企業IT和安全領導者面臨的挑戰是,在確保易用性和生產力的同時,將業務風險降低到可接受的水準。人們需要能夠以最適合自己目的的方式工作—任何地點、設備或網路—而不會因為過度受限或複雜的用戶體驗而感到沮喪。與此同時,保護企業應用程式和資料不受安全威脅,防止丟失和盜竊,並確保完全符合標準和法規是至關重要的。
Citrix 支持跨企業安全五大關鍵支柱的風險管理最佳實踐: 身份和訪問、網路安全、應用安全、資料安全以及監控和回應。
我們通過建立在 機密性、完整性 和 可用性 基礎上的緊密集成解決方案,使客戶能夠實施和管理這些關鍵措施。成熟的應用程式交付模型將應用程式和資料集中在資料中心,並提供跨任何位置、網路和設備的情境式存取控制。因此,員工、承包商和合作夥伴可以靈活地選擇他們的工作方式,無論是遠端、移動還是在辦公室。連接、流量和用戶活動的端到端可見性使IT能夠在不影響勞動力生產率的情況下解決隱私、合規和風險管理的優先事項。與協力廠商安全供應商的集成可以實現先進水準的系統管理和身份、端點和網路保護。
本文探討了解決關鍵用戶生產力和安全挑戰的最佳實踐,以及 Citrix 緊密集成的解決方案如何讓客戶在管理風險的同時充分利用業務行動性的好處。
確保現代企業的生產力
當今企業面臨的安全挑戰在兩個維度上快速增長,風險水準不斷升級,以及應用程式不斷演變和多樣化加劇了這一挑戰。與此同時,行動工作者—對每個企業來說都是至關重要的能力—用戶無論在哪裡、以何種方式工作,都能獲得便捷、一致和可靠的體驗。這必須擴展到他們通過任何網路,在任何設備上使用任何類型的應用程式。即使移動工作者的需求增長得更加複雜,IT 也必須繼續追求簡單。
在Citrix,我們相信良好的用戶體驗與安全是相伴而生的。我們的解決方案建立在安全最佳實踐的基礎上,旨在保護重要的東西—資料、應用程式—同時允許使用者在每個場景中靈活、自由和無差別的體驗。這些措施包括:
身份和訪問
•對所有用戶進行雙因素認證
•最小特權授權
•基於使用者情境式的存取控制
網路安全
•為移動和協力廠商用戶提供安全的遠端存取
•網路和主機分段,收縮攻擊面
•分層方法確保可用性
應用保護
•應用程式的集中化和加密交付
•行動應用的容器化
•檢查保護網頁應用
資料安全
•資料的集中化和託管交付
•安全的檔共用,減少資料丟失
•用於傳輸和保存資料的容器化
監測和回應
•應用流量的端到端可見性
•資源訪問的審計和核算
•支援符合標準和法規
在以下章節中深入探討,這些最佳實踐定義了我們所有產品的安全方法。客戶在解決方案中體驗到它們的好處,包括:
•Citrix ADC 通過端到端系統和使用者可見性實現感知和控制連接
•Citrix Virtual Apps & Desktops 在資料中心內部集中管理應用程式和桌面
通過這種方式,我們説明組織在不妨礙生產力的情況下滿足安全需求和業務目標。
Citrix架構
防止對應用程式、資料和網路的未經授權的訪問是一項基本的安全要求。所有級別的用戶,從業務人員到管理員和高管,都經常成為釣魚攻擊的目標。具有破壞性的漏洞往往只是一封看上去真實的電子郵件或輸入錯誤的URL。隨著攻擊者專注於竊取證書,即使是強大的、經常更改的密碼也不足以阻止資料庫加密等安全措施的洩露。一個被竊取的用戶名/密碼組合就足以解鎖多個網站和服務—個人社交媒體帳戶上的一個不小心行為就可能危及組織的旗艦產品或服務。管理使用者訪問需要一種平衡的方法,既方便用戶,又比簡單的用戶名和密碼組合更安全。
1.1 身份驗證:要求對所有使用者進行雙重身份驗證
鑒於密碼容易被洩露,應用程式和桌面的雙因素身份驗證對於有效的安全至關重要。其原理是需要兩種不同形式的認證—一種是用戶知道的認證;第二種是使用者使用的東西,比如物理權杖。這對用戶模擬構成了重大障礙,即使主密碼已被洩露。作為升級的一部分,身份驗證也應該添加到原生不支援它的遺留應用程式中,這是由 Citrix ADC 和 Citrix Virtual App 提供的功能。
