性至關重要,Citrix 多年來致力於為客戶提供這方面的支援。我們的產品包括 Citrix 虛擬桌面和應用程式以及 NetScaler(應用程式交付控制器、網關和 Web 應用程式防火牆),可產生支援有效入侵偵測和事件管理所需的詳細日誌。這些日誌包括各種應用程式日誌、系統日誌、稽核日誌、管理日誌、AppFlow 和 IPFIX匯出、網路日誌,可收集並轉送至 SIEM 平台(如 Splunk、ELK 或 Microsoft Sentinel)進行集中管理和分析。ADC 控制台分析透過聚合安全事件、偵測異常以及提供對流量模式和驗證日誌的即時洞察來增強可見性。它還提供各種見解,特別是Web Insight、HDX Insight、Gateway Insight、Security Insight、 SSL Insight。
Citrix為網關虛擬伺服器、流量管理虛擬伺服器和驗證虛擬伺服器提供Web 應用程式防火牆保護,透過使用 API 方案驗證傳入請求來保護它們免受惡意攻擊。Citrix 確保這些見解適合更廣泛的安全工作流程,從而增強整體彈性。例如,我們的WAF 日誌可以揭示攻擊模式,幫助團隊微調防禦不斷演變的威脅,如 SQL 注入、緩衝區溢位攻擊、命令注入、跨站點腳本和零日漏洞。此外,nFactor 驗證日誌、VPN 會話追蹤和 HTTP 交易日誌有助於識別未經授權的存取嘗試和行為異常。
這使我們的客戶能夠快速識別漏洞、了解其範圍並做出有效回應,從而減少網路威脅的影響。
Citrix 的全面產品組合獨特地使我們能夠符合並實現承諾中概述的雄心勃勃的目標。我們最近收購並整合了這些產品,例如用於確保即時端點合規性的 deviceTRUST 和 Strong Network 的強化開發環境,體現了我們堅定不移地致力於大幅減少不同數位生態系統中潛在攻擊面的決心。我們為 Citrix Cloud Government 維持 FedRAMP 中等認證,並且我們的應用交付控制器經過認證,符合一系列國防、聯邦和企業安全標準,包括聯邦資訊處理標準 (FIPS)、通用標準 (CC) 和國防部資訊網路批准產品清單 (DoDIN APL)。這些認證體現了 Citrix 致力於向國防、聯邦、州和企業部門的組織提供安全且可互通的產品。 我們正在認真應用這些前瞻性原則和尖端方法,為我們的產品提供強大的安全性,確保敏感資料在日益複雜和互聯的混合環境中保持安全。
安全設計承諾是 Citrix 的催化劑,激勵我們的產品安全團隊加強並提高混合工作解決方案的安全性。透過將這些關鍵安全目標嵌入到我們的技術路線圖中,我們採取了一種前瞻性的方法——在潛在威脅出現之前預測並消除它們,而不是事後再做出反應。這項承諾使我們能夠提供客戶可以放心信賴的安全平台。在我們前進的過程中,我們積極鼓勵和重視來自使用者社群的技術回饋,促進合作,改進我們的努力。這確保了安全性不是事後才考慮的問題,而是融入 Citrix 部署從設計到實施的各個方面的核心、內在安全要素。
在Citrix Tech Zone和NetScaler 安全部署指南中探索更多信息,或加入有關虛擬桌面最佳實踐的討論。
Citrix 為其客戶維護一個信任中心,提供對策略、流程、安全通知和第三方評估報告(例如安全計畫稽核、滲透測試和相關工件)的自助存取。 Citrix 也執行外部漏洞賞金計劃,讓研究人員負責任地揭露漏洞,並鼓勵外部安全報告。最後,Citrix 在發行說明中定期向客戶提供已修補漏洞的詳細資訊。
文章來源/ Citrix Blog Citrix Blog
返回