為了鼓勵使用強式密碼,同時減少用戶的困惑和沮喪,IT部門可以採取措施,提供更無縫的登錄體驗,包括:
•聯合身份—使用協力廠商雲服務可以要求使用者管理額外的一組信任狀。通過在公共網路上安全共用認證和授權資料,聯合身份消除了單獨登錄的需要。實際上,該組織將對 Microsoft Office 365 等服務的訪問綁定到其使用者目錄。如果一個人離開了組織,IT可以像刪除內部資源一樣輕鬆地集中刪除對所有協力廠商服務的訪問。Citrix ADC 和 ShareFile 都支持SAML,這是通常處理聯合身份的標準。
•單點登錄—在聯合身份和非聯合身份環境中,單點登錄(SSO)可以通過消除向多個系統多次輸入相同憑據的需要來減少使用者的複雜度。Citrix ADC 支援常見的單點登錄機制,包括基於表單的、基於401的和Kerberos約束委託,還可以維護認證會話cookie,以在通過網站、儀錶板或門戶訪問的所有web應用程式上提供單點登錄。
1.2 最小特權授權:使用上下文存取控制實現最低許可權授權
通過身份驗證的用戶應該被授權僅訪問完成其工作所需的應用程式、桌面和資料—最小特權原則—一旦不再需要,就減少許可權。類似的:
•為了降低與惡意軟體相關的風險,管理員不應以管理員身份登錄工作站,除非任務需要特權帳戶,而應使用標準用戶憑證進行日常操作,如檢查電子郵件和流覽網頁。
•應用程式和服務應該配置為以盡可能少的特權啟動,服務帳戶應該以最低要求的許可權創建。
•管理職責應該分離,以限制一個人的權力,並防止單個惡意管理員既能實施攻擊,又能隱藏攻擊。
授權級別通常通過組成員關係與用戶身份綁定,但這種方法可能缺乏針對每個用戶的細微性。面向任務或基於位置的授權可能更有效,特別是對於遠端存取用例,如遠端工作者、離岸外包和協力廠商訪問。與基於角色的存取機制(如Microsoft Active Directory)集成,Citrix ADC 允許在組和用戶級別定制預定義的訪問策略。
1.3、存取控制:通過驗證端點來管理訪問
組織利用遠端工作和彈性工作制等實踐帶來的生產力和員工滿意度的同時,他們還需要更細細微性的存取控制。安全性原則可能需要根據給定使用者是在公司網路內部工作還是在公司網路外部工作,並區分公司和協力廠商員工,以允許不同級別的訪問。終端的多樣化和 BYOD 的興起使基於設備的訪問管理要複雜得多。一些組織允許任何筆記型電腦、電腦、手機或平板電腦接入網路,有時不需要任何形式的惡意軟體、殺毒軟體或應用程式限制。
Citrix 最佳實踐要求根據使用者、設備、位置、資源和行動的綜合屬性,提供對應用程式和資料的適當訪問級別。在授予存取權限之前,Citrix ADC 會詢問端點,以確保其在域成員資格、防病毒和惡意軟體保護方面是健康的和合規的。這種分析使 SmartAccess 策略引擎能夠基於“訪問的五個 W”(誰、什麼、何時、何地和為什麼)觸發自我調整會話策略。管理員具有完全的靈活性,可以根據組織的安全性原則定義不同的訪問場景和相應的規則,而使用者可以在任何設備上自由工作。對於不合規的設備,使用者可以被隔離,並被授予對特定網站和資源的有限訪問權。
在現代企業中,移動性的作用越來越大,使得遠端存取成為IT的核心功能,也成為攻擊者進入企業網路的主要途徑。入侵的後果可能是毀滅性的。商業合作夥伴網路的破壞可以直接導致對組織本身的攻擊,為攻擊者提供一個薄弱的連結來利用作為網路入口。一旦進入,攻擊者就會尋求特權升級,然後橫向轉移到網域控制站等核心元件。在一次高度曝光的入侵中,攻擊者能夠從銷售終端等聯網存放裝置直接與核心網路通信。此時,後門程式或遠端存取木馬(RAT)通過對外部系統的出站呼叫,連接到命令與控制(C2)伺服器通常沒有什麼困難。
2.1、遠端存取:員工和協力廠商的安全訪問要求
遠端存取能力允許企業網路以外的使用者訪問應用程式、桌面和資料。允許、控制和保護這種訪問是 Citrix ADC 統一閘道的角色,能夠實現:
•將遠端存取和SSO擴展到所有企業和雲應用
•鞏固基礎設施,減少存取方法的擴散
•攔截傳入的流量,在流量被發送到後端應用程式之前,作為反向代理閘道攔截它
•通過整合支持所有類型的訪問場景(包括移動)所需的功能,提供一個單一的 URL 來加固各種現有解決方案
一個典型場景是提供到資料中心的直接網路級連接的完整SSL VPN。對於大多數不需要完整VPN的使用者,Citrix ADC 為 Citrix Virtual App 提供 ICA 代理,將託管的應用程式和桌面連接到 Citrix Receiver。與 SSL VPN 一樣,用戶端和資料中心之間傳輸的所有資料都是加密的。這是包括 PCI DSS 在內的高安全性環境的推薦配置。一個 URL 為終端使用者提供了一個簡單的入口,可以從任何設備遠端存取 web、SaaS 和 Citrix應用程式,並能夠進行雙因素認證,SSO和聯合身份認證。
Citrix ADC 通過提供單一配置點來簡化和集中存取控制與可見性。SmartControl 充當 ICA 防火牆,根據用戶端設備作業系統和補丁級別等參數,以及殺毒軟體是否安裝、運行和更新等,集中存取控制邏輯來管理上下文授權。還可以根據用戶端和伺服器的IP和埠以及用戶和組成員關係來阻止某些功能。虛擬通道訪問,如剪貼版映射、用戶端驅動器映射或列印,可以為每個應用程式啟用,以提供正確的訪問級別。
2.2、分割:實現網路安全區域
通過定義安全區域,將對敏感應用程式和資料的不受歡迎的訪問降至最低,將最小特權規則擴展到網路和主機。防火牆和閘道將流量限制在各自的區域內,減少橫向移動和攻擊面,以遏制漏洞的爆炸半徑。
Citrix ADC 支持的分割措施包括:
•DMZ中的用戶端連接的認證和代理,在這一點上阻止畸形報文和惡意請求
•對後端伺服器連接進行優化、多工和速率限制,以保護其資源
•一個軟體定義的架構,使用虛擬化使硬體平臺被安全地分割成單獨的和唯一的實例,每個實例都有單獨的sla和分配共用或專用的記憶體、SSL、CPU和虛擬網卡
Citrix ADC 本身的架構是將分割作為一個關鍵的設計原則。
•流量域將不同應用程式和租戶的流量分段到單個設備上完全隔離的網路環境中。
•管理分區將單個 Citrix ADC 設備細分為單獨的資源,使用專用的管理和單獨的登錄 UI、視圖、設定檔和日誌記錄-例如,使用Citrix、網路和微軟應用程式團隊的應用程式特定分區。
2.3、可用性:使用智慧負載均衡和多層拒絕服務保護
可用性每天都受到硬體和軟體故障以及 DDoS 攻擊的挑戰,DDoS攻擊通過耗盡頻寬、計算和記憶體資源來中斷服務。
負載均衡是 Citrix ADC 的核心功能,它將傳入的用戶端請求分發到承載web應用程式和內容的多個伺服器上。這可以防止任何一台伺服器成為單點故障,並與利用率優化方法(如最小連接或基於snmp的指標)一起,提高整體應用程式可用性和回應能力。全域負載均衡(GSLB)為擁有多個網站和地理分佈服務的組織提供了額外的一層保護、容錯移轉和優化。作為其多層可用性方法的一部分,Citrix ADC 還提供:
•DDoS保護– Citrix ADC 檢查用戶端連接和請求參數,以防止SYN、UDP、ICMP、Smurf 和 Fraggle 等 flood 攻擊,等待代理連接,直到提交有效的應用程式請求。
•SSL/TLS卸載-通過代理,驗證和,如果需要,限速連接,Citrix ADC保護 web 服務免受針對 SSL/TLS 漏洞的攻擊,如 HeartBleed, Shellshock和 Poodle。
•浪湧保護和優先順序排隊——Citrix ADC 通過緩存和設置連接優先順序,然後在伺服器負載降低時交付它們,從而不會丟棄任何連接,從而緩解流量峰值和激增可能導致後端伺服器超載的情況。
Citrix ADC 還為 DNS伺服器提供 DNS 保護,並支援 DNSSEC,以防止偽造和損壞的主機記錄傳播到新的目標。
返